パッチ適用が難しいOT環境やレガシーシステムを安全に保護する手段として注目される「仮想パッチ」。本記事では、仮想パッチの基本概念から、IT・OT環境における活用方法、ゼロデイ脆弱性やコンプライアンス対応といった具体的な利用シーン、そして導入時のベストプラクティスまでを分かりやすく解説します。
仮想パッチとは?
仮想パッチとは、セキュリティポリシーとルールの複数レイヤを実装することで資産を保護する、「脆弱性シールド手法」です。このような多層型のセキュリティ対策により、脆弱性へのネットワークパスを利用したエクスプロイトを阻止および遮断します。仮想パッチは、既知および未知の脆弱性を悪用する脅威に対する効果的な安全対策として機能し、実際のソフトウェアパッチやアップデート(それさえ不可能な場合があります)を適用する必要性もなくなります。
効果的な仮想パッチソリューションは多層的で、ビジネスクリティカルなトラフィックの悪意のあるアクティビティを検査して、ブロックします。仮想パッチは、ウェブに接続したアプリケーションに対する侵入を検知して、攻撃を阻止するもので、物理/仮想/クラウド環境のいずれにも展開できます。
このパッチは、既存のセキュリティ技術やパッチ管理ポリシーを補強することを目的としています。その最も魅力的なメリットの1つが、セキュリティチームが特定の脆弱性を評価し、通常のパッチをテストして適用するための時間を稼ぐことができることです。仮想パッチを適用することで、不要なダウンタイムを回避して、法規制への準拠を維持でき、パッチが発行されなくなったり、法外なコストがかかってしまうレガシーシステムのセキュリティを確保できます。
IT環境における仮想パッチ
ITネットワークにおける仮想パッチは、実際のソフトウェアパッチと同様に機能しますが、実際のパッチを展開したり、既存のアプリケーションを変更したりすることはありません。仮想パッチは、「エクスプロイトは、アプリケーションの脆弱性を出入りする特定可能なネットワーク経路を取る」という理論に基づき、脆弱なサーバーが攻撃されるのを防ぐ保護的なネットワーク制御を実施します。そうすることで、(可能であれば)標準パッチを適用できるようになるまで、脆弱性は「仮想的にパッチ適用」された状態になります。
仮想パッチは、既知の脆弱性が悪用される前に脅威を遮断して無力化するセキュリティ対策を用いることで、IT環境を保護します。自動化されたツールは、ソフトウェア、システム、またはアプリケーションの脆弱性を特定できます。特定されると、ファイアウォール、IPS(侵入防御システム)、ウェブ・アプリケーション・ファイアウォール、または不適切なトラフィックを認識してブロックすることでリスクを軽減するエンドポイント・セキュリティ・ソリューションに、特定のルールまたはポリシーを実装することができます。
IT環境における仮想パッチでは、ウェブアプリケーション、サポートが終了したパッチ適用不可能なレガシーシステム、既知の脆弱性のあるデータベース、コンピュータやモバイルデバイスなどのエンドポイント、サーバー、インターネットに公開されているサービスを有するクラウド環境にある脆弱性への攻撃を防御することができます。
OT環境における仮想パッチ
OT環境では、継続的な稼働が優先され、パッチをインストールするためのシステムダウンタイムが多くの場合において選択肢とならないため、脆弱性シールドは特に利用が困難です。この環境では、仮想パッチを適用することで、ICS(産業用制御システム)、SCADA(監視制御とデータ収集)システム、エンドポイント、およびパッチが利用できない可能性が高いサポート期限が切れたレガシーデバイスを効果的に保護することができます。
セキュリティ評価、ベンダーのアドバイス、または脅威インテリジェンスフィード(潜在的な脅威と脆弱性に関する情報を提供するデータストリーム)は、セキュリティチームがOT環境の脆弱性を特定する際に役立ちます。脆弱性が特定されると、チームは特定のルールを作成して、IPSやIDS(侵入検知システム)などのセキュリティデバイスに組み込み、悪意のあるトラフィックをフィルタリングまたはブロックして、脆弱性を攻撃から保護することができます。
