セキュリティブログ

ICS/IOTセキュリティをSIEMソリューションと統合すべき3つの理由

ICS/IOTセキュリティをSIEMソリューションと統合すべき3つの理由

更新日:2021.07.09

2019年7月10日 | 事業開発 バイスプレジデント ジョエル・シルバーマン

OTネットワーク環境で可視性を持つことは産業企業にとって早急にやるべきことであり、同時に大きな課題でもある。

産業コントローラーやその他の重要な機器がマルウェアやサイバー攻撃、内部脅威、不適当な設定、果てはメンテナンスの不備にさらされることが増えており、セキュリティチームにとって深刻な課題となっている。

IT/OTコンバージェンスについて語られることは多いのだが、セキュリティ視点で見た場合にこれが本当に意味するものは何なのだろうか。そして企業がこの新しい課題に対処するためには、既存のITサイバーセキュリティへの投資をどのように活用し、順応させればよいのだろうか。

以前は組織やネットワークの他の部分から切り離されていた産業基盤や重要インフラの施設内のOTネットワークも、現在は企業やITのシステムに繋がっている何千ものデバイスから構成されていることもある。このように繋がっているということは、IOTもしくはIIOTで繋がっているデバイスのチェーンに弱いリンクが1つあれば、ハッカーがその気になれば足掛かりを得て企業に大損害をもたらすのに十分だということになる。

したがって、産業環境にとっての攻撃サーフェスが広がってしまったことになる。これは従来のOTのPLCやSCADAのデバイスの観点からだけではなく、製造や安全のためのシステムの一部であるワークステーションやネットワーク機器、カメラ、スキャナー、その他の様々な接続された機器の観点からしても同様だ。産業コントローラーやその他の重要な機器がマルウェアやサイバー攻撃、内部脅威、不適当な設定、果てはメンテナンスの不備にさらされることが増えており、セキュリティチームにとって深刻な課題となっている。攻撃は単純な標的型攻撃を超えてステルス型の多段階攻撃になっており、ITネットワークに侵入してOTネットワークに向かったり、OT側からITシステムの攻撃に向かったりする。

OTネットワークに可視性があるということはSIEMの価値が上がるということ

新しいタイプの高度なサイバー脅威という観点から見ると、OTネットワーク環境で可視性を持つことは産業企業にとって早急に必要なことであると同時に大きな課題でもある。

セキュリティ情報イベント管理(SIEM)のソリューションは、IT分野において企業が複雑なマルチベクトル型のサイバー攻撃と戦うために使用している最も一般的なツールである。SIEMソリューションは幅広い種類のセキュリティツール(AV、IDS/IPSなど)から複数のフィードを受信して、山のようなデータを分析する。そしてセキュリティチームが緊急で注視しなければならない通知や状況を正確に特定してくれる。リアルタイムのイベントを監視して履歴データを分析することで、SIEMは異常な使用パターンを検出し、セキュリティやコンプライアンスの脅威の可能性を絞りこんで誤検出を減らし、必要な場合はセキュリティ担当に警告する。

OT側における課題は、SIEMがデータに関して依存しているAVやIDS等の従来のITセキュリティツールがOT環境では機能しないということだ。エージェントやスキャニング、標準的なIPベースのネットワークプロトコルでは、産業ネットワーク内のデバイスの状況はカバーされない。したがって、SIEMや現在定義されている関連するワークフローでは、OT環境で生じる攻撃やOT環境を横断する攻撃を分析して洞察を提供することはできないのだ。

このサイバーセキュリティの格差に対処するため、産業組織はSIEMシステムを強化してもっと機能させる方法を探す必要がある。攻撃サーフェスを部分的に見ているだけでは全ての攻撃を検出することはできない。ITネットワークを破られてOTネットワークにやってくる脅威と同様に、OT側の脅威も可視化する必要がある。これを効率的に行うためには、OT側から集められたデータをITデータと同じ画面に置いて360度の可視性を確保し、両環境における潜在的な脅威を検知できるようになっていなければならない。

