OT環境を可視化するミクロとマクロの技術〜ツラいSBOM・OT-IDS運用とその対策〜 / Micro and macro technologies for visualizing OT environments - Difficult SBOM and OT-IDS operations and countermeasures -

Transcript

1. © NTT Communications Corporation All Rights Reserved. OT環境を可視化するミクロとマクロの技術 〜ツラいSBOM・OT-IDS運用とその対策〜 2025年2月19日

   NTTコミュニケーションズ株式会社 イノベーションセンターテクノロジー部門 西野卓也 加島伸悟

2. © NTT Communications Corporation All Rights Reserved. 2 本日の発表の流れ 1.

   SBOM 2. OT-IDS

3. © NTT Communications Corporation All Rights Reserved. 3 本日の発表の流れ 1.

   SBOM 2. OT-IDS

4. © NTT Communications Corporation All Rights Reserved. 4 自己紹介 名前:

   西野 卓也 Cyber Threat Intelligence Operations Architect NTTコミュニケーションズ イノベーションセンター テクノロジー部門 Metemcyber PJ 所属 経歴 2015 : NTTコミュニケーションズ入社 2015 – 2016 : 悪性サイトクローラによる脅威インテリジェンス収集システムの開発 2016 – 2017 : マルウェアの自動分析と脅威インテリジェンス管理基盤の開発と運用 2018 – 2019 : マルウェアサンドボックスのマルチベンダ性能比較プラットフォームの開発 2018 : 情報セキュリティ大学院大学へ入学 2018 – 2020:脅威インテリジェンスの共有と拡充に関する研究に従事 2020 : 脅威インテリジェンスの共有戦略をゲーム理論的に分析して論文化 2020 : 情報セキュリティ大学院大学を卒業 2020 : ブロックチェーン技術を利用した脅威インテリジェンス流通基盤「Metemcyber」を開発 2020 : Metemcyberプロジェクトのリーダーとして活動開始 2020 : Ethereum in the Enterprise – Asia Pacific 2020でMetemcyberの事例を発表 2021 : Metemcyberの実証実験を開始 2022 : 脅威インテリジェンスとSBOMを用いた迅速かつ効果的なサイバー脅威対策手法を発明し、社 内トライアルを展開 2023 : ICT-ISACオープンセミナー で「SBOMを活用した脆弱性管理の取り組み」を講演 2023 : J-Auto-ISACのメンバーとしてSBOMガイドラインの執筆に参加 主な業務 脅威インテリジェンスの収集、分析、活用、共有（売買） に関する研究開発

5. © NTT Communications Corporation All Rights Reserved. 5 SBOM（Software Bill

   of Materials）とは 製品に含まれるソフトウェアの構成を可視化した一覧表のこと フロントエンド バックエンド pipy packages npm packages @mui/material ... react redux fastapi ... SQLAlchemy uvicorn 脆弱性あり 脆弱性あり Webサービス

6. © NTT Communications Corporation All Rights Reserved. 6 SBOMのメリット 食品の成分表示のように「製品の安心・安全」を見える化が可能

   名称：•• 原材料： 小麦粉、砂糖、 卵… SolarWindsを狙ったサイバー攻撃の事例（2020年） リモート監視ツールの アップデートに不正な コンポーネントを混入 SBOMが利用できる状態なら、利用者の視点で 不正なコンポーネントの混入を検知できたかも

7. © NTT Communications Corporation All Rights Reserved. 7 SBOM（Software Bill

   of Materials）の利用目的 サプライチェーン セキュリティ • SBOMの最初の利用目的 • SPDXフォーマットが開発された元々の理由 • SBOMの応用的な利用 • セキュリティ用途のCycloneDXフォーマット • 調達に関する制限のチェックなど • SBOMの新しい注目領域 ライセンス管理 脆弱性管理 ポリシー&コンプライアンス管理

8. © NTT Communications Corporation All Rights Reserved. 8 法的な規制に対応するためのSBOM利用 薬機法

   IMDRF（国際的なガイダンス）準拠で 医療機器を設計製造するためのSBOM 大統領令 政府調達品に関するサプライチェーン セキュリティの具体策としてのSBOM EU CRA EUで流通するデジタル製品の 「自己適合宣言」としてのSBOM

