電気通信事業者、セキュリティサービス事業者、およびセキュリティ製品オーナーの視点から、制御システムにおける資産の可視化と常時監視の課題について考える / Consider the challenges of asset visualization and constant monitoring in OT systems from the perspective of telecommunications carriers, security service providers, and security

Transcript

1. © NTT Communications Corporation All Rights Reserved. 電気通信事業者、セキュリティサービス事業者、および セキュリティ製品オーナーの視点から、制御システムに おける資産の可視化と常時監視の課題について考える

   2024年7⽉26⽇ NTTコミュニケーションズ株式会社 加島伸悟 Edgecross Consortium 〜⼯場セキュリテイガイドライン啓発・連続セミナー〜 第11回: 製造業/⼯場サイバーセキュリティ向上の取組み事例紹介

2. © NTT Communications Corporation All Rights Reserved. 2 ⾃⼰紹介 加島

   伸悟（かしま しんご） n 所属 NTTコミュニケーションズ株式会社（以下、NTT Com） • イノベーションセンター テクノロジー部⾨ • マネージド＆セキュリティサービス部 セキュリティサービス部⾨ n 略歴 • 広域イーサネットサービスの技術＆商⽤開発 • フロー監視（xFlow）の技術開発＆国際標準化 • NTTグループ全体のセキュリティガバナンス • 制御システムセキュリティの技術開発・サービス開発

3. © NTT Communications Corporation All Rights Reserved. 3 3つの視点から 電気通信事業者

   セキュリティサービス事業者 セキュリティ製品オーナー

4. © NTT Communications Corporation All Rights Reserved. 4 電気通信事業者としてのNTT Com

   DDoS攻撃を含むサイバー攻撃からお客様および通信設備を 保護するため、バックボーンネットワークのトラフィック を分析（フロー分析） 全国の通信設備を保守するための巨⼤な閉域網を運⽤ データセンター、通信ビル、オフィスビルのBA（Building Automation）ネットワークを運⽤

5. © NTT Communications Corporation All Rights Reserved. 5 セキュリティサービス事業者としてのNTT Com

   さまざまな業界の企業や官公庁に対するサイバー攻撃を SOCにていち早く発⾒・分析し、適切な対処をサポート するマネージドセキュリティサービスを展開 SOCにおける分析の対象は幅広い • IPS/IDS • UTM/WAF • Sandbox • Firewallログやプロキシログ • EDR • Active Directoryのセキュリティログ • OT-IDS

6. © NTT Communications Corporation All Rights Reserved. 6 セキュリティ製品オーナーとしてのNTT Com

   OsecT: • NTT Com社員がセキュリティ製品の海外依存に疑問を感じ、 せめてお家芸の製造業（⼯場）や社会インフラ向けのセキュリティは 国産で︕との思いから⽴ち上げたOT-IDS、OTセキュリティサービス • 詳細は後半で 海外セキュリティ製品依存の課題: • ⽇本で商⽤展開されているセキュリティ対策製品は海外依存 • 「輸⼊」して展開する「販売店」 • 付随するサービス（導⼊・運⽤等）を提供する • マーケットサイズに応じた対応となるため、⽇本固有の要望やトラブルへの 対応が不可・遅い • 技術開発の源泉となるデータへのアクセスが制限される • 利益率が悪い 後半は NISC 研究開発戦略専⾨調査会 第10回会合 資料3 国産サイバーセキュリティの現状と課題（鵜飼委員説明資料）から再構築

7. © NTT Communications Corporation All Rights Reserved. 7 ⼯場制御システムを取り巻く環境とサイバー攻撃

8. © NTT Communications Corporation All Rights Reserved. 8 ⼯場制御システムを取り巻く環境 IoT

   OT IT リモート保守 サプライチェーン クラウド ⼯場制御システム(OT)は、IoT、情報システム(IT)、 クラウド、サプライチェーン等、外部との接続が急増 外部との接続の拡⼤により、制御システムネットワーク はサイバーセキュリティのリスクも増加 サイバーセキュリティの問題は、製造システム、 PLC、センサーのダウンタイムまたは不適切な動作を 引き起こす可能性が増加

9. © NTT Communications Corporation All Rights Reserved. 9 制御システムに影響を与えるサイバー攻撃の現状 p

   制御システムへのサイバー攻撃で特徴的なパターンとして以下が挙げられる ü犯罪グループによる⾦銭獲得 ランサムウェア（RaaS） ü軍事的戦略に基づくインフラ破壊 標的型攻撃 (APT) ü⾃らの主張と本気度を広範囲にアピール ハクティビスト ランサムウェア （RaaS） ハクティビスト 標的型攻撃 (APT) ※分類上複数に所属することも