既存のSIEMとの相互運用性で効率が最大限に

既存のSIEMソリューションとIndegy Industrial Cybersecurity Suite のようなOTに特化したサイバーセキュリティー・ツールを統合させることで、産業組織はITとOTの両方の運営全体における可視性、セキュリティ、そしてコントロールを最大化することができる。

SIEMとOTサイバーセキュリティの相乗効果により、SIEMシステムの全体的な価値が高まる。OTネットワークを可視化しておくと、SIEMでの分析で、より多くのサイバー脅威(特にネットワークを横断するもの)を発見できる。ITとOTに関連するデータ全てを1つのセントラルレポジトリに持ってくることで、潜在的なセキュリティインシデントが潜んでいる可能性のあるネットワークエリア全体を把握しやすくなる。このタイプの統合を行えば、現在のSIEMへの投資を活用して、さらに多くのことを達成することができるようになるのだ。

シームレスなSIEMの相互運用性を実現するには、クリティカルな情報フィードやSIEMシステムの統合モジュールが必要である。統合モジュールは、OTネットワークからの警告やイベント、見識をSIEMシステムに転送するために使用される。SIEMの元々の性能と組み合わせた、進歩したOTセキュリティは、OTとITの両環境を守るのに必要なインテリジェンスをもたらしてくれる。

より多くのことが見え、より多くのことを見つけ、より多くの攻撃を止められる

ICSのセキュリティプラットフォームとSIEMを統合することで、産業基盤や重要インフラの組織は以下のことができるようになる。

  • ビヘイビアベースやポリシーベースで検出を行うことで、脅威を効率的に検知して軽減し、産業プロセスにおける安全性、信頼性そして継続性に繋げられる
  • 単一の画面でITとOTの環境全体における360度の可視性を得る
  • 自動でアセットのトラッキングを行い、使用されていないデバイスや、PLCのバックプレーン構成にまで把握する
  • ネットワークを通して行われたかローカルで行われたかに関わらず、コード、OS、ファームウェアに対する変更1つ1つについて警告を受ける
  • 正確で詳細な情報に基づいて意思決定を改善し、応答時間を削減し、積極的なメンテナンスを行う

ICSとSIEMソリューションの統合は、ITとOTの両方のネットワークを危険に晒す可能性のあるIT-OT間の盲点を取り除いてくれることに価値がある。このようなサイバーセキュリティソリューションは産業組織がより速く修正、反応するためにITとOTの両方における脅威の監視と検知の統合を実現するのに役に立つ。

すでにSIEMソリューションを実行されているだろうか。Indegy社のソリューションの概要の1つをダウンロードしていただければ、同社がIBM QRadarMcAfee Enterprise Security ManagerRSA NetWitnessSplunkとどれほどシームレスに機能するかをご理解いただける。

元記事: https://blog.indegy.com/3-reasons-integrate-ics/iot-security-with-siem-solution

Indegy社は、サイバー脅威、悪意のある内部者、ヒューマンエラーからビジネス、重要インフラ、政府を守ることにコミットしている。比類なき柔軟性とスケールで最も包括的なエンタープライズレベルのOTセキュリティ機能を提供することにより、複雑なICS環境に安全と信頼を確保するお手伝いをしている。

セキュリティ診断のことなら
お気軽にご相談ください
セキュリティ診断で発見された脆弱性と、具体的な内容・再現方法・リスク・対策方法を報告したレポートのサンプルをご覧いただけます。

関連記事

経験豊富なエンジニアが
セキュリティの不安を解消します

Webサービスやアプリにおけるセキュリティ上の問題点を解消し、
収益の最大化を実現する相談役としてぜひお気軽にご連絡ください。

疑問点やお見積もり依頼はこちらから

お見積もり・お問い合わせ

セキュリティ診断サービスについてのご紹介

資料ダウンロード