9. © NTT Communications Corporation All Rights Reserved. 9 利用者視点で、デジタル製品に包括的なセキュリティを 欧州サイバーレジリエンス法（EU

   CRA）が2025年後半から段階適用 製造者の義務（一部） 1. 自己適合宣言または第三者認証の選択 • SBOMを提出するかセキュリティ認定を受けるか（実質SBOM一択） 2. 5年間のセキュリティアップデート 3. 脆弱性の悪用やインシデント発見後、24時間以内にENISAへ報告 4. 罰金は最⾼1,500万ユーロまたは当該企業の全世界売上⾼の2.5％以内 • 1ユーロ160円の場合、1,500万ユーロは日本円で24億円に相当 ※2023/11/30に欧州議会で合意 市場流通する90%程度の製品が該当 例：スマートスピーカー、ハードドライブ、 ゲーム機など（重要な製品は更に厳格） https://www.era.europa.eu/ system/files/2022- 12/01Policy-0%20- %20DG%20CNECT%20- %20Cyber%20Resilience%2 0Act%20and%20NIS2.pdf デジタル要素を備えたすべての製品が対象

10. © NTT Communications Corporation All Rights Reserved. 10 法令 先行

    技術 先行 技術的には可能です できるって言ったよね？ 企業におけるSBOM運用の現状 SBOMはライセンス管理、脆弱性管理、 ポリシー＆コンプライアンス管理に 利用することができます 利用したとは いってない SBOMがあれば、サイバーセキュリティ 要件を厳格化できる。サイバー攻撃から みんなを守れる世界をつくろう！ 検証したとは いってない 運用上の落とし穴が 現時点では多数存在 企業でのベストプラクティスが存在しないため、 技術と法令が先行しており運用成熟度が皆無

11. © NTT Communications Corporation All Rights Reserved. 11 開発ライフサイクルとSBOMの関係性 Requirements

    Design Implementation Verification Release Response Microsoft セキュリティ開発ライフサイクル https://learn.microsoft.com/en-us/windows/security/threat-protection/msft-security-dev-lifecycle ライセンスの 検証結果 構成部品の セキュリティ 継続監視 コンプライア ンス適合の 継続監視 セキュリティ 検証結果 セキュリティ 要件の決定 PRに対する 脆弱性検証 動的環境の 脆弱性検証 利用するライ センスの決定 脅威 モデリング 既存ライブラリ の健全性確認 SBOM 最終ビルド のSBOM 開発関係者で共有するために、プレリリースSBOMが作成される場合も 第三者機関やお客様への提供を想定 SBOMデータの共有方法や頻度について 外部提供するための最終的な合意を形成 提供ソフトウェアの更新があれば 新しいSBOMの提供も継続して実施 新規ライブラリ の健全性確認 お客様がSBOMで検証できる要素

12. © NTT Communications Corporation All Rights Reserved. 12 専用アプライアンスや古いソフトウェアの場合、 メーカーであってもSBOM情報が提供できない

    場合がある。さらに言えば、専用ソフトウェア の専用コンポーネントは、脆弱性やライセンス 情報の収集自体がが難しい場合も。 運用に必要なものは可能な限りSBOMを収集する SBOMジェネレータ 運用対象のOSSから抽出 （コード、コンテナイメージ、バイナリ等） SBOM SBOMファイル自体の提供 （コミュニティからの配布や保守等） コンポーネントの一元管理で 問題のあるコンポーネントが 横断的に見つけやすくなる SBOM 管理 「製品に含まれるOSSの特定」 を最初の目的にすること

13. © NTT Communications Corporation All Rights Reserved. 13 SBOMを利用できれば脆弱性管理はラクに？ 1.

