脅威管理

OT、IoT、IoMT へと攻撃対象の拡大に対応した脅威マネジメント

2020-03-16

記事をシェアする:

従来型の IT 資産を中心とした現在の脅威環境は、保護、検出、対応するのが今でも十分に困難なものですが、その環境は従来の IT の枠を超えて急速に拡大しているようです。その新しい領域というのは、オペレーショナル・テクノロジー（OT）、モノのインターネット（IoT）、そして医療分野のモノのインターネット（IoMT）です。

伝統的な IT 環境にはなかったデバイスが、企業のイントラネットに到達しつつあり、シャドー IT 環境を構成していることがあります。こういったデバイスは管理されておらず、一部の管理者はこれらのデバイスに関連するリスクを完全には理解していません。このようなデバイスの可視性が高まれば、最高情報セキュリティ責任者（CISO）は、適切に稼働しているかどうかを理解できるようになります。企業内の接続デバイス数が増加するにつれ、接続しているシャドー・デバイスにセキュリティーが組み込まれていない場合には、攻撃領域も拡大していくことになります。このデジタル変革の波は、重大かつ広範囲に及ぶリスクと損失を伴う新しい攻撃手口を生み出しています。

IT 環境と OT 環境の統合によりもたらされる新たなセキュリティー・リスク

工業の分野では、産業用制御システム（ICS）、監視制御およびデータ収集システム（SCADA）、分散制御システム（DCS）、プログラマブル論理コントローラー（PLC）、スマートセンサーなど、多くのテクノロジーが製造プロセスに追加で接続されています。製造環境には組立ラインとロボットにデバイスがあり、石油パイプラインには圧力センサーがあり、食品施設には温度センサーがあります。多数の接続デバイスの追加により、重要なインフラストラクチャーにセキュリティー・リスクが高まる可能性があります。

IBM による年次調査では、2019 年に OT サイバーセキュリティー攻撃が 2,000％増加したことが示されています。はい、その数字は見間違いではありません — 2,000パーセント。製造業の世界でイノベーションと接続デバイスが増加していくにつれて、悪意のある人物がそこに着目して、セキュリティー攻撃を実行できるようになります。企業は OT のセキュリティー戦略を採用することで、そのリスクを軽減するができます。

OT 機器のモダナイズとその運用データを従来型 IT システムで組織のメトリック最適化や改善に活用するにつれて、その2つの環境は収束しようとしています。従来型 IT インフラが、OT 領域内の物理資産を制御できるようになっています。このオーバーラップにより、OT デバイスを標的にした IT 侵害が可能となります。2019年、IBM Security X-Force チームは、ランサムウェアが IT システムに感染し、OT インフラにラテラル・ムーブメントしたというインシデントに対応しました。この攻撃により、プラントの運転が停止し、世界市場への影響も生じました。調査では、産業用制御システムと OT に対する脅威が増え続ける可能性が高いことも示されています。

IoT セキュリティーへのエージェントレスのアプローチ

デジタル・トランスフォーメーションと「すべてのインターネット（Internet of Everything）」が組み合わさり、商品やサービスの現況が一新される可能性があります。さらに、5Gの新たな夜明けにより、接続速度が飛躍的に向上し、接続デバイスの数にも大きな影響が及ぼされます。オフィス、工場、病院、輸送ネットワークを見渡すと、組織全体に多数のデバイスがあります。

バッジ・アクセス・システム
テレフォニー・システム
ラップトップとデスクトップ
ワイヤレス・キーボード、マウス、プリンター、Bluetooth デバイス
スマート・テレビ、スマート・セキュリティー・カメラ、スマート・ボード
スマート照明、HVAC、ビル管理システム

これらのデバイスはすべて、他のデバイスやシステムに接続して情報を送信するように設計されています。ただし、IoT デバイスにより、企業のセキュリティー・リスクが急速に増大する可能性があります。なぜでしょうか？ IoT デバイスには通常、セキュリティー・エージェントがインストールされていません。セキュリティー・エージェントは、デバイス・データの収集を可能にし、デバイスの保護を可能にするソフトウェアの一部です。ただし、この機能を持たずに接続していて管理外のスマート・デバイスが存在しています。この問題により、攻撃者がリモートから簡単に IoT デバイスにアクセスできてしまいます。 IBM の脅威インテリジェンス・インデックスでは、さまざまなタイプの IoT デバイスを標的とする悪意のあるペイロードをダウンロードさせるコマンド・インジェクション（CMDi）攻撃が広範に使用されていることが報告されています。多くの IoT デバイスにはこれらの攻撃を監視するセキュリティー・エージェントがないため、デバイスとネットワーク上のアクティビティの可視性を高めるエージェントレスのアプローチをとる必要があります。

エージェントレス・アプローチをどのように実装したらいいでしょうか？機械学習（ML）と人工知能（AI）はその大きな要素です。セキュリティー・プロバイダーは、最初にエンタープライズ規模の組織内デバイスの知識ベースを作成し、それをデバイス動作のクラウドソーシング・エンジンと組み合わせます。このクラウドソーシング・エンジンは、ML と AI を使用して、デバイスが異常な動作を示すタイミングを判断します。たとえば、クライアントの環境全体で数百の他のものとは異なる動作をしている IP カメラは、潜在的な脅威としてフラグを立てることができます。

