これまでITインフラサービス事業者にてフィールドエンジニア、ビジネス開発、製品マーケティング、技術戦略策定などに従事。2023年よりTXOne Networks Japanにジョイン。工場向けのサイバーセキュリティ製品TXOne Stellarシリーズ担当
OTの世界では、ITの世界以上にセキュリティ製品の導入を阻む壁がいくつも存在します。
そこで、本記事では、OTエンドポイントセキュリティに関する導入を阻む壁について紹介しつつ、その壁をどのように乗り越えていくかについて解説します。
壁1|OTの長期ライフサイクル
まず一つ目の壁として産業用制御システムのライフサイクルとITのライフサイクルの違いがあげられます。
産業用制御システムは10年以上の長いスパンで利用される一方で、一般的にIT製品は5年といった比較的短いスパンでサポートが終了します。
そのため、産業用制御システムは長期に渡って使い続ける中で、その中に組み込まれているOSはサポート終了を迎えているという事態が発生しています。通常、IT向けのエンドポイントセキュリティ製品もOSのサポート終了とともに順次サポート終了となるためOTシステムの担当者を悩ませる種となります。
この場合、選択肢としては大きく2つあります。
1.現在使用しているセキュリティベンダーに延長保守をお願いする
セキュリティベンダーとしては需要が減る中でOSのサポートを継続するために延長サポート費用を見直しながらサポートを継続するかたちとなります。
2.サポート終了しているOSに対応しているエンドポイントセキュリティ製品を探す
この時の注意点は、サポートはしているが特定の機能は提供していないということも存在するため、利用したい機能が提供されているかについて確認を行って下さい。
壁を乗り越えるポイント
サポート終了のOSが多く存在するという課題に対応するためにTXOne Stellarはロックダウン機能もマルウェアスキャン機能もサポートが終了したレガシーOSでも標準で機能する数少ない製品となっています。
壁2|製造現場の稼働を止められないOT環境
OT環境では、システムを停止できる時間が年に一度(場合によっては数年に一度)という環境も多く、止められたとしても数時間だけということもよくあります。
OT環境に適用するセキュリティ製品を選定する際には、この短いメンテナンス時間内に製品の導入と試験を終わらせる必要があります。
製品選定の際には限られた時間の中で導入する事ができるかという点も重要なポイントとなります。
さらに言うと、上述したようにOT環境では古いOSも多く存在することから、現場担当者の視点からすると一度システムをシャットダウンしてしまうと二度と起動しないのではないかと言った不安も付きまといます。
壁を乗り越えるポイント
TXOne Stellarは機械学習機能などにより環境に応じた設定をサポートする機能が備わっています。
また、そもそもOSの再起動が不可と環境に対応するためにStellarの開発当初からOSのコアドライバーへの影響を軽減することでStellarエージェントをインストールする際に再起動することなく製品をご利用頂けます。
壁3|エンドポイントセキュリティのネガティブインパクト
OT環境では、エンドポイントセキュリティ製品を導入することによる次のような負の要素が導入をはばむ大きな要因でもあります。
- マルウェアスキャンの誤検知によりシステムが停止してしまわないか
- エンドポイント製品の負荷によりシステムが停止してしまわないか
IT環境にある端末とOT環境にある端末のハードウェアスペックが大きく乖離してしまっている現状において、IT向けのエンドポイントセキュリティ製品は高度化する脅威に対応するためにIT環境にある端末のスペックを前提に可能な限りの機能をエンドポイントセキュリティ製品に搭載しています。
この様な状況の中で、OT環境の端末にIT向けのエンドポイントセキュリティ製品を導入してしまうと負荷が高すぎてシステムに影響を及ぼしてしまうことになりかねません。
OTセキュリティ担当者としては、セキュリティ製品を導入することによってシステムが止まってしまっては本末転倒であるため、そのリスクを極力低減させる必要があります。
壁を乗り越えるポイント
TXOne Stellarでは、開発当初よりこのような状況を把握して必要最低限の厳選された機能に絞ることでOTシステムへの影響を軽減しています。
また、マルウェアスキャン機能についても誤検知が発生しないようにレガシーな手法を採用するとともに、誤検知の可能性は極めて低いですが仮にStellarによる誤検知によってアプリの駆除を試みた場合においても、予め対象のアプリケーションに保護をかけることで駆除をブロックすることが可能です。
Stellarであれば安定してアプリを動かし続けることで稼働を継続させることができます。
壁4|エンドポイントセキュリティ製品を導入すると装置がサポート対象外に!?
