パッチ適用が難しいOT環境やレガシーシステムを安全に保護する手段として注目される「仮想パッチ」。本記事では、仮想パッチの基本概念から、IT・OT環境における活用方法、ゼロデイ脆弱性やコンプライアンス対応といった具体的な利用シーン、そして導入時のベストプラクティスまでを分かりやすく解説します。
仮想パッチとは?
仮想パッチとは、セキュリティポリシーとルールによる複数のレイヤーを実装することで資産を保護する「脆弱性シールド」の手法です。このような多層的なセキュリティ対策により、脆弱性を狙ったネットワーク経由のエクスプロイトを阻止・遮断します。仮想パッチは、既知および未知の脆弱性を悪用する脅威に対して効果的な防御策として機能し、実際のソフトウェアパッチやアップデート(適用が困難な場合もあります)の必要性を低減します。
効果的な仮想パッチソリューションは多層的で、ビジネスクリティカルなトラフィック内の悪意あるアクティビティを検出・ブロックします。また、ウェブ接続されたアプリケーションへの侵入を検知し、攻撃を未然に防止するものであり、物理・仮想・クラウドいずれの環境にも対応可能です。
この仮想パッチは、既存のセキュリティ技術やパッチ管理ポリシーを補完することを目的としています。最大の利点の一つは、セキュリティチームが脆弱性の評価や通常パッチのテスト・適用に必要な時間を確保できる点です。これにより、不要なダウンタイムを回避しつつ法規制への準拠を維持でき、通常のパッチ提供が終了した、または適用に多大なコストがかかるレガシーシステムのセキュリティ確保にも寄与します。
IT環境における仮想パッチ
ITネットワークにおける仮想パッチは、実際のソフトウェアパッチと同様の機能を果たしますが、実際にパッチを展開したり既存のアプリケーションを変更したりする必要はありません。
この仮想パッチは、「エクスプロイトは脆弱性を通じて特定可能なネットワーク経路を通る」という前提に基づき、脆弱なサーバーが攻撃されるのを防ぐための保護的なネットワーク制御を適用します。これにより、実際のパッチを適用できるようになるまでの間、脆弱性は「仮想的にパッチ適用された」状態となります。
仮想パッチは、既知の脆弱性が悪用される前に脅威を遮断して無力化することで、IT環境を保護します。自動化されたツールにより、ソフトウェアやシステム、アプリケーションの脆弱性を特定でき、検出された脆弱性に対しては、ファイアウォール、IPS(侵入防御システム)、WAF(ウェブアプリケーションファイアウォール)、およびエンドポイントセキュリティソリューションに特定のルールやポリシーを実装することで、リスクを軽減します。
このような仮想パッチは、以下のようなIT環境の広範な領域で攻撃からの防御に活用できます:ウェブアプリケーション、パッチが提供されないレガシーシステム、既知の脆弱性を抱えたデータベース、PCやモバイルデバイスといったエンドポイント、サーバー、さらにはインターネットに公開されているクラウドサービスまで多岐にわたります。
OT環境における仮想パッチ
OT環境では継続的な稼働が最優先されるため、パッチ適用に伴うシステムのダウンタイムは多くの場合選択肢に含まれず、脆弱性シールドの利用は特に困難です。
このような環境では、仮想パッチを活用することで、ICS(産業用制御システム)、SCADA(監視制御およびデータ収集)システム、エンドポイント、さらにはサポートが終了しパッチが提供されない可能性の高いレガシーデバイスまで、効果的に保護することが可能です。
脆弱性の特定には、セキュリティ評価、ベンダーからのアドバイス、脅威インテリジェンスフィード(脆弱性や攻撃情報を提供するデータストリーム)などが有効です。特定された脆弱性に対しては、セキュリティチームがIPSやIDS(侵入検知システム)などのセキュリティ機器にルールを実装し、悪意のあるトラフィックをフィルタリングまたはブロックすることで攻撃から保護します。
仮想パッチは通常、セグメント化されたネットワークのゾーン間や、PLC(プログラマブル・ロジック・コントローラ)、HMI(ヒューマン・マシン・インターフェース)など、操作リスクの高いデバイスの手前といった、OTネットワーク上の重要なポイントに配置されます。これらのポイントでは通信が常時監視・検査されており、仮想パッチは保護的なセキュリティルールを適用することで、脆弱なシステムを安全に運用できるようにします。
仮想パッチの5つの活用例
1.ゼロデイ脆弱性への迅速な対応
ゼロデイ脆弱性とは、ベンダーや開発者にもまだ認識されておらず、パッチが存在しないシステム上の脆弱性を指します。このため、ゼロデイ脆弱性は攻撃者にとって非常に魅力的な標的となります。特に、脆弱性が発見されてから実際にパッチがリリースされるまでの期間は、リスクが最も高い状態にあります。仮想パッチは、この期間中に迅速かつ効果的な防御を提供する手段として非常に有効です。
ゼロデイ脆弱性が発見された際には、脅威インテリジェンスを通じてエクスプロイトの特性を特定し、それに基づいてカスタムルールやポリシーを開発・テストし、即座に展開することが可能です。OT環境では、新旧のシステムや特殊なハードウェアが混在していることが多いため、仮想パッチはそれぞれの環境に適合するよう調整する必要があります。こうした仮想パッチの展開は、IPS、IDS、ファイアウォールなどのセキュリティツールを通じて実施され、ベンダーによる正式なパッチの開発・テスト・配布よりもはるかに迅速に対応可能です。
2.レガシーシステムの保護
OT環境では、レガシーシステムとそれに起因するセキュリティ上の脆弱性があらゆる場所で見られます。ベンダーからのサポート終了や定期的なアップデートの停止により、これらのシステムは攻撃者にとって格好の標的となります。そのため、レガシーシステムの保護は、堅牢なOTセキュリティ体制を構築する上での基本要素です。
仮想パッチは通常、IPS、ファイアウォール、またはOTセキュリティ専用ゲートウェイなどのセキュリティデバイスを通じて、ネットワークレベルで適用されます。これらのデバイスに仮想パッチを実装することで、ネットワークトラフィックを監視・フィルタリングし、攻撃がレガシーシステムに到達する前にブロックするルールを運用できます。ネットワークパス上に仮想パッチを配置することで、ソフトウェアやファームウェアに変更を加えることなく、システムを安全に保護することが可能です。
また、仮想パッチは、最新のセキュリティパッチがサポートしていない独自または旧式のプロトコルにも対応できるよう、柔軟にカスタマイズすることができます。
レガシーシステムにおける仮想パッチの利点として、非侵入型であることが挙げられます。ソフトウェアに手を加える必要がなく、外部のセキュリティ層で防御を提供するため、システムの運用上の完全性を維持できます。また、仮想パッチは必要に応じて数時間以内に迅速に展開可能であり、その過程で稼働中の環境を停止させる必要もありません。
3.重要なシステムの一時的な保護
ベンダーによるパッチの適用が困難な場合や、実稼働環境を停止できない場合において、仮想パッチの導入は重要なシステムを一時的に保護する現実的かつ有効な手段となります。
仮想パッチは、脆弱性が発見された直後に中間的なセキュリティレイヤーとして迅速に展開可能であり、遅延によって重大なリスクが生じる場面において特に効果を発揮します。仮想パッチは、既知の攻撃ベクトルや疑わしいトラフィックパターンを遮断することで、重要なシステムを潜在的な脅威から隔離・保護します。
他の仮想パッチと同様に、重要なシステムに対しても、ファイアウォールやIPS/IDSアプライアンスを活用し、ネットワークトラフィックが対象のシステムに到達する前に監視・フィルタリングを実施します。これにより、システムのシャットダウンや再起動を伴うことなく、攻撃リスクを低減することが可能です。
さらに、仮想パッチは、脅威の特性や環境に応じて柔軟にカスタマイズ可能であり、既存のセキュリティインフラとも統合して運用することができます。
4.サードパーティ製ソフトウェアの保護
サードパーティ製ソフトウェアは、OT環境にさまざまな脆弱性をもたらし、ネットワークのセキュリティ、安全性、信頼性を損なう可能性があります。サードパーティ製ソフトウェアが定期的に更新またはパッチ適用されていない場合、攻撃者が悪用できるセキュリティ上の欠陥が未対処のまま存在することになります。これは、システムが極めて重要であるという点とシステムのシャットダウンが困難というOT環境では、特に大きな問題です。
サードパーティ製ソフトウェアに共通する問題には、脆弱または古い通信暗号化プロトコル、暗号化されていないデータ、セットアップ時に誰も変更しない脆弱なデフォルトのユーザー名、容易にアクセス可能なバックドア、およびサポートが受けられないサポート終了のソフトウェアなどがあります。
アップグレードできないレガシーなWindowsシステムはその良い例です。この場合、仮想パッチはリアルタイムで悪意のあるアクティビティを監視してブロックすることで脆弱性を軽減し、実際のシステムに変更を加えることなく効果的に脆弱性にパッチを適用できます。
仮想パッチは、あらゆるサードパーティ製ソフトウェアをサイバー攻撃から保護するための有望なソリューションとなりえます。実際、ベンダーのパッチリリースが遅れたり、特定のソフトウェアのサポートが終了した場合、これが唯一の解決策になることもあります。このような場合、仮想パッチは即座に有効な応急処置となり、重要な保護対策を実現します。
5.コンプライアンス要件
OT環境は、重要なインフラストラクチャを保護し、継続的な稼働を確保して、機密データを保護するために、堅牢なセキュリティ対策を要求するさまざまな規制の下で運用されています。コンプライアンスに違反した場合、多額の罰金が科される可能性があり、違反やデータ損失を引き起こしたり、重要なインフラに影響がおよんだりした場合はなおさらです。
仮想パッチを迅速に展開できることは大きなメリットです。仮想パッチは、特にゼロデイ脆弱性の場合、ベンダーのパッチがすぐに提供されなくても、迅速な対応で即座に保護を行います。規制では、徹底したリスク管理プロセスの一環として、セキュリティリスクの特定、評価、軽減を求められることが多いため、仮想パッチを適用することで、そのプロセスで発見された脆弱性にセキュリティチームが迅速に対処できるようになります。これらのパッチの実装は容易に文書化できるため、OT管理者は規制監査中にサイバーセキュリティ対策の一環として、仮想パッチの使用状態を示すことができます。
仮想パッチはまた、エネルギー、運輸、医療、水処理などのミッションクリティカルな業界において、企業が業界固有の規制要件を満たすのにも役立ちます。これらの仮想パッチは、企業が講じたセキュリティ対策を文書化した監査証跡にもなります。
仮想パッチのベストプラクティス
定期的な監視とアップデート
OT環境では、脅威の進化に合わせて仮想パッチが効果的かつ適切に機能させ続けられるように、定期的な監視とアップデートが不可欠です。SIEM(セキュリティ情報およびイベント管理)ツール、IDSおよびIPS(侵入検知/侵入防御システム)などの継続的な監視システムは、攻撃や疑わしいアクティビティを特定できます。また、仮想パッチが展開されていない脅威も特定できます。
脅威は常に進化しているため、仮想パッチはそれだけですべてを賄えるソリューションとはなりえません。仮想パッチのルールは、新たな脅威が発生したり、新しいネットワーク構成やOTシステムの更新など、仮想パッチが保護する運用環境に変更が生じたりした場合には、更新しなければなりません。
仮想パッチの更新は、確立されたプロトコルに従って行います。OTネットワークへの更新作業は、IT部門と調整し、業務の中断を最小限で済むようにして、詳細な記録を残すようにします。継続的な監視と仮想パッチの定期的な更新により、企業はダウンタイムのリスクを軽減し、セキュリティポスチャを改善して、セキュリティ規制への準拠が維持できるようになります。
パッチ管理システムとの統合
仮想パッチを企業の集中型パッチ管理システムに統合することで、ネットワーク保護に対して一貫性、管理体制、協調性を維持できるようになります。
仮想パッチを集中管理システムに統合することで、仮想パッチと標準パッチを1つのプラットフォームで管理でき、可視性が高まります。これで、標準パッチと仮想パッチのいずれで対処されたかにかかわらず、すべての脆弱性の追跡が可能になります。統合により、定期的なパッチ適用サイクルとの同期が向上するだけでなく、コンプライアンスや監査に対応するための包括的な追跡やレポート作成も可能になります。
また、統合によって、仮想パッチと通常のパッチの管理を調整できるように、セキュリティチームがワークフローを自動化することも可能になります。たとえば、システムが新しい脆弱性を検出した場合、仮想パッチを自動的に展開すると同時に、最新バージョンのインストールをスケジュール調整できます。全体として、統合は、運用の合理化、企業のセキュリティポスチャの改善、通常のパッチとの競合や冗長性のリスクの低減に役立ちます。
テストと検証の手順
OT環境にパッチを適用する前に、パッチが設計どおりに機能し、稼働環境を中断させたり、その他の意図しない結果を招いたりしないことを確認するために、パッチをテストします。
可能であれば、実稼働環境を模倣したテスト環境を設置します。すべての設定が適用され、パッチが対象とする脆弱性に対処できていることを確認します。標準的な運用シナリオを実行して、パッチが適切なトラフィックをブロックしたり、システムの機能を中断したりしないことを確認します。テストでは、仮想パッチが保護しようとしている脆弱性の保護に成功していることも確認する必要があります。
プロセスの次のステップは、展開後の検証です。パッチが実稼働環境に展開された後、そのパッチが想定通りに動作しているかどうかを注意深く監視します。異常な動作、システムパフォーマンスの問題、セキュリティアラートがないかどうかを確認します。
検証プロセスの一環として、リグレッションテストを実施します。リグレッションテストとは、以前に開発されたソフトウェアが引き続き期待どおりに動作することを確認するために、機能テストと非機能テストを再実行するテストです。このテストで、パッチが問題を引き起こしているのか、保護の役割を果たせていないかが明らかになるはずです。仮想パッチは定期的に再テストし、その効果が維持されているかどうかを確認します。脆弱性の変化によってパッチが更新された場合、そのパッチも再検証しなければなりません。
詳細アクセス制御
悪意のある操作やうっかりした誤操作を防ぐため、詳細アクセス制御は、仮想パッチ処理や関連システムへのアクセスを必要とする人だけに必要な権限を付与する仕組みです。
OTエンジニア、ITまたはOTセキュリティチーム、システム管理者、および監査人はすべて、何らかのレベルのアクセス権が必要です。最小権限の原則を適用することで、各役割で実行する特定のタスクに従って、権限は明確に定義され、付与されます。たとえば、OT環境では、システム管理者は仮想パッチの適用や変更を行うための高いレベルのアクセス権を有します。一方、OTエンジニアはパッチのステータスとログを表示する権限のみを持つ、というものです。
MFA(多要素認証)は、少なくとも2つの検証方法を要求することで、さらにアクセス権限の保護を行います。OT環境の一般的な特性から考えると、多くの状況においてはMFAの導入が困難になることもあります。それでも、仮想パッチや標準パッチのインストール、変更、または削除を実際に行う当事者にとっては、MFAがより現実的かもしれません。詳細なアクセス権限を設定すると、時折不便を感じるかもしれませんが、セキュリティの強化、エラーリスクの軽減、規制遵守への貢献、システムへのアクセス試行の追跡によるアカウンタビリティの向上などが見込めます。
スケーラビリティと柔軟性
OT環境は時間とともに変化し、拡張、プロセスの変更、および新たな脆弱性のある新しい資産の追加が行われるものです。パッチ適用は、システム全体を刷新することなく、サイトの成長に合わせて拡張でき、最新のテクノロジー、脅威、および規制の変更に対応できる柔軟性が必要となります。
モジュール設計やキャパシティプランニングなど、スケーラブルなアーキテクチャを採用することで、パッチ適用ソリューションがその成長と変化に対応できるようになります。仮想パッチソリューションのモジュール式アーキテクチャでは、コンポーネントを個別に追加、削除、アップグレードできるため、システムは新しいデバイスへの対応、新たな場所の追加、他のシステムとの統合が可能になります。キャパシティプランニングにより、仮想パッチソリューションのパフォーマンスとキャパシティは、追加パッチ、新しく複雑なネットワーク構成、分析対象のデータ量の増加などに対応できるよう拡張できます。
柔軟な展開ができれば、多くのOT環境で見られる多様なレガシーシステム、産業用制御システム(ICS)、およびさまざまなネットワーク構成全体にソリューションを展開できるようになるため、総じて多様なOTシステムのニーズを満たすことができます。また、ソリューションは、新しいセグメントや通信プロトコルが追加された場合に、ネットワークアーキテクチャの変更に対応できる柔軟性も備えていなければなりません。
ドキュメント化とレポート作成
管理者は、すべての仮想パッチ履歴を明確かつ正確に記録しておく必要があります。すべてのアクティビティをドキュメント化することは、透明性、監査、および規制要件の遵守など、優先事項に役立ちます。また、このドキュメントは今後のパッチ適用要件の指針となる重要な参考資料にもなります。
適用されたすべての仮想パッチには、展開の日付と正確な時刻、パッチが適用されたシステムまたはデバイス、パッチの対象となる脆弱性、および展開を担当した担当者などの詳細なログを記録しておきます。変更、アップデート、またはパッチの削除などの変更も完全にドキュメント化しておかなければなりません。変更が行われた理由、予想される影響、および結果も含めておきます。このような詳細なドキュメント化は、パッチの有効性を追跡するのに役立ち、時系列で把握できるため、将来の問題に対処する際にも役立ちます。また、必要な監査証跡も作成します。
特定のセキュリティインシデントに対応して仮想パッチを作成する場合は、詳細なインシデントレポートを作成しておけば、イベント後の分析に役立ち、今後の対応の改善につながります。レポートでは、脆弱性を特定して、仮想パッチの理論的根拠、テストと検証の詳細、および結果を記載します。
継続的改善
効果的な継続的改善計画では、企業が現在のプログラムを評価し、脅威の環境が継続的に進化するのに合わせて、そのプログラムを強化・改良します。包括的なプログラムは非常に大規模なものになる場合がありますが、仮想パッチプロセスを改善するために実施すべき基本的な手順は以下のとおりです。
まず、チームの取り組みの有効性を追跡できるKPIと基準指標を定義することから始めます。これらの基準点では、仮想パッチの開発・展開のスピード、インシデントに対応するためのパッチの対応時間、パッチのシステムパフォーマンスへの影響、セキュリティ侵害やエクスプロイト試行の防止の成功率で測定されるパッチの有効性などのKPIを追跡できます。
定期的なレビューを実施することで、過去の記録から有用な知見や教訓を引き出すことができるため、年1回の詳細監査の合間に、四半期ごとに実施します。セキュリティインシデントが発生し、インシデントレポートが提出された後は、次のインシデントの発生を防止するために、インシデントレポートを詳細にレビューします。
最新かつ最大の脅威、対応策、防御技術、新しい仮想パッチ技術に関する最新情報を、常に入手できる継続的なトレーニングは、効果的な継続的改善プログラムの最も重要な要素の一つです。また、トレーニングは、OTチームとITチームが同じ部屋に集まり、それぞれの領域で得た知見や経験を共有することで、方向性を一致させるチャンスでもあります。
これらは、徹底した効果的な継続的改善プログラムのほんの一部の要素であり、ベストプラクティスをさらに深掘りしていくことを強くお奨めします。忘れてはならない最も重要なことは、防御側の企業がプログラムを策定している間にも、攻撃者は独自の継続的改善プログラムを進めており、常にその技術を磨いているということです。
仮想パッチの課題
仮想パッチには多くのメリットがありますが、課題や制限もあります。1つは、仮想パッチは、そもそもパッチを適用する必要があった根本的な脆弱性やソフトウェアの欠陥を修正するものではないということです。うまくいったとしても、それは一時的な解決策です。(ただし、実行可能なソリューションがないか、他の問題に注意を奪われている間の緊急の必要性により、より定常的になる場合もあります。)
OT環境では、レガシーシステムと最新システムが組み合わされ、セキュアな設計に欠ける特殊なデバイスが装備されていることがよくあります。このような多様な環境のセキュリティ確保には時間とリソースがかかり、しかも保護レイヤにギャップが残ります。
システムの可用性とパフォーマンスについても、仮想パッチの展開前に安全な環境で十分にテストを行っておかなければ、仮想パッチによって危険にさらされる可能性があります。そのような十分なテストを行ったとしても、パッチが変更に敏感な重要な産業システムに影響をおよぼさないという保証はありません。
その他の課題としては、技能を持った人材の不足、仮想パッチの手法や技術ソリューションに関する知識の不足、OTチームとITチーム間の調整の難しさ、進化する脅威の状況などが考えられます。
TXOneの包括的なOTセキュリティソリューションを活用した保護の強化
OTサイバーセキュリティの世界で長年の専門知識を有するTXOneは、産業界のお客様特有のニーズを満たすOTネイティブなセキュリティ・ソリューション・スイートを開発しました。TXOneは、物理的な攻撃からサイトとその資産を保護する物理セキュリティ、アクセス制御、攻撃の影響を抑制するネットワークセグメンテーション、侵入防御システム、エンドポイントソリューション、従業員トレーニングなどを組み合わせて、複数の対策をレイヤ化させた多層防御戦略を信条としています。
TXOneは、仮想パッチを包括的なOTサイバーセキュリティプログラムの重要な一部と考えており、そのEdgeIPS(侵入防御システム)アプライアンスは、稼働を中断させることがない重要な役割を果たしています。EdgeIPSは、既存の設定を変更することなくネットワークに組み込むことができ、導入は機能、複雑さ、アーキテクチャ、予算に応じて最適化できます。
EdgeIPSは、TXOneのOT中心のセキュリティソリューションの1つです。TXOneのすべての製品とソリューションについては、製品情報をご覧ください。
TXOneにまずお気軽にご相談ください。
製造業界のサイバーセキュリティ課題は常に変化しています。TXOneはお客様のサイバーセキュリティに関する課題について最適なOTセキュリティソリューションが提供できるよう、いつでもお手伝いさせていただきます。お問い合わせ内容を確認後、担当者より迅速にご連絡致しますので、お気軽にお問合わせください。
おすすめ記事
ITファイアウォールの脆弱性が産業システムをサイバー攻撃にさらしてしまう仕掛けとは
本記事では、最新のITファイアウォールに対するゼロデイ攻撃の事例を解説します。更に、OT環境の独自のニーズに合わせた、次世代ネットワーク防御ソリューションについてもご紹介します。
