2023年9月12日のECONOSEC(経済安全保障対策会議・展示会)で発表した「誰もがOT機器/危機を管理できる世界へ」の講演資料です。 イベントページについてはこちらを御覧ください(https://econosec.jp/conference/)
© NTT Communications Corporation All Rights Reserved. 1誰もがOT機器/危機を管理できる世界へ2023年9⽉12⽇NTTコミュニケーションズ株式会社鍔⽊ 拓磨
View Slide
© NTT Communications Corporation All Rights Reserved. 2⽬次1. OTセキュリティが求められる背景2. OT環境への攻撃事例3. OTセキュリティの課題・当社のアプローチ4. 当社が提供するサービスのご紹介• OTセキュリティリスク可視化サービス OsecT5. 当社でのPoCのご案内• ⼯場LAN⾒える化サービス(仮)6. まとめ
© NTT Communications Corporation All Rights Reserved. 3OTセキュリティが求められる背景製造業の⽣産性向上や製造リソースの削減⇒ ITネットワークとの接続やIoTの接続閉域環境*を前提としていたOTネットワーク⇒ ITネットワーク同様のサイバー攻撃のリスク⇒ OTセキュリティが求められるが...⼗分な⼈材・予算を確保できないため対策が後回しにIoTOTITリモートオペレーションサプライチェーンCloud* インターネットに接続されないネットワーク環境OT (Operational Technology)とは⼯場などの製造業で利⽤される制御技術のこと
© NTT Communications Corporation All Rights Reserved. 4OT環境への攻撃事例 | ランサムウェア感染半導体製造⼯場でのランサムウェア感染半導体製造⼯場のシステムがWannaCryの亜種に感染し⼀時⽣産停⽌。完全な復旧に3⽇間を要した。最⼤190億円規模の損害(2018年@台湾)⾃動⾞⼯場でのランサムウェア感染ランサムウエアに感染した影響で、⾃動⾞約1,000台が⽣産できなかった。感染発覚後、丸1⽇間⽣産システムが停⽌。同時期には海外拠点でも感染(2017年@⽇本)ランサムウェアの感染拡⼤により、ほとんどの事業部⾨のITシステムが影響を受け、製造・発電プラントを⼿動操作へ切替。1週間で4000万ドル相当の被害(2019年@ノルウェー)アルミ精錬所でのランサムウェア感染 ⽯油パイプラインでのランサムウェア感染外部からのサイバー攻撃を受けて、被害防⽌のためシステム停⽌。1週間操業停⽌、⾝代⾦440万ドルの影響発⽣(2021年@⽶国)[画像左上] https://www.kuka.com/en-de/industries/automotive[画像右上] https://japan.cnet.com/article/35123578/[画像左下] https://www.bbc.com/news/technology-40685821[画像右下] https://unsplash.com/ja/%E5%86%99%E7%9C%9F/vOtSZd_8Af4
© NTT Communications Corporation All Rights Reserved. 5OT環境への攻撃事例 | マルウェア2010Stuxnet2017Time discovered20162011 2014 2015 2018Triton/Trisis/HatManCrashOverride/IndustroyerHavexBlackEnergy3IrongatePLC-BlasterBlackEnergy2 VPNFilterSiemens製SIMATICWinCC/PC7, STEP 7Shnieder Electric製安全計装システムTriconex産業⽤プロトコルModbusの傍受も産業⽤プロトコル(電⼒等)IEC 60870-5-101/104IEC 61850, OPC DAOPC Classic産業⽤プロトコルEtherNet/IP等GE製CIMPLICITYOT環境に対しても多くのマルウェアが猛威を振るっています。
© NTT Communications Corporation All Rights Reserved. 6OT環境への攻撃事例 | 中堅中⼩の製造業中堅製造業K社の事例• ⼦会社が独⾃に構築した取引先との通信に利⽤していたリモート接続機器の脆弱性を突かれて侵⼊を許す。• ⼦会社ネットワーク経由でK社ネットワークへも侵⼊され、⼀部のサーバやパソコンのデータが暗号化される等の攻撃を受ける。• 調査等のためにシステムを遮断したことにより、⼤⼿T社全体の⾃動⾞⽣産(14⼯場28ライン)が停⽌サプライチェーン全体へ影響• 内部情報の流出は確認されていないが、K社グループ社員になりすました不審なメールが多数送信されていることを確認被害者が加害者にもなり得る⼤企業と⽐べてセキュリティ強度の劣る中⼩企業を狙った攻撃も加速⼤企業を狙う際の踏み台として、中⼩企業が攻撃の起点として積極的に狙われる統計データに⾒る中堅中⼩企業へのサイバー攻撃実態出典: IPA『情報セキュリティ⽩書2021』より作成l 中堅中⼩企業もサイバー攻撃のターゲットにl セキュリティ事故は、取引先・サプライチェーンにも影響が及ぶ
