重要インフラ企業の保護
ITサイバーセキュリティを活用して業務中断を防ぐ
現代社会の基盤を支えている重要インフラ事業者は、サイバーセキュリティ攻撃の格好の標的となっています。他の業界とは異なり、これらの企業を攻撃するサイバー犯罪者や国家の目的は、ほとんどの場合、データを盗むことではありません。数百万人に深刻な影響を与える業務を混乱させ、経済的損害をもたらすことです。
重要インフラ企業への攻撃が増加しています。2023年、��米国運輸保安局(TSA)のCIOは、米国のインフラに対するサイバー攻撃の増加と外国の敵対者のサイバー能力の向上を受け、サイバー戦争への突入を示唆しました。実際、米国の交通機関、水道事業者、エネルギー事業者への攻撃は、国家支援を受けているサイバー犯罪者と関連があります。
2024年、米国環境保護庁(EPA)はTSAの意見に賛同し、「最近注目を集めた水道システム事件は、サイバーセキュリティの弱点と物理的攻撃に対する脆弱性への対処の緊急性を反映しています。」と述べました。同年、非営利国際規制当局である北米電気信頼性協議会(NERC)は、攻撃に対する米国の電力網がますます脆弱になっていると警告し、電力ネットワークの脆弱なポイントが1日あたり約60増加していると指摘しました。
ここ数年の攻撃は、比較的小規模な初期侵害が、たとえ個別のITシステムであっても、運用に大きな影響を与える可能性があることを示しています。
Colonial Pipeline社:2021年のColonial Pipeline社への攻撃は比較的シンプルでした。攻撃者は、侵害されたVPN資格情報を使用してデータを盗み、請求および会計システムを含むITシステムにランサムウェアをデプロイしたのです。攻撃の拡大を防ぐため、または燃料分配の請求問題を回避するために、Colonial Pipeline社は事業を停止しました。そして、その見出しに驚いた人々がガスを買い求めて殺到したため、パニックが生じました。
フロリダ州オールズマー、水処理:同年初頭、何者かがフロリダ州オールズマーにある水処理施設の重要システムにリモートアクセスし、飲料水の苛性ソーダのレベルを一時的に変更しました。工場の作業員はすぐに変更を元に戻し、幸い誰も被害を受けませんでしたが、この事件はサイバーセキュリティ攻撃が地域社会の健康と福祉にどのように影響を与えるかを浮き彫りにしています。
この種の攻撃は、ITサイバーセキュリティチームによる業務サポート方法を変える必要があることを示唆しています。過去には、多くのITセキュリティチームと運用技術(OT)チームが別々に業務を遂行していました。ITセキュリティチームはサイバーセキュリティの脅威からの防御に集中し、OTチームはシステムの稼働維持に集中していたのです。
現代のサイバーセキュリティの脅威に対処するためには、ITセキュリティチームの役割を拡大する必要があります。壊滅的な混乱を防ぐには、OTに全てのサイバーセキュリティ機能を適用する必要があります。
なぜITセキュリティに運用技術を適用するのですか?
ITシステムとOTシステムの統合は10年以上前に始まりました。産業用IoTセンサー、リモート監視システム、クラウドベースの分析の実装により、ITとOTの環境がつながれたのです。
このつながりは運用効率を向上させますが、敵対者に新たな経路を提供することにもなります。Colonial Pipeline社への攻撃が示すように、攻撃者は産業用制御システムを侵害することなく、深刻な運用障害を引き起こすことができます。侵害されたノートパソコンが、その産業用制御システムへの経路を提供します。不適切に設定されたクラウドサービスは、監視制御およびデータ収集(SCADA)ネットワークを露出させる可能性があります。
ITセキュリティ機能をOTに適用することは、攻撃者の経路を遮断するために不可欠なのです。しかし、サイバーセキュリティ機能を活用してITとOTの両方を保護する統合アプローチを実施している重要インフラは、非常に少ないです。
数日間の混乱で何千万ドルを失う可能性があるため、この統一されたアプローチを直ちに導入することには強力な経済的根拠があります。計画外のダウンタイムを1日発生するだけのセキュリティプラットフォームでも、多くの場合、最初のインシデントでコストが無駄になります。
「重要インフラ事業者は、ITセキュリティを単なるデータ保護ではなく、運用上の保険として考えるべきです。」
運用技術にITセキュリティを適用するための三段階戦略
ほとんどの重要インフラ企業には、ITセキュリティで運用を保護のための3段階戦略が必要です。緊急のニーズから始め、ベストプラクティスとリスクベースのフレームワークを順次導入することで、現在および将来の脅威に対処することができます。
高優先度のリスクへの対応
フィッシング詐欺を阻止することは、最優先事項の1つであるべきです。重要インフラ企業に限らず、様々な企業に対する多くのサイバー攻撃は、フィッシングから始まります。攻撃者は、ユーザー�を騙して企業システムのログイン認証情報を提供させたり、企業ネットワークを通じてマルウェアをダウンロードして拡散させるリンクをクリックさせようとします。
フィッシング対策には、多くの場合、複数の統合ソリューションが必要です。たとえば、メールセキュリティソリューションを導入すれば、フィッシングメールがユーザーの受信トレイに届くのを阻止できます。セキュアWebゲートウェイ(SWG)ソリューションを導入すれば、万が一ユーザーがメールやメッセージ内の悪意のあるリンクをクリックしてしまっても、悪意のあるサイトへのアクセスを防ぐことができます。基本的なサイバーセキュリティのベストプラクティスを実施する
最も差し迫ったニーズに対応したら、次に、脆弱性の特定と軽減、システムとデータの保護、脅威の検出、攻撃への迅速な対応を可能にする、より包括的なアプローチを導入します。
