サプライチェーンのプロアクティブなサイバーセキュリティ対策の重要性
サプライチェーンに対するサイバー攻撃の影響によって、広範囲かつ壊滅的に被害を受ける企業が発生する可能性があります。これには、部品や材料の不足、生産環境のダウンタイム、出荷の遅延といった運用上の問題が含まれます。しかも、それはほんの始まりに過ぎません。
サプライチェーンは相互に大きく依存しており、ある企業への攻撃は多くの業界や経済全体に影響がおよぶ恐れがあります。たとえば、コンピュータチップの供給を混乱させるサイバー攻撃が発生すれば、電子機器を使用するほぼすべての業界に影響をおよぼすでしょう。2022年に発生したタイヤサプライヤであるブリヂストン社への侵害は、契約喪失により数百万ドルの損害をもたらしました。2017年の製薬大手Merck社への攻撃は、10億ドル以上の損害を与えただけでなく、病院や薬局へのワクチンや治療薬の供給を恐ろしいほど混乱させました。食肉加工業者JBS Foods社やNew Cooperative穀物協同組合に対して行われた最近の攻撃のように、一部の食品サプライチェーンに対するサイバー攻撃は、多数の顧客や消費者への供給を混乱させるほど影響が大きく、実際に混乱を引き起こしました。最悪のシナリオでは、攻撃者が製品に手を加え、致命的な結果を招く危険すらあります。
直接的な財務上の影響としては、身代金が要求されることはもちろんのこと、軽減対策やシステムの復旧費用などが挙げられます。商品を製造・出荷できなくなれば、収益の損失につながり、市場シェアの縮小を招くことは避けられません。
あらゆるカテゴリのデータもまた、リスクにさらされています。知的財産や、企業や従業員の機密情報を含む、顧客や社内の重要なデータが盗まれる恐れがあり、そうなるとベンダー、パートナー、スタッフ、顧客の間に不信感を生んでしまいます。法的リスクも甚大で、1億ドル規模の厳しい法定上の制裁金を科されるケースも想定されます。その他の損害コストとしては、ブランドや株価へのダメージ、顧客への補償費用、保険料の高騰、盗まれた企業機密や知的財産が悪用された場合の競争優位性の喪失などが考えられます。
OT環境に対するサイバー攻撃の統計データを見ると、決して安心できるものではありません。TXOneとフロスト&サリバン社による2024年の調査によると、企業の28%がOT/ICSランサムウェア攻撃を受け、85%の企業がOT環境に定期的なパッチ適用を行っておらず、回答者の98%がOTにも影響をおよぼしたITセキュリティインシデントを経験していると回答しています。インシデントの増加と大規模な混乱の懸念に伴い、世界各国の政府がさまざまな規制や枠組みを導入し始めていることからもわかるように、強固なサプライチェーン・サイバーセキュリティ・リスク管理対策は、ますますビジネス上の必須事項となっています。
一般的なサプライチェーンシステムの脆弱性
企業が業務全体のセキュリティを強化するにつれ、国家支援型の攻撃者であろうと、金銭目的のありふれた便乗犯であろうと、サイバー攻撃を仕掛ける側にとってサプライチェーンはより魅力的な標的となっています。米国国立標準技術研究所(NIST)が伝えているように、「ソフトウェアサプライチェーン攻撃は、マルウェアの注入のように巧妙なものもあれば、パッチが適用されていない脆弱性を日和見的に悪用するような単純なもの」もあります。
既にお伝えしたとおり、サプライチェーンは標的の宝庫です。また、一般的なサプライチェーンでは関係者のほとんどがサードパーティであるという事実が大きく影響し、サイバー攻撃に対して特有の脆弱性を抱えています。実際、攻撃者は、セキュリティ体制が不十分なサプライチェーン内の小規模なサプライヤを通じて、主たる企業を標的にしていることが調査で明らかになっています。たとえば、Stuxnetはベンダーから提供されたマシンを通じて侵入し、そこから他の資産へと拡散しました。
これらの関係者のどれか1つ、2つ、あるいはそれ以上が「弱い関係者」になり得ます。ある意味、すべてが弱い関係者であるとも言えるかもしれません。
ITの脆弱性
ITネットワークを通じてサプライチェーンへのサイバー攻撃を行おうとする攻撃者には、多くの選択肢があります。最近の例では、データ分析プロバイダであるSisense社での単純なパスワード侵害により、CISA(米国サイバーセキュリティ社会基盤安全保障庁)はすべてのSisense社の顧客に対し、同社の盗まれた情報を使用したサプライチェーン攻撃を防ぐために、「Sisense社のサービスで流出した、またはそのアクセスに使用された恐れのある認証情報と機密情報をリセットする」よう警告を発しました。