    SBOMの作成 • SBOM作成ツールを利用 2. 脆弱性の検知 • SBOMで脆弱性スキャン 3. 検出された脆弱性の調査 • サービス利用者に与える影響は？ 4. 脆弱性の対応 • 必要があれば脆弱性に対応 脆弱性管理 SBOM型脆弱性スキャナ リスク評価と対応管理 SBOM Vulns リリース時点で問題がない ことをSBOMで客観的評価 c 新しく発見された脆弱性の自社影響 を複数のプロダクトやサービス横断 で常に漏れなく確認できる SBOMで依存コンポーネントの確認が迅速に 例：TrivyによるSBOM作成とスキャン SBOMには利用ライブラリ名やバージョンが記載されているため、スマートな脆弱性管理が理論的には可能 コンテナ環境（K8s/Docker）であれば、 OSSのKubeClarityが比較的試しやすい https://github.com/openclarity/kubeclarity

14. © NTT Communications Corporation All Rights Reserved. 14 リスク評価と対応管理は製品特性で変化 1.

    SBOMの作成 • SBOM作成ツールを利用 2. 脆弱性の検知 • SBOMで脆弱性スキャン 3. 検出された脆弱性の調査 • サービス利用者に与える影響は？ 4. 脆弱性の対応 • 必要があれば脆弱性に対応 脆弱性管理 SBOM型脆弱性スキャナ リスク評価と対応管理 例：TrivyによるSBOM作成とスキャン コンテナではない、アップデートが難しい環境ではCVSSベースの脆弱性通知がただのノイズに…… コンテナ環境（K8s/Docker）であれば、 OSSのOpenClarityが比較的試しやすい https://github.com/openclarity/openclarity SBOM SBOM SBOM 製品A 製品B 製品C プロダクトチーム SBOM利用で複数製品の脆弱性スキャンは容易になったが、 ユーザー影響がほぼない脆弱性が大量に通知される場合が存在 （ソフトウェアごとに数百〜数千のコンポーネントが存在するため）

15. © NTT Communications Corporation All Rights Reserved. 15 サービス利用者への影響を踏まえたアラート対処 SSVC(Stakeholder-Specific

    Vulnerability Categorization）の利用を検討。運用課題も明らかに CVSS SSVC 特徴 •脆弱性の深刻度を定量的に判断するための 評価方法 •ベンダフリーな評価方法であり、脆弱性の 評価方法として一般的によく知られている •CVE報告数の爆増により、実組織でCVSSだ けを利用した脆弱性対応はほぼない（セキュ リティ担当者が、何らかの方法でフィルタリ ングや場合分けをしている運用が多数） •ステークホルダー（パッチ適用者）の ニーズに基づいた脆弱性の優先順位付け •優先順位名と時間的猶予の関係がシンプル •Defer（放置OK） •Scheduled（定期アップデートで修正） •Out-of-cycle（緊急アップデートが必要） •Immediate（即時対応が必須） •サービス運用状況（インターネットから アクセス可能か等）を反映でき、現場の肌 感覚に近い脆弱性判断が機械的に実現可能 最新バージョン (2024/11現在) 4.0 (2023/11/1公開) v2024.3 (2024/3/9公開) ※正確には v2024.3.8が最新（2024/11/1） 主な管理団体 FIRST インシデント対応およびセキュリティチーム の国際的に有名なフォーラム団体 CERT/CC カーネギーメロン大学の名義で発表された が、現在は同大学のCSIRTで管理 既知の課題 参考にはするが、最終的には各社独自の意思 決定で脆弱性対応を行う場合がほとんど 決定木の各パラメータに必要な値を個別に 設定するため、各組織での運用が面倒

16. © NTT Communications Corporation All Rights Reserved. 16 脆弱性の検知と優先度の判断を、機械的かつ現実的に 1.