特定:ITセキュリティチームは、攻撃者が業務を妨害する可能性のあるすべての脆弱性を発見し、対処する必要があります。
たとえば、エンジニアリングワークステーションは、企業アプリケーションと産業用制御ステーションの両方にアクセスするため、攻撃者の標的になることが多いです。このようなワーク�ステーションでは通常、より高い権限を与えることができる、セキュリティ制御が緩い、専門的なエンジニアリングソフトウェアを実行しています。マイクロセグメンテーションを使用してエンジニアリングワークステーションを保護するITセキュリティは、攻撃の連鎖を断ち切ることができます。ワークステーションをネットワーク間の信頼できるブリッジとして扱うというよりは、すべての接続を監視し、すべての通信を検証し、疑わしいアクティビティを即座に隔離できるセキュリティプラットフォームを使用する必要があります。
セキュリティチームは、攻撃の初期侵入口となることが多い公開アプリケーションの潜在的な脆弱性にも対処する必要があります。Webアプリケーションファイアウォール(WAF)を導入すれば、運用の継続性を維持しながら、脅威をリアルタイムで遮断することができます。
保護:アクセス制御の強化とデータ保護の改善は、運用の深刻な混乱を回避するために不可欠です。
ゼロトラストセキュリティモデルへ移行すれば、運用の中断につながる可能性のあるITシステムへの不正アクセスを防ぐことができます。ゼロトラストネットワークアクセスソリューションを使用することにより、適切な権限を持つ正しいユーザーのみが特定のアプリケーションにアクセスで��きるようになります。これにより、攻撃者がラテラルムーブメントを実行し、社内環境でネットワークをスキャンすることを防ぐことができます。
検出:ITセキュリティチームは、適切な予防措置を講じるために、新たな脅威を予測する必要があります。
高度サイバーセキュリティプラットフォームを導入することで、グローバルネットワーク全体の攻撃パターンを分析し、特定の産業部門や制御システムベンダーを標的としたキャンペーンを発見することができます。この脅威インテリジェンスにより、セキュリティチームは、実際の攻撃の数時間または数日前に情報を把握することができます。その結果、ITセキュリティプラットフォームは攻撃インフラを事前にブロックし、脆弱なシステムにパッチを適用したり、代替制御を実装したりすることができます。これらはすべて、運用システムが危険にさらされる前に行われるのです。
このアプローチは、事後対応型セキュリティから予測的運用保護への根本的な転換と言えるでしょう。ITセキュリティは、運用の信頼性に関する脅威の早期警告システムになります。
対応:脅威にリアルタイムで対応するには、自動化が必要です。
機械学習を利用するWAFサービスは、脅威をリアルタイムで識別し、自律的にブロックできます。一部の重要インフラ企業にとって、セキュリティオペレーションセンター(SOC)アズ・ア・サービスソリューションを採用することは、WAF、DDoS、その他のセキュリティソリューションの重要な補完となるでしょう。SOCサービスは、攻撃に迅速に対応すると同時に、根本原因の分析を行い、詳細なインシデントレポートを提供し、今後の対策を計画するのに役立ちます。リスクに基づくフレームワークを採用する
多くの重要インフラ企業は、サイバーリスクを管理するために、米国国立標準技術研究所(NIST)サイバーセキュリティフレームワーク(CSF)に従うことで恩恵を受けています。CSFは、あらゆる規模の組織がサイバーセキュリティのリスクをよりよく理解し、評価し、優先順位を付け、議論するのに役立つよう設計されています。ITとOTの統合環境を含む、複雑な環境の管理に特に有用です。
このフレームワークは特定のソリューションを推奨するものではありませんが、必要なセキュリティ機能やプロセスの改善点を特定するのに役立ちます。このフレームワークを使用して、ITセキュリティを利用し、業務を中断なく維持するための効率的な戦略を策定できます。
ITとOTの統合を可能にする
実際のところ、問�題はITセキュリティがOTシステムを保護すべきかどうかではありません。現在のセキュリティアーキテクチャがその拡大された役割に対応できるかどうかなのです。
Cloudflareは、重要インフラ運用者の運用に支障をきたす可能性のある主要な脅威に対処するため、クラウドネイティブの包括的なサイバーセキュリティ機能を提供しています。Cloudflareサービスを利用することで、企業は実用的な脅威インテリジェンスを得ることができ、自動的に脅威をブロックし、フィッシングスキームを阻止し、不正なネットワークアクセスを防止するためにゼロトラストモデルを確立することができます。サービスとしてのSOC提供により、企業は監視、脅威検出、インシデント対応の作業を専門家チームに委託することができます。
このようなサービスは、NIST CSFで推奨されるサイバー保護対策を満たし、それを超えるのに役立ちます。Cloudflareを利用すれば、ITセキュリティを効率的かつ効果的に使用して、業務の中断につながるリスクに対処できます。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
このトピックを深く掘りさげてみましょう。
セキュリティ強化と運用混乱の防止に役立つITモダナイゼーションプロジェクトのベストプラクティスについての詳細は、電子書籍『連邦政府機関のITを簡単に効率化する方法』をご覧ください。
著者
Dan Kent — @danielkent1
Cloudflare公共部門担当フィールドCTO
記事の要点
この記事では、以下のことがわかるようになります。
重要インフラにおける運用障害の影響
運用技術にITセキュリティを適用するための3ステップ戦略
運用技術を保護するための主要なセキュリティ機能