脆弱性診断技術やサイバーセキュリティに関する情報を発信するブログメディア

ICS検知ソリューションの終局

仮説:現状のICSサイバー・インシデント検知対応策は3年後には存在していない。現在使われているものは暫定的な対策であり、市場の競合企業たちは現行のソリューションを持って機敏に動きながら、出口戦略を見極めて実行する必要がある。

 

ICS検知および脅威インテリジェンスベンダのDragosに関する最近の分析記事で、私は次のように書いた。

ICSの受動的モニタリングは、ようやく受動だけでなく能動的な調査を行うように変化してきているが、検知とレスポンスだけが目的となってあり、これだけでは資産所有者が検知とレスポンスツールに求めている要素の一部にしかならない。

ICS部門が保守的で比較的動きが遅いことを考えると、今後3年間は対応策として使われ続けるかもしれないが、製品やベンダにとって長期的に有効な戦略ではない。
Dale Peterson − Dragosプラットフォーム戦略の分析

現在のリーダーであるClarotyやNozomi Networks、あるいはCipherX、Indegy、その他の15ほどの競合企業の製品は、実際にICS資産所有者が欲しがり必要としているものではない。こうした企業は価値のある生の情報を提供し、ますます重要性を増している分析を提供しているが、こうしたものは必要とされているものの一部に過ぎず、製品として受け入れられるのは今後1年から3年の間だけだろう。この分野の企業は、既に現在の対応策の開発、販売、サポートを急ピッチで行っているが、それに加えて、この製品の出口戦略を決定し実行するという課題も抱えているのだ。

以下にいくつかの出口戦略を提示しよう。

退散戦略: 全速力で走り、買収される

ほとんど、あるいは多くのICS検知分野の会社は、買収されるか倒産するかしかない。最初に倒れたドミノはNexDefenseで、他の会社も続くことだろう。これは実際には出口戦略とは言えない。出口戦略を立てる前に退散したり、あるいは戦略なしで現状を続けていたりするだけだ。

競争力のある最上層の企業が取りえる戦略は、短期的立場を最大にしておき、部分的解決にしかならないものだと気づかれる前に買収されるか、または自社のソリューションの一部として欲しがっている企業に買収されることだ。この戦略には、買収者に対しての魅力を高めるためのブランド力、顧客数、インストール数の最大化や、特定のベンダのICSやプロトコルをサポートするための開発が含まれる。

この戦略では、出口戦略の実行に伴うリソース負荷と売り上げの落ち込みが軽くて済む。ただし、椅子取りゲームにおけるタイミングを間違えるというリスクはある。待ちすぎると、買収者は他でテクノロジーを買ってしまったり、将来のソリューションの一部に過ぎないと気づいてしまったりするだろう。この市場で競合している企業の半分くらいは、今から買収に向けて動くべきだ。

エッジデバイス戦略: 低価格、アナリスト・ステーションはなし、最大限の統合しやすさ

ある資産所有者がS4x19で、この分野のとある製品を気に入っているし推薦もすると言っていた。しかし、「検知ベンダには申し訳ないのですが、ダッシュボードは使っていません。なぜならSOCアナリストは常にSIEMプラットフォームを使っているからです」と続けた。中規模から大規模の顧客は既にそうであるか、または今後そうなっていくだろうと言っても言い過ぎではないだろう。

ほとんど全ての製品には、情報をSIEMに送る機能がある。しかしながら彼らのマーケティングでは、サイバー・インシデントを特定し分析するためのGUIを使って宣伝している。こうした企業はエンジニアリング、マーケティング、セールスにおいて製品を独立したソリューションとして提示し、さらにツール、ホワイトペーパー、パートナーシップや販売、SIEMとの統合のために努力している。

この戦略で成功するためにベンダは、販売が短期的(1, 2年)になり、マージンは恒久的に減少することを知っておかなければならない。また、統合ソリューションは独立ソリューションよりも複雑である。なぜならSIEMベンダとのパートナーシップやフォローが必要だからである。そして管理用GUIは監視や分析用ではなく基本的に設定用なので、現在の値段を正当化するのが難しい。

これは私が最も気になっている戦略で、自分でこのビジネスをやっていたら選ぶだろう。最上層あるいは二番手の企業はこの戦略を積極的に進めるリスクをとるだろうか。

OT SIEM戦略: 私たちが全て引き受けます

これは現在Dragosが実践していると思われる出口戦略だ。これが自分たちの戦略だと公言はしていないものの、Dragosは、エンタープライズSOCに検知の主たる責任を引き受けさせるよりも、OTアナリストをOT SOCに24時間体制でつけるという少数派の意見を公にしている。 彼らは、 PI Historianイベントなど他のデータソースの統合を始めており、セキュリティログイベントなども統合することについて言及している。これは現在マーケティング、販売、商品開発の分野で実施されている、わかりやすい出口戦略の2つの例のうちのひとつだ。

