技術情報
OTセキュリティ
コネクテッド従来システムのセキュリティを強化できる10のヒント
OT/IT統合システムは多くのレガシーデバイスがコネクテッドされているので、サイバーセキュリティはエッジサイドでも同様に重要です。ところで、あなたのエッジコネクティビティソリューションは、潜在的なサイバー攻撃の脅威をブロックする準備ができていますか? ここでは、コネクティビティのセキュリティを強化することができる10のヒントを提供します。
OT/IT統合に対する要求が高まる中、データセキュリティはこれまで以上に私たちの懸念の最前線にあります。 実際、IDCの調査によると、セキュリティはOT/IT統合の最大の障壁と考えられています。強化されたOTセキュリティはOT/IT統合を成功させるための手段の1つです。 しかしながら、OTシステムとITシステムを従来のクローズドデータシステムからオープンデータシステムに統合する場合、企業のプライベート運用データに不要なアクセスが介入される可能性があります。
アンコネクテッド従来システムを接続するためにコネクティビティセキュリティを強化し、OT/IT統合プロジェクトのセキュリティ上の懸念を軽減するために、いくつかの手順を実行することを必要とします。
Tip 1:ネットワークデバイスのデフォルトのパスワードを変更する
従来システムは、ネットワークデバイスを介してコネクテッドされているため、コネクティビティセキュリティを強化するために最初にすべきことは、デフォルトのパスワードをリプレースします。一般的にデフォルトのパスワードのセキュリティ強度は、通常低く、ユーザマニュアルで簡単に見つけられてしまいます。なお、防ぐことができる場合は、このリスクを冒す必要がありません。
Tip 2:コネクテッドされていないポートやサービスを無効にする
ネットワークデバイスを導入する際、いくつかの未使用のポートや不要なサービスがアプリケーションのサイバー脅威への扉を開いてしまう可能性があります。これらのポートやサービスを無効化することで、不要なアクセスへの経路を遮断することができます。
Tip 3:アップデート前にファームウェアソースを確認する
ネットワークデバイスにファームウェアの更新が必要な場合、ファームウェアのソースを確認するためのメカニズムがあることを確認してください。CRCコードをチェックすることは、使用しようとしているファームウェアがオリジナルのソースから来たものであることを確認する1つの方法です。ファームウェアのソースを確認するもう1つの方法は、セキュアブート設計です。これは、プラットフォーム上で動作するファームウェアの完全性を保証するための機能です。
Tip 4:セキュアな通信プロトコルを使用する
コネクテッド従来システムには、セキュアなプロトコル(例えば、HTTPSおよびSNMPv3でのTLS1.2のサポート)を使用することが重要となります。ネットワークデバイスの管理中に不要なアクセスを受ける可能性を低減し、データ伝送中のデータの完全性を高めることができます。また、ネットワークデバイスを導入する際には、手動によるエラーの可能性を最小限に抑えるためにセキュアでないプロトコルを無効にします。
Tip 5:許可されたユーザのみにデバイスとネットワークへのアクセスを許可する
重要な資産に優先順位を付け、ネットワークのセグメンテーションを検証します。そうすれば、どの特定のセグメントにどのような権限を付与できるかについて、より明確に把握できます。さらに、許可されたIPアドレスのみを一覧表示するなどの信頼リストを展開して、従来システムから不要なアクセスを除外します。また、不要なアクセスを制限するために他の高度な機能を利用できます。例えば、デバイスやネットワークにアクセスできる特定のプロトコルフォーマットやコマンドを定義できます。
Tip 6:伝送する前に重要なデータを暗号化する
OT環境では、重大なデータ漏えいが運用のダウンタイムを引き起こし、運用効率に影響を与えます。コネクテッド従来システムの場合、伝送中に重要なデータを暗号化して、データの機密性を高め、日常の運用に悪影響を及ぼす可能性を削減することができます。
Tip 7:ネットワークデバイスが目的のセキュリティレベルにあるかどうかを常に監視する
従来システムをコネクテッドする際には、ネットワークデバイスを容易に監視および管理できるようにアプリケーションの要求に基づいてセキュリティ対策を定義する必要があります。システムネットワークが稼働したら、デバイスのセキュリティステータスが最初に定義した要件を満たしているかどうかを常に監視します。
Tip 8:潜在的な脅威を把握するために定期的に脆弱性をスキャンする
従来システムが直面している潜在的な脅威を知ることは、非常に重要です。定期的に脆弱性スキャンを実施することで、システム全体のセキュリティステータスを把握し、必要なときに必要な措置をとることができます。
Tip 9:脆弱性を減らすためにネットワークデバイスのセキュリティパッチを実施する
セキュリティパッチが重要であることは、誰もが知っています。しかしながら、フィールドサイトにおいてはそう簡単にはいきません。企業の観点からすると、パッチを実行するために運用を中断するとで、かなりの費用の損失に繋がりかねません。一方、何もしないままではリスクが増大し、被害を受けたときは膨大な損失が発生する恐れがあります。より持続可能なアプローチは、重要なフィールドシステムに対して許容可能な範囲のセキュリティパッチを実行して何らかの妥協点を見つけることです。
Tip 10:従来システムの既知の脆弱性に対して仮想パッチを使用する
特定の状況では、セキュリティパッチが常にオプションであるとは限りません。さらに、一部の従来システムでは、パッチを適用できません。このような状況では、仮想パッチが効率的な代替手段となります。従来システムにコネクテッドされたネットワークに仮想パッチを実施して、既知の脆弱性を排除し、特定のネットワークやハードウェアの脆弱性を悪用する非倫理的または違法な攻撃であるエクスプロイトからデバイスを保護することができます。仮想パッチ適用は、システムが次のメンテナンス期間にパッチが適用されるのを待っている間にバッファ時間を予約する優れた方法でもあります。
従来システムを接続するときは、上記の10のTipを考慮することをお勧めします。これにより、コネクティビティのセキュリティを強化し、従来システムに対するセキュリティの脅威を最小限に抑えることができます。エッジコネクティビティのセキュリティに関する参考となる情報は、こちらをご覧ください。