オペレーショナルテクノロジー(OT)は、エネルギープラントから製造施設に至るまで、重要な現実世界のインフラと連携しています。このような環境は、明らかなサイバー攻撃の標的となりますが、OTセキュリティはしばしば十分とは言えません。
OTはITよりも広い概念であり、産業環境を支えるソフトウェアおよびハードウェアの両方のシステムを指します。つまりOTは、監視制御およびデータ収集(SCADA)システムや産業用制御システム(ICS)といった、物理世界と直接やり取りするものを意味します。
ITと大きく重なる部分もありますが、優先事項は大きく異なります。英国の国家サイバーセキュリティセンター(NCSC)は次のように述べています。
「ITのサイバーセキュリティは伝統的に、情報の機密性、完全性、可用性に重点を置いてきましたが、OTの優先事項は多くの場合、安全性、信頼性、可用性です。OTの障害や誤動作には、明らかに物理的な危険が伴うためです。」
OTセキュリティにおけるパスワードの主な課題
OT環境は、犯罪者にとって魅力的な標的であるだけでなく、特有の脆弱性も抱えています。例えば、これらの環境で使われるハードウェアやソフトウェアは、しばしば古く、リソースにも制約があると世界経済フォーラムは指摘しています。
さらに状況は複雑化しています。ITとOTはますます混在するようになり、犯罪者がユーザー認証情報や使い回されたパスワードを悪用して攻撃を拡大する可能性が高まっています。モノのインターネット(IoT)は、新たな接続システムのレイヤーを追加し、自然と攻撃対象領域を広げてしまいます。
パスワードに関しても、特有の課題があります。IT分野と同様に、ユーザーが多要素認証(MFA)やその他の補完的な手法を導入している場合でも、パスワードは依然としてセキュリティの中核的な役割を担っています。しかし、OT分野はITと比べてリスクが増幅されており、さらには特有の危険も存在します。
自社ユーザーのうち、どれだけの人が弱いパスワードや漏えいしたパスワードを使っているか知りたいですか?無料ツールのSpecops Password Auditorを使って、Active Directoryを読み取り専用でスキャンしてみてください。
共有アカウントと共有ワークステーション
場合によっては、認証情報の共有によって、悪意ある攻撃者が脅威の範囲を広げ、ITシステムからOTや物理インフラへと侵入を拡大できてしまうことがあります。同様に、遠隔インフラでの作業などOT業務の性質上、人々がワークステーションを共有するケースもあり、全体としての脆弱性を高めてしまいます。
リモートアクセスに伴うリスク
ベンダーやその他の第三者が、OT環境へリモートアクセスする必要が生じることはよくあります。例えば、サポートや保守契約に基づいて作業する専門家が該当します。このようなリモートアクセス経路は、新たな脆弱性を持ち込む可能性があり、保護が必要です。
旧式のOTシステム
エネルギーや製造といった分野における大規模インフラ投資は、多くの場合、サイバーセキュリティの要件ではなく、長期運用を念頭に置いて行われます。実際、OT環境で使用されているシステムの中には、何年も、あるいは何十年も前に導入されたものもあります。これにより、高度で現代的なサイバー犯罪者にとっての好機が生まれてしまう可能性があります。
OTにおけるパスワードセキュリティの強化
では、OT環境の運用者はどのようにリスクを軽減できるのでしょうか。重要なのは、パスワードポリシーのベストプラクティスを採用し、堅牢な基盤を構築することです。
パスワードセキュリティは、OT環境においてもITと同様に重要であり、場合によっては、停止や障害から生命に関わる結果が生じうることを考えると、さらに重要になることもあります。
OTにおけるパスワードの基本的なベストプラクティス
押さえておくべき基本的かつ重要な優先事項がいくつかあります。
- パスワードの長さ:これはパスワードセキュリティにおける最も重要な要素です。特に、犯罪者が一般的な単語や繰り返し文字など推測しやすいパスワードを破るために総当たり攻撃を仕掛ける場合に重要です。例えば、強力なコンピュータであれば、8文字のパスワードは1分で推測できるかもしれませんが、同じくすべて小文字であっても、16文字のパスワードを推測するには2,080億分以上かかる可能性があります。
- ローテーション:パスワードを長期間変更せずに放置すると、犯罪者にそれを破るための時間的猶予を与えてしまうことになります。パスワードローテーションポリシーは、この問題に対処する1つの方法ですが、具体的な期間は組織ごとに異なります。また、古いパスワードを再利用しないといったパスワード衛生を徹底することも重要です。
- パスワードボルト:これは情報を暗号化された形式で保存し、複数ユーザーで利用するアカウントを保護するためによく使われます。通常、ハードウェアトークンなどのコントロールによって保護されています。
レジリエントなOTセキュリティアーキテクチャの構築
パスワードは依然としてサイバーセキュリティの要ですが、真に堅牢なOT環境を構築するには、他のセキュリティ手法と組み合わせて使用する必要があります。
例えば、MFAはしばしばセキュリティのゴールドスタンダードと見なされています。これは、パスワードに加えて複数の追加セキュリティレイヤーを重ねることで、OT環境のセキュリティを強化します。これには、メッセージベースの手法、チャレンジ方式の認証アプリ、FIDO2認証などが含まれます。
一部のOT環境では、特権アクセスワークステーション(PAW)も利用される場合があります。これは本質的に、高リスクなアクティビティに使用されるインフラを、Webブラウジングやメールアクセスといった潜在的に危険な機能から切り離すものです。ただし、セキュリティと利便性のバランスを取ることが重要です。
同様に、セグメンテーションやネットワークアクセス制御も重要です。これにより、指定された領域にアクセスできるデバイス(および人)を適切に制限し、最悪の事態が発生した場合でも被害を限定できます。
OTにおける継続的なパスワード保護
このようなセキュリティ手法には明確な利点がありますが、1つはっきりしているのは、パスワードセキュリティが不十分であれば、サイバー攻撃に対する脆弱性が大幅に高まり、深刻な結果を招きうるということです。
つまり、OT環境全体におけるパスワードセキュリティの状況を明確に把握することが不可欠です。Specops Password Policyは、この能力を提供します。この使いやすいツールは、Active Directory内の45億件以上の漏えいパスワードを継続的にスキャンし、ユーザーがそもそも弱いパスワードを作成することをブロックします。今すぐ無料トライアルを予約してください。
OTシステムは、産業や社会における最も重要なインフラの一部と連携しており、問題が発生した場合には深刻な結果を招きかねません。堅牢なパスワードセキュリティは、レジリエントなOT環境の礎であり、人と資産を長期的に保護します。
