Brain light via Alamy Stock Photo
人工知能(AI)の統合は、セキュリティ、ガバナンス、データプライバシーのリスクをもたらす — こうした課題は、運用技術(OT)環境ではさらに増大することになる。新たな政府勧告は指針の提供を目指しているが、いくつかの重要な点が抜け落ちている。
サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)、国家安全保障局(NSA)、およびオーストラリア信号局のオーストラリア・サイバーセキュリティセンターは、重要インフラのOT所有者および運用者を支援するための4つの主要原則を詳述した共同政府勧告を公表した。その4原則とは、AIを理解すること、OTにおけるAI利用を評価すること、AIガバナンスを確立すること、安全性とセキュリティを組み込むことである。
このガイダンスの必要性は、OT環境でAIを安全かつ効果的に利用することが、現在そして今後いかに困難であるかを浮き彫りにしている。そのため、CISAの第1原則である「AIを理解すること」が非常に重要だと、NCC Groupのリードプロダクトマネージャーであるフロリス・ダンカールト氏は述べる。OT環境におけるベストプラクティスは、「どのタイプのAIか、そしてAIとは何を意味するのかに大きく依存する」と同氏は言う。
「多くのLLM(大規模言語モデル)やAIエージェントは非決定論的であり、毎回新しいシードを用いることで異なる応答を生成します」とダンカールト氏はDark Readingに語る。「これは、安定性と予測可能性を重視して構築されているOTシステムとは鋭く対照的です。」
工場フロアにおける信頼の問題
このミスマッチは、モデルドリフト、説明可能性の欠如、新たな攻撃面といった課題を生み出すと、ダンカールト氏はCISAの懸念をなぞるように付け加える。透明性と信頼は、OT環境にAIを統合するうえで大きな障害となるだろう。特にLLMやエージェントのような非決定論的モデルをOT環境に導入する際には、その予測不能性がOTの安定性と安全性の要件と相反するため、組織は極めて保守的であるべきだと同氏は助言する。
CISAの新たなガイダンスは方向性としては正しいものの、最大の問題は、多くのOT環境にはそれに従うために必要な信頼の基盤が欠けていることだと、Integrity Security ServicesのCEOであるデイビッド・セキーノ氏は指摘する。
AIは信頼できるデバイスデータに依存しているが、多くのOTシステムはファームウェア、アップデート、センサー出力を認証できないため、AIの判断は本質的にリスキーなものになるとセキーノ氏は警告する。同氏は、デバイスアイデンティティ、コード署名、ライフサイクル管理に広範なギャップがすでに存在しているのを目にしていると述べる。
OT環境を強化するためにAIを安全に活用しつつ信頼を構築するには、バランスが求められる。製造段階で暗号学的なアイデンティティを確立し、署名およびアテステーション済みのファームウェアやアップデートを用意してAIモデルが有効なデータを受け取れるようにすることなどが、不可欠な要素の一部だとセキーノ氏は述べる。資格情報や暗号資産に対する自動ライフサイクルガバナンスは、手作業によるエラーを減らし、長期的な完全性を確保するのに役立つだろうと同氏は付け加える。
そのためには、サプライチェーン検証を実装し、サイバーセキュリティ部品表(CBOM)やソフトウェア部品表(SBOM)を含めることが重要であり、改ざんされたコンポーネントがAIシステムに虚偽データを注入するのを防ぐ助けになるとセキーノ氏は言う。
後始末を任されるオペレーターたち
OTオペレーターは、特にベンダーや完全性の成熟度という観点から、AIを加えなくともすでに多くのハードルに直面している。システムは、オペレーターが期待する堅牢化、セグメンテーション、ドキュメントを備えた状態で納入されるとは限らず、その負担は、レガシー資産や制約の多い保守問題をすでに抱えている小規模なセキュリティチームにのしかかると、ImmersiveのリードOTサイバーセキュリティエンジニアであるサム・メスシャルク氏は説明する。
「そのような環境にAIを組み込むことは、慎重に管理しなければならない複雑性をさらに加えることになります」と同氏は言う。
AIは業務負荷を軽減することを目的としているが、信頼の欠如は機械だけでなくオペレーターにも問題をもたらす。人間要因は過小評価すべきではないとメスシャルク氏は言う。ドリフトしたり、幻覚(ハルシネーション)を起こしたり、黙って失敗したりするAIを導入することは、オペレーターへの負担を増すだけだと同氏は付け加える。
誤作動したアラームは、投薬量管理、圧力管理、機械トルクといったプロセスに影響を与えうると同氏は続ける。また、即座に理解・信頼できないのであれば、早期のアラートは遅延したアラートよりもリスクが高くなる可能性がある。
攻撃者はAIをどう使っているのか?