10. © NTT Communications Corporation All Rights Reserved. 10 製造業への攻撃事例 |

    ランサムウェア感染 l 制御システムのネットワーク化・デジタル化に伴い、IT環境のみならずOT環境も被害に遭う時代に l ⼤⼿企業だけではなく、サプライチェーン全体が攻撃対象に 半導体⼯場 WannaCryの亜種に感染し⼀時⽣産 停⽌。完全な復旧に3⽇間を要した。 最⼤190億円規模の損害 （2018年@台湾） ⾃動⾞メーカ EKANSまたSNAKEに感染した影響 で、⾃動⾞⼯場2拠点の出荷が⼀時 停⽌。海外にも感染が波及し、海 外9拠点の⽣産が1~3⽇間停⽌。 （2020年@⽇本） アルミニウム⼯場 ⾃動⾞メーカの取引先（サプライチェーン） 取引先の⼦会社1つがリモート接続 機器の脆弱性をつかれ感染。調査等 のためにシステムを遮断したことに より、⼤⼿⾃動⾞⽣産⼯場（14⼯場 28ライン）が停⽌ （2022年@⽇本） LockerGogaに感染し、⼀部⽣産、 オフィス業務に影響。プラントは影 響拡散防⽌のためシステムから分離。 被害は最初の1週間で3億円以上と 推定 （2019年@ノルウェー）

11. © NTT Communications Corporation All Rights Reserved. 11 制御システムへの攻撃事例 |

    マルウェア l OT特化型のマルウェアも存在 2010 Stuxnet 2017 Time discovered 2016 2011 2014 2015 Triton/Trisis/HatMan Industroyer / CrashOverRide Havex BlackEnergy2,3 Irongate PLC-Blaster VPNFilter Shneider Electric製 安全計装システム Triconex 産業⽤ プロトコル Modbus 産業⽤プロトコル（電⼒等） IEC 60870-5-101/104 IEC 61850, OPC DA OPC Classic 産業⽤プロトコル EtherNet/IP等 GE製 CIMPLICITY等 Siemens製 SIMATIC WinCC/PC7, STEP 7 2020 Snake ransomware / Ekans Honeywell製 HMI Webアプリ等 2018 2022 Industroyer2 INCONTROLLER/ PIPEDREAM OPC UAサーバ Schneider PLC (Modbus/Codesys) Omron PLC (HTTP/FINS) 2023 COSMICENERGY 産業⽤プロトコル IEC 60870-5-104 Siemens? S7 PLC 産業⽤プロトコル IEC 60870-5-104

12. © NTT Communications Corporation All Rights Reserved. 12 ⼯場制御システムのセキュリティ課題

13. © NTT Communications Corporation All Rights Reserved. 13 制御システムと情報システムにおける要件のギャップ 項⽬

    制御システム（OT） 情報システム（IT） セキュリティの優先順位 追加要件 保護対象 システム更新サイクル 通信 1. 可⽤性（Availability） 2. 完全性（Integrity） 3. 機密性（Confidentiality） 1. 機密性（Confidentiality） 2. 完全性（Integrity） 3. 可⽤性（Availability） • 健康 （Health） • 安全 （Safety） • 環境 （Environment） • モノ（設備、製品）、サービス（操業） • 10〜20年+ • 3〜５年 • 標準通信プロトコル • 多数の独⾃通信プロトコル • 標準通信プロトコル ｰ • データ（個⼈情報等） セキュリティ機器の特徴 • パッシブ構成、かつ検知まで • 優れた可視化機能 • インライン設置と遮断を許容 • 新しい脅威への常時更新（対応） OS更新・パッチ適⽤ • ⼀般的でない • ⼀般的 ウイルス対策 • ⼀般的でない • ⼀般的

14. © NTT Communications Corporation All Rights Reserved. 14 ⼯場制御システムのセキュリティ課題 1.

