100万ドル規模の生産ラインを古いソフトウェアで運営しているのは、誰もシャットダウンのリスクを冒したくないためですが、その「時限爆弾」を無視することはますます危険になっています。
私が初めて生産ラインのセキュリティを確保した時、制御システムの一部はラボテーブルの下に隠された、パッチが当たっていないWindows XPマシンで実行されていました。毎日数百万ドルの価値を生み出す最新のGMP製造システムのすぐ隣です。システムがリスクであることは誰もが知っていましたが、「まだ動いている」限り、誰もそれに触れようとしませんでした。この技術的負債、業務的プレッシャー、規制リスクの組み合わせが、今日の老朽的な操業技術(OT)を時限爆弾にしています。特にエネルギーと医薬品分野ではそうです。
モダンな攻撃者だが、時代遅れのシステム
私が主導したOTセキュリティ評価のほぼすべてで、同じセットアップを見つけます。IT側では、チームはゼロトラストXDRとSOCのAIサポートについて話しています。OT側では、時代遅れのプロトコル、サポートされていないオペレーティングシステム、遠隔アクセスと統合により長い間破られてきた「エアギャップ」と格闘しています。重要インフラストラクチャの規制と指令にはOTが明確に含まれていますが、多くの工場の技術的現実は依然として2000年代に停滞しています。
多くの施設は引き続きWindows XPやWindows 7などの老朽オペレーティングシステムを使用しており、多くの場合継続的なサポートがないため定期的なセキュリティ更新もありません。
ModbusやProfinetの古いバージョンなどのOTプロトコルは、認証や暗号化を意図して設計されませんでしたが、今日はネットワークされたインフラストラクチャ全体で使用されています。
MES、ヒストリアンシステム、遠隔保守、クラウド接続を通じたITとOTの統合は、オフィスネットワークから制御室への攻撃者にとってシームレスなパスを生成します。
これは理論的ではありません。Stuxnet、Triton、Colonial Pipelineへのランサムウェア攻撃などの実際の事件は、IT脆弱性がどのように重要なOTプロセスに流出する可能性があるかを鮮明に示しています。これらのケースはOTセキュリティコミュニティの参照ポイントになっています。エキゾチックな外れ値だからではなく、多くのOT環境に今日存在するメカニズムを公開しているからです。
誰もがそれが燃えていることを知っているのに、誰も火災報知器を引かない理由
OTマネージャー、生産リード、プラントエンジニアと話すとき、「問題があることを知らなかった」とはめったに聞きません。はるかに多くの場合、「それが重要であることを知っています。しかし、それを閉じることはできません」です。この認識と行動のギャップが真のリスクです。
私の経験から、3つの中核的なブロッカーがあります:
- ダウンタイムは最終的なタブーです。 24/7の生産環境では、計画的なシャットダウンは実際の収益損失を意味します。同時に、特にエネルギーと医薬品では中断が社会的影響を及ぼす可能性があるため、可用性と配信信頼性の需要が高まっています。この状況では、セキュリティは「次の大きな改修」で検討すべきことになります。その改修はしばしば何年も延期されます。
- ITとOT間の文化的言語ギャップ。 OTチームはサイバーセキュリティではなくプロセスとプラントセキュリティの観点から安全について訓練されています。彼らの優先事項は安定性、決定性、物理セキュリティです。ゼロデイエクスプロイトに関する抽象的な議論は、床の日常生活から遠く離れていることが多いです。逆に、多くのITチームは生産プロセスがどれほど微調整されており、どれだけ迅速にスキャンまたはアグレッシブな脆弱性チェックがプラントを混乱させる可能性があるかを過小評価しています。
- 予算と責任の拡散。 多くの組織では、OTセキュリティの戦略的責任があるのか明確ではありません。CISO、COO、サイトリーダーシップ、またはエンジニアリングですか?進化する規制は経営層を明確に責任を持たせ、不十分なサイバーリスク管理に対する潜在的責任を導入することで、これを鋭くします。しかし、投資決定はしばしば依然としてCapExロジックとOEEメトリクスによって駆動されます。セキュリティ対策は障害を防ぐだけで、間接的に表示されます。