OT環境の端末は特定の装置に組込まれているまたはシステム全体として一つの製品になっていることが多いです。
よって、装置ベンダーからエンドポイントセキュリティ製品をインストールすると今後装置のサポートを提供できないといった制約があるためエンドポイントセキュリティ製品を導入できないと考える方も多くいらっしゃいます。
これは今回ご紹介する壁の中でも一番大きな壁かも知れません。この場合、考えるべきポイントは2つあります。
①エンドポイントセキュリティのネガティブインパクト
②エンドポイントセキュリティを導入しなかった際のリスクの比較
①については壁3で述べた通りとなります。②については次の4つのリスクが考えられます。
(1) マルウェア感染による業務停止
(2) 機密情報の窃取
(3) 踏み台にされ加害者となるリスク
(4) 身代金を要求されるリスク
これらを踏まえて、やはりセキュリティ対策が必要と判断された場合は装置ベンダーへ改めて相談をしてみてください。場合によっては相互運用性を確認するテストを実施してくれる可能性もあります。
一方で、米国の「U.S.Cyber Trust Mark」、欧州の「サイバーレジリエンス法」、日本の「IoT製品に対するセキュリティ適合性評価制度」といった取り組みの中で規制の観点でも装置メーカーがセキュリティ対策を行う、またはセキュリティ製品との相互運用性を担保すべき必要性が高まってきています。
壁を乗り越えるポイント
TXOne Stellarでは多くの装置が備えているような緊急停止ボタンをユーザインターフェース上に備えており、もし何か挙動がおかしいと感じた場合は、緊急停止ボタンによりStellarの機能を全て止めて原因の切り分け作業を速やかに行うことも可能となっています。
壁5|OT環境にEDRは不向き!?
防御を行う製品により多くの攻撃を防げたとしても、高度な攻撃により少ない割合ですが侵入を許してしまうという事態も発生してしまいます。
そのためにITの世界ではEDRという製品が生まれ、高度な攻撃であっても挙動を分析することにより侵入をとらえて対処を行うということが可能となってきました。
一方で、一般的なEDR製品は端末で実行される多くの挙動情報をクラウドへ送信する必要があり、クラウドに集められた情報は機械学習によりある程度分析が行われ脅威がスコアリングされますが、最終的にはスキルを持っているセキュリティアナリストが判断を行う必要があります。
また、レガシーOSには対応していないというEDRも存在します。
多くのデータを送信するEDRは十分なネットワーク帯域幅をもっていないOT環境には不向きであったりします。
壁を乗り越えるポイント
TXOne Stellarは高度な攻撃にも対応できるようITのEDRとは全く違う方法でその機能を実装しています。
一番の特徴としては頭脳の部分です、上述の通りITのEDRはクラウド側に頭脳が存在します。
一方でStellarの頭脳は各エージェントに存在します。導入時に各エージェントにてその端末の特徴を学習することにより脅威を高精度で判別を行い、管理コンソール(オンプレ上)への情報送信を最低限に抑えることが可能です。
まとめ
OT環境のエンドポイントデバイスにはIT環境と比べて様々な制約が存在し、エンドポイントセキュリティ製品の導入が難しい状況にあります。
しかし、これらはサイバー脅威の拡大や様々な新しい規制やガイドラインなども相まって変わらざるを得ない状況になってきています。
それぞれの壁は困難ですが乗り越えられない壁ではないため、リスクを天秤にかけつつ対応していくことが必要となってきます。