わたしは OT SOCこそ未来だと信じているグループには属していないものの、この立場について気に入っているところが2つある。一つ目はOT SOCを持つ可能性の最も高い企業は、多くのICSを持っている石油会社やガス会社、50以上の工場を持つ大規模製造業者といった大きな企業だということだ。これら大規模顧客のうちの少数には価値がある。2つ目に、このアプローチは、資産所有者がOT検知と先進的なレスポンス機能をアウトソースする、マネージドサービスモデルをサポートしていることである。

少し話がそれるが、Dragosは、自社製品において資産在庫と資産管理機能を強調していない数少ないベンダの一つだ。資産管理と検知は、互いにコミュニケーションはとるものの、別の製品プラットフォームであると Ralph Langner氏に説得されたので、これもまた私の意見では前向きな点である。

セキュリティアナリストではなく、エンジニアとオペレーターのためのソリューション

多くのベンダがこの戦略を半分受け入れている。Sentryoがいい例だ。オペレーターやエンジニアのために開発されるGUIは、OT経験のあるなしに関わらずセキュリティアナリストに提供するものとは非常に異なるだろう。よりシンプルで、よりプロセスに重きを置くものだ。セキュリティの導入によって連絡が重要になる場合が多いとは言え、提供された情報は、さらなるセキュリティ分析よりも連絡等の特定のアクションに紐づけられる。ディスプレイはコントロール・ルームに置かれ、そしておそらくエンジニアリングワークステーションと同じ場所でも利用可能になるだろう。

実際、GUIをオペレーターやエンジニア向けにし、さらにエンタープライズSIEMとの統合を容易にするエッジデバイス戦略を目指すハイブリッドの戦略がある。このハイブリッド戦略の問題点は、そのベンダの組織が実現のために相当量の仕事をこなす必要があることだ。

ICSプロトコルの知識を使う/他の目的のためのディープパケットインスペクション

まだ判断には早いが、トップ層のベンダであったSecurityMattersを買収したForeScoutが追い求める戦略となる可能性がある。SilentDefense製品はまだ存在しているものの、そのテクノロジーがEyeSightに統合されてIT/OTの統合資産管理に利用され、EyeControlに統合されてIT/OT両方のネットワークアクセス管理のために使われる可能性は高い。EyeControlは2つのうち、より興味深い例だ。なぜならこれは今日この分野で提供されているものの主要な機能に入っていないからだ。

これは退散戦略と考えられるかもしれないが、私は違う見方をしている。なぜならEyeControlへの統合は、これが検知製品のカテゴリーから外れることになるからだ。

これは資産オーナーにとってはどのような意味を持つか?

以下の30分の動画はこの市場に関するもので、Protect Our Powerカンファレンスで私が行なったプレゼンテーションの一部だ。25:46のところで、経営側の理解を得た上でこれらのソリューションについてゆっくり取り組む重要性に言及している。経営側は、2019年、2020年に決定したことが2022年、2023年には取って代わられるかもしれないことを理解する必要がある。そうすれば、あなたが間違いを犯してお金が無駄になったと経営側に言われずに済む。そうではなくて、変化を視野に入れて、早い段階から対応しているということになる。これはまた、この技術をどれほど速くまた幅広く導入したいかということにも関わってくるだろう。

ICS検知マーケットに関する私の30分の分析

いつも通り、この分析に関しての質問、コメント、異なる意見などを歓迎する。

元記事URL: https://dale-peterson.com/2019/05/29/ics-detection-endgame/

Dale PetersonはDigital BondのCEOで、S4カンファレンスの創始者である。S4カンファレンスは世界最大かつ最も進んだICSセキュリティカンファレンスで、マイアミサウスビーチで毎年1月に開催される。Daleの英語の記事は dale-peterson.com で読むことができる。

訳注:

翻訳にあたり、Dale Peterson氏から以下のコメントが届いた。

1) Ciscoがこの市場のベンダであるSentryoを買収したことに注目されたい。Sentryoが選んだ出口戦略である。

2) Dale Peterson氏の主催しているS4x20のCall for Presentationがオープンになっている。 https://s4xevents.com/cfp/

セキュリティ診断ならお任せください

Webサービスやアプリにおけるセキュリティ上の問題点を解消し、収益の最大化を実現する相談役としてぜひお気軽にご連絡ください。
国内トップクラスのセキュリティエンジニアが診断を行います。

ホワイトハッカー

セキュリティ診断
ご相談はこちら