    レガシーシステム もともと設計時にセキュリティを意識しておらず、改修が難しい 2. 資産の可視化 アセットの状態を把握していない 3. 脆弱性と脅威 バージョンアップやセキュリティパッチの実施が難しい 4. スキルのある⼈材の不⾜ セキュリティに関するスキルがある⼈員の確保が難しい

15. © NTT Communications Corporation All Rights Reserved. 15 よくあるOTセキュリティソリューション

16. © NTT Communications Corporation All Rights Reserved. 16 よくあるOTセキュリティソリューションのアプローチ STEP1:

    現状把握と評価 ⼯場LANの⾒える化とセキュリティアセスメント STEP2: 脅威の侵⼊/拡散防⽌・検知策の導⼊ セグメンテーション・アクセス制御とOT-IDS*の導⼊ STEP3: 監視体制の構築 外部の専⾨アナリストよる監視・分析・対処の仕組み （マネージドセキュリティサービス）を導⼊ * OT-IDS: OT環境向けのIDS。システムの可⽤性に影響を与えないように、 ミラーポートから取得したパケットデータから脅威を検知する機能に加えて、 可視化機能を有することが特徴。インライン型は少ない。

17. © NTT Communications Corporation All Rights Reserved. 17 STEP1: 現状把握と評価における課題

    課題① ⽣産現場ではトラフィック取得位置の特定とネットワーク機器設定ができない ü 効果的な監視ができる設置場所の特定 ü ルーター・L2スイッチなどのネットワーク機器設定 ü そもそもネットワーク機器にトラフィック取得機能（ミラーリング機能）がない場合もある どこに設置すればよいのかわからない。 事務所(IT) ⼯場(OT) インターネット 業務⽤PC データベース PL C ⽣ 産 設 備 ネットワーク機器の設定がわからない。

18. © NTT Communications Corporation All Rights Reserved. 18 STEP2: 脅威の侵⼊/拡散防⽌・検知策の導⼊における課題

    課題② 既存ネットワークの構成変更を伴わない監視を必要とされるケースがある ü OTネットワークがIT等の別⽤途のネットワーク分離されていないことが中堅・中⼩企業中⼼に⾒受けられる ü セキュリティ観点ではIT/OTのネットワーク分離をした上でセキュリティ製品による監視を導⼊すべきだが、 様々な要因で構成変更無しでの監視を要望されるケースが多い ü しかし、OT-IDSはインターネットトラフィックを監視対象として想定してないため、対応が困難 事務所(IT) ⼯場(OT) インターネット 業務⽤PC データベース PLC ⽣ 産 設 備 ⼤企業のOTネットワーク︓ITと分離されている 中堅・中⼩企業のOTネットワーク︓ITと分離されていない 事務所・⼯場(IT/OT⾮分離) インターネット 業務⽤PC データベース PLC ⽣ 産 設 備 OT-IDS OT-IDS ミラートラフィック ミラートラフィック LAN内通信のみ LAN内通信とインターネット 向け通信が混在

19. © NTT Communications Corporation All Rights Reserved. 19 STEP2: 脅威の侵⼊/拡散防⽌・検知策の導⼊における課題

    課題③ OT-IDSの導⼊コストが⾼い ü 製品コスト: IT-IDSと⽐較して⾼額 • ライセンス費⽤がアドレス数（≒端末数）に応じた⾦額となるため、ライセンス費⽤節約のために、⾒える化とは逆⽅向 に進みがち • OTプロトコル対応が売りだが、FA系でOTプロトコルの中⾝まで意識した監視をしている現場は皆無に近い（オーバー スペック） ü 構築コスト: 可視化画⾯へのアクセスやシグネチャー更新ができるようにネットワーク設計が必要 事務所(IT) ⼯場(OT) インターネット 業務⽤PC データベース PLC ⽣ 産 設 備 OT-IDS ミラートラフィック 可視化画⾯へのアクセス シグニチャー更新

20. © NTT Communications Corporation All Rights Reserved. 20 STEP3: 監視体制の構築における課題

    課題④ 外部接続時のセキュリティ問題 ü VPN装置のセキュリティ管理が必要 ü 社内からの監視（可視化）と外部SOCからの監視を両⽴するセキュリティ設計が難しい セキュリティオペレーションセンター （SOC） 事務所(IT) ⼯場(OT) インターネット 業務⽤PC データベース PLC ⽣ 産 設 備 OT-IDS ミラートラフィック 可視化画⾯へのアクセス ログ転送・ シグネチャー更新 ログ転送 シグネチャー更新 VPN インターネット SIEM アナリスト

21. © NTT Communications Corporation All Rights Reserved. 21 STEP3: 監視体制の構築における課題

