サイバー犯罪者は、アマチュアのハッカーから洗練された「ランサムウェア・アズ・ア・サービス」の専門家へと変貌を遂げています。ランサムウェアの攻撃が進化するにつれ、付随的な被害も拡大しています。
以前はランサムウェアの影響は一般的に基幹インフラに限られていましたが、今日では制御技術(OT)システムも対象になっています。従来、OT環境は安全性や信頼性、耐久性を重視し、サイバーセキュリティを念頭に置いて設計されていませんでした。しかし、最近話題になるようなサイバー攻撃は、新たな現実を浮き彫りにし、ランサムウェアの防御策をOTに組み込む必要性を再認識させました。
FBIの報告によると、2020年にランサムウェアの被害を受けた米国の企業、地方自治体、医療施設、学校は約2,400に上り、2020年のランサムウェアの世界的な被害額は、事業の中断や身代金の支払いを含めて、420億ドルから1,700億ドルに達すると言われています。
求められる防御策のさらなる強化
国や業界を問わず、組織がOTのランサムウェア対策を強化するために採用を検討できる推奨事項は、以下のとおりです。
ランサムウェア対応計画の策定
従来のインシデント対応計画ではもはや十分ではありません。ランサムウェアには、以下のような、特殊なプロセスやビジネス上の判断が必要となります。
- どのような封じ込め策が可能なのか。ネットワークを切り離す権限は誰にあるのか。
- 身代金を支払うのか、支払わないのか。支払いは可能か。どのような方法で支払うのか。
- サイバー保険や他のサードパーティとの調整はどのように行うのか。
- バックアップが正常であることをどのように確認するのか。
- 大規模な暗号解除はどのように行うのか。システムをオンラインに戻す前に、どのようにアクティブディレクトリを再認証するのか。特定のアプリケーションや技術を復旧させるために必要な特別プロセスはあるか。
これらの判断項目はすべて、KPMGが多くの組織と協力して策定している「全社的なランサムウェア戦略」に含まれています。戦略の策定後に、机上シミュレーションや敵対者シミュレーションを行うことで、それぞれの役割を確認するとともに、計画と実践の改善を行います。
最小権限アクセスモデルの導入
ランサムウェア攻撃の多くで、特権的な認証情報が不正利用されています。これはOT分野でも同様ですが、レガシー環境であるためより複雑な課題となる可能性があります。あらゆるユーザー(サードパーティベンダーを含む)や人間以外のアイデンティティ(サービスアカウントなど)からランサムウェアに感染しないよう、ITおよびOTデバイスに対して、人間以外の特権クレデンシャルに対するセキュリティ制御を有効にし、可能な限り常設の特権アクセスを削除しておきます。また、多要素認証も有効です。ランサムウェアやその他のサイバー脅威に対する予防的な管理策を講じる際には、最小特権の原則を優先する必要があります。
検出的コントロールの導入
個人アカウントや共有アカウント、特にシステムを変更するための昇格権限を持つアカウントの異常をリアルタイムに検知する対策を導入します。また、OT環境では、スレットハンティングを行うと、緩い設定やラダーロジックなど、別の課題が見つかることもよくあります。サイバー攻撃ではほとんどのケースで、攻撃者による偵察活動が行われていますが、これは適切なツールと機能(定期的な人間による監視を含む)が導入されていれば検知できたはずです。OT環境では、攻撃者がハッキングツールキットを置くことのできる場所(エンジニアリングワークステーションなど)が限られているからです。
脆弱性評価プログラムの作成
サイバーリスクの度合いを把握するため、脆弱性評価プログラムを作成します。OT分野におけるパッチ適用の難しさを考慮し、脆弱性をほぼリアルタイムで特定して強固な緩和策の検討を着実に進めます。成熟したプログラムでは、この機能をランサムウェアの活動の前兆であるボットネット活動の追跡や、ダークウェブの監視にまで拡大させています。同時に、OTセキュリティ組織が統合管理できるよう、効果的な資産棚卸を行います。これにより、サイバー攻撃に対して最も脆弱な攻撃ルートに合わせたリスク分析が可能となり、強化すべき対策を計画することができます。
サードパーティベンダーのセキュリティ強化
産業用制御システム(一般にOTと呼ばれる)では、ほとんどの企業がネットワーク内のOT機器の提供と管理を大手制御システムベンダーに依存しています。OT環境は独自の性質を持っており、不透明となることが多いですが、しっかりと環境を理解し、サードパーティベンダーがどのように管理しているかを把握することが重要です。これらのベンダーは、自社ネットワークへの潜在的な橋渡し役となる可能性があるため、数年に一度、契約更新の際に調達部門が行う従来のセキュリティレビューでは、もはや十分ではなく、以下について把握する必要があります。
- どのベンダーと取引しているのか。
- ベンダーには具体的に何を委託しているのか。
- ベンダーはどのようにクライアントのITおよびOTシステムにアクセスしているのか?
- クライアントのセキュリティ基準はベンダーにも適用されているのか。
インシデント発生に備えた対策の検討
KPMGは長年、ランサムウェアインシデントの最前線で活躍してきました。OT分野でのサイバーセキュリティに関する豊富な経験も有しています。これらの専門分野を組み合わせることで、OTリスクの軽減を支援すること、必要に応じてインシデント発生時の迅速な対応と復旧をサポートすることが可能です。
今こそ、予防と検知の両方の機能と対応策を備えた、より優れた強力なサイバーセキュリティプログラムを設計し、実施すること、および、これらの能力や計画を定期的にテストすることが重要です。
本稿は、KPMGインターナショナルのサイトで紹介しているレポートのサマリーです。
全文は以下のリンクよりご覧いただけます。
全文はこちらから(英文)
How to safeguard your OT during the ‘ransomware pandemic'
