CPSDRとは｜OT環境はEDR/NDR/XDRではいけないの？

近年、製造業をはじめとしたOT（Operational Technology）環境において、サイバーセキュリティの重要性が高まっています。従来のITセキュリティソリューションであるEDRやNDR、XDRが広く知られていますが、OT環境においてはこれらが必ずしも適応できるとは限りません。そこで登場したのが「CPSDR（Cyber-Physical System Detection & Response）」です。本記事では、なぜOT環境には専用のセキュリティソリューションが求められ、CPSDRがどのようにそのニーズに応えるのかを解説します。

CPSDRとは

CPSDRとはCyber-Physical System Detection & Responseの略でサイバーフィジカルシステム/OT環境においても高度化するサイバー脅威を、すばやく検知し迅速な対処を行うためのセキュリティソリューションのことです。IT環境向けにはEDR、NDR、XDRといったセキュリティソリューションが既に浸透していますが、CPSDRはOT環境向けのEDR/NDR/XDRと捉えて頂くと分かりやすいかと思います。

そもそもCPS/OT環境にもDetection & Responseが必要なの？

これまでOT環境ではスタンドアロン環境やエアギャップ環境が当たり前であり、そんな中でDetection & Responseのソリューションは必要ないと考える方は多いと思います。しかし、製造業のDX化の波もあり近年ITネットワークとOTネットワークの統合が進んでいます。
「IT/OTの統合化がもたらす危機：OT/ICSサイバーセキュリティレポート 2023」によると、76％の企業が「IT‐OT集約型ネットワークへの移行を進めている」と回答しています。

参照：IT/OTの統合化がもたらす危機：OT/ICSサイバーセキュリティレポート 2023 | TXOne Networks

また同レポートでは97％の企業が「ITセキュリティインシデントはOT環境にも影響を及ぼす」と回答しています。

参照：IT/OTの統合化がもたらす危機：OT/ICSサイバーセキュリティレポート 2023 | TXOne Networks

これは、IT側のシステムが被害にあうことによって、例えば必要な部材の調達が行えずに製造がストップしてしまうということも含まれると思いますが、ITネットワークを通じてOTネットワークにも外部からの侵入を許したということも考えられます。
外部からの侵入についてはWebアプリケーションフレームワークやVPNなどの脆弱性をつかれて侵入されることが多いです。そのような場合、内部のネットワークに侵入後、静かに活動をすることにより様々なセキュリティ対策製品の網をかいくぐって偵察活動を続けます。IT環境では、高度なスキルを持ってネットワーク越しに侵入してきた攻撃者の機微な活動をうまくとらえるためにEDR/NDR/XDRといったソリューションが活用されています。ITネットワークとOTネットワークの統合が進むということはOT側にも高度なスキルをもった攻撃者が侵入する可能性を示しており、OT側にも機微な活動をうまくとらえる必要性の高まりを示唆しています。

なぜIT向けのソリューションではなくCPSDRが必要なのか

既にIT向けのEDR/NDR/XDRソリューションが存在するのに、なぜわざわざCPSDRという別のキーワードを使っているのでしょうか？これには理由があります。EDRの場合、基本的にはエンドポイント上の大量の挙動情報を逐一クラウド側に送信しており、クラウド上の頭脳で集められた挙動情報を分析することにより怪しい挙動をあぶりだしていきます。また、対処としては端末をネットワークから隔離することで被害が拡大しない様にします。NDRの場合は、主にITプロトコルを前提にしており、対処を行う場合はネットワークスイッチのポートをシャットダウンするといったことを行います。これらのアーキテクチャは可用性を重視するOT環境では以下の様な課題が存在し、受け入れられない可能性があります。

エンドポイントにおけるCPSDRとは

TXOne Networksは既にOT環境にエンドポイント保護とネットワーク防御のソリューションの両方を提供しており、CPSDRのコンセプトの実現に一番近いポジションにいます。そんな中、先んじてCPSDRのコンセプトを実装したのがTXOneのエンドポイント保護ソリューションであるStellarです。
先述の通り、従来のEDRのコンセプトをOT環境へ適用することは困難である場合があります。そのためStellarのCPSDRではアーキテクチャがITのEDRとは大きく異なります。ITのEDRでは頭脳がクラウド側に存在するため一旦全ての情報をクラウド側に送信します。一方で、StellarのCPSDRでは頭脳がクライアント端末側に存在します。そのため、クライアント端末側で怪しい挙動と認められたものだけが管理コンソールであるStellarOneへ送信されます。

このアーキテクチャはOT環境だからこそうまくワークするモデルと言えます。なぜならば、OT環境の場合はIT環境とは違い端末の役割が決まっており環境変更が少ないシステムが多く存在します。そのため、Stellarを導入時に1日から数週間をかけて挙動を学習することで、通常のオペレーション状態を把握しCPSDRの機能を有効にした後に異常な挙動が認められれば怪しい挙動としてアラートが送信されます。
Stellarでは現時点において以下の3種類の挙動を学習します。

1.スクリプト挙動：Powershellやcscriptといったスクリプトに関して、何が何を起動したかといったプロセス・チェーンを学習して通常のプロセス・チェーンと異なる挙動を検知します。

2.ユーザログイン：誰がログインしているか、どこからログインしているかを学習し、学習期間内に行われていたログイン方法と異なる挙動を検知します。

3.アプリケーション挙動：悪意あるハッカーが良く使う攻撃手法を検知します。例えばFirewall機能をオフにしようとしたり、タスクスケジュールを登録したりレジストリを書き換えるような行動の中で通常と異なる挙動を検知します。また、対処機能として検知したアプリケーションに対して、そのアプリケーションが不要である場合は管理コンソールから対象のアプリケーションを簡単にブロックリストへ追加することが可能です。

今後のTXOne製品におけるCPSDRの展開

TXOne NetworksではOT向けのEDRとしてStellarが先んじてCPSDRの機能を搭載し、今後も検知機能の強化及び対処機能の強化を行っていきます。
一方でCPSDRのコンセプトは決してエンドポイントに限ったものではございません。

今後、ネットワーク防御ソリューションであるEdgeやCPS保護プラットフォームであるTXOne SageOneもCPSDRのコンセプトを実装してまいります。つまりTXOneのCPSDRは、OT-EDRのStellar、OT-NDRのEdge、OT-XDRのTXOne SageOneが組み合わせって実現されるものとなります。CPSDRソリューションの今後の展開にご期待ください！