世界の重要インフラを支えるOT環境に必要な「Threat-Informed Defense」とは
提供: フォーティネットジャパン
本記事はフォーティネットジャパンが提供する「FORTINETブログ」に掲載された「重要インフラの保護:OTにThreat-Informed Defenseが必要な理由」を再編集したものです。
世界の重要インフラを支えているオペレーショナルテクノロジー(OT)環境は、サイバー脅威の標的化、持続化、自動化によって、緊急かつ進化するリスク状況に直面しています。先日のフォーティネットウェビナー「Threat-Informed Defense for Operational Technology(脅威インテリジェンスに基づくオペレーショナルテクノロジー向け防御)」でもこの問題を重点的に取り上げ、フォーティネットのチーフセキュリティストラテジスト兼脅威インテリジェンス担当グローバルVPのDerek Mankyと、OTソリューション製品マーケティング担当シニアディレクターのRichard Springerがそれぞれの見解を述べました。
Derek Mankyは「2025年フォーティネットグローバル脅威レポート」を引用しつつ、OTシステムは巻き添えで被害を受けるどころか、第一の標的になりつつあるという深刻な現状を説明しました。サイバー犯罪者は、産業用ネットワークに高度な標的型攻撃(APT)を仕掛け、単にデータを盗むだけでなく、重要なサービスを中断させて身代金を要求したり、さらなる攻撃のために自身を埋め込んだりします。
狙い撃ちされるOTと巧妙化する攻撃
Derek Mankyによると、「攻撃者はより熱心にではなく、よりスマートに活動しています」。今日の脅威アクターは無差別攻撃よりも偵察に力を入れており、毎秒3万6000回という速度でネットワークをスキャンしています。そして、Modbus TCP(産業環境で普及している業務用デバイスとの通信に使用される、セキュリティが不十分なネットワークプロトコル)などの脆弱なサービスを特定し、そのインテリジェンスをAI活用ツールで武器化し、侵入からエクスプロイトまでの経路を自動化します。
こうした情勢の変化によって、OTネットワークはランサムウェアグループにとって特に魅力的なものになっています。さらに、「データの身代金はサービスの身代金へと変わりつつある」と指摘しています。各業種の中で標的にされた回数が2年連続で最多となった製造業の場合、攻撃者は製造ラインの休止による財政的損失を正確に見積もり、それを恐喝戦略に取り入れています。
その動機は明白です。産業組織にダウンタイムは許されず、攻撃者はそれを知っているのです。
OTにおける脅威:高速で集中的、ただしその多くはローテク
サイバーセキュリティコミュニティはゼロデイ攻撃に重点を置きがちですが、Derek Mankyは、OT侵害では「living off the land(環境寄生型)」の方がはるかに多いと警告しています。この手法では正規のツールや認証情報が悪用されますが、その多くは元から組み込まれているものです。
中東の重要インフラが標的となったある事例では、攻撃者は偵察に1年を費やしており、窃取した認証情報とスケジュール済みタスクなどの標準的Windowsツールを使用して、セグメント化された4つのネットワークレイヤーでステルスアクセスを維持していました。そして、2年以上も検知されることなくアクセスを続けた後、ようやくカスタムマルウェアを配信しました。その忍耐力と緻密さには驚かされます。
では、その侵入口はどこかというと、ダークウェブで150ドル以下で購入した認証情報でした。
これは危機的な現実を浮き彫りにしています。つまり、最も脆弱なリンクは、多くの場合、パッチ未適用のシステムやずさんなパスワード対策、そして、制御が不十分なリモートアクセスパスであるということです。
AIは諸刃の剣
人工知能(AI)は、攻防双方の脅威情勢に変化をもたらしています。攻撃側は、FraudGPTやWormGPTなどのカスタムAIツールを使用して、驚くべき速さでフィッシングメールの作成や攻撃対象領域のマッピングを行い、極めて現実的なソーシャルエンジニアリング攻撃を自動化しています。
防御側であるフォーティネットは、識別系AIと生成系AIの両方を組み込んでおり、前者は新たなマルウェアを検知し、後者はセキュリティ ファブリックでアラートを集約し優先度を決定します。Derek Mankyは「生成AIは万能の解決策ではありません」と忠告しつつ、「しかし、分析力を高め、負担を軽減し、平均レスポンス時間を短縮することができます」と述べました。
