Nozomi Networksは3月30日、制御機器(OT)やインターネット接続機器(IoT)に関するセキュリティ動向レポートを発表した。
同社でアジア太平洋地域(APAC)担当のテクニカルセールスエンジニアを務める村田眞人氏は、同日開催の報道関係者向け説明会で、「(Nozomi Networksは)2013年10月に創業して2022年で9年目になる、OT/IoTのセキュリティ/可視化ソリューションを提供するリーダー企業」だと紹介。重要インフラ、エネルギー系(電気、オイル&ガス、水道)、製造、鉱業(マイニング)、輸送、ビルディングオートメーションといった業界が主要な顧客という。
同社の「OT/IoTセキュリティ動向レポート」は半年ごとに発行され、今回の2021年7~12月版で3回目になる。セキュリティベンダーや調査機関も多くのセキュリティ動向レポートを発表しているが、OT/IoTに特化したレポートを公表するのは同社が初だとしている。
OT/IoTセキュリティ動向レポートの主な内容
レポートは、大きく「脅威の状況」「脆弱性に関する調査」「改善策」の3項目が含まれる。まず脅威の状況に関して、2021年下半期はOT/IoTの分野でもランサムウェア/Ransomware as a Service(RaaS)が目立ったという。同期間に攻撃の対象となった重要インフラ産業として、「運輸」「医療」「食品」の3分野が挙げられた。
その理由について、村田氏は「運輸(交通機関)はサービス停止によって社会的混乱が引き起こされるし、医療ではシステム停止が人命に直結する。また食品では、特に生鮮品などはシステムが1日停止するだけでも大量の廃棄が発生しかねないという事情がある。ランサムウェア攻撃によるシステム停止に対して弱みがあり、身代金支払いに応じやすいと考えられた産業が標的とされた」と指摘する。
脆弱性に関する調査では、OT/IoT分野がIT分野と比べてデバイスの種類が多く、あまり目立たないところで使われている機器もあるなどの状況から、あまり調査が行き届いていない面があるという。今回のレポートの対象期間である2021年下半期に報告された脆弱性は651件以上で、IT分野と比べると数字としては小さいものの、上半期との比較では21%増となっており、着実に発見が続いていることが分かる。
なお、「公開された脆弱性の影響を受けるベンダー数」「公開された脆弱性の影響を受ける製品数」はともに13%減少となっている。その理由については特に分析していないとのことだが、限られたベンダーの限られた製品に脆弱性の発見が集中した結果ではないかと考えられる。
OT/IoTのセキュリティに対する推奨される改善策として、村田氏は「ファームウェアのアクセシビリティーとデバイスのイントロスペクション(内観)」「ネットワーク監視」「ネットワークセグメンテーション」「アタックサーフェス(攻撃面)の削減」の4点を挙げた。
イントロスペクション(introspection)には、「反省」や「自分自身を見つめ直す」といった意味があるが、ここではファームウェアやデバイスにどのようなコードが含まれているかなどの詳細を精査してリスクを把握しておくことを意味する。2021年末に公表されて広範囲に影響を及ぼした「Apache Log4j」の問題などにも見られる通り、オープンソースとして公開されているライブラリーのコードなどに脆弱性が発見された場合にはその影響が思いがけない箇所にまで及ぶ可能性があることから、そうしたリスクを把握しておく必要があるということだ。
また同氏は、ファームウェアなどの内容にユーザーがアクセスできずブラックボックスとして扱わざるを得ない場合も珍しくないことを指摘し、「ブラックボックスとなるデバイスが存在していることを把握しておく」のが最低限必要だとした。
ネットワーク監視は、IT分野でエンドポイント検知&対応(EDR)などの対策が重視されるようになってきているのと同じ文脈で、攻撃者がシステムに侵入した後、具体的な攻撃行動を成功させるまでにネットワーク内部でさまざまな活動を行うことから、こうした兆候を早い段階で察知できれば被害を未然に防ぐことも可能になる。
ネットワークセグメンテーションは、ネットワークを論理的/物理的に分割しておくことでサイバー攻撃の被害を局所化するという考え方だ。従来、OT/IoT分野ではIT/インターネット系のシステムと接続されていないことが多かったため、自然にネットワークを分割できていたが、現在ではIT/OT間の接続が進んでいるため、改めて意識的にネットワーク分割を採り入れる必要が出てきた。現在主流となりつつあるセキュリティアーキテクチャー「ゼロトラスト」の考え方にも通じるものがある。アタックサーフェスの削減も同様の考え方で、攻撃される可能性のある箇所を可能な限り減らしていく取り組みが必要となる。
製造業が日本経済の中でもいまだに重要な位置を占めることから、OT/IoT分野のセキュリティは今後ますます重要となってくるのは間違いない。既にグローバルで事業を展開する製造業各社がサイバー攻撃の標的となり、大きな被害を生じていることが報道されている状況であり、この分野の対策強化は緊急課題だと言えるだろう。