仮想パッチは一般的に、セグメント化されたネットワークの異なるゾーン間や、PLC(プログラマブル・ロジック・コントローラ)やHMI(ヒューマン・マシン・インターフェース)など、担当者がシステムにアクセスして操作するリスクのあるデバイスの直前など、OTネットワークの重要なポイントに展開します。トラフィックが継続的に監視および検査されるこれらのポイントおよび同様のポイントで、仮想パッチは脆弱なシステムを守る保護的なセキュリティルールを適用します。
仮想パッチの5つの活用例
1.ゼロデイ脆弱性への迅速な対応
ゼロデイ脆弱性とは、ベンダーや開発者のいずれにも知られておらず、そのためにパッチが適用されていないシステムの脆弱性のことです。問題が不明であるが故に、パッチさえ存在しないため、ゼロデイ脆弱性は攻撃者にとって非常に魅力的に映ります。問題が発見されてから実際のパッチがリリースされるまでの期間は、最もリスクの高い期間です。仮想パッチは、この期間に相当迅速かつ効果的な防御を実現できます。
ゼロデイ脆弱性が発見された場合、多くの場合、エクスプロイトの特性を特定する脅威インテリジェンスを通じて、その特性を対象とするカスタムルールとポリシーを開発、テスト、および迅速に展開できます。OT環境は、多くの場合、新旧のシステムや特殊なハードウェアが混在しているため、仮想パッチはその特定のOT環境に合わせて調整しなければなりません。展開は、IPS、IDS、ファイアウォール、またはその他のツールを通じて行うことができ、ベンダーが実際のパッチを開発、テスト、および配布するよりもはるかに早く準備できます。
2.レガシーシステムの保護
レガシーシステムとそのセキュリティ上の脆弱性は、OTの世界の至るところで見受けられます。ベンダーからのサポートや定期的なアップデートがなくなると、その脆弱性は格好の標的となります。レガシーシステムの保護計画は、強固なOTセキュリティ体制の基本です。
仮想パッチは通常、IPS、ファイアウォール、またはOTセキュリティ専用のゲートウェイなどのセキュリティデバイスを使用して、ネットワークレベルで展開されます。これらのデバイスに仮想パッチが展開されると、ネットワークトラフィックを監視およびフィルタリングし、攻撃がレガシーシステムに到達する前にブロックするルールを使用します。ネットワークパスに仮想パッチを配置することで、セキュリティチームはソフトウェアやファームウェアを変更することなくレガシーシステムを保護できます。仮想パッチは、最新のセキュリティパッチがおそらくサポートしていない独自のプロトコルまたは古いプロトコルを保護するようにカスタマイズできます。
レガシーシステムの仮想パッチには、重要なメリットがいくつかあります。非侵入型であり、ソフトウェアには手を加えず、外部に展開されるため、レガシーシステムの運用上の完全性は維持されます。必要に応じて、仮想パッチは数時間以内に展開することができ、その過程で稼働環境を停止させることもありません。
3.重要なシステムの一時的な保護
重要なシステムにベンダーのパッチを適用できない場合、または実稼働環境を停止することが不可能な場合、仮想パッチを適用することが、重要なシステムを一時的に保護する極めて現実的なアプローチとなります。
仮想パッチは、脆弱性が発見されたほぼ直後に中間的なセキュリティ層として迅速に導入でき、遅延によって重大なリスクが生じる場面において極めて効果的です。仮想パッチは、既知の攻撃ベクトルまたは疑わしいトラフィックパターンをブロックして、保護対象の重要なシステムから潜在的な脅威を遠ざけることができます。
