サイバーフィジカルシステム(CPS)における最もリスクの高い資産の38%が従来の脆弱性管理では見落とされていることが、クラロティのTeam82によって判明
Claroty Ltd.
2024年05月21日
Claroty Ltd.
重要なシステムが直面するリスクを明らかにし、優先順位付けを可能にするCPSネイティブのエクスポージャ管理ソリューションを発表
拡張型モノのインターネット(XIoT)向けサイバーフィジカルセキュリティー企業のClaroty.Ltd(本社:アメリカ・ニューヨーク州、CEO:ヤニヴ・バルディ、以下クラロティ)は、最もリスクの高いCPS資産の38%が従来の脆弱性管理アプローチでは見落とされていることを明らかにする独自データを発表しました。これは、脅威アクターが悪用する大きな盲点です。この盲点に対処するため、クラロティは、目的に合わせて構築されたCPSエクスポージャー管理*ソリューションを導入し、組織が最も差し迫った脅威に優先順位を付けることで攻撃対象領域を最小限に抑えられるようにします。
詳細の内容(英語)についてはこちらをご覧ください:
https://claroty.com/resources/reports/understanding-the-riskiest-exposures-in-cyber-physical-systems
*エクスポージャー管理:サイバーフィジカルシステムを支えるため、脆弱性によりもたらされるリスクの理解と脅威インテリジェンスなどを考慮しつつ、攻撃に悪用されるリスクを事前に対策する管理のこと
組織は最もリスクの高いエクスポージャーの一部を認識していない
CPS環境が直面するエクスポージャーの範囲と関連リスクを理解するために、クラロティの受賞歴のある研究チームTeam82は、CPS環境内の2,000万個を超えるOT資産、IoMT資産(ネットワークにつながる医療機器)、IoT、および IT資産からデータを分析しました。 この調査では、「高リスク」と評価された、安全でない方法でのインターネット接続を行っており、悪用が確認されている既知の脆弱性 (KEV) が少なくとも1つ該当する資産に焦点を当てました。 研究チームは「高リスク」を、製品寿命終了の状態か、不安全なプロトコルでの通信をしているか、既知の脆弱性が見つかっているか、脆弱なパスワードまたはデフォルトのパスワードを使用しているか、PII*または PHI*を含むか、障害によるインパクトがどのくらいか、その他いくつかのリスク要因などの組み合わせて、悪用される可能性が高く、影響が大きいと定義しました。
*PII:Personally Identifiable Informationの略。個人を特定できる情報として、名前、住所、電話番号、マイナンバー、生年月日、メールアドレスなど、個人を特定または特定可能にする情報が含まれます。
*PHI:個人を特定できる情報、Protected Health Informationの略。個人を識別するために使用できる医療記録内の情報を匿名化するプロセスのことで、特定の個人に連絡、特定、または識別できるデータ。
主な発見事項
OTおよびIoMTの20%は、CVSSv3.1スコアが9.0以上の脆弱性が見つかっています。これは、Common Vulnerability Scoring System バージョン 3.1のみに依存する脆弱性管理への従来のアプローチを表す指標です。 この数は、ほとんどの組織にとって、特にパッチ適用の期間が限られているCPS資産では、現実的に対処するには膨大でリソースを大量に消費するため、どこから修復作業を開始すればよいのかを示す指標としてはあまりふさわしくありません。
Common Vulnerability Scoring System バージョン 3.1ユーザーガイド:
https://www.first.org/cvss/v3.1/user-guide
OTおよびIoMTの1.6%は「高リスク」と定義されており、インターネット接続が安全ではなく、少なくとも1つのKEVが該当します。これは、組織に現実の差し迫った危険をもたらすエクスポージャー要因のトップです。 つまり脅威アクターがリモートからアクセスでき、実際に悪用される脆弱性を含む数万の高リスクCPS資産があることを表しています。
これらの超高リスクのOTおよびIoMTデバイスのうち、38%はCVSSスコアが9.0以上ではありません。つまり、従来の脆弱性管理方法では気付かれないものの、脅威アクターによる悪用の危険が驚くほど高く、組織にとってリスクの高い盲点となっていることを示しています。
クラロティ チーム82リサーチ担当副社長 Amir Premingerのコメント
「送電網などのシステムの制御や、救命患者ケア提供のために使用される非常にエクスポージャーの高いリスクを測定する際には、ゼロより大きい数値の影響を理解することが重要です。組織は、環境内で時限爆弾が刻々と過ぎていくことに焦点を当て、エクスポージャー管理に対する総合的なアプローチを取る必要があります。9.0+ CVSS の脆弱性をすべて解決するという不可能なタスクを何とかマスターしたとしても、依然として最も危険な40%近くの高リスク資産を見逃すことになるからです」
CPSネイティブのエクスポージャー管理でギャップを埋める
Gartner(R)* によると、「セキュリティ リーダーは常に、サイバーセキュリティーリスクを軽減するためのフレームワークとツールの改善を求めています。予防のみのアプローチから、検出および対応機能を備えた、より成熟した戦略強化型の予防管理への移行が含まれます。 攻撃対象領域を管理するためのこれまでのアプローチは、もはやデジタルの速度に追いついていません。組織がすべてを修正することはできず、どの脆弱性修正を安全に延期できるか確信が持てない時代です。 継続的脅威エクスポージャ管理 (CTEM) は、これら2つの不可能な極端の間で綱渡りをしながら、優先順位を継続的に調整するための実用的で効果的体なアプローチです」
*Gartner、Implement a Continuous Threat Exposure Management (CTEM) Program、Jeremy D'Hoinne、Pete Shoard、Mitchell Schneider、2023 年 10 月 11 日。GARTNER は、米国における Gartner, Inc. および/またはその関連会社の登録商標およびサービス マークです。 国際的に使用されており、ここでは許可を得て使用されています。 無断転載を禁じます。
製造、医療、その他の重要なインフラストラクチャ組織の進化するニーズに応えるために、クラロティは、Gartner CTEMフレームワークに適合すると考えられ、この目的に合わせて構築されたCPSエクスポージャー管理ソリューションを導入しています。 さらに、このソリューションにより、顧客は現在のCPSリスク体制を理解し、既存のリソースをより効率的かつ効果的に改善するために割り当てられ、最終的には出発点に関係なく、CPSセキュリティーの成熟に向けた取り組みを加速できます。
主な機能
エクスポージャー管理プログラムへのCPSデバイスの組み込み
生産プロセスのさまざまな側面の相対的なビジネス価値を考慮したマルチデータ収集方法とカスタマイズされたリスク計算を活用します。 このアプローチは、従来のエンタープライズソリューションの盲点となる可能性のある安全な領域と、セキュリティー制御の優先順位付け時に運用上の両方を考慮したネットワークスコープ設定の基盤となります。
CPS検出と脆弱性評価
柔軟な発見方法により、すべてのCPS資産を特定し、プロファイリングします。これには、Claroty Edgeと関連するSBOMが含まれ、その通信パスとプロトコルの使用状況のマッピング、脆弱性の特定、脅威の監視が行われ、その結果、透明性のある独自に調整されたリスクフレームワークに基づいてリスクスコアを生成ます。
重要なCPS プロセスの優先順位付けをサポート
特定の攻撃ベクトルと、その攻撃ベクトルが悪用される可能性、悪用された場合の影響、および適用された制御の補償によって定義される定量化された結果に基づいて、修復作業の優先順位を決定する実用的な推奨事項を受け取ります。
エクスポージャーシナリオの安全な検証
VEXファイルやアクティブスキャン技術などの追加の検出方法を利用し、OEMに相談してリスク評価を検証し、適切な修復技術を有効にすることにより、脆弱性管理を超えた取り組みを行います。
修復とプログラム動員を合理化
業界をリードする IT/OT サイバーセキュリティーおよび資産管理ソリューションと統合して、既存のリスク管理プロセスを合理化し、CPSエクスポージャ管理を推進します。
クラロティ 最高製品責任者 Grant Geyerのコメント
「脆弱性に焦点を当てた見方だけでは、組織が最も重要なことに集中することができず、安全性と可用性を危険にさらす可能性のあるエクスポージャーを残すことになります。リスクを軽減するには、従来の脆弱性管理プログラムから、独自のCPS資産の特性と複雑さ、独自の運用および環境の制約、組織のリスク許容度、およびCPSサイバーリスクプログラムの望ましい結果を考慮した、より焦点を絞ったで動的なエクスポージャー管理プログラムへの進化が必要です 」
クラロティの最新調査結果やイベント情報などこちらのニュースレターをご覧ください
https://claroty-jp-newsroom.prezly.com/category/puresuririsu
■クラロティについて
クラロティは、産業分野(製造工場やプラントにおけるOT)、ヘルスケア分野(病院におけるIoMT)、商業分野(ビル管理システムやエンタープライズIoT)にわたるサイバーフィジカルシステムの広大なネットワークであるXIoT(拡張型モノのインターネット)を保護し、組織をサポートします。当社のサイバー・フィジカル・システム保護プラットフォームは、顧客の既存のインフラストラクチャと統合して、可視性、リスクと脆弱性の管理、ネットワークのセグメンテーション、脅威の検出、および安全なリモートアクセスのためのあらゆる制御を提供します。
2015年に設立以来、ニューヨーク、テルアビブヤフォ、ロンドン、ミュンヘン、アジア太平洋地域などに拠点を構え、50ヵ国以上約600社以上の顧客に製品を提供しています。2021年にはシリーズD、E合計で5億4000万米ドルの資金調達を獲得し、ユニコーン企業の1社となりました。クラロティのプラットフォームは、包括的なセキュリティ管理を可能にするSaaS型のxDomeとオンプレミス型のCTD(Continuous Threat Detection)、安全なリモート接続を可能にするSRA(Secure Remote Access)、資産情報を素早く収集するEdgeの4つで構成される、統合的な産業用サイバーセキュリティソリューションです。
※XIoT(拡張型IoT)について
サイバーフィジカルシステムを支える、従来および新規導入のOT機器、ITおよびIoT機器、ビル管理システム機器に至るまで、増え続ける接続デバイスの網のこと。
日本語公式サイト:https://claroty.com/ja
クラロティ本社サイト:https://claroty.com/