ヘルスケア・サービスに影響を与える IoMT デバイス

さらに、IoT は、医療業界を含むすべての市場でコネクティビティーをもたらしています。医療の IoT とは、一般に、インターネットに接続されたすべての医療機器、ソフトウェア・アプリケーション、インフラストラクチャーのグループを指します。これらのデバイスには、心臓ポンプ、患者追跡装置、輸液ポンプなどが含まれます。これらの接続されたデバイスからキャプチャーされた患者のデータは、医療従事者による決定に役立ちます。したがって、これらのデバイスに対するサイバーセキュリティーの脅威は、ヘルスケアを妨害し、患者に身体的危害を及ぼす可能性があります。IBMの脅威インテリジェンス・インデックスは、ヘルスケアが2019年のサイバーセキュリティー攻撃の標的の第10位の業界であると報告しています。

要約すると、多くの企業がデジタル変革の取り組みを進めており、そこでは、潜在的なセキュリティー・ターゲットとしてデバイスの数が増加し、最終的にはさまざまな脅威要素が増えています。セキュリティーの領域は、OT、IoT、IoMT など、企業のあらゆる分野に関係しています。

それでは、接続されていて管理されていないすべてのデバイスに対して、どのように脅威マネジメントを行えばいいでしょうか？

ビジネス構造の隅々にセキュリティーを組み込むには？（英語）

新しいテクノロジー領域に求められる統合的な脅威マネジメント

デバイス環境の収束は、企業のセキュリティーに新たな課題をもたらします。たとえば、IoT に対する攻撃を分析して、攻撃者が最終的に攻撃する可能性のある IT 資産を特定する必要がでてきます。多くの場合、IoT または OT デバイスは攻撃手口としてのみ利用されており、接続デバイスのセキュリティーが従来の IT 資産のセキュリティーと結び付きます。

この領域を保護するには、脅威マネジメントへの統合的なアプローチと、脅威マネジメントが継続的な取り組みだと理解することが必要です。NIST の Cybersecurity Framework は、脅威のライフサイクル全体に対応するプログラムによるアプローチを提供します。NIST では、次の5つのコアタスクの概要を説明しています。

特定：組織のシステム、資産、データ、デバイスを特定する
防御：テクノロジー、ポリシー、プラクティスの組み合わせで資産を防御します
検知：セキュリティー・イベント、異常なアクティビティー、悪意のある動作を検知する
対応：検知されたイベントと疑わしいインシデントへの対応
復旧：影響を受けるシステムとデータを復元して復旧する

NIST などの標準化されたアプローチを活用すると、インシデント管理に対する論理的で実用的なアプローチをなぞることで、セキュリティー・チームやインシデント対応チームの活動を整理するのに役立ちます。標準ベースのアプローチは、様々な種類のセキュリティー・インシデントを管理するための信頼性の高い反復可能なフレームワークを提供し、脅威への対応における透明性、共通言語、予測可能な結果をもたらします。

このアプローチを利用する利点は次のとおりです。

可視性 — 接続されているすべてのデバイスを発見し、開かれたソリューションを提供
速度 — 自動化によりアクション速度を向上
一貫性 — 規範的なアクションによる一貫性の向上
品質 — 質の高い調査結果の充実
パートナーシップ — セキュリティーの成熟度ロードマップと実行を共同で開発
ガバナンス — 定期的な助言サービスと継続的な最適化

脅威マネジメントは、すべてのセキュリティー組織の核心です。標準化されたアプローチを使用すると、組織は脅威とインシデントのライフサイクル管理を統合できます。新たなハイブリッド環境全体で NIST の各フェイズを実行することで、サイバーセキュリティー・リスクを管理できるようになります。

OT、IoT、IoMT 向けの X-Force Threat Management

IBM X-Force Threat Management は、脅威マネジメントの全過程で企業を支援するために設計されたサービスとテクノロジーを統合したプログラムです。X-Force Threat Management ソリューションは、OT、IoT、IoMT の分野での NISTフレームワークの実装を支援し、管理されていない接続デバイスの可視性をもたらします。

脅威インサイト：IBM X-Force Red のオフェンシブ・サービスと脆弱性管理、X-Force Research と脅威インテリジェンス、そしてコンサルティング・サービスを使用した脅威の洞察
脅威防御：グローバルのマネージド・セキュリティー・サービス、SIEM管理、モバイル・アプリによるアクセス、バーチャル SOC を使用した脅威からの防御
脅威検知： X-Force Protection Platformを介した特許取得済みの人工知能、機械学習、自動化による脅威の検出、継続的な監視と検出
脅威対応：IBM Resilient、IBM Security X-Force Incident Response Retainer、および脅威に対する迅速かつ反復可能な対応のための専門知識を使用した脅威への対応
脅威復旧：IBM Security X-Force、分析、ビジネス継続性計画を使用して、通常運用への復旧を支援

管理デバイスと非管理デバイス、自社ネットワークと同様その内外を含む環境内の潜在的な脅威を発見するテクノロジーを活用しましょう。IBM X-Force Threat Management は、オフェンシブ・サービス、マネージド・セキュリティー・サービス、人工知能、インシデント対応、継続的な改善といった要素を統合しています。IBM X-Force Threat Management は、脅威マネジメントとインシデントのライフサイクル管理を統合して提供しています。

IBM X-Force Threat Management についてはこちら

【関連情報】

OT/IoT のセキュリティー

IBM X-Force : 世界に誇る専門性とファシリティー（動画, 5分52秒）

【お問い合わせ】

メールでのお問い合わせはこちらから