業界別事例を紹介。エンドポイント保護によるOTセキュリティ

今回は産業向けエンドポイント保護製品であるTXOne Stellarの業界別事例をご紹介します。Stellarは、各産業のOT環境における要件に沿って、持続的な防御及び検知と対応を提供する包括的な産業向けエンドポイント保護製品です。電力、石油・ガス、製造、製薬、半導体、小売業などを含む幅広い業種に導入されて成果を上げており、資産のライフサイクルを通して業務の信頼性、効率性、安定性を高めることが出来ます。本記事では、自動車、半導体、製薬、小売業界における、TXOne Stellar導入事例について解説します。

セキュリティと運用安定性のトレードオフを克服するTXOne Stellar

市場には産業向けに特化したエンドポイント保護製品は少なく、産業向けエンドポイント保護（Industrial Endpoint Protection）製品はあまり聞きなれないキーワードであると思います。読者の皆さまの中には、これまで多くのエンドポイント保護製品が提供されてきているのに、なぜわざわざ産業向けに特化したエンドポイント保護製品が必要になるのかと疑問に思われる方もいらっしゃると思います。IT環境とOT環境の違いの一つとしては、OT環境は可用性が重要であるというポイントがあります。可用性が重要であるためレガシーな環境でもエンドポイント製品はOTシステムに影響を与えないように軽量に動作する必要があります。TXOne Stellarのエージェントは軽量に設計されているためハードウェアリソースが限られるレガシーな環境においても負荷をおさえて稼働することが可能です。これをご納得いただけたとして次にくる疑問としては、軽量に設計されている分サイバー攻撃に対して十分な防御が行えないのではないかというものです。本記事では実際の事例をベースにTXOne Stellarがどの様にOT環境の可用性を維持しながら産業向けエンドポイントのセキュリティを高めているかに焦点を当てつつ解説を行っていきます。

自動車業界　×　OTセキュリティ

ハッキングツール対策

背景

自動車完成品メーカーであるＡ社は、製造環境に対する高度なサイバー脅威への対応の一環としてハッキングツール対策を検討していました。検討当初、A社はハッキングツールをEDR製品により検知することを考えました。しかし、机上検証の段階においていずれのEDR製品もエンドポイントからクラウドへの接続が必要でありクローズド環境もまだまだ多く存在する工場環境においては活用が困難であることが判明しました。

そのためEDR製品の活用は断念して次のフェーズとして、多くのEDRベンダーが提供する次世代アンチウイルス製品（NGAV）によりクローズドな環境でハッキングツールを隔離するという対策を検討することにしました。19のハッキングツールをそれぞれ動作させE社とF社のNGAV製品において実際の環境で隔離ができるかを検証しました。結果としては、それぞれ隔離が可能なツールに違いはあるが、19のうち14は隔離が可能であるが、5つは認識できず隔離が出来ませんでした。

結果

そこで改めて、クラウド接続の必要がないTXOne StellarのCPSDR機能によってハッキングツールを検知できるかについて検討を行うこととなりました。実際の環境でテストを行ったところ19のハッキングツールのうち全てを検知することが出来ました。このことが一つの要因として、Ａ社はTXOne Stellarを該社の製造環境内のエンドポイント保護製品として採用することを決定しました。

ハッキングツール対策検討フェーズ

半導体業界　×　OTセキュリティ

生産性向上対策

背景

半導体メーカーであるB社は、製造環境で利用しているG社のエンドポイント保護製品のサポート終了を一つの契機として、代替製品の検討を開始しました。代替製品の検討にあたって重要なポイントとしてはマルウェアスキャン機能とロックダウン機能がレガシーOSからモダンOSまで適用が可能であるということでした。製造環境の中にはCPUやメモリリソースが限られているレガシーなハードウェアも多数存在することから、こういったハードウェアリソースが限られた環境でも問題なく動作するという点が特に重要でした。

結果

この点を踏まえていくつかのエンドポイント保護製品の比較検討を実施しました。その結果、他社のエンドポイント保護製品の平均CPU使用率が10％前後であったのに対してTXOne Stellarの平均CPU使用率は1%未満ということで大きくパフォーマンスが異なることが確認できました。さらに驚くべき点として、過去に利用していたエンドポイント保護製品の環境に比べて、TXOne Stellarへの移行後は半導体ウエハの処理効率が約2倍となりました。通常、製造環境へのエンドポイント保護製品の展開は数か月や1年といった時間をかけて実施しますが業務への好影響が大きいとのことでB社ではTXOne Stellarを迅速に展開させていくことが出来ました。

Stellar移行前後の生産性の比較

製薬業界　×　OTセキュリティ

レガシーOS対策

背景

医薬品メーカーのC社は、既にサポートが終了したWindows 2000やWindows XPといったOSの利用を継続していました。既にサポートが終了したOSであるため対応したエンドポイント製品が見つけられなかったことから、セキュリティ対策がなされていないリスクの高い状況が続いていました。そんな中、ある日ネットワーク内にConfickerというワームが入り込んでしまい、ネットワーク内に増殖を繰り返す中で大量のネットワークトラフィックが発生し、ネットワークが機能不全に陥ってしまいました。ある端末をバックアップからリストアしたとしても直ぐにワームに感染してしまうことから、このセキュリティインシデントの復旧に手をこまねいていました。

結果

そこでレガシーOSも対応可能なTXOne Stellarを導入し動作を確認したところ、

１）インストール時の再起動が必要なくスムーズに導入できる
２）レガシー環境においても軽量に動作するためシステムへの影響が少ない
３）ネットワーク内のワームを一網打尽にできる

といった観点で採用いただきインシデントを復旧することが出来ました。

ワームによるネットワーク機能不全

小売業界　×　OTセキュリティ

ファイルレス攻撃対策

背景

スーパーマーケットをチェーン展開するD社は、ランサムウェア攻撃を受けたことにより800店舗のスーパーマーケットを一時的にクローズせざるを得ない状況に追い込まれました。攻撃者はD社と取引のあるH社のサーバに含まれる脆弱性を突いてそのサーバを乗っ取り、そのサーバから以下の様ないくつかの段階を経てD社のスーパーマーケットのPOS端末に攻撃を仕掛けました。

１）手始めにPowerShellを使ってWindows Defenderを無効化するなどランサムウェア攻撃の下地を整える行動をとりました。
２）ランサムウェアの実体ファイルをターゲットの端末に投下しました。
３）ランサムウェアの実体ファイルを実行します。
４）ランサムウェアが特定ファイルを暗号化するためにレジストリーキーの作成などを実行します。

結果

結果的に、D社はランサムウェアの被害にあってしまいましたがTXOne Stellarを活用していれば1つのエージェントで様々な防御を行うことが可能となり、上記のそれぞれの段階で以下の様な防御や検知を行うことが可能でした。これらの理由からD社は新たなセキュリティ対策としてTXOne Stellarを採用することを決定しました。

１）スクリプトの異常な挙動を検知してPowerShellの実行をブロックできます。
２）既知のものであればランサムウェアの実体ファイルが着弾した際に隔離を実行します。
３）ランサムウェアが実行されようとするとロックダウン機能の許可リストにないexeファイルやdllファイル等はブロックされます。
４）レジストリーキーの変更など、悪意ある行為と疑わしい挙動については検知しアラートを上げます。

ファイルレス攻撃とランサムウェア攻撃に対する多層防御

まとめ

本記事では、実際の事例をベースにして産業向けエンドポイント保護製品であるTXOne Stellarの特徴を見てきました。事例を見ていく中で、OT環境での特有の課題と、なぜこれまでのIT向けエンドポイント保護製品だと対応が難しいのかという理由が少しお伝え出来たかと思います。OT環境では次のような課題がありました。

１）レガシーOSが多数存在する
２）業務継続が優先される
３）ハードウェアリソースが限られており高負荷に耐えられない
４）高度な脅威には複数のセキュリティ対策が必要
５）クラウド接続が必要なEDRの活用は難しい

それに対し、TXOne Stellarは、次の５つの特徴がございます。

１）レガシーOSも保護することが出来る
２）インストール時の再起動が不要でスムーズな導入が可能
３）軽量に設計されておりハードウェアリソースが限られた環境でも動作可能
４）一つのエージェントでロックダウン、マルウェアスキャン、ふるまい検知など多層防御が可能
５）クラウド接続が必要ない高度な脅威検知が可能

これらの情報を踏まえて読者の皆さまのOT環境のセキュリティ対策検討の一助になれば幸いです。

製造業界のサイバーセキュリティ課題は常に変化しています。TXOneはお客様のサイバーセキュリティに関する課題について最適なOTセキュリティソリューションが提供できるよう、いつでもお手伝いさせていただきます。お問い合わせ内容を確認後、担当者より迅速にご連絡致しますので、お気軽にお問合わせください。

おすすめ記事

　　

CPSDRとは｜OT環境はEDR/NDR/XDRではいけないの？

CPSDRはCyber-Physical System Detection & Responseの略でOT環境において高度化するサイバー脅威をすばやく検知し迅速な対処するためのソリューションです。

　　

OTのエンドポイントデバイスにセキュリティ製品がインストールできないって本当？

OTの世界ではITの世界以上にセキュリティ製品の導入を阻む壁がいくつも存在します。本記事では、OTエンドポイントセキュリティに関する導入を阻む壁について紹介しつつ、その壁をどのように乗り越えていくかについて解説します。

　　

ITのエンドポイントセキュリティをOT環境に適用ができない理由を解説

TXOneのエンドポイント保護「Stellar」はなぜOTエンドポイントに適用することが可能なのか、なぜロックダウン以外の機能も多く提供しているのかなどについてご紹介させて頂きます。