産業用モノのインターネットの保護

組織は産業用モノのインターネットの取り組みを設計および展開しますが、産業用モノのインターネット（IIoT）は概念であるため、この用語はセキュリティの専門家にとっては意味がありません。セキュリティリーダーが概念を保護することは困難です。

これは、GartnerInc。のVPアナリストであるKatellThielemannによるものです。

「[セキュリティの専門家]は、特定の特性を備えたサイバーフィジカルシステムを扱っていることを理解し、それらの特性を理解することがセキュリティアプローチを作成する方法を定義するための鍵となることを理解し、詳細に問題に取り組む必要があります。」と彼女は言いました。

>

多くの場合、初期展開の速度は、システムのライフサイクル全体を網羅する必要があるセキュリティ戦略よりも優先されると、ティーレマン氏は述べています。あまりにも多くの組織が、IIoTの取り組みに関して、IT中心のビューを産業環境のセキュリティにもたらしています。

セキュリティ運用テクノロジー（OT）は、規制当局に対してエグゼクティブレベルの注目と可視性を獲得していますが、規制当局を完全なサイバー可視性と保護下に置き、継続的な警戒を確保する能力は、複数のレベルで困難であると、サイバーセキュリティのグローバル責任者であるSanthaSubramoni氏は述べています。タタコンサルタンシーサービスでのサービス。

基盤レベルでは、脅威の表面（または攻撃される可能性のある領域）自体が複雑で多様であるため、資産の発見と統合がエンタープライズセキュリティアーキテクチャの課題になっているとSubramoni氏は述べています。センサー、エッジデバイス、接続、関連データ、アプリケーション、ホスティングエコシステムは、分散型IIoTエコシステムの中核です。

Subramoni氏によると、エンタープライズネットワークの境界の外では、レガシーテクノロジーがかなり普及し、自己完結型ネットワークが急増しているという。また、エンドポイントの可視性が欠如しているため、予防策を講じる能力が制限されています。

「組織は、脆弱性のカタログを複数のレベルで検出して保持し、それに必要な知識とテクノロジーを、通常は管理可能な規模と信頼性にまだ成熟していない産業エコシステム内で維持する必要があります」とSubramoni氏は述べています。

建築材料メーカーがIIoTをどのように保護しているか

HILの最高情報責任者であるMuraliRaj氏は、建材メーカーのHIL Ltd.は、インドの4つの製造工場でデジタル製造現場技術を立ち上げたときにデジタル化の旅の第一歩を踏み出し、IIoTを実装しました。デジタルショップフロアは、すべてのマシンを1つのネットワークに接続し、効率と品質を最適化します。

「現在、予知保全の次の段階に進んでいます」とRaj氏は述べています。 「つまり、予知保全に関するPOC [概念実証]を行っており、予測品質についてもPOCを行っています。したがって、セキュリティ対策にも注意を払う必要があります。」

製造現場では、リアルタイムの機械パラメータは、センサー、プログラマブルロジックコントローラー（PLC）、監視制御およびデータ取得（SCADA）システムを介してキャプチャされます。その後、データはHILのITネットワークを介してクラウドに転送され、そこでリアルタイムで分