    SBOMの作成 • SBOM作成ツールを利用 2. 脆弱性の検知 • SBOMで脆弱性スキャン 3. 検出された脆弱性の調査 • サービス利用者に与える影響は？ 4. 脆弱性の対応 • 必要があれば脆弱性に対応 SBOM＋SSVC で脆弱性管理 SBOM型脆弱性スキャナ リスク評価と対応管理 CVEのADP(Authorized Data Publishers)の取り組みで、SSVCに必要な情報がより簡単に取得可能※1に！ z 初動対応時間の短縮 電気通信業や製造業での アプライアンス管理への応用 ソフトウェア 部品を管理 即時対応の必要な範囲が SSVCで明らかになるため ※1 CISAは、CVEのADPとしてSSVCに必要なパラメータをCVEのサイトから提供しているが、 中身は同組織が提供している「Vulnrichment」と同じであり、弊社システムは現状そちらを利用

17. © NTT Communications Corporation All Rights Reserved. 17 SBOMもSSVCも手動運用は難しいのでツールで簡単に パッチアップデートが難しい機器のセキュリティ管理の社内トライアルを実施

    SSVCを利用したセキュリティ アラート通知 SPDX 2.3と CycloneDX 1.6 のSBOMフォーマットに対応 国内の自動車業界標準に合わ せたSBOM管理（予定） プロダクト開発チームがSBOMを投入し、 SSVCパラメータ設定をアナリストが検証 Threatconnectome SBOM管理ソフトウェア「Threatconnectome」はOSSとして提供中 Github SBOM, Trivy, SyftなどSBOM作成ツールに対応済み ス レ ッ ト コ ネ ク ト ー ム https://github.com/nttcom/threatconnectome

18. © NTT Communications Corporation All Rights Reserved. 18 情報系ネットワーク 制御情報ネットワーク

    制御ネットワーク フィールドネットワーク SBOMで守る重要インフラのサプライチェーン DCS PLC DCS PLC 工 場 等 基幹インフラ事業者 f NTTコムの事例（検証中） 構成管理 /SBOM管理 脆弱性 判定機能 リスク評価・対策 手順支援AI SBOM システムB SBOM システムA SBOM システムC 支援要員 ①ベンダからのSBOM提供 （難易度低・コスト低） ※あくまでサービス利用者での話 ②内製・関連会社で作成す るシステムのSBOM生成 （難易度⾼・コスト低） ③システムのバックアップ ディスクイメージ・ファー ムウェアからSBOMを生成 （難易度⾼・コスト⾼） 制御システム用製品を扱う業者 攻撃事例収集 対策手順登録 など 自動化が 必須の部分 SBOM収集 の選択肢 Threatconnectome (OSSで提供中) (NTT研究所技術)

19. © NTT Communications Corporation All Rights Reserved. 19 SBOM まとめ

    • 「食品の成分表示」の概念をソフトウェアの世界に持ち込んだもの≒SBOM • サプライチェーンセキュリティの観点で、SBOMの利用が注目されており法規制が進んでいる • ライセンス管理 • 脆弱性管理 • ポリシー&コンプライアンス管理 • 「SBOM運用のベストプラクティス」は現状まだ存在しないので、導入する場合は手探りで検証が必要 • 各業界からガイドラインが出つつあるので、可能な限りそれを参照すべき。特にSBOMで必要となる概念を整理するため には、経産省が公開している「SBOM導入の手引き」は一読をオススメ • 具体的な運用方法が記載されているわけではないため、そこは自力or各業界のガイドラインを参考に頑張る必要あり • 現状、SBOMに関するデータの収集は主体的な行動が必要であり、場合によってはSBOM作成ワークフ ロー構築を主導したり、SBOM作成ツールを利用して自分から集めに行く必要がある • CRAなどの法的影響で、今後メーカーからのSBOM提供が一般的になる可能性も • 脆弱性管理が目的であれば、まずはOSSに依存する部分から。目的を明確にしたSBOM管理が重要 • SBOMを脆弱性管理に利用する場合、脆弱性検知は正確になるが運用は全然楽にならない • 管理対象のソフトウェアが多くなると、脆弱性通知されるアラート数もほぼ線形に増加していくため • 「SBOM＋SSVCの脆弱性管理」は運用の現実解になりそう。ただし、手動運用は難しく自動化は必須

20. © NTT Communications Corporation All Rights Reserved. 20 本日の発表の流れ 1.