© NTT Communications Corporation All Rights Reserved. 7国内外・業界・企業規模を問わずOTセキュリティは必須の時代へ
© NTT Communications Corporation All Rights Reserved. 8【課題】l 制御系システムの安定稼働が第⼀優先• セキュリティ対策の導⼊により制御系システムへの影響があってはいけない• PCやサーバのOSやアプリケーションが最新版に更新されていない• 既存端末へのランサムウェア対策のソフトウェア(EDR等)の導⼊が難しいl 制御系システムの現状把握ができていないl 対策コストを極⼒抑えたいl セキュリティの専担者が不在OTセキュリティの課題・当社のアプローチ【アプローチ】l 制御系システムへの影響を排除した予防/早期発⾒策(検知優先)• コピーしたトラフィックデータを監視• 既存機器へのソフトウェアインストール不要• 学習と分析によるサイバー脅威/脆弱性の検知l ⾒える化l 低価格(⽉額1桁万円)l 簡単導⼊・簡単運⽤特に、コスト・⼈材不⾜でOTセキュリティに⼿を出せないところを解消したい
© NTT Communications Corporation All Rights Reserved. 9ご紹介するサービスで作りたい社会誰もがOT機器/危機を管理できる世界特に以下のような考えを持っている企業さま・担当者さま• ⾼機能で⾼価なセキュリティ製品だと、「セキュリティ有識者じゃないと導⼊できない」・「お⾦がないと継続できない」• スキルやお⾦がある組織じゃないと機器/危機管理できない
© NTT Communications Corporation All Rights Reserved. 10OTセキュリティリスク可視化サービス OsecT⽣産現場の業務を妨げることなく、制御系システムにおけるリスクを可視化しサイバー脅威・脆弱性(セキュリティホール)を検知することで、早期にリスク感知できる状態を作り、⼯場停⽌による損失を未然に防ぐことができます。OsecT SaaS環境OsecTセンサーアラート通知Webポータル画⾯状況の確認お客さま拠点お客さまトラフィックコピースイッチ予防/早期発⾒・学習と分析によるサイバー脅威/脆弱性の検知⾒える化・端末・ネットワーク簡単導⼊・マニュアルにそって設定・OsecTセンサーで取得した情報はモバイル通信でアップロードされるため、既存LANへの変更は最⼩限(スイッチにおけるミラーポートの作成のみ)制御系システムへの影響なし・コピーしたトラフィックデータを監視・既存機器へのソフトウェアのインストール不要簡単運⽤・VPNなど不要でどこからでも可視化・検知画⾯を参照可能・シンプルなUI設計
© NTT Communications Corporation All Rights Reserved. 11OTセキュリティリスク可視化サービス OsecT安⼼してお使いいただけるように、以下のような取り組みとネットワーク設計にしています。• パケット解析機能を有するOsecTセンサーのソースコードを公開*1• ⾒える化・予防/早期発⾒に必要最低限の情報のみをSaaS環境に送信していることを明⽰• OsecTセンサー、SaaS環境で利⽤するソフトウェアは当社による内製開発• ⽇本純正のサービスとして位置づけ• OsecTセンサーからSaaS環境へは当社が有する閉域網*2を利⽤• 取得した情報がインターネット上に流れない設計*1 https://github.com/nttcom/OsecT*2 Internet Connect Mobile Type S、Flexible InterConnect (FIC)
© NTT Communications Corporation All Rights Reserved. 12⾒える化(端末・ネットワークの管理に︕)センサーが取得したパケットから⾃動で端末を⼀覧化︕⼀覧化したデータはCSVで出⼒可能︕接続端末数/トラフィック量が多い端末を⼀⽬で把握︕OTネットワークの傾向を把握︕ネットワーク可視化機能によってOTネットワーク環境を視覚的に把握し、資産管理や重要度の⾼い端末の特定を⾏うことで、対策強化や有事の際の対応に役⽴てていただけます。端末⼀覧機能/ネットワークマップ ランキング機能
© NTT Communications Corporation All Rights Reserved. 13予防(リスク対処・予防対応に︕)新たに接続された端末やサポート切れのOSを使っている端末などを検知・アラート通知することで、お客さまでのリスク対処や予防対応につなげていただけます。ネットワーク内に存在する端末情報を⾃動で学習︕野良端末を⾒逃さずに早期に発⾒︕サポート切れのOSを利⽤する端末を⾃動検出︕アップデート対応漏れを防⽌︕新規端末検知機能 脆弱端末検知機能
