これまでの記事では、現実に被害が発生しており、いよいよOTセキュリティ対策が待ったなしの経営課題であること、そしてその第一歩として、工場内のどこにどのような資産があるかを可視化し、リスクアセスメントを行っていくことが重要であることを解説しました。
しかし、言葉で言うのは簡単ですが、実際の作業となるとどのように進めていけばいいのでしょうか?
KPMGコンサルティング(以下、KPMG)のシニアマネジャーである保坂 範和と、テナブル・ネットワーク・セキュリティ社(以下、テナブル社)のセキュリティエンジニアである叶岡 衛氏に、リスクアセスメント実践のポイントを伺いました。

人手に頼ったアセスメントは限界、精度を高めるにはツールが不可欠

ITシステムの場合、新しいシステムやサービスを開発する際には、設計時のリスクアセスメント、レビューや実装に対する脆弱性診断などを行い、リリース後も定期的に新たな脆弱性がないか確認することが望ましいとされています。また、従業員が利用するPCをはじめ社内の資産を洗い出し、パッチが適用されているか、適切な設定となっているかをチェックするのも、基本的な対策の1つです。

では、OTシステムの場合はどのようにリスクの洗い出しを行ってきたのでしょうか?
さまざまな企業にリスクアセスメントサービスやコンサルティングを提供してきたKPMGの保坂は、「これまでは主に机上評価で、クライアントの文書を確認したり、直にヒアリングを行ったりして資産とそこに存在する脆弱性を把握していました」と語ります。
このような評価は有効ですが、課題もあります。

「やはりOTシステムの範囲が広がり、管理下にある資産の数が増えていくと、精度を保つのがなかなか難しくなってきます。またOTシステムは担当者任せの運用が大きいことから、人の記憶に頼ることも多く、どうしても最新の状況とのずれや、精度が保てない部分があります。」(KPMG 保坂)

この先も、つながるOTはどんどん増えていくでしょう。その中で確実にシステムの状況を可視化し、脆弱性やリスクを洗い出すには、人手に頼った方法ではどうしても限界があります。そこでうまく使いこなしたいのがツールの力です。

「ツールを用いて自動化することで効率が上がりますし、機器に問い合わせることで正確な情報を得られるため、分析の精度も上がります。これによって、リスクアセスメントサービスの品質向上が見込めます。」(KPMG 保坂)

アクティブクエリによって高精度に情報を収集する「Tenable.ot」

テナブル社の「Tenable.ot」は、ITシステムの脆弱性診断検査の領域で多くの実績を持つ「Nessus」のノウハウを生かして開発された診断ツールです。OTシステムはもちろん、ITシステムにもまたがって包括的にデバイスを洗い出してインベントリ情報や脆弱性情報を収集し、可視化します。
本ツールをなぜOTの領域だけに特化しなかったかについて、テナブル社の叶岡氏はこう理由を述べています。

「レガシーなOTの環境といえども、ITデバイスがまったく存在しなかったかというとそんなことはありません。PLCやHMIといったOT特有のデバイスに加え、それらを制御するワークステーションなどのIT機器も接続されており、そこにはセキュリティ上の脆弱性も多々存在します。」(テナブル社 叶岡氏)

そうしたOTとITが混在した環境を前提に、両方を可視化できることがTenable.otの特長の1つです。

アクティブクエリ:資産インベントリ

アクティブクエリ:資産インベントリ

画像提供:テナブル社

2つ目の特長は、「アクティブクエリ」によって、高い精度で情報を収集することです。

一般にOT向けのアセスメントツールは、パッシブなスキャン方法でのみ、情報取集を行う手法を採用しているケースが多いです。ネットワークトラフィックをモニタリングし、その情報を解析して、つながっているデバイスの種類やバージョンなどを判別していく仕組みです。これには稼働中のOTシステムに影響を与えないという利点がありますが、乗っ取ったアカウントを用いてシリアルコンソール経由で直接アクセスされたり、保守・点検用のUSBデバイスに潜ませた悪意のあるプログラムを使って悪用するといった、昨今の高度化したサイバー攻撃のリスクを洗い出せるかというと疑問が残ります。
こうしたリスクも含めて脆弱性を検出するには、アクティブクエリによって、そのデバイス特有のプロトコルで通信を行い、ベンダー独自の情報まで収集してプロファイリングしていくことが必要だと叶岡氏は言います。

テナブル社叶岡氏

テナブル社 叶岡氏(WeWork丸の内北口で撮影)

「パケットをモニタリングしているだけではわからない情報があります。我々は、本当の情報はデバイス自身にあるという考え方に基づき、デバイス自身にそれ特有のプロトコルを使ってアクセスし、ファミリー名やベンダー名、ファームウェアのバージョン番号といった詳細な情報を取得し、プロファイリングの精度を上げています。」(テナブル社 叶岡氏)

Tenable.otでは、デバイスクエリによって取得したOTデバイスの状態をスナップショットとして保存し、変更点を比較していくこともできます。いつ、どのようにOTデバイスの状態が変化したのか、それは意図した保守・点検によって生じたものか、あるいは意図せぬ何かによるものかを区別することで、早期に脅威に気づくことができるでしょう。

構成管理

構成管理

画像提供:テナブル社

さらに、見つかったデバイスとその状態を基にリスクを判定し、どこから対処していくべきかの優先順位付けも可能です。Tenable.otでは「VPR」と呼ばれる独自のリスクスコアレーティング情報を用いて、対処のための優先順位を素早く付け、少ないコストで効率的に対処する方法を提案します。このテクノロジーには、ITシステムの世界で培ってきた豊富なインテリジェンスが活用されています。

脆弱性リスク

脆弱性リスク

画像提供:テナブル社

このように適切なツールを活用して高い精度で資産と脆弱性を洗い出し、企業のポリシーに応じてリスクの優先順位付けを行うことで、OTのセキュリティ対策の第一歩を踏み出すことができるでしょう。

「機器や脆弱性を把握しなければ、優先順位も付けられません。優先順位を付ければ、それに応じて順番に対策を進めていくことができます。」(テナブル社 叶岡氏)

ガイドラインも参考に、待ったなしのOTセキュリティ対策の第一歩を

「この先、OTのセキュリティはないがしろにはできません」と叶岡氏は指摘します。OTを取り巻く脅威が高まっていることを踏まえ、最近では、経済産業省が「機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き」を、また情報処理推進機構(IPA)が「制御システムのセキュリティリスク分析ガイド」といった指針を示し、対策を求めるようになりました。

KPMGでは、こうしたガイドラインをベースにしたリスクアセスメントを提供し、顧客のOTシステムのセキュリティ対策を支援していきます。

「DXやスマートファクトリーを推進するなかで、OTのセキュリティリスクも経営課題になっています。その解決に向け、リスクを把握するために、OTの資産把握と脆弱性を把握していくことが第一歩になるでしょう。」(KPMG 保坂)

お問合せ