作成者: 山本 太郎|Jul 3, 2024 3:00:00 PM
#15「今こそバックアップ環境の棚卸が必要」では、ランサムウェア被害に遭った場合に備えた「バックアップ」について、環境の棚卸しと復旧のための事前準備が重要だとお伝えしました。
バックアップは取っているけど、本当にリストアできて業務復旧できるか。。。この件については、弊社グループ会社の株式会社BackStoreの取り組みを次号以降にてご紹介いたします。
ランサムウェア対策 お客様の懸念No.1「網羅的なIT資産の可視化」
さて、今回もランサムウェア対策の話題ですが、視点を「特定、防御と監視対策」に移します。
実は、弊社が実施したプライベートセミナー「インシデントからの学び」のアンケート回答で、最も多くのお客様が関心を寄せられていたのは「網羅的なIT資産の可視化と管理」でした。
上記の結果より、お客様の懸念を次の3点に分類する事ができます。
-
-
1.グループ内子会社や海外事業所まではIT資産を完全に把握できていないという懸念
(サプライチェーンやガバナンス)
-
-
2.一通りの対策はできていると思うが、攻撃者目線でみたときに起点となりところが全て可視化できているかという懸念
(アタックサーフェイス)
-
-
3.IT部門の管轄外である重要な工業や倉庫等の施設に置かれたOT機器の可視化と管理についての懸念
(OTセキュリティー)
これらの懸念がお客様に生じているのは、グローバルへのビジネス展開が当たり前となった今、社内外に渡るDXの取り組みがお取引先を含むサプライチェーンや複数の事業部門に浸透しているため、IT資産のみならずOT資産をも可視化し、防御対策をとることが必要だという認識が高まってきた結果と推察します。
IT部門の情報収集の段階からOT管轄部門との会話や啓蒙、具体的な検討や可視化のPoCが多くのお客様で開始されており、筆者はここ数年のOTセキュリティーに関するお客様の意識の変化を実感しております。
OT資産を持つ企業の課題。まずは「デバイスを可視化」する難しさ
まず、OT環境におけるサイバー対策の難しさとして、デバイスの「可視化」が挙げられ、それは次の事情により困難であると言えます。
-
IT部門の管轄ではない、サイバー対策意識の比較的薄い事業部門が統括(管理対象外)
-
安定稼働を最優先し、古い環境を許容(セキュリティー的に不適切といえる運用)
-
マルウェア検知ソフトウェアが導入できない/許可されていない環境(基準適用外)
他のIT機器と同じサイバー対策をOT環境の全てに当てはめて対策することが困難であることは理解できますが、だからと言って存在するリスクを許容すべきではありません。
この問題の解決にあたっては、IT部門が積極的に関与しOT設備を持つ事業部門と討議を進め、OT環境の防御側にリスクがあるなら可能なその限りリスクを可視化し、監視の強化や対応面の準備を図ることで、企業全体としての対応力を強化することが重要と考えます。
OT資産を持つ企業のもう一つの課題。多くのベンダーを統合する「体制と対応」
多くのOT資産がある施設や設備を持つ組織において、「体制と対応」に関する課題も挙げられます。
医療機関で起きたランサムウェア被害の多くは、リモートメンテナンス用のVPNの脆弱性をついた不正侵入から始まっています。
これらの体制と対応を見ると、複数の電子カルテパッケージ、その基盤の構築、OT機器の導入や維持管理をするベンダー等、多くのステークホルダーが存在し、セキュリティー対策と運用、対応責任が不明瞭でした。
また、お客様側が統合した監視や運用、対応の体制、スキルを備えてなかったことも指摘されています。
以上、医療機関のランサムウェア対策における「体制と対応」の課題の例をあげましたが、これは医療機関に限らず、様々なベンダーの様々な機器を導入し、維持管理を必要とする工場設備を持つ製造業にも当てはまることと言えます。
エージェントレスツールによる「検出と可視化」と「統合SOC」
OT資産を持つ工場や施設のセキュリティー課題解決のためには、OT機器や管理対象外デバイスを検出し、更には安定稼働を最優先してパッチ未適用のデバイス(不適切な運用)や、古いOS環境のまま稼働せざるを得ないデバイス(基準適用外)を検出して、可視化する必要があります。
このためには、エージェントレスでネットワークを流れるパケットから先のデバイスを検出し、特定できる仕組みが必要になります。
次に、検出されたデバイスの環境や状態に応じて、エージェント型ソリューションであるEPPやEDRを適切に選択し、運用負荷とコストを抑えつつ感染防御、振舞検知、隔離等のサイバー対策の強化を図ることが必要です。
しかしながら、すべてのデバイスにエージェント型のソリューションが導入できるわけではないのがOT環境なので、再びエージェントレスツールをもってパケットを監視し、脆弱性の特定と対応、挙動をモニターし対応する運用体制(統合SOC)が求められます。
IIMが推奨するOTセキュリティー
性能管理の領域において、IIMは「可視化できないものは制御できない」として、お客様を支援してきました。
これはセキュリティーも同様です。
IT部門の枠を超えてOT機器利用部門に寄添い、エージェントを導入できないOT機器やレガシー機器をも検出し、その状態を統合SOCにて可視化し脅威に備える事が必要です。
弊社は可視化ツールの提供と維持管理のみならず、グループ会社のシェアードセンター型SOCによる監視と、万が一に備えるインシデントレスポンスをもってお客様をお守りいたします。
ご関心がございましたら、お気軽に弊社の担当営業へお声がけください。