他の仮想パッチと同様に、重要なシステムを一時的に保護する場合は、ファイアウォールまたはIPS/IDSアプライアンスを使用して、ネットワークトラフィックが意図した対象に到達する前に監視およびフィルタリングを行います。仮想パッチの展開は、システムのシャットダウンや再起動をすることなく実現でき、脅威と環境の特性に合わせてカスタマイズできます。また、ソリューションは、既存のセキュリティインフラストラクチャと統合することもできます。
4.サードパーティ製ソフトウェアの保護
サードパーティ製ソフトウェアは、OT環境にさまざまな脆弱性をもたらし、ネットワークのセキュリティ、安全性、信頼性を損なう可能性があります。サードパーティ製ソフトウェアが定期的に更新またはパッチ適用されていない場合、攻撃者が悪用できるセキュリティ上の欠陥が未対処のまま存在することになります。これは、システムが極めて重要であるという点とシステムのシャットダウンが困難というOT環境では、特に大きな問題です。
サードパーティ製ソフトウェアに共通する問題には、脆弱または古い通信暗号化プロトコル、暗号化されていないデータ、セットアップ時に誰も変更しない脆弱なデフォルトのユーザー名、容易にアクセス可能なバックドア、およびサポートが受けられないサポート終了のソフトウェアなどがあります。
アップグレードできないレガシーなWindowsシステムはその良い例です。この場合、仮想パッチはリアルタイムで悪意のあるアクティビティを監視してブロックすることで脆弱性を軽減し、実際のシステムに変更を加えることなく効果的に脆弱性にパッチを適用できます。
仮想パッチは、あらゆるサードパーティ製ソフトウェアをサイバー攻撃から保護するための有望なソリューションとなりえます。実際、ベンダーのパッチリリースが遅れたり、特定のソフトウェアのサポートが終了した場合、これが唯一の解決策になることもあります。このような場合、仮想パッチは即座に有効な応急処置となり、重要な保護対策を実現します。
5.コンプライアンス要件
OT環境は、重要なインフラストラクチャを保護し、継続的な稼働を確保して、機密データを保護するために、堅牢なセキュリティ対策を要求するさまざまな規制の下で運用されています。コンプライアンスに違反した場合、多額の罰金が科される可能性があり、違反やデータ損失を引き起こしたり、重要なインフラに影響がおよんだりした場合はなおさらです。
仮想パッチを迅速に展開できることは大きなメリットです。仮想パッチは、特にゼロデイ脆弱性の場合、ベンダーのパッチがすぐに提供されなくても、迅速な対応で即座に保護を行います。規制では、徹底したリスク管理プロセスの一環として、セキュリティリスクの特定、評価、軽減を求められることが多いため、仮想パッチを適用することで、そのプロセスで発見された脆弱性にセキュリティチームが迅速に対処できるようになります。これらのパッチの実装は容易に文書化できるため、OT管理者は規制監査中にサイバーセキュリティ対策の一環として、仮想パッチの使用状態を示すことができます。
仮想パッチはまた、エネルギー、運輸、医療、水処理などのミッションクリティカルな業界において、企業が業界固有の規制要件を満たすのにも役立ちます。これらの仮想パッチは、企業が講じたセキュリティ対策を文書化した監査証跡にもなります。
仮想パッチのベストプラクティス
定期的な監視とアップデート
OT環境では、脅威の進化に合わせて仮想パッチが効果的かつ適切に機能させ続けられるように、定期的な監視とアップデートが不可欠です。SIEM(セキュリティ情報およびイベント管理)ツール、IDSおよびIPS(侵入検知/侵入防御システム)などの継続的な監視システムは、攻撃や疑わしいアクティビティを特定できます。また、仮想パッチが展開されていない脅威も特定できます。
脅威は常に進化しているため、仮想パッチはそれだけですべてを賄えるソリューションとはなりえません。仮想パッチのルールは、新たな脅威が発生したり、新しいネットワーク構成やOTシステムの更新など、仮想パッチが保護する運用環境に変更が生じたりした場合には、更新しなければなりません。
