2024.10.04

#19 工場内製造装置(OT機器)のゼロトラスト・リモートアクセスの実現!

目次

開く

    ランサムウェアの感染経路の大半はVPNとリモートデスクトップ接続

    警察庁の広報資料「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」では、ランサムウェアの感染経路の大半はVPNとリモートデスクトップ接続と報告されております。

     

    近年は工場におけるランサムウェア被害も増加しておりますが、工場での感染経路もVPN/リモートデスクトップ接続が多いと推察します。
     

     

    #19-1
    #19-1

    【図表7:感染経路】

     

    ※警察庁「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」より抜粋

     

     

    リモートアクセスの必要性

    工場においては、以下のようなリモートアクセスに対するニーズが存在すると認識しております。

     

     ・人口減少による人材不足でメンテナンス要員確保が困難

    ・感染症や天災などの不安定要素による、社員の行動制限を実現するための対応策

    ・熟練者のスキルトランスファーのための、海外・国内工場への出張負荷/工数の削減

     

    しかし、従来手法のVPN形式ではサイバー攻撃のリスクがあるため、どのようにセキュリティを確保するかが課題となっているのではないでしょうか。

     

     

    リモートアクセス導入に向けた壁

    OT環境におけるリモートアクセスの難しさには、以下のようなOT機器特有の仕様やセキュリティ要件があると認識しております。

     

     ・OT機器を制御する専用アプリやツールの利用
     ・OT機器特有の通信方式への対応が必要
     ・リモート操作のセッションを記録し、未許可利用者・不正操作の監視が必要

     

    現状も多くのリモートアクセスツールがありますが、ほとんどの製品はIT環境での利用を対象としており、OT環境の要件に沿ったソリューションは少ないのが実情です。
     

     

    工場におけるゼロトラストリモートアクセス要件

    OT環境において、セキュア・リモートアクセスプラットフォームを提供しているDispel社が推奨し実装する機能要件を以下の表でご紹介します。
    これらの機能は、次世代ゼロトラスト・リモートアクセスを実現するために、産業制御系ガイドライン(例えばNIST CSFIEC 62443等) の要件に基づいて実装されている機能です。

     

     

     

    項目


    OT独自環境

    対応

     

    可視化と

    制御の確保

     

    標的型攻撃
    防止

    マルウェアと

    ランサムウェア
    防止

     

    監視と分析

     

    備考


    認証・認可

     

     

         

    ユーザーとデバイスを識別
    および認証し、リソースへの

    アクセス権を付与する役割。

    多要素認証

     

         

    本人偽装を防止。



    資産管理

     

     

     

         

    ネットワーク上の全ての

    デバイスを登録し、リモートアクセスに必要なIPアドレス、ポート、プロトコルを管理。

    これにより、ネットワークへの未承認の変更を防止。

    非標準
    OTプロトコル

           

    制御装置ベンダーごとの
    独自プロトコルへの対応。



    ネイティブ用

    アプリ

     


           

    HMI、PLC、SCADAシステムで
    作業する際に必要なツールや
    アプリケーションを利用

    できる、完全にカスタマイズ

    可能な仮想環境を準備し、

    ダイレクト接続を実現。

     

    ムービング
    ・ターゲット
    ディフェンス

       





     

    リモートアクセスで利用する
    仮想空間を、定期的に自動で
    切り替えることで、攻撃対象を
    特定させない、新しい手法。

     

     


    ネットワーク

    セグメンテーション

       



       

    セグメント化された

    ネットワークにより、重要な

    システムの露出が制限され、

    攻撃者による横方向の移動の

    リスクを軽減。

     

     

    エンドポイント
    分離

       





     

    一時的な仮想デスクトップを

    利用することにより、アクセスする側と、アクセスされる
    デバイスやシステムを分離し、

    保護する機能。

     

    ネットワーク

    トンネリング 

         



     

    産業制御システムとパブリック

    インターネットを介した

    通信を、不正な第三者による

    傍受から保護する手段。


    ログ証跡

           


    セッション記録やシスログを

    リアルタイムで表示し、異常や脅威検出の調査に利用。

     



    SIEM/UEBA連携

           

     

     

     

    ネットワークアクティビティを
    可視化し、異常や脅威を

    リアルタイムで検出するため、セッション記録、ネットワーク

    アクティビティログ、

    キーストロークログをSIEMや
    UEBAツールに連携し実現。


    SOC

           

     

    SOCチームによりセキュリティ
    インシデントの監視と対応を
    集中管理。

    ※Dispel社レポート参照 

     

     

    次世代ゼロトラスト防御機能 ~ムービングターゲットディフェンス~

    ランサムウェア攻撃の防御策として特に有効なのは、ムービングターゲットディフェンス機能です。
    NIST 800-160 v2にも採用された次世代ゼロトラスト防御機能で、パブリックインターネットに接続させる基盤の仮想インフラストラクチャ(IPアドレスも含む)を自動的に変更することで、攻撃対象を特定させない画期的な技術です。

     

    攻撃者が偵察先の情報を収集しても、設定した時間単位で無効化するため、脆弱性の悪用や攻撃ターゲット調査活動を強力に防御することができます。

    米軍ではその有用性が評価され、既に採用されている次世代ゼロトラスト技術です。

     

     

    #19-2
    #19-2

    【イメージ図】

     

     

    最後に・・・

    弊社は3年前からOTセキュリティについて取り組んで参りました。
    その中でお客様からリモートアクセスの課題についてご相談されることが多く、次世代ゼロトラスト防御機能ムービング・ターゲット・ディフェンスを実装したセキュア・リモートアクセス・プラットフォームの取り扱いを開始しました。

     

    もし本件にご興味がございましたら、是非担当営業へお声がけ下さい。

    皆様のお役に立てる情報提供になれば幸いでございます。

     

     

     

    執筆者

    萩川 義則

    営業技術本部 MP統括部 

    サイバースレッド&セキュリティオペレーション担当
    IIM入社後一貫してLANSCOPELogReviCylanceなどの「内部情報漏洩対策」および「サイバー攻撃対策」の提案に従事。EDRNDRSIEMSOCインシデントレスポンスサービスもラインナップに加えセキュリティオペレーションも担当。

    関連記事

    関連資料