大幅強化された「FortiOS」で包括的OTセキュリティプラットフォームを構築

文●フォーティネットジャパン 編集●ASCII

提供: フォーティネットジャパン

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はフォーティネットジャパンが提供する「FORTINETブログ」に掲載された「フォーティネットのOTセキュリティプラットフォームのイノベーションにより、OTの重要課題への対応を支援」を再編集したものです。

 フォーティネットは先日、OTセキュリティプラットフォームの機能を大幅に強化し、オペレーショナルテクノロジー(OT)特有のニーズに対応すると発表しました。フォーティネットの統合オペレーティングシステムであるFortiOSにより、OTセキュリティプラットフォームを構成するOT製品とサービスが連携することで、組織のリスクが低減されます。フォーティネットのOTセキュリティプラットフォームを活用することで、重要インフラを含むあらゆる分野の企業が、数千のリモートサイトを安全に接続し、カタログ化して管理することで、ENISA NIS2やNERC CIPをはじめ、規制強化が進む各種法令へのコンプライアンスを遵守できるようになります。

OT環境の保護の重要性

 重要インフラを標的にするサイバー犯罪の増加に伴い、世界中の政府機関が、ICS(産業用制御システム)やOTのサイバーセキュリティに関する法規制を強化しています。共通して重視されているのは、厳格なセキュリティ指令、インシデントレポートの要件、サイバーインシデントに対するレジリエンスの構築などの点です。

 資金力があり、国家が支援することも多い脅威アクターにとって、侵害に成功すれば政治的にも社会的にも甚大な打撃を与えるOTネットワークは極めて価値のある標的です。ERP、MES、請求処理などとリンクしたITシステムが攻撃を受けてOTが中断する場合もありますが、OTネットワークの脆弱性をつく目的で特別に開発されたマルウェアによってOT侵害が発生した例もあります。フォーティネットのOTセキュリティプラットフォームには、最新の巧妙な標的型攻撃から保護できる、OTに特化した機能とコントロールが実装されています。OTインフラが存在する組織は、こうした要件を満たす包括的なOTセキュリティ戦略を構築する必要がありますが、今回のアップデートは、その構築に役立ちます。

OTにおける可視性の強化

 フォーティネットのOTセキュリティプラットフォームは、OTインフラを鮮明に可視化します。資産とネットワークの可視化は、OT環境が存在するすべての組織にとって、基本的な課題です。OTインフラの再構築や、企業のITシステムインターネット、クラウドなど外部ネットワークとの接続の増加に伴い、多くの場合にOTネットワークの可視性が極めて限定的であったり欠如していたりするようになりました。OTネットワーク固有の資産の多くは、独自のプロトコルで動作します。従来のIT可視化ソリューションでは、こうした資産やその脆弱性、OTネットワーク上のトラフィックが可視化されないため、OTセキュリティの計画や実装が困難です。

 OT資産とネットワークの可視化は、OT保護の第一歩ではありますが、それですべてが終わるわけではありません。フォーティネットのOTセキュリティプラットフォームは、OT固有の資産、ネットワーク上の通信、脆弱性を可視化し、組織による脅威へのレスポンスを可能にするメカニズムを提供します。
 
 フォーティネットはFortiGuard OTセキュリティサービスを拡充し、可視性と資産検出の機能を強化しました。OT資産のオーナーは、ユーザーやデバイスストアで、IoTやOTの脆弱性にKEV(Known Exploited Vulnerabilities)情報を追加できるようになりました。KEVカウントと警告がAsset Identity CenterページにGUIで表示され、OTプロトコルの帯域幅トラフィックとインバウンド接続を確認できます。OTセキュリティサービスで強化されたこれらの機能により、OTセキュリティチームが、OTネットワークの資産、トラフィック、ユーザーを簡単に認識できるようになりました。

可視性にとどまらない機能:セグメンテーション、仮想パッチ、セキュア接続

 資産とネットワークが可視化され、OTセキュリティのチームがOT固有の資産、通信、脆弱性を認識できるようになったら、次のステップとして、それらの資産とネットワークをサイバー脅威から保護します。可視化ソリューションの中には、OT資産やネットワークも可視化できるものはありますが、可視化された対象を保護するためには、さらにセキュリティソリューションが必要です。その保護をFortiGate次世代ファイアウォール(NGFW)は可能にし、可視化情報を実用化できます。NGFWを使用して悪意のあるネットワークトラフィックをブロックできますが、このような場合に鍵となるのが、可視化ソリューションとの連携性やと外部システムとの統合です。サイバーセキュリティソリューション分野のフォーティネットの専門知識により、OTセキュリティプラットフォームはOTの適用と可視化ベンダーとの統合をネイティブにサポートしています。

セグメンテーション

 OT固有のシステム、KEV、OTプロトコルトラフィック、アプリケーションが可視化されたら、フォーティネットのOTセキュリティプラットフォームにより、リスクの低減とサイバー脅威の防止に役立つセキュリティ保護を実装するための豊富な保護機能が資産のオーナーに提供されます。これらの保護には、個々のスイッチポートレベルでカバーするOTネットワークのセグメンテーションが含まれます。FortiGate NGFWに接続すると、基本的にはFortiSwitchがセキュアスイッチとして機能し、ファイアウォール保護とセキュリティポリシーが各ポートに実装され、それぞれの資産、トラフィック、ユーザー、アクティビティの詳細な可視性がスイッチ経由で提供されます。FortiLinkと呼ばれる、ファイアウォールとスイッチの間のこの連携により、セキュアレイヤー2の機能が提供されます。

仮想パッチ

 仮想パッチなどの補完的なコントロールは、OTセキュリティで重要な次のステップです。レガシーシステムでは多くの場合に重要なプロセスが継続的に動作しているため、パッチを適用することができません。しかし、対象を特定したIPSシグネチャを使用することで、脆弱性をエクスプロイトから保護できます。フォーティネットのOTセキュリティプラットフォームでは、この仮想パッチを同じ管理プラットフォームで実行できます。

安全な接続

 OTネットワークを利用する多くのリモートサイトは、有線接続が限定的か存在しない地域に存在します。そのような場合、5Gを無線WANリンクとして使用できます。フォーティネットはこのニーズに応え、FortiExtender Rugged 511GとFortiExtender Vehicle 511Gという2つの新しいFortiExtender 5Gモデルを発表しました。これらのデバイスにはeSIMテクノロジーが搭載されているので、必要に応じて簡単にキャリアプランに加入したり切り替えたりすることができます。FortiExtenderはWi-Fi 6も搭載し、無線WANと無線LANの統合を1台のデバイスで実現します。FortiExtenderデバイスは、mGig WAN接続をサポートする新しい2.5Gポートを装備しています。FortiExtender Rugged 511Gは、IP67規格に準拠し、屋外環境で動作します。

 FortiExtender Vehicle 511Gは、IP64規格に準拠し、7V DCでも動作するので、モバイル環境にも適しています。これらの新製品は、CBRSバンドN48もサポートしているため、自動誘導車や自動誘導ロボットなどのプライベート5Gクライアント導入環境にも対応します。

高耐久性製品のその他のアップデート

 フォーティネットは、FortiGate Rugged NGFW製品ファミリーをアップデートし、OTネットワークや重要インフラのセグメンテーションのニーズに対応する2つの新しいモデルを追加しました。FortiGate Rugged 70GとFortiGate Rugged 50G-5Gは、セキュリティとネットワーキング専用に設計された独自のASICを搭載し、優れたセキュリティとネットワーキングのパフォーマンスを提供します。これらのデバイスは、最先端のデジタルI/O(DIO)ポートも装備しているため、オンサイトのデジタルプロセスや物理プロセスが自動化され保護が可能になります。さらには、FortiSwitch Rugged 100シリーズをアップデートし、FortiSwitch Rugged 112F-POEとFortiSwitch Rugged 108Fの2つの新しいモデルを追加しました。これらのFortiSwitch Ruggedモデルは、小型のフォームファクターで、DINレールをマウントでき、ほとんどの導入計画に適合します。極端な温度環境、振動、湿度での使用に耐えるように設計されているため、フォーティネットのソリューションは、過酷環境下のリモートサイトであっても動作し続けます。