仮想パッチの更新は、確立されたプロトコルに従って行います。OTネットワークへの更新作業は、IT部門と調整し、業務の中断を最小限で済むようにして、詳細な記録を残すようにします。継続的な監視と仮想パッチの定期的な更新により、企業はダウンタイムのリスクを軽減し、セキュリティポスチャを改善して、セキュリティ規制への準拠が維持できるようになります。
パッチ管理システムとの統合
仮想パッチを企業の集中型パッチ管理システムに統合することで、ネットワーク保護に対して一貫性、管理体制、協調性を維持できるようになります。
仮想パッチを集中管理システムに統合することで、仮想パッチと標準パッチを1つのプラットフォームで管理でき、可視性が高まります。これで、標準パッチと仮想パッチのいずれで対処されたかにかかわらず、すべての脆弱性の追跡が可能になります。統合により、定期的なパッチ適用サイクルとの同期が向上するだけでなく、コンプライアンスや監査に対応するための包括的な追跡やレポート作成も可能になります。
また、統合によって、仮想パッチと通常のパッチの管理を調整できるように、セキュリティチームがワークフローを自動化することも可能になります。たとえば、システムが新しい脆弱性を検出した場合、仮想パッチを自動的に展開すると同時に、最新バージョンのインストールをスケジュール調整できます。全体として、統合は、運用の合理化、企業のセキュリティポスチャの改善、通常のパッチとの競合や冗長性のリスクの低減に役立ちます。
テストと検証の手順
OT環境にパッチを適用する前に、パッチが設計どおりに機能し、稼働環境を中断させたり、その他の意図しない結果を招いたりしないことを確認するために、パッチをテストします。
可能であれば、実稼働環境を模倣したテスト環境を設置します。すべての設定が適用され、パッチが対象とする脆弱性に対処できていることを確認します。標準的な運用シナリオを実行して、パッチが適切なトラフィックをブロックしたり、システムの機能を中断したりしないことを確認します。テストでは、仮想パッチが保護しようとしている脆弱性の保護に成功していることも確認する必要があります。
プロセスの次のステップは、展開後の検証です。パッチが実稼働環境に展開された後、そのパッチが想定通りに動作しているかどうかを注意深く監視します。異常な動作、システムパフォーマンスの問題、セキュリティアラートがないかどうかを確認します。
検証プロセスの一環として、リグレッションテストを実施します。リグレッションテストとは、以前に開発されたソフトウェアが引き続き期待どおりに動作することを確認するために、機能テストと非機能テストを再実行するテストです。このテストで、パッチが問題を引き起こしているのか、保護の役割を果たせていないかが明らかになるはずです。仮想パッチは定期的に再テストし、その効果が維持されているかどうかを確認します。脆弱性の変化によってパッチが更新された場合、そのパッチも再検証しなければなりません。
詳細アクセス制御
悪意のある操作やうっかりした誤操作を防ぐため、詳細アクセス制御は、仮想パッチ処理や関連システムへのアクセスを必要とする人だけに必要な権限を付与する仕組みです。
OTエンジニア、ITまたはOTセキュリティチーム、システム管理者、および監査人はすべて、何らかのレベルのアクセス権が必要です。最小権限の原則を適用することで、各役割で実行する特定のタスクに従って、権限は明確に定義され、付与されます。たとえば、OT環境では、システム管理者は仮想パッチの適用や変更を行うための高いレベルのアクセス権を有します。一方、OTエンジニアはパッチのステータスとログを表示する権限のみを持つ、というものです。
MFA(多要素認証)は、少なくとも2つの検証方法を要求することで、さらにアクセス権限の保護を行います。OT環境の一般的な特性から考えると、多くの状況においてはMFAの導入が困難になることもあります。それでも、仮想パッチや標準パッチのインストール、変更、または削除を実際に行う当事者にとっては、MFAがより現実的かもしれません。詳細なアクセス権限を設定すると、時折不便を感じるかもしれませんが、セキュリティの強化、エラーリスクの軽減、規制遵守への貢献、システムへのアクセス試行の追跡によるアカウンタビリティの向上などが見込めます。