要するに、それはパラドックス的な状況を作成します。最も重要なプロセスを持つ組織は、多くの場合、OTランドスケープを変更する意欲が最も低く、したがって最新の攻撃パターンへの露出が最も高くなります。
老朽OTが最新の攻撃者に会う時
過去数年間、攻撃者がどのように専門化し、産業化されたスケーラブルなビジネスモデルに向きを変えたかを示しました。ランサムウェア・アズ・ア・サービスが最も見える例です。同時に、研究は多くの産業企業が過去12か月間にレガシーOTシステムでサイバー事件をログに記録していることを示しています。私の実践から、私が繰り返し見るパターンが現れました。
通常、OTが重い組織への最新の攻撃は数段階で展開されます:
ITを通じた初期アクセス、OTではなく
攻撃者はまずオフィスネットワークを侵害します。多くの場合、フィッシング、パッチが当たっていないWebアプリ、または弱いVPNアクセスを通じて。Colonial Pipelineのケースは教科書的です:多要素認証のない侵害されたVPNアカウントは、重要な供給ネットワークの予防的シャットダウンで終わったイベントのカスケードをトリガーするのに十分でした。
セグメント化が不十分なネットワーク内の横方向の移動
エンタープライズネットワーク内に入ると、攻撃者はOTへのパスを探します。多くの場合、文書化されていないインターフェース、ヒストリアンシステム、リモートデスクトップアクセス、または明確なセグメント化のない遷移ゾーンを通じて。IEC 62443ごとのゾーンおよびコンジット アーキテクチャの欠落、フラットネットワーク、不十分に強化されたジャンプホストがこのステップをはるかに簡単にします。
時代遅れのシステムと監視の欠如の悪用
実際のOT環境では、攻撃者は廃止されたオペレーティングシステム、専有プロトコル、低い監視レベルの混合物に遭遇します。多くのシステムは中央SIEMに統合されておらず、産業事件のプレイブックを持つ専用OT SOCもありません。それは誰かが処理データの異常を発見する前に、重要なシステムを暗号化したり制御ロジックを操作したりするのを簡単にします。
プラントをはるかに超えるビジネス上の影響
OT事件の直接的な影響は、生産停止と品質問題から従業員と環境へのリスクまで及びます。重要なインフラストラクチャについては、規制上の影響、評判の損傷、関連する規制枠組みの下での監視機関からの潜在的な介入を追加します。
特にエネルギーと医薬品企業では、これらのシナリオはもはや「ブラックスワン」とは見なされず、事業継続とリスク分析に組み込まれています。しかし、構造的な弱点は続きます。老朽OTが中核に触れられたままである限り、最も洗練されたITセキュリティプログラムでさえ部分的に有効です。
エネルギーと医薬品:OT障害が全体的な問題になる時
エネルギープロジェクトでは、技術的リスクがどのように地政学的規制枠組みと絡み合うかを繰り返し見ます。電力網、パイプライン、発電施設は、重要インフラ規制の下で単なる必須エンティティではなく、多くの国では重要インフラの一部です。部門固有のセキュリティ法を使用します。
エネルギー供給では、侵害された制御室または操作された保護システムは、直接グリッド不安定性につながる可能性があります。
医薬品製造では、OT事件は生産停止だけでなく品質とコンプライアンス違反も脅かします。バッチデータ、環境条件、または処方が信頼できなくなる場合のように。
特に医薬品では、古い制御の中核を超えた最新化されたフロントエンドとMESランドスケープに繰り返し遭遇します。その検証ステータスはすべての変更に対するシールドのように使用されます。GMP検証を失うことへの恐れは、老朽化したシステムが規制上の理由で触れられたままになる可能性があります。同じ規制当局が今やサイバーセキュリティを製品とプロセスの安全の不可欠な部分と見なしているにもかかわらず。
両部門にとって、OTセキュリティはもはやニッチなトピックではなく、事業継続性、コンプライアンス、そしてエネルギーの場合は供給セキュリティに直接関連しています。
OT時限爆弾を解除するのを支援する方法
長年にわたり、「我々は停止するのは余裕がない」と「我々はこの現状は余裕がない」の矛盾を解決する様々な組織とのアプローチを開発しました。鍵は、老朽OTを単一の問題としてではなく、段階的に優先順位付けおよび対処できるリスクのポートフォリオとして見ることです。
実際には、多段階プロセスが私にとって有効であることが証明されています:
容赦のないインベントリ、しかしリスクベース
最初のステップでは、OTおよびITチームと協力して透明性を作成します。どのアセットが本当に重要で、どのシステムが時代遅れで、主要なIT-OTインターフェースはどこにあるのか?OTアセット発見と受動的なネットワーク分析用のツールは、生産を中断することなく、「忘れられた」コンポーネントを明らかにするのに役立ちます。重要なことに、私たちは最初からリスクの観点をもたらします。すべての古いコントローラーが自動的に最大の問題であるわけではありません。プロセスの重要性、露出、潜在的な影響が決定します。
大改修を待つことなくセグメント化まず
10年間すべての老朽化したコンポーネントを置き換えるのを待つ代わりに、私は多くのクライアントと協力して、最初にIEC 62443の原則に従ってネットワークアーキテクチャを構造化します。つまり、ゾーンとコンジットを定義し、ファイアウォールと産業DMZをインストールし、リモートアクセスを統合および強化します。これらのゾーン内で老朽化したシステムが実行され続ける場合でも、明確なセグメント化は横方向の移動のオプションを大幅に減らします。
OTを理解する監視
プロトコル、プロセス特性、および動作モードを知らない場合、古典的なITセキュリティツールはOT環境で限界に達します。そのため、OT固有の監視ソリューションを既存のSOCまたは専用のOT SOCに統合することを提唱しています。使用ケースは産業異常に焦点を当てています。PLC プログラムの予期しない変更、異常な通信パス、または非典型的なプロセス値など。この可視性があってのみ、組織は反応的な消火活動から積極的な検出と封じ込めに移動できます。
障害ではなくレバレッジとしての規制
ISO 27001やIEC 62443などの部門固有のマンデートと標準は、私の見方では面倒なコンプライアンスではなく、政治的および法的に支持されたセキュリティのビジネスケースです。プロジェクトでは、法的要件をリスク管理と事件対応から供給チェーンセキュリティと事業継続計画まで、具体的なコントロールを備えたロードマップに翻訳します。これは経営が投資を正当化し、優先順位を透明化するのに役立ちます。進化する規制の下での不作為はもはや選択肢ではないというメッセージを含めて。
補償措置を伴う段階的近代化
すべての老朽化したコンポーネントを短期間で置き換えることができるわけではありません。その場合、私は補償コントロールを使用して作業します。周囲のネットワークの強化、厳密なアクセス制御を備えたジャンプホスト、プロトコルゲートウェイ、ホワイトリスト、および物理セキュリティ対策。並行して、計画されたダウンタイム、改修プロジェクト、および予算サイクルに合わせた現実的な更新パスを定義します。次の世代のOTシステムが最初からより安全に設定されるようにします。
OT時限爆弾を今解除する時間である理由
私の見方では、今日の時点は独特です。一方では、規制、保険市場、実際の事件からの圧力が高まっています。一方、OTリスクを体系的に減らすためのより多くの技術および組織的なツールがあります。
保険会社は産業サイバーリスクをより細かく評価し、条件を証明された復元力対策に結び付けています。
規制当局は単なるセキュリティコントロールだけでなく、実証可能なリスク管理と経営層の明確な責任を要求します。
セキュリティ研究と実践はStuxnet以来の経験を構築し、重要インフラストラクチャの攻撃ベクトルをはるかに理解しやすくしました。
エネルギーまたは医薬品の意思決定者として、あなたのプラントの下のOT時限爆弾は運命ではなく、設計上の課題です。質問は老朽OTがリスクをもたらすかどうかではありません。質問は、それを優先事項にし、次の事件があなたの手を強制する前に必要な手順を開始する準備ができているかどうかです。
OTセキュリティ、コンプライアンス、既存の生産現実を調整する方法を内部で議論している場合、それは正確に私が従事を開始する緊張点です。多くの場合、焦点を絞ったサイトごとの評価とロードマップは、技術的、組織的、および規制的側面を統合します。
明日あなたのOT環境が侵害された場合、リスクが知られていたが受け入れられたなぜ理事会に説明することができますか?
この記事はFoundry Expert Contributor Networkの一部として公開されています。
参加したいですか?