    SBOM 2. OT-IDS

21. © NTT Communications Corporation All Rights Reserved. 21 自己紹介 加島

    伸悟（かしま しんご） ◼ 所属 NTTコミュニケーションズ株式会社（以下、NTT Com） • イノベーションセンター • テクノロジー部門 セキュリティグループ責任者 • セキュリティオペレーション実施責任者 • マネージド＆セキュリティサービス部 • 国産OT-IDS「OsecT」のプロダクトオーナー 一般社団法人 セキュリティ・キャンプ協議会 理事 ◼ 略歴 • 広域イーサネットサービスの技術＆商用開発 • フロー監視（xFlow）の技術開発＆国際標準化 • IETF RFC 7133 Author • NTTグループ全体のセキュリティガバナンス • 東京オリパラに向けた事業インパクトベースのリスクアセスメント • 制御システムセキュリティの技術開発・サービス開発

22. © NTT Communications Corporation All Rights Reserved. 22 OTシステムのサイバーリスク俯瞰図 情報系ネットワーク

    制御情報ネットワーク 制御ネットワーク フィールドネットワーク 外部からの不正アクセス マルウェア感染 情報系ネットワーク経由の 不正アクセス・マルウェア感染 リモートメンテナンス等 によるマルウェア感染 従業員のセキュリティ意識 管理されていないIT機器 セキュリティポリシーの不備 可搬媒体からの マルウェア感染 ランサムウェアによる事業継続リスク セキュリティインシデント時の対応 VPNの脆弱性による 不正アクセス、マルウェア感染 VPN マルウェアの内部拡散 DCS PLC DCS PLC OT（Operational Technology）システム＝制御システム 工 場 等 マルウエア対策のない クローズド環境の端末

23. © NTT Communications Corporation All Rights Reserved. 23 制御システム向けセキュリティ製品の要件 セキュリティ対策の導入によりシステムへの影響があってはいけない

    既存端末へのランサムウェア対策のソフトウェア（アンチウィルスソフト、 EDR等）の導入が難しい 脅威情報が公開されないためパターンマッチ型の脅威検知が適合しにくい 機器・端末の状態を把握していない 安定稼働最優先 最新の脅威への対応 資産管理

24. © NTT Communications Corporation All Rights Reserved. 24 制御システム向けセキュリティ製品 OT-IDS

    の特徴 ネットワーク型（端末導入型ではない） パッシブ型で検知まで （インライン型での遮断まではしない） ✓ 学習ベースの脅威検知 充実した可視化機能 IDS (Intrusion Detection System) 不正侵入検知システム → パッシブ型・・・OTへの適用事例が多い IPS (Intrusion Prevention System) 不正侵入防止システム → インライン型・・・ITへの適用事例が多い ミラーリング 安定稼働最優先 最新の脅威への対応 資産管理

25. © NTT Communications Corporation All Rights Reserved. 25 OT-IDS のツラいポイント

    脆弱性の可視化 OTプロトコル対応 アラート運用

26. © NTT Communications Corporation All Rights Reserved. 26 脆弱性可視化 OT-IDSの主要機能として

    OT環境の資産、脆弱性、脅威の可視化 が謳われることが多いが、 脆弱性可視化については注意が必要 脆弱性の分類 脆弱性の例 面 ネットワークの脆弱性 • 意図しない外部ネットワークへの接続 線 通信の脆弱性 • 平文通信の利用 • 認証の無い・弱い通信プロトコルの利用 点 端末の脆弱性 • OS、ファームウェア、アプリの脆弱性 OT環境で着目すべき脆弱性 オススメ 端末の脆弱性の可視化の課題 • パッシブスキャン方式による可視化は網羅性・正確性に欠ける • アクティブスキャン方式による可視化は（網羅的かつ正確だが、）OTシステムの安定稼働に影響を与 える可能性がある ⇨ 導入前には検証や影響が出た場合の対応ルールの策定が必要 • 常時監視はパッシブスキャン方式に限定し、（許されるなら）スポットでアクティブスキャン方式を利用

27. © NTT Communications Corporation All Rights Reserved. 27 OT プロトコル対応

    OT-IDSの特徴として OT プロトコル対応 が謳われることが多いが、必要性および必要な対応レベルに ついては導入環境を踏まえた検討が必要 可視化/検知内容 活用事例 FA PA BA レベル1 可視化: プロトコル名 • • • レベル2 可視化: 端末の役割、Purdueモデルのレベル 等 ◯ ◯ ◯ レベル3 可視化: コマンド △ ◯ ◯ レベル4 可視化: コマンド+パラメータ/バリュー △ △ レベル5 検知: コマンド △ ◯ ◯ レベル6 検知: コマンド+パラメータ/バリュー △ 活用事例の多さ：• ＞ ◯ ＞ △ ＞ （無印） オススメ • 事前に導入OT環境に必要な対応レベルと運用可能性を見極める • OT-IDSの対応レベルはプロトコル毎に異なるため、仕様確認を行う OTプロトコル対応レベルと活用事例

28. © NTT Communications Corporation All Rights Reserved. 28 アラート運用 OT環境のセキュリティアラートの運用は、一般的なITでの運用が通用しない

    • 連携すべき組織が多い • 連携する組織間に言語の壁があり、現場への理解、セキュリティへの関心・スキルのばらつきが大きい • 取り扱う主たるアラートがシグネチャー検知ではなく、学習ベースの振る舞い検知である • SOCの社外へのフルアウトソースは • 段階的な運用 • 簡易な振る舞い検知や深刻度の高いシグネチャー検知に絞って運用開始 • 段階的に高度な振る舞い検知も運用 • 社内の人材だけでは対応に不安がある場合は外部の専門家に依頼 • アラート発生時の対応について相談 • 高度な振る舞い検知のアラートのチューニング • 言語の異なる組織間で端末をIPアドレス以外でポイントできるように現場に寄り添ったタグ付けしておく OT-SOC の特徴（IT-SOCとの違い） オススメ

29. © NTT Communications Corporation All Rights Reserved. 29 国産 OT-IDS

    「OsecT」 OsecT（オーセクト）は、ISP/Tier1大規模ネットワークにおけるDDoS対策で培った通信フロー解析技術や 東京2020オリンピック・パラリンピック競技大会を支えた通信インフラ向けのリスク可視化技術など、NTT 研究所の技術を基にNTTコミュニケーションズが製品化したOTシステム向けIDSです。 OTネットワーク可視化 サイバー脅威の早期検知 さまざまな角度から分析した接続端末や通信をOsecT SaaS 環境のポータル画面で確認できます。 不審な端末や未知の通信などのサイバー脅威を早期に発見 し、アラートを通知します。

30. © NTT Communications Corporation All Rights Reserved. 30 国産 OT-IDS

    「OsecT」の特徴 OsecTセンサーを工場内のスイッチのミラーポートに接続するだけで準備完了。 OsecTセンサーからOsecT SaaS環境へのデータアップロード用の無線通信回線が付 属しているため、新たなネットワーク工事は不要です。 お客様環境 スイッチ 工場A（OT環境） OsecT センサー LTE スイッチ 工場B（OT環境） OsecT センサー LTE セキュリティ担当者 データ 可視化 分析 OsecT SaaS環境 アラート通知 現状の把握 セキュア回線で データアップロード 簡単導入 セキュリティ管理不要 センサーからSaaSへの通信は当社閉域網を利用するため、 ASM (Attack Surface Management：外部から攻撃を受ける可能性のある対象領域の管理)不要です。 セキュリティ監視状況はOsecT SaaS環境のWebポータルで確認できます。遠隔地の セキュリティ担当者が各工場を一元監視することもできます。 低価格な月額料金でご利用いただけます。 ※月額料金には無線通信回線やポータルの利用料も含まれています。 SaaSによる一元管理 低価格 セキュリティ運用サポートサービス付きプランの提供を開始予定（2025年） セキュリティサポート

31. © NTT Communications Corporation All Rights Reserved. 31 OT-IDS まとめ

    • OTネットワークの可視化とサイバー脅威検知ができる製品＝OT-IDS • 脆弱性可視化：アクティブスキャン型の製品のスポットでの併用がオススメ • OT プロトコル対応：必要な対応レベルの見極めと仕様確認をオススメ • アラート運用：外部専門家の力を借りつつ内製運用をオススメ • NTT Comは簡単導入・低価格・国産 OT-IDS「OsecT」を開発・展開中