スケーラビリティと柔軟性
OT環境は時間とともに変化し、拡張、プロセスの変更、および新たな脆弱性のある新しい資産の追加が行われるものです。パッチ適用は、システム全体を刷新することなく、サイトの成長に合わせて拡張でき、最新のテクノロジー、脅威、および規制の変更に対応できる柔軟性が必要となります。
モジュール設計やキャパシティプランニングなど、スケーラブルなアーキテクチャを採用することで、パッチ適用ソリューションがその成長と変化に対応できるようになります。仮想パッチソリューションのモジュール式アーキテクチャでは、コンポーネントを個別に追加、削除、アップグレードできるため、システムは新しいデバイスへの対応、新たな場所の追加、他のシステムとの統合が可能になります。キャパシティプランニングにより、仮想パッチソリューションのパフォーマンスとキャパシティは、追加パッチ、新しく複雑なネットワーク構成、分析対象のデータ量の増加などに対応できるよう拡張できます。
柔軟な展開ができれば、多くのOT環境で見られる多様なレガシーシステム、産業用制御システム(ICS)、およびさまざまなネットワーク構成全体にソリューションを展開できるようになるため、総じて多様なOTシステムのニーズを満たすことができます。また、ソリューションは、新しいセグメントや通信プロトコルが追加された場合に、ネットワークアーキテクチャの変更に対応できる柔軟性も備えていなければなりません。
ドキュメント化とレポート作成
管理者は、すべての仮想パッチ履歴を明確かつ正確に記録しておく必要があります。すべてのアクティビティをドキュメント化することは、透明性、監査、および規制要件の遵守など、優先事項に役立ちます。また、このドキュメントは今後のパッチ適用要件の指針となる重要な参考資料にもなります。
適用されたすべての仮想パッチには、展開の日付と正確な時刻、パッチが適用されたシステムまたはデバイス、パッチの対象となる脆弱性、および展開を担当した担当者などの詳細なログを記録しておきます。変更、アップデート、またはパッチの削除などの変更も完全にドキュメント化しておかなければなりません。変更が行われた理由、予想される影響、および結果も含めておきます。このような詳細なドキュメント化は、パッチの有効性を追跡するのに役立ち、時系列で把握できるため、将来の問題に対処する際にも役立ちます。また、必要な監査証跡も作成します。
特定のセキュリティインシデントに対応して仮想パッチを作成する場合は、詳細なインシデントレポートを作成しておけば、イベント後の分析に役立ち、今後の対応の改善につながります。レポートでは、脆弱性を特定して、仮想パッチの理論的根拠、テストと検証の詳細、および結果を記載します。
継続的改善
効果的な継続的改善計画では、企業が現在のプログラムを評価し、脅威の環境が継続的に進化するのに合わせて、そのプログラムを強化・改良します。包括的なプログラムは非常に大規模なものになる場合がありますが、仮想パッチプロセスを改善するために実施すべき基本的な手順は以下のとおりです。
まず、チームの取り組みの有効性を追跡できるKPIと基準指標を定義することから始めます。これらの基準点では、仮想パッチの開発・展開のスピード、インシデントに対応するためのパッチの対応時間、パッチのシステムパフォーマンスへの影響、セキュリティ侵害やエクスプロイト試行の防止の成功率で測定されるパッチの有効性などのKPIを追跡できます。
定期的なレビューを実施することで、過去の記録から有用な知見や教訓を引き出すことができるため、年1回の詳細監査の合間に、四半期ごとに実施します。セキュリティインシデントが発生し、インシデントレポートが提出された後は、次のインシデントの発生を防止するために、インシデントレポートを詳細にレビューします。
