運用技術(OT)がITと融合するにつれ、運用技術システムの脆弱性が新たな脅威となっています。特に、これらのネットワークは産業システム、建物、主要インフラの制御フレームワークに関係しているためです。OTの制御に使用されるWindowsシステムの重大なセキュリティ脆弱性を悪用した過去の攻撃を考えると、この問題は単なる理論上のものではありません。
資産可視化・セキュリティ企業Armisの最新データは、問題の深刻さを浮き彫りにしています。Armisによると、30億以上の資産を追跡している同社の資産インテリジェンス・セキュリティ・プラットフォームは、エンジニアリングワークステーション、監視制御・データ収集(SCADA)サーバー、オートメーションサーバー、制御システムヒストリアン、プログラマブルロジックコントローラーに重大な脆弱性を発見しました。これらは、OT(運用・制御システム)および産業用制御システムの中でも最も脆弱なシステムです。
参照: あまりにも多くの組織が「シャドー」IT を保有している (TechRepublic)
Armisは、Armis Asset Intelligence and Security Platform上のすべてのデバイスを調査し、どのタイプが最も深刻なリスク要因や共通脆弱性識別子(CVE)を持つかを特定しました。さらに、ビジネスインパクトレベルとエンドポイント保護も重み付けされた影響を与えました。
ジャンプ先:
- エンジニアリングワークステーションが脆弱性リストのトップに
- ファイル共有プロトコルのリスク
- OTとITのシステムとチーム間の連携の必要性
エンジニアリングワークステーションがセキュリティ脆弱性リストのトップに
Armis の調査によると、過去 2 か月間に業界で最も多くの攻撃を受けた OT デバイスはエンジニアリング ワークステーションであり、次いで SCADA サーバーでした。
エンジニアリングワークステーション
調査では、エンジニアリング ワークステーションの 56% に少なくとも 1 つのパッチが適用されていない重大な CVE があり、16% が 18 か月以上前に公開された少なくとも 1 つの兵器化された CVE の影響を受ける可能性があることも判明しました。
無停電電源装置
最も攻撃を受けているOTのリストで3番目は無停電電源装置です。同社によると、無停電電源装置の60%に、パッチが適用されていない深刻な脆弱性(CVE)が少なくとも1つ存在しており、TLStormで明らかになったように、犯罪者によって装置自体やそれに接続された他の資産に物理的な損害がもたらされる可能性があります。
「制御システムにはある程度の冗長性が必要なため、UPSは広く利用されています」と、Armisの制御システムエンジニア兼主席ソリューションアーキテクトであるカルロス・ブエナーノ氏は述べています。「UPSは2つの機能を提供します。1つは電力をフィルタリングし(電源の変動からデバイスを保護する)、もう1つはすべてのシステムへの電力供給を確保することです。その目的は、すべてのデバイスに安定した電力を供給し、一定時間にわたる電源のダウンタイムを補うことです。」
同氏によると、UPS システムは、いかなるネットワークとも相互作用しないように設計されており、ISA/IEC が策定したセキュリティ標準など、制御システムのほとんどのデバイスがセキュリティに関して一定の要件を満たしている特定のセキュリティ標準に従っていないため、セキュリティ上の脆弱性が生じやすいという。
「UPSシステムは常に独立したシステムとして認識されてきましたが、ISAはUPSやその他のデバイスがネットワークに接続されていることを認識し、その認識は変わりつつあります。その理由は、すべてのプランにおいて、電力を維持するためにすべてのスイッチにUPSが接続されている必要があるからです。そして、それらはすべて、ビル管理システムなどの統合システム内で監視される必要があります」とブエナノ氏は述べています。
プログラマブルロジックコントローラ
Armisの調査によると、PLCの41%に少なくとも1つの未パッチの重大なCVE(脆弱性)が存在していました。同社は、PLCはエレベーターからブレーキシステムまであらゆるものに使用されているレガシーデバイスであるため、侵害されたPLCは中央業務に支障をきたす可能性があると述べています。調査の結果、これらのシステムは、サポート終了したハードウェアやファームウェアといった高リスク要因の影響を受けやすいことが明らかになりました。
同社は、2022年1月までに少なくとも1つの兵器化されたCVEが公開されているため、別の一連のデバイスが製造、輸送、公共事業の環境にとってリスクとなると述べた。これには以下のものが含まれる。
- バーコード リーダー: 85% には、2022 年 1 月までに少なくとも 1 つの CVE が公開されています。
- 産業用マネージドスイッチ: 32%。
- IP カメラ: 28%。
- プリンター: 10%。
ファイル共有プロトコルのリスク
Armisはデバイスの種類を調査した結果、多くのデバイスがWindows用のレガシーファイル共有プロトコルSMBv.1を使用しているため、悪意のある活動にさらされやすくなっていることを発見しました。このプロトコルは、2017年にWannacryやExPetr(NotPetya)ワームによって悪用され、後者は100億ドルという史上最高額のサイバー攻撃となりました。また、古いOSと多くのオープンポートを使用していることも原因です。Armisによると、最もリスクの高いデバイス5台のうち4台はWindows OSを搭載しています。
OTとITのシステムとチーム間の連携の必要性
同社は、OT業界は管理対象デバイスと管理対象外デバイスの両方から構成され、配置や流通の複雑さも複雑であり、ITとの融合が未だに実現されていないと指摘した。OTチームは産業用制御システムの保守、OTへのリスク軽減、運用環境全体の整合性確保に注力しているため、よりITに重点を置いた業務は後回しにされている。
ブエナノ氏は、IT と OT の融合における課題は、両者がいくつかの点で機能的に相反しており、非常に異なるネットワーク上で動作することにあると述べました。
「ITは、より多くのアプリケーションを提供し、より多くの用途を可能にするように設計されています。OTネットワークの役割は一つ、デバイス間の通信を行い、そのタスクを達成するための接続を確立することです」と彼は述べた。「ITはより多くの製品を提供することに重点を置いているのに対し、OTはネットワークの信頼性を確保し、アプリケーションが利用できる帯域幅を確保することを目的としているため、両者は衝突する傾向があります。」
参照: IT 管理者はコミュニケーションとコラボレーションのための統合プラットフォームに投資しています (TechRepublic)
とはいえ、ITとOTの融合は不可欠だと彼は説明した。OTは従来、他のネットワークから分離されており、システムアップデートの面で遅れをとってきたからだ。「そのため、OTは脅威アクターにとってのパイプ役となっている。OTネットワークは長期運用を想定して設計されており、運用寿命は10年だが、実際には30年を想定して設計された技術を使用している」と彼は述べた。「また、OTのベンダーと顧客は作業ペースが遅いことで知られているため、技術革新は非常に遅れているのだ。」
同氏は、IT/OT の融合とは、セキュリティと効率性の観点から知識を提供し、それを OT 環境に統合することであり、IT と OT の融合の利点は、資産を重複させる必要がないためコスト効率が向上することだと述べました。