© NTT Communications Corporation All Rights Reserved. 14早期発⾒(異常を早期に発⾒するために︕)端末ペア毎に定常業務のトラフィック量を学習︕曜⽇や時間帯毎の閾値を⾃動で算出︕定常業務では利⽤しないOTコマンド*を検知 !CVE 等の既知シグネチャーにマッチした通信を検知︕マルウェア感染等の異常が発⽣した場合、その挙動(トラフィック量の増加や、定常業務でなかった通信の発⽣など)を検知・アラート通知することで、お客さまでの早期対応・影響の極⼩化につなげていただけます。IP流量検知機能 OT振舞検知機能/シグネチャー検知機能* 2023年9⽉現在、CC-Link IE Field, IE Control, IE Field Basicに対応(ニーズに応じて順次追加予定)
© NTT Communications Corporation All Rights Reserved. 15当社でのPoCのご案内 | ⼯場LAN⾒える化サービス(仮)*誰もがOT機器/危機を管理できる世界特に以下のような考えを持っている企業さま・担当者さま• まずは機器管理から始めたい• まずはお⾦をかけずに始めたい、もっと安く始めたい* OsecTとは別サービスです。
© NTT Communications Corporation All Rights Reserved. 16当社でのPoCのご案内 | ⼯場LAN⾒える化サービス(仮)⽣産現場の業務を妨げることなく、制御系システムのLAN・リスクを可視化し、セキュリティを含むリスクを早期に感知できる状態を作り、⼯場停⽌による損失を未然に防ぐことができます。OsecT SaaS環境OsecTセンサーアラート通知Webポータル画⾯状況の確認お客さま拠点お客さまトラフィックコピースイッチ⾒える化・端末・ネットワーク早期発⾒・新規端末検知機能のみ簡単導⼊・マニュアルにそって設定・OsecTセンサーで取得した情報はモバイル通信でアップロードされるため、既存LANへの変更は最⼩限(スイッチにおけるミラーポートの作成のみ)制御系システムへの影響なし・コピーしたトラフィックデータを監視・既存機器へのソフトウェアのインストール不要簡単運⽤・VPNなど不要でどこからでも可視化・検知画⾯を参照可能・シンプルなUI設計
© NTT Communications Corporation All Rights Reserved. 17当社でのPoCのご案内 | 概要対象• ⾃社⼯場のLANの端末・ネットワークの管理に課題を感じているお客様概要• 期間︓2023年9⽉~12⽉(1社あたり最⼤3ヶ⽉間)• 費⽤︓無償(使い⽅などの問い合わせ対応を含む)• センサー機器x1セット(1ミラーポートに対応)を無償貸与お客様にご協⼒いただきたいこと• スイッチ等へのミラーポートの設定• 設定について当社からのアドバイスは可能• LANケーブル(ミラーポートとセンサーPCの接続⽤)の⼿配• センサーPCの設置・撤去• 電源投⼊・停⽌• 当社がサービスの改良のために実施する下記についての同意• パケットデータを利⽤すること• アンケートへの回答やユーザインタビューへの対応
© NTT Communications Corporation All Rights Reserved. 18まとめ• 製造業の⽣産性向上に伴い、ITネットワークとの接続やIoTの接続が進んでいる。国内外・企業規模を問わずサイバー攻撃の事例は増えており、OTネットワークにおいてもセキュリティ対策が求められる時代になっている。• 予算/⼈材が不⼗分な企業さまにおいても機器/危機管理できるように、当社では低価格・簡単導⼊/運⽤可能・⽇本純正サービスとして位置づける「OTセキュリティリスク可視化サービス OsecT(オーセクト)」を提案。• まずはOT機器管理からという企業さま向けに「⼯場LAN⾒える化サービス(仮)」のPoCをご案内。OsecTセンサーの実機やデモを展⽰しているので、サービス・PoCなどにご興味を持たれた⽅は展⽰ブース(⼩間番号︓B-1)でお待ちしています。
© NTT Communications Corporation All Rights Reserved. 19ご参考 | 本発表に関連する各種Webサイト• OTセキュリティリスク可視化サービス OsecT(オーセクト) 申込ページ• https://www.ntt.com/business/services/security/security-management/wideangle/osect.html• または「OsecT」と検索• OsecTに関する技術情報や機能開発の背景など(NTTコミュニケーションズ 開発者ブログ)• https://engineers.ntt.com/• または「OsecT 開発者ブログ」と検索• 本⽇の資料は後⽇公開予定(NTTコミュニケーションズ Speaker Deck)• https://speakerdeck.com/nttcom• または「NTTコミュニケーションズ Speaker Deck」と検索• ⼯場LAN⾒える化サービス(仮)のPoCに関する問い合わせフォーム、及びQRコード• https://forms.office.com/r/zD5p6dGVgP