最新かつ最大の脅威、対応策、防御技術、新しい仮想パッチ技術に関する最新情報を、常に入手できる継続的なトレーニングは、効果的な継続的改善プログラムの最も重要な要素の一つです。また、トレーニングは、OTチームとITチームが同じ部屋に集まり、それぞれの領域で得た知見や経験を共有することで、方向性を一致させるチャンスでもあります。
これらは、徹底した効果的な継続的改善プログラムのほんの一部の要素であり、ベストプラクティスをさらに深掘りしていくことを強くお奨めします。忘れてはならない最も重要なことは、防御側の企業がプログラムを策定している間にも、攻撃者は独自の継続的改善プログラムを進めており、常にその技術を磨いているということです。
仮想パッチの課題
仮想パッチには多くのメリットがありますが、課題や制限もあります。1つは、仮想パッチは、そもそもパッチを適用する必要があった根本的な脆弱性やソフトウェアの欠陥を修正するものではないということです。うまくいったとしても、それは一時的な解決策です。(ただし、実行可能なソリューションがないか、他の問題に注意を奪われている間の緊急の必要性により、より定常的になる場合もあります。)
OT環境では、レガシーシステムと最新システムが組み合わされ、セキュアな設計に欠ける特殊なデバイスが装備されていることがよくあります。このような多様な環境のセキュリティ確保には時間とリソースがかかり、しかも保護レイヤにギャップが残ります。
システムの可用性とパフォーマンスについても、仮想パッチの展開前に安全な環境で十分にテストを行っておかなければ、仮想パッチによって危険にさらされる可能性があります。そのような十分なテストを行ったとしても、パッチが変更に敏感な重要な産業システムに影響をおよぼさないという保証はありません。
その他の課題としては、技能を持った人材の不足、仮想パッチの手法や技術ソリューションに関する知識の不足、OTチームとITチーム間の調整の難しさ、進化する脅威の状況などが考えられます。
TXOneの包括的なOTセキュリティソリューションを活用した保護の強化
OTサイバーセキュリティの世界で長年の専門知識を有するTXOneは、産業界のお客様特有のニーズを満たすOTネイティブなセキュリティ・ソリューション・スイートを開発しました。TXOneは、物理的な攻撃からサイトとその資産を保護する物理セキュリティ、アクセス制御、攻撃の影響を抑制するネットワークセグメンテーション、侵入防御システム、エンドポイントソリューション、従業員トレーニングなどを組み合わせて、複数の対策をレイヤ化させた多層防御戦略を信条としています。
TXOneは、仮想パッチを包括的なOTサイバーセキュリティプログラムの重要な一部と考えており、そのEdgeIPS(侵入防御システム)アプライアンスは、稼働を中断させることがない重要な役割を果たしています。EdgeIPSは、既存の設定を変更することなくネットワークに組み込むことができ、導入は機能、複雑さ、アーキテクチャ、予算に応じて最適化できます。
EdgeIPSは、TXOneのOT中心のセキュリティソリューションの1つです。TXOneのすべての製品とソリューションについては、製品情報をご覧ください。
TXOneにまずお気軽にご相談ください。
製造業界のサイバーセキュリティ課題は常に変化しています。TXOneはお客様のサイバーセキュリティに関する課題について最適なOTセキュリティソリューションが提供できるよう、いつでもお手伝いさせていただきます。お問い合わせ内容を確認後、担当者より迅速にご連絡致しますので、お気軽にお問合わせください。
おすすめ記事
ITファイアウォールの脆弱性が産業システムをサイバー攻撃にさらしてしまう仕掛けとは
本記事では、最新のITファイアウォールに対するゼロデイ攻撃の事例を解説します。更に、OT環境の独自のニーズに合わせた、次世代ネットワーク防御ソリューションについてもご紹介します。
