サイバー攻撃による被害を最小限に抑えるためにシステムを分離するセグメンテーションは、今もなど産業技術を守る有力な手段とされています。しかし、その実現は依然として容易ではありません。セグメンテーションがOT(運用技術)環境の保護に機能するのは、運用担当者がどのような脅威やリスクに注意すべきかを正確に把握している場合に限られます。実態として、重要な懸念事項が見過ごされているケースがほとんどです。
OTは重要インフラを支えるだけでなく、IT環境との統合が急速に進んでいます。しかし、各産業における重要な役割にもかかわらず、セキュリティ対策は依然として遅れを取っています。
被害範囲を限定するためにシステムを隔離するネットワークセグメンテーションは、継続的に推奨されている対策です。しかし、その効果を高めるには、組織がプロセスを適切に調整する必要があります。過大な約束をするベンダー、利便性を優先するユーザー、そしてセグメント化されたシステムの運用コストが、理想的な実施の妨げとなっています。
runZeroの創業者兼CEOであるHD Moore氏によると、セキュリティ意識と可視性の問題から、セキュリティ上の欠陥が横行しているといいます。ネットワークに接続するあらゆるデバイスが複数の所有者に管理されている可能性があり、独自のインターネット接続を持っているかもしれないという点を、担当者が軽視しているとMoore氏は説明します。その一例として、OTの現場機器を挙げており、そうした機器には携帯電話回線を通じたリモートアクセス機能を持つデバイスが含まれることが多いと指摘します。
インターネット接続されたデバイスに脆弱性が存在する場合、脅威アクターはそうした攻撃経路を積極的に悪用します。Moore氏によると、攻撃はますます「巧妙化」しており、脅威の検出と対応がより難しくなっているといいます。
「完全にセグメント化されているように見えても、実際には完全にオープンでインターネットに接続されていることがあります。積極的に調べなければ、そうした状況を発見するのは非常に困難です」とMoore氏はDark Readingに語っています。
マイクロセグメンテーションが失敗する理由
セグメンテーションは「従来型」と「マイクロ」の2種類に大別されます。どちらもOTセキュリティの観点から課題を抱えています。
従来型セグメンテーションでは、物理デバイスをファイアウォールの背後に配置します。一方、マイクロセグメンテーションモデルを実装するには、各マシンにエージェントをインストールし、ユーザーが許可したシステム・アプリケーション・デバイスとのみ通信できる小型ファイアウォールをそれぞれのマシンに設けます。
従来型セグメンテーションは、ファイアウォールの内側にセキュリティ境界の外部と通信できるデバイスが存在する場合に機能しなくなります、とMoore氏は警告します。例えば、技術者がWi-Fi対応ノートパソコンを工場フロアに持ち込み、ネットワークに直接接続するケースがそれにあたります。
従来型セグメンテーションは「あまりにも頻繁に破られており、ほぼ確実にファイアウォールを回避する手段が存在すると断言できます」とMoore氏は言います。管理されていないノートパソコンは、マルウェアやその他の深刻な脅威を環境内に持ち込む可能性があります。
マイクロセグメンテーションはさらに深刻な問題をはらんでいます。このモデルでは、重要なパッチなど、保護のためのエージェントをインストールできないデバイスには対応できないからです。ダウンタイムが発生するリスクを冒すことができないため、対応自体が不可能なのです。
「工場のマシンやOT機器は、実質的にマイクロセグメンテーションを適用できません。結局、誰かが回避しないことを祈りながら、大きなファイアウォールで分離する従来の方法に戻ることになります」とMoore氏は述べています。
‘利便性がセグメンテーションを破壊している’
どのセグメンテーションモデルを採用しても、担当者は利便性を求めます。これが攻撃経路を生む原因となります。利便性のための回避策が最終的にセグメンテーションを無効化してしまう、とMoore氏は警告します。
これはベンダーとユーザー双方の課題です。
ファイアウォールベンダーは約束します。自社製品を導入すれば組織を守れると。しかし、ユーザーはファイアウォールの制限を煩わしく感じ、「抜け道」を考え出してその機能を回避してしまいます。
「彼らは『ファイアウォールはあるから大丈夫』と考えています。しかし、ファイアウォールを迂回している時点で、それが意味をなさないことに気づいていないのです」と同氏は言います。
そもそもファイアウォール自体が不十分な場合もあります。ファイアウォールベンダーは「最近かなり深刻な失敗」を繰り返しており、Moore氏はその点を強く警告しています。
「セグメンテーションに最もよく使われているファイアウォールは、ここ3年間で最も頻繁に悪用されているものでもあります。Palo AltoやFortinetなどは繰り返しニュースに登場しています。ファイアウォールは組織への最初の侵入口であり、それが機能しないのは大きな問題です」と同氏は述べています。
一度限りのプロジェクトでは不十分
セグメンテーションには課題があるものの、適切に実装・監視・管理すれば依然として有効です。ElisityのCEOであるJames Winebrenner氏によれば、OTの分野において実証された数少ない手段の一つだといいます。
「一度きりのプロジェクトとしてのセグメンテーション——2年前のワークショップで描いてファイルに保存した図——こそが今日のギャップを生んでいる原因です。その図が描いたネットワークは、保存した翌週には実態と乖離し始めているからです。セグメンテーション図はある瞬間のスナップショットに過ぎません。攻撃者はスナップショットを相手にするのではなく、今現在存在するネットワークに対して攻撃を仕掛けてきます」とWinebrenner氏はDark Readingに語っています。
4月、米サイバーセキュリティ・インフラセキュリティ庁(CISA)は共同勧告「ゼロトラスト原則の運用技術への適応」を発表し、ネットワークセグメンテーションが「OT環境における最も基本的かつ効果的なセキュリティ制御の一つ」であり、ゼロトラスト原則と密接に関連することを強調しました。一方でCISAは、レガシー機器を抱え、ダウンタイムを許容できず、ソフトウェア制約のあるOT環境に、ITのゼロトラストをそのまま転用することはできないとも警告しています。
Winebrenner氏もこの勧告の内容に賛同しており、「セグメンテーション単独では万全ではない」という点を特に強調します。その上で、セグメンテーションは「インストールするもの」ではなく「運用するもの」として組織が扱うべきだと訴えます。工場フロアで機能するセキュリティとは、ポリシーを継続的に再確認するものです。同氏はCISAのガイドを引用し、「一度限りのアーキテクチャ上の決定」ではなく「実行可能なポリシー」の重要性を説いています。
セグメンテーションの過信という問題
問題の一端は経済的な側面にあります。工場の機器や換気システムのそれぞれに専用のネットワークスイッチボードを用意する費用は、組織にとって現実的ではありません。費用の問題に加え、多くのデバイスは相互に通信する必要があるとMoore氏は説明します。
工場や発電所には、パッチやベンダーアップデートを受け付けられないレガシー機器が多数稼働しているため、何をフィルタリング・セグメント化できるのかも不明確なままです。
「多くの担当者が『まとめて一つにして、後は大丈夫なことを願う』という対応をとっています」と同氏は言います。
OTにおいて最も重要な点の一つは、これらの接続が一方向ではないということです、とMoore氏は警告します。例えば、組織と同じVPNを使用している顧客が侵害された場合、セグメンテーションは保護を提供できません。同氏は、エンドポイントの検出・応答ログをスキャンし、認識できないIPアドレスを持つポイントを特定して、なぜ接続されているのかを確認することを推奨しています。
「セグメンテーションの難しいところは、皆が過度に頼りすぎることです。攻撃者に狙われたくない機器をまとめてセグメント化されたネットワークに入れますが、すべてを同じセグメント化されたネットワークに入れてしまいます。そうなると、そのうちの一つのシステムが侵害されるだけで済んでしまうのです」と同氏は述べています。