    課題⑤ マネージドセキュリティサービスの必要性 ü OT-IDSは多機能で使いこなすには専⾨知識が必要であるため、マネージドセキュリティサービスを推奨する ケースが多い ü OT-IDSのアラートは振る舞い検知によるものが多いため、アラートの根本原因までは追及できない ü ⽣産現場にはEDR等の深掘り分析できる製品は⼊っていないため、SOCはIDS製品のアラートを翻訳するだ けになってしまうが、そんなSOCにお⾦を払う価値はあるだろうか︖ ü そもそも社外かつリモートのSOCから提供される情報に基づいて⽣産現場を動かすことができるのか︖

22. © NTT Communications Corporation All Rights Reserved. 22 STEP1-3共通の課題 課題⑥

    ⽣産現場の協⼒なしにOTセキュリティは成⽴しない ü セキュリティ事故による⽣産停⽌の脅威を全⾯に出してもうまく進まない ü ⽣産現場にとっての苦しさ/嬉しさに寄り添った提案が必要

23. © NTT Communications Corporation All Rights Reserved. 23 課題の振り返り 課題①

    ⽣産現場ではトラフィック取得位置の特定とネットワーク機器設定ができない 課題② 既存ネットワークの構成変更を伴わない監視を必要とされるケースがある 課題③ OT-IDSの導⼊コストが⾼い 課題④ 外部接続時のセキュリティ問題 課題⑤ マネージドセキュリティサービスの必要性 課題⑥ ⽣産現場の協⼒なしにOTセキュリティは成⽴しない 既存ソリューションとお客様ニーズは必ずしも適合しておらず、課題が多い

24. © NTT Communications Corporation All Rights Reserved. 24 課題解決の概要 課題①

    ⽣産現場ではトラフィック取得位置の特定とネットワーク機器設定ができない ⇨OsecT導⼊サポートサービスで解決 課題② 既存ネットワークの構成変更を伴わない監視を必要とされるケースがある ⇨OsecT本体で解決 課題③ OT-IDSの導⼊コストが⾼い ⇨OsecT本体で解決 課題④ 外部接続時のセキュリティ問題 ⇨OsecT本体で解決 課題⑤ マネージドセキュリティサービスの必要性 ⇨OsecT運⽤サポートサービスで解決 課題⑥ ⽣産現場の協⼒なしにOTセキュリティは成⽴しない ⇨︖ NTT Comは電気通信事業者やセキュリティサービス事業者として培ったノウハウを活⽤して 開発した「OsecT」を軸に、パートナーと連携したソリューションを展開中

25. © NTT Communications Corporation All Rights Reserved. 25 OsecT（オーセクト）のご紹介

26. © NTT Communications Corporation All Rights Reserved. 26 OsecTの概要 ⽣産現場の業務を妨げることなく、制御系システムにおける資産とリスクを可視化し、

    サイバー脅威・脆弱性を早期に検知することで、⼯場停⽌による損失を未然に防ぐことが できます。 低価格 ・⽉額費⽤1桁万円 ・PoC等を通じて抽出した真に必要 な機能に絞って提供 簡単導⼊ ・センサー機器をスイッチ等のミ ラーポートに接続するだけ ・OsecTセンサーで取得した情報 のアップロードにはNTT閉域モ バイル通信を⽤いるため、ネッ トワークの設計やVPN機器の設 置は不要 可視化 ・端末 ・ネットワーク 制御系システムへの 影響なし ・コピーしたトラフィックデータ を監視 ・既存機器へのソフトウェアのイ ンストール不要 検知 ・学習と分析による サイバー脅威／脆弱性の検知 OsecT SaaS環境 OsecT センサーなど アラート通知 Webポータル画⾯ 状況の確認 お客さま拠点 お客さま （IT担当者） トラフィック コピー スイッチ NTT閉域網経由 簡単運⽤ ・VPNなど不要でどこからでも 可視化画⾯を参照可能 ・専⾨知識がなくても使いこな せるシンプルな機能/UI設計 ・Attack Surface管理不要

27. © NTT Communications Corporation All Rights Reserved. 27 安⼼してお使いいただくために 安⼼してお使いいただけるように、以下のような取り組みとネットワーク設計にしています。

    • パケット解析機能を有するOsecTセンサーのソースコードを公開*1 • ⾒える化・予防/早期発⾒に必要最低限の情報のみをSaaS環境に送信 していることを明⽰ • OsecTセンサー、SaaS環境で利⽤するソフトウェアは当社による内製開発 • ⽇本純正のサービスとして位置づけ • Attack Surface Managementは当社にお任せ • Web-UIは当社が管理するクラウド上のSaaS環境に⼀元化 • OsecTセンサーからSaaS環境へは当社のネットワークサービス*2を 組み合わせインターネットを使わずセキュアに閉域接続 *1 https://github.com/nttcom/OsecT *2 IoT Connect Mobile Type S (閉域網タイプ)及び Flexible InterConnect (FIC)

