「ストレンジャー・シングス」の最終シーズンが近づき、1980年代のノスタルジアが最高潮に達しています。ホーキンス研究所のごつごつした制御パネルは、番組の舞台設定に一役買っています。残念な現実として、同様のレガシーシステムが今日の運用技術(OT)環境にも依然として存在しています。ホーキンス研究所が「裏側の世界」から怪物のような存在を生み出したように、脆弱なデバイスからはさまざまな脅威が噴出しています。
Volt Typhoonのような国家主導の脅威は、通信事業者を含む重要インフラ全体に持続的なアクセスを確立しています。これらの脅威の多くは、ネットワーク機器の一般的な脆弱性と露出(CVE)を悪用しており、ゼロデイ攻撃は必要ありません。
「古き良き時代」へのノスタルジアは、それ以降どれほど進歩があったかを見落としがちです。1990年代のパデュー企業リファレンスアーキテクチャ(PERA)モデルから、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)によるよりタイムリーなガイダンスまで、組織は重要インフラを保護するための手順を持っています。願わくば、この物語がハッピーエンドになりますように。
たった一つのオープンポートがすべてを変える
国防総省(DoD)は、OTセキュリティをITセキュリティと同等に引き上げることにますます注力しており、レガシーシステムが脆弱性、データ統合、標準化において生じる課題を指摘しています。
重要インフラのセキュリティ確保の課題は多面的です。重要インフラ環境は複雑かつ分散しており、複数の物理拠点にわたるITおよびOTネットワークを含みます。産業用IoTやクラウドコンピューティングといったデジタルトランスフォーメーションの取り組みは、もともとインターネット接続や現代のサイバーセキュリティ制御を想定していなかったレガシーシステムとしばしば対立します。
組織がレガシーシステムのサイバーセキュリティに苦戦する最大の理由の一つは、OT環境が生産性を優先する傾向があるためです。産業システム向けのパッチが利用可能であっても、パッチ管理プロセスは生産の中断を防ぐために慎重かつ綿密に行われます。
しかし、多くの産業用制御システム(ICS)、SCADAシステム、プログラマブルロジックコントローラー(PLC)は何十年も前から存在しています。これらは高額な投資であり、簡単には交換できません。多くのシステムにはもはやパッチが提供されていません。たとえば、IT環境が現在Windows 10への移行に注力している一方で、OT環境では10年以上パッチが提供されていないWindows XPがいまだに稼働している例もあります。
多くのレガシーシステムは、もともとインターネット接続を想定していませんでした。しかし、デジタルトランスフォーメーションやIT/OTの融合により、これらのデバイスにも接続が強いられ、攻撃にさらされています。その結果、暗号化や認証を欠くModbusやDNP3のようなレガシープロトコルが、ラテラルムーブメント(横移動)のための開かれた経路となっています。
帝国の逆襲
APT(高度持続的脅威)は、ハリウッドの大作映画の続編よりも多く存在します。そして多くの続編と同じように、これらの脅威も前作よりさらに大きく、手ごわくなって戻ってきます。たとえば、過去数年で最も悪名高いAPTの2つがVolt TyphoonとSalt Typhoonです。
Volt TyphoonとSalt Typhoonはいずれも、ネットワーク機器のCVEを悪用して初期アクセスを獲得します。これらの脅威が初期アクセスを確立すると、RDPやVPNアクセスの利用など「Living off the Land(LOTL)」技術を駆使して検知を回避し、アクセス制御リストを変更して永続化を図ります。
Volt Typhoonの場合、CISAは脅威グループによって悪用されていることが知られている重大な脆弱性のパッチ適用を優先し、「エンド・オブ・ライフ」技術(レガシーシステムの典型)への対応を計画するよう組織に助言しています。Salt Typhoonの場合、CISAは設定の不審な変更など、侵害の兆候(IOC)を継続的に監視するよう組織に助言しています。
これらの脅威は、デバイスの脆弱性などの状態だけでなく、ネットワークトラフィックの挙動異常などへの可視性の重要性を浮き彫りにしています。さらに、組織はIOCだけでなく、攻撃の兆候(IOA)といった早期警告サインも監視すべきです。
バック・トゥ・ザ・フューチャー
タイムトラベルに関するポップカルチャーの言及はパラドックスを生みがちですが、組織は過去と現在のモデルやフレームワークを見直すことで、OT環境におけるレガシー技術のセキュリティ確保方法をよりよく理解できます。
1990年代には、PERA、または「パデュー・モデル」が、産業システム全体のデータフローを説明するために開発されました。脅威が進化するのと同様に、これらのモデルも進化しています。IEC 62443は、パデュー・モデルを基盤とし、重要インフラ環境におけるITおよびOTネットワーク保護のためのさまざまなベストプラクティスを提供する共通セキュリティフレームワーク(CSF)です。
パデュー・モデルとIEC 62443から得られる最大の教訓の2つは、重要システムへのアップデートの信頼性を検証する綿密なパッチ管理プロセスと、パッチ適用や保護が困難な重要システムに対するネットワーク分離・セグメンテーションの重要性です。
より最近では、2025年にCISAが「OTサイバーセキュリティの基礎:資産インベントリガイダンス(所有者・運用者向け)」を発表しました。CISAによると、脅威アクターは脆弱性、誤設定されたプロトコル、安全でないリモートアクセス、弱い認証機構、不十分なネットワーク分離を悪用して重要インフラを侵害しています。
CISAは、組織に対して資産インベントリと分類のためのタクソノミーの策定を推奨しています。言い換えれば、これらのデバイスの状態に対する可視性と文脈の把握が重要です。
後知恵は完璧
バラ色のメガネをかけていると、赤信号に気づきません。組織は過去へのノスタルジアによって、現実から目を背けてはいけません。
組織が業務の中核となっている巨大なレガシーシステムをすべて置き換えるのは現実的ではありませんが、それらを理解する必要があります。
翻訳元: https://cyberscoop.com/stranger-things-legacy-ot-security-op-ed/