そのうえ、OT要員は、物理的に危険な環境で運用する方法を学ぶ。しかしAIの統合は、新たなスキルギャップの課題をもたらし、脅威の検知と対応に影響を与えかねない。十分なクロストレーニングがなければ、OT要員はAI搭載システムのトラブルシューティングに苦労する可能性があり、その状況を攻撃者が悪用しうるとダンカールト氏は言う。
「攻撃者は、攻撃中であってもオペレーターの画面が正常に見えるように悪意ある活動をマスキングすることで、これを悪用する可能性があります」とダンカールト氏は述べる。「これはAI登場以前にもすでに起きていることです。」
攻撃者がAIをどう利用しているかについての深い洞察は、このガイダンスが見落としている重要な要素の一つだ。しかしそれは、最初のLLMを用いた脆弱性発見事例や、初のAIがオーケストレーションしたサイバー諜報キャンペーンを挙げながら、ダンカールト氏が強調するように、新たに台頭しつつある深刻な懸念事項である。
攻撃者によるAIの新たな活用法は、防御側が予防、検知、対応、欺瞞、復旧において複数の防御ラインをますます必要としていることを浮き彫りにしている。
「これはパラダイムシフト、すなわち、脅威アクターがAIをスケールさせてゼロデイ脆弱性の発見と悪用に活用する一方で、防御側はまだ追いつこうとしているという軍拡競争を示しています」と同氏は言う。「OTシステムがAIを取り込み始めると、それ自体が標的となるリスクがあります。」
クラウドがさらに懸念を増幅させる
クラウド依存型のAIは、特に難しい課題になるだろうとメスシャルク氏は言う。ほとんどのOTネットワークは、継続的なアウトバウンド接続やベンダー管理のアップデート経路をサポートできず、今後もできないところが多いと同氏は付け加える。これは、たとえAIが「厳密に定義されたデータフロー」とともにローカルにデプロイされていたとしても、AIライフサイクルのあり方と相反する。
「AIモデルは、精度を保つために定期的な再トレーニングや検証を必要としますが、OTプロセスは長い資産寿命の中でゆっくりと進化します」とメスシャルク氏はDark Readingに語る。「アップデートがまったく行われない場合でも、モデルは現実との整合性を失う可能性があります。」
より深刻なライフサイクル上の課題としては、数十年にわたってモデルを有効かつサポート可能な状態に保つためのベンダーサポートの欠如や、再トレーニングに必要なスキルを維持することが挙げられる。
CISAのガイダンスは実装が難しいのか?
CISAの4つの主要原則には課題が伴うものの、それらが必要であることについては異論がない。実装の容易さは組織によって異なり、とりわけ中小企業と大企業を比較した場合には差が出るだろう。さらに懸念されるのは、OT分野では不足しているスキルやプロセスへの多大な投資が必要になることだとダンカールト氏は述べる。
「小規模な組織にとっては、これは非現実的に感じられるかもしれず、その結果、イノベーションが阻害されるか、あるいは近道を取ることで新たな脆弱性が生まれるリスクがあります」と同氏は言う。
数々の困難にもかかわらず、比較的低リスクでOT環境に価値をもたらしうるAIの活用分野の一つが異常検知である。これは、ネットワーク検知・対応のためにポートモニタリングを活用するようなパッシブモニタリングシステムにおいて、従来型の機械学習を用いることで実現できるとダンカールト氏は説明する。
「これらのアプローチは中核的なOTオペレーションに干渉することはありませんが、新たな攻撃ベクトルを導入するリスクを最小限に抑えつつ、防御可能なアーキテクチャと組み合わせることでサイバーセキュリティ体制を大幅に強化できます」と同氏は言う。
AIは、OTオペレーションを妨げる可能性のある最新の技術シフトにすぎない。OTは依然として、急速なIT/OTコンバージェンスの副作用からの回復途上にあるとメスシャルク氏は指摘する。そこで得られた教訓は、AI導入の波においても組織にとって有益となるかもしれない。
「AIは同様のリスクをはらんでいます。大きなメリットがある一方で、既存の衛生管理やセグメンテーションの弱点を修正する前にAIを採用してしまうと、長期にわたるアーキテクチャ上の負債を抱え込む可能性があります」と同氏は言う。
翻訳元: https://www.darkreading.com/ics-ot-security/ai-ot-too-incompatible-work-securely