28. © NTT Communications Corporation All Rights Reserved. 28 可視化 -端末-

    • ⾃動で端末情報を⼀覧化 • 端末⼀覧をCSVファイルで出⼒し、台帳として利⽤ 可能 多⾓的な端末の可視化、ネットワークマップ、2つ期間のネットワークの構成差分の可視化によって、 OTネットワーク環境を視覚的に把握し、資産管理や新たに接続された端末の特定を⾏うことで、対策強 化や有事の際の対応に役⽴てていただけます。 端末⼀覧 • ⽣存端末を16x16のマトリックス形式で可視化 • ベンダ/OS/役割に応じた⾊分けによって俯瞰した 分析が可能 端末マトリックス

29. © NTT Communications Corporation All Rights Reserved. 29 可視化 -端末・ネットワーク-

    • 端末の通信接続関係をマップ形式で可視化 • 表⽰データは画像で出⼒可能 多⾓的な端末の可視化、ネットワークマップ、2つ期間のネットワークの構成差分の可視化によって、 OTネットワーク環境を視覚的に把握し、資産管理や新たに接続された端末の特定を⾏うことで、対策強 化や有事の際の対応に役⽴てていただけます。 ネットワークマップ • 2つの期間の端末・ネットワークの構成差分を可視化 • 新たに接続された端末の特定が可能 差分分析 端末属性の変化 （例: 利⽤ポートの変化） 消失端末 新規接続端末 ◯消失端末 ◯新規接続端末 左右を⾒⽐べて、端末の接続・消失、 端末属性（OS、ベンダ、役割）の変化を確認

30. © NTT Communications Corporation All Rights Reserved. 30 可視化 -ネットワーク-

    • ネットワークの負荷（使⽤帯域）を可視化 • ループ等による帯域圧迫を発⾒ 端末やサービスの利⽤トラフィック量、接続端末数などの傾向の可視化、ネットワークにおける影響度 の⾼い端末を特定することで、対策強化や有事の際の対応に役⽴てていただけます。 トラフィック • 接続端末数/トラフィック量が多い端末/サービスを 可視化 • OTネットワークの傾向を把握可能 ランキング

31. © NTT Communications Corporation All Rights Reserved. 31 検知 -予防-

    • ネットワーク内の端末アドレスを⾃動で学習 • 野良端末を⾒逃さずに早期に発⾒ 新たに接続された端末、未知の通信、サポート切れのOSを使っている端末などを検知・アラート通知す ることで、お客さまでのリスク対処や予防対応につなげていただけます。 新規端末検知 • サポート切れのOSを利⽤する端末を⾃動検出 • リスクの⾼い端末を⾒逃さず早期に発⾒ 脆弱端末検知

32. © NTT Communications Corporation All Rights Reserved. 32 検知 -異常の早期発⾒-

    • ネットワーク内の通信情報を⾃動で学習 • 未知の通信を逃さず早期に発⾒ マルウェア感染等の異常が発⽣した場合、その挙動（定常業務でなかった通信の発⽣やトラフィック量 の増減など）を検知・アラート通知することで、お客さまでの早期対応・影響の極⼩化につなげていた だけます。 IP通信検知 • 端末ペア毎に定常業務のトラフィック量を学習 • 時間帯毎の閾値を⾃動で算出 IP流量検知

33. © NTT Communications Corporation All Rights Reserved. 33 検知 -異常の早期発⾒-

    • システムに影響を与えるOTコマンドを検知 • 検知対象のコマンドや端末はカスタマイズ可能 既知のリスクの⾼い通信パターンに同じマッチした検知・アラートすることで、お客さまでの早期対 応・影響の極⼩化につなげていただけます。 OT振舞検知 • 既知の攻撃パタンにマッチした通信を検知 シグネチャー検知

34. © NTT Communications Corporation All Rights Reserved. 34 まとめ l

    制御システムのネットワーク化・デジタル化に伴い、IT環境のみならずOT環境も被害に遭う時代に l ⼤⼿企業だけではなく、サプライチェーン全体が攻撃対象に l OT環境のセキュリティ対策として、資産の可視化と常時監視が重要だが、既存ソリューションに多 くの課題がある l NTT Comは低価格で簡単導⼊・運⽤可能可能な、制御システムの資産とリスクを可視化する国産 OT-IDS「OsecT」を提案