スキルを持つ人材が不足しがちなOTでは、AIを活用した脅威インテリジェンスと業種別のコンテキストを組み合わせることで、検知とレスポンスを大幅に改善できます。
脅威インテリジェンスに基づく防御:インテリジェンスを生かした対策
ウェビナーの主要テーマは、脅威インテリジェンスだけでは不十分であるということでした。効果を発揮するには、脅威に関するデータに実用性も求められます。フォーティネットの脅威インテリジェンスに基づく防御モデルでは、MITRE ATT&CK for ICSなどのフレームワークを使用して、組織のセキュリティオペレーションと攻撃者の実際の行動をマッピングし、製造ライン、電力網、精製所など産業用システムの防御に役立てることができます。MITRE ATT&CK for ICSには、特に産業制御システムに対して用いられる既知の戦術と手法が体系的にまとめられています。
防御側は以下の対策が可能になります。
・偵察やラテラルムーブメントといった攻撃者の戦術を検知する
・既知の手法と最新のテレメトリをマッピングする
・重要資産に対する既知のリスクに基づきレスポンスの優先度を決定する
Derek Mankyによると、このような連携はFortiAIやFortiDeceptorなどのツールを通じてすでに稼働しています。これらのツールは高精度なアラートを生成し、侵入者を罠にかけるおとり環境をシミュレートし、セキュリティオペレーションセンターでのインシデントレスポンスを自動化します。
OT攻撃対象領域の拡大
産業の近代化により、産業界のサイバーリスクはさらに増大しています。産業用IoT、5G、プライベートセルラーネットワーク、direct-to-cloud管理モデルなどが成長を続けるにつれて、これまで以上に多くのデバイスがオンラインで接続され、その露出度も高まっています。
かつては隔離されていたOTネットワークは、現在ではITシステムと緊密に統合され、攻撃者がドメイン間を水平移動できる状態を作り出しています。また、通信事業者は、セキュリティを考慮せずに設計された従来のOT機器と、ITネットワークやインターネットとの直接接続を継続しているため、セグメンテーションや多要素認証(MFA)、仮想パッチといった補完的制御はもはや欠かせない存在となっています。
組織が今すぐに実行すべきOT対策
ウェビナーの最後に、Derek Mankyは防御側の最優先事項として次の3項目を挙げました。
1. 基本的なセキュリティギャップの解消
・MFAを適用する
・デフォルトの認証情報を変更し、IDを管理する
・外部による攻撃対象領域評価を定期的に実施する
2. 脅威インテリジェンスに基づくSecOpsへの投資
・MITRE ATT&CK for ICSに準拠したプレイブックを作成する
・ディセプションテクノロジーを使用してラテラルムーブメントを検知する
・脅威インテリジェンスとロギングおよび分析プラットフォームを統合する
3. 不可避の事態への備え
・机上演習を実施する
・チームにフィッシングやAIによる脅威を検知する訓練を実施する
・IT/OTチームのインシデントレスポンス態勢を確立する
Derek Mankyは次のように締めくくりました。「OTセキュリティはもはや選択肢ではなく、必須機能です。必要なものは可視性だけではありません。コンテキスト、スピード、そして実行力も必要です。それが一歩先を行くための唯一の方法です」
結論:認識を行動に移す
脅威アクターの迅速化、ステルス化、巧妙化が進む中、重要なOTインフラを保護するには、従来のセキュリティ対策だけでは不十分です。インテリジェンスを収集するだけでなく、それに基づいて行動するための状況認識、活発な脅威ハンティング、成熟したオペレーションが求められます。
OT環境において、脅威インテリジェンスに基づく防御は贅沢なものではなく、必要不可欠な手段です。Derek Mankyは次のように強調しました。「反撃によって勝利を得ることはできません。戦略的かつ体系的に、さらには次の攻撃を予測して準備することで、勝利を収めることができるのです」
OTセキュリティへの取り組みを始めたばかりでも、成熟したOT SecOpsモデルへの移行中であっても、進むべき道は可視化とセグメンテーションから始まり、インテリジェンスへと発展し、行動によって成果が得られます。
フォーティネットは組織が次のステップに進めるよう全力で支援し、専用設計ツール、リアルタイムのインテリジェンス、統一的アプローチによって、近代産業や重要インフラを支えるシステムを保護します。
詳細については当社ウェビナーまたは「2025年フォーティネットグローバル脅威レポート(日本語版)」をご覧ください。