攻撃者は、偽ウェブサイトへのリンクをクリックさせたり、感染した添付ファイルをダウンロードさせたりするなど、何も知らない従業員を騙して有害な行動をとらせる欺瞞的なメールといった、標準的なフィッシングやソーシャルエンジニアリングの手法も使用します。電話や対面での接触も効果的です。
マルウェアやランサムウェアは、侵害されたウェブサイトや感染したサードパーティ製ソフトウェアを介してサプライチェーンネットワークへの侵入を果たします。NISTが指摘したように、(サードパーティに多数存在することが多い)パッチ未適用の脆弱性は容易に悪用されます。
より巧妙な攻撃では、犯人が正規のソフトウェア更新プログラムやサードパーティベンダーのコンポーネントにバックドアを仕掛け、ネットワーク全体へのアクセス権を取得してしまうケースもあります。中間者攻撃では、攻撃者はサプライチェーン内の2つの関係者の間に位置取って、交換されるデータを傍受、改ざん、あるいは悪意のあるコードを注入します。その他の手法には、トラフィックでシステムを圧倒するDDoS(分散型サービス拒否)攻撃など誰もが知っているものや、たまたまミスを犯した従業員あるいは実際の悪意を持った者による内部関係者の脅威などがあります。
OTの脆弱性
マルウェアやランサムウェアは、不注意な従業員や訪問した技術者によって、感染したUSBドライブやノートPCの接続を通じてOTネットワークに持ち込まれることがあります。一度侵入すると、マルウェアは運用を停止させたり、機器に損傷を与えたり、身代金目的でデータを暗号化したりする恐れがあります。
また、OTネットワークには、PLC(プログラマブル・ロジック・コントローラ)、SCADA(監視制御とデータ収集)システム、その他のICS(産業用制御システム)コンポーネントなど、パッチが適用されていないデバイスやレガシーデバイスが多数存在しているため、これらが攻撃の入口となってしまいます。
ITベースの攻撃で使用されるフィッシングやソーシャルエンジニアリングの手法は、OTでも同様に通用します。攻撃者は信頼できるソースになりすまし、担当者を騙してウイルスが仕込まれたウェブサイトにアクセスさせたり、悪意のあるコードを実行させたりします。カメラやセンサーといったIoTデバイスの利用拡大も、新たなアクセスポイントを生んでいます。
リモートアクセス用のソフトウェアも脆弱性の1つであり、VPNやRDP(リモート・デスクトップ・システム)がOTネットワークへの入口となります。サードパーティベンダーは、工場の管理者の承認なしにOTネットワーク上にゲートウェイやアクセスポイントを常時追加していることで、ある種、悪名高い存在となっています。現場での作業や基本的なOTトラフィック可視化ツールによって、サプライヤがリモート監視や保守のために設定した未知のアクセスポイントや脆弱性が頻繁に発見されています。これはOTネットワークへの「開かれた入口」となりますが、適切なツールや多層防御がなければ、多くの人がその存在に気づけません。
最も驚くべきは、ソフトウェアの更新プログラム、あるいはベンダーから直接納品される新品のハードウェア資産にさえ、マルウェアやその他の悪意のあるコードがあらかじめ仕込まれている恐れがあることです。
効果的なサプライチェーンサイバーセキュリティ対策
NISTは、いくつかの根本的な現実を認識した上で、サプライチェーンサイバーセキュリティに包括的に取り組むことを推奨しています。第一に、システムは侵害されるものだという前提で取り組む必要があります。つまり、予防の枠を超えて、事後の計画を用意しておくということです。また、サプライチェーンサイバーセキュリティの強化とは、技術的ソリューションであると同時に、人、プロセス、そしてセキュリティ問題に関する知識の問題でもあるということも認識しておくことが重要です。
OTネットワークの強化:多層防御セキュリティ
多層防御セキュリティ(深層セキュリティとも呼ばれます)は、システム内の複数の階層に防御メカニズムを配置し、さまざまな脅威から脆弱なポイントを守ることでネットワークを保護する多面的なアプローチです。
システムの物理的な保護
アクセスが厳格に管理され、カメラ監視が行われている堅牢な場所に資産を物理的に保護することは、機器に対する物理攻撃を防ぐのに役立ちます。たとえば、2022年にノースカロライナ州ムーア郡で発生し、44,000人が停電に見舞われた2つの変電所への銃撃事件のような事態を防ぐことができます。
侵入防御システム(IPS)の導入
一般的に、OTネットワークは巨大でフラット(階層化されていない)であるため、攻撃者がシステム全体へ急速に拡散するのが危険なほど容易です。残念ながら、VLANや追加のスイッチ、ルーターなどのためにネットワークを再設計することは、コストがかかり、保守も難しく、業務への混乱も大きすぎるため、再構築は現実的な解決策となり得ません。したがってOTでは、OT固有のIPSを用いて、信頼されたICSプロトコルと通信を管理することに焦点を当てる必要があります。
侵入防御システム、すなわちIPSデバイスは、潜在的な脅威を示唆する異常な振る舞いがないか、ネットワークトラフィックを継続的に監視します。既知の攻撃パターンを見つける、通常とは異なるネットワーク動作を検知する、あるいはユーザーやデバイスによる予期せぬ動作を認識することで、脅威を特定します。脅威が検知されると、IPSは不審なトラフィックを自動的にブロックし、セキュリティチームに警告します。たとえサプライチェーン攻撃がある領域に感染したとしても、OT資産の手前にIPSデバイスを設置することで、信頼されたアプリケーションのみが優先的に実行されるようになるため、資産は保護されます。
ネットワークのセグメント化
ネットワークセグメンテーションにはいくつかの形態があります。運用ゾーンは、制御システム、監視システム、エンタープライズシステムなど、機能とリスクに基づいてネットワークをゾーン分けします。DMZ(非武装地帯)は、内部OTネットワークと外部エンティティの間の緩衝地帯として機能する分離されたネットワークセグメントであり、機密性の高い運用資産への直接アクセスを制限することで、さらに保護機能を高めます。
ファイアウォール
ファイアウォールの設置は、ネットワークセグメント間のトラフィックの監視と制御に役立ちます。一方、産業用ゲートウェイはOT資産と外部ネットワーク間の通信を管理し、許可されたトラフィックのみを通過させます。一方向ゲートウェイは、データの抜き取りを防ぐために、データが一方向にのみ流れることを保証します。しかし、インターネットに接続できないレガシーなサポート切れデバイスには、従来のファイアウォールは選択肢になりません。このような場合、特にダウンタイムが制限されていたり、メンテナンス期間が稀であったりするOT環境においては、仮想パッチとパッチ管理が唯一の実行可能な選択肢となります。
アクセス制御
アクセス制御、正確に言えばその欠如は、長い間ネットワークセキュリティにおいて弱点となっていました。ネットワークを保護するアクセス制御を強化する方法はいくつかあります。ただし、OT環境では、厳格なアクセス制御が、稼働を維持するという必要性と矛盾する恐れがあることに留意しなければなりません。
RBAC(ロールベースアクセス制御)は、企業内の個人の役割(ロール)に応じてアクセス権を割り当て、アクションを許可します。最小権限の原則とは、まさにその名の通り、ユーザーが業務を行うために必要な最小限のアクセス権のみを与えることを指します。
OT環境におけるパスワードは、特に問題となりがちです。一部の現場では、特定のシステムでデフォルトのパスワードをそのまま使用しており、その方が単純かもしれませんが、確実にセキュリティを損ないます。定期的に変更される強力なパスワードが推奨されます。MFA、すなわち多要素認証(「テキスト送信した6桁のコードを入力してください」といったもの)は、パスワード保護をさらに強化しますが、OT環境では必ずしも実用的とは言えません。
エンドポイントのセキュリティ:OT環境のベストプラクティス
現代の作業現場では通常、運用環境内にレガシーなエンドポイントを収容する必要があり、それらは多種多様な資産と相互接続し、うまく機能させなければなりません。PLC、HMI(ヒューマン・マシン・インターフェース)、SCADAシステム、RTU(遠隔端末装置)、IoTセンサーやアクチュエータといったエンドポイントデバイスはすべて攻撃に対して脆弱であり、その多くがパッチ未適用のレガシー資産である場合はなおさらです。
従来のウイルス対策は、ICS環境向けに設計されていないため、有効なソリューションとは言えません。頻繁なウイルス定義ファイルの更新にはインターネット接続が必要であり、ファイルスキャンは通常運用を遅らせるほどの処理能力を消費してしまいます。そのため、さまざまな作業現場環境にあるレガシーシステムと最新デバイスの両方を保護する、異なるエンドポイントスイートを備えた「適応力が高く全環境対応型のICSサイバーセキュリティ」という形で、技術的な対策を講じることが可能であり、またそうすべきです。
サプライチェーンのリスク評価と管理手法
サプライチェーンのサイバーセキュリティリスクは、サードパーティの清掃・保守ベンダーからソフトウェア、工場出荷時のハードウェアに至るまで、あらゆる所に潜んでいます。これらのリスクを完全に評価し、管理するには、調達、ベンダー管理、セキュリティ、その他の主要機能を盛り込んだ、企業全体での連携した取り組みが必要となります。
サプライチェーン評価の基本的なステップは、サプライチェーン全体(そのすべて)の完全なマップを作成することから始まります。これには、すべてのサプライヤ、メーカー、ディストリビューター、顧客が含まれます。OTおよびITシステムの弱点も評価すべきです。自然災害、政情不安、サプライヤに起因する問題など、外部の脅威も考慮に入れなければなりません。リスクは発生の可能性と潜在的な影響度に応じて優先順位を付け、最も重要なものから順に対処します。
NISTは、連邦機関や民間セクター向けに開発した、完全性、セキュリティ、品質、レジリエンスを維持するためのサプライチェーンサイバーセキュリティリスクの評価・管理に関する多数のベストプラクティス推奨事項を示しています。推奨事項の一部を見てみると、
- あらゆるRFP(提案依頼書)および契約にセキュリティを組み込む
- セキュリティのギャップに対処するため、新規ベンダーと連携するセキュリティチームを任命する
- 部品購入に対する厳格な管理を維持する
- すべての未承認ベンダーからの資産を開梱し、完全に検査/X線検査を実施する
- すべてのコンポーネント、部品、システムの出所を確認するための追跡(トラックアンドトレース)プログラムを実施する
- ベンダーに厳格な管理を課す
- ベンダーは認可を受け、案内を受ける
- ソフトウェアへのアクセスをごく少数の者に制限する
- ハードウェアベンダーを、制御システムへのアクセス権を持たない機械システム担当のみに限定する
- 製造およびテスト体制を自動化し、人間が持ち込むリスクを低減する
セキュアなソフトウェア開発とサプライチェーン保証
セキュアなソフトウェア開発
ソフトウェア開発において、セキュリティは後回しにされがちです。セキュアなソフトウェア開発では、攻撃への耐性を持ち、ユーザーデータを保護し、ソフトウェアの完全性と可用性を維持するソフトウェアを作成することを目標に、当初からセキュリティを組み込みます。これには特定の一連の原則と実践が関わっており、NISTはこれをSSDF(セキュアソフトウェア開発フレームワーク)として体系化しています。
SSDFでは、実践手法を次の4つの主要グループに分類することを推奨しています。
- 企業の準備(PO):企業レベルで、また場合によっては個々の開発グループやプロジェクトレベルで、セキュアなソフトウェア開発を行うための人、プロセス、テクノロジーの準備が整っていることを確認する。
- ソフトウェアの保護(PS):ソフトウェアのすべてのコンポーネントを、改ざんや不正アクセスから保護する。
- 十分にセキュアなソフトウェアの製作(PW):リリース時のセキュリティ脆弱性を最小限に抑えた、十分にセキュアなソフトウェアを製作する。
- 脆弱性への対応(RV):ソフトウェアリリースの残存脆弱性を見極め、それらの脆弱性に対処するとともに、将来同様の脆弱性が発生するのを防ぐために適切に対応する。
セキュアなソフトウェア開発は広範なトピックであり、各グループには複数の要素が含まれますが、サプライチェーンリスクを軽減する上では極めて価値があります。この分野で専門的な知識を持つ多くの企業がガイダンスを提供しています。BSIMM(セキュア開発成熟度モデル)フレームワークやOWASP Top10リストなどの追加リソースも、セキュアな開発環境を確立するのに役立ちます。
サプライチェーン保証
NISTはサプライチェーン保証を、「サプライチェーンが、期待通りに機能する要素、プロセス、および情報を生み、提供する信頼性」と定義しています。サプライチェーン保証を維持するには、あらゆる要素を管理し保護する包括的なアプローチが必要になります。
サプライチェーン保証のその他の重要な原則には、チェーン内の物品の状態をエンドツーエンドで追跡しリアルタイムで監視することによって達成される、サプライチェーン活動の完全な可視化があります。製品検査やサプライヤ監査を含む、供給品の品質保証も重要な構成要素です。サプライヤの多様化、バッファ(緩衝)となる十分な在庫の確保、代替輸送計画など、リスク評価およびその軽減対策も検討すべきです。真のサプライチェーンレジリエンスを実現するには、サプライチェーンの混乱に迅速に対応できるような冗長性とバックアップ計画の整備が必須です。
サードパーティリスクの調査
サードパーティのサプライチェーン関係者の膨大な数とセキュリティ状態のばらつきを考えると、複雑なチェーンに内在するリスクは計り知れません。サードパーティリスクを評価するための民間企業のベストプラクティスには、身元調査やセキュリティポリシーのレビューを含む、スクリーニングとデューデリジェンス(精査)が含まれます。
多くの企業が独自の調査票を作成しています。調査票内の質問には、ソフトウェアおよびハードウェアの設計プロセスと管理、既知の脆弱性の軽減が製品設計に織り込まれているか、ベンダーがどのように最新情報を入手しゼロデイ脆弱性に対処しているか、マルウェアの検知/防止方法、その他開発、プロセス、アクセス、文書化、従業員の経歴、監査に関する質問などが含まれます。
サプライチェーンサイバーセキュリティへの多面的なアプローチの遵守
全体を通して述べているように、サプライチェーンサイバーセキュリティには、リスク評価、管理および軽減、継続的な監視、サプライヤやパートナーの監査とインサイト、ネットワークをセグメント化しエンドポイントやその他のデバイスを保護する技術ソリューション、そして必要に応じて迅速に実行できるインシデント対応アクションプランを含む、全体を網羅した部門横断的で多面的なアプローチが必要です。
これらを実現するのは、リスク、ベストプラクティス、そして個々の従業員がサプライチェーンサイバーセキュリティをどのように推進し、あるいは妨げるかについての意識向上とトレーニングなしには困難でしょう。訓練を行えば、インシデント発生前に従業員がインシデント対応計画の実行方法を理解するのに役立ちます。フィッシングやその他のソーシャルエンジニアリングの手法を見分ける方法のような基本事項でさえ、有効と言えます。
OT固有のソリューションを用いたサプライチェーンサイバーセキュリティ対策の効果の最大化
近年、OTセキュリティへの注目が高まっているにもかかわらず、ICS環境は依然としてサプライチェーンサイバーセキュリティ攻撃側にとって魅力的な標的のままです。よくある間違いは、多くのOT環境が、本来意図されていない「IT向けに適応されたセキュリティプロトコル」を使用しようとしている点です。特にセキュリティと稼働環境を同時に維持する必要性など、産業環境の厳しい現実や異なる優先順位に合わせて特別に設計された、OTネイティブなサプライチェーンセキュリティ対策の方がはるかに効果的です。
OTネイティブなソリューションは、ITには馴染みのないOTプロトコルやシステム(SCADA、コントローラなど)を認識・理解しており、パッチ未適用のレガシーシステムを補う手段を備えています。また、OTネイティブなソリューションは、OT資産や機能に特有の脅威を検知し、異常な振る舞いを認識することもできます。産業環境は、カーペット敷きのIT世界よりも機器に対してはるかに要求が厳しい場合が多く、過酷な条件に耐えうるOTネイティブなハードウェアソリューションが強く推奨されます。
つまり、稼働状態を継続しながらセキュリティを有効に機能させようとするならば、OTの世界は専門的な知識とソリューションを必要とする特殊な場所なのです。
TXOneのOTネイティブなサプライチェーン・サイバーセキュリティ・ソリューションの詳細について
サプライチェーンの保護において、TXOneのOTネイティブなソリューションは、現場やあらゆる環境でその実力を繰り返し証明してきました。サプライチェーンとOTセキュリティの詳細については、TXOneのウェブサイトを是非ご覧ください。
TXOneにまずお気軽にご相談ください。
製造業界のサイバーセキュリティ課題は常に変化しています。TXOneはお客様のサイバーセキュリティに関する課題について最適なOTセキュリティソリューションが提供できるよう、いつでもお手伝いさせていただきます。お問い合わせ内容を確認後、担当者より迅速にご連絡致しますので、お気軽にお問合わせください。
おすすめ記事
「SBOM」を活用したサプライチェーンの脆弱性リスク管理の必要性
サプライチェーンへの攻撃の防御手段になるであろうと最近広く注目を集めているセキュリティツールの1つ、#SBOM(Software Bill of Materials)をご存じですか?