リスクを低減する追加機能

 セグメンテーションと補完的なコントロールによってOTネットワークの効果的な保護が可能になりますが、これらの保護だけで完全なOTセキュリティが実現するわけではありません。追加機能により、組織内のリスク低減、サイバー脅威の防止、法規制コンプライアンスの遵守が強化されます。

 例えば、産業用制御システム向けのMITRE ATT&CK戦略は、リモートアクセスとリモートサービスを初期アクセスにおける上位の攻撃ベクトルに挙げています。当然ながら、多くの組織や重要インフラがOTネットワークにリモートアクセスし、サードパーティのコンサルティングやコンプライアンス監査に利用するようになっています。OTセキュリティプラットフォームには、アクセス制御、機密やパスワードの管理、安全なファイル共有、マウスクリックやキー入力を含む操作の監視や録画など、エージェントレスの安全なリモートアクセス機能が含まれています。これらの機能は、OTセキュリティプラットフォームの重要なコンポーネントであるFortiSRAソリューションを通じて提供されます。

NDR(Network Detection and Response:ネットワーク検知とレスポンス)

 サイバーインシデントが発生した場合、対応のタイミングが極めて重要です。侵入者がOTネットワークに侵入してから、数日、数ヵ月、場合によっては数年も検知されない場合もあります。フォーティネットの包括的なOTセキュリティプラットフォームがあれば、OTネットワークをセキュリティオペレーションセンター(SOC)に組み込み、即座に対応するためのインシデント対応計画を策定できるようになります。

 FortiNDRのNDR(ネットワーク検知とレスポンス)とFortiDeceptorのディセプションに加えて、FortiAnalyzerの精緻な分析を利用することで、脅威の検知と修復を効率化します。これらのソリューションにより、検知までの平均時間を数日から数分へと短縮できます。これらの機能は、攻撃機会を狙うハッカーを混乱させ、異常が検知された場合に自動的にネットワークから排除できます。緻密な分析機能により、SOCチームが効果的に業務を遂行し、技術職や非技術職の関係者向けにカスタマイズしたレポートを提供できるようになります。

OTセキュリティの真のプラットフォーム

 電力網、薬品メーカー、発電所、あるいは大規模のダムであっても、安全かつ無停止で操業するには、接続を可能にするテクノロジーが必要です。OTセキュリティは、必要不可欠なサービスの中断による影響を受ける組織や社会の業務、財政の健全性にとって極めて重要です。

 OTネットワークにおける可視性と検知は、セキュリティの成熟という点で重要かつ基本的なステップではありますが、最終目標ではありません。フォーティネットの包括的なOTセキュリティプラットフォームにより、効果的にリスクを低減し、サイバーインシデントを阻止できます。フォーティネットは20年以上にわたり、細心の注意を払いながらOTセキュリティプラットフォームを構築、進化させ、今日のお客様にとって重要な機能を提供してきました。このソリューションは、OTネットワークのデバイス、トラフィック、脆弱性を検知してそれらのネットワークをセグメンテーションし、重要なシステムを補正する制御実装を実現します。さらには、OTセキュリティプラットフォームは、安全なリモートアクセスをエージェントレスで提供するため、サードパーティのリモートアクセスを安全に利用しつつ、高度なSecOps機能により、侵入を検知するまでの時間を短縮できます。

■関連サイト

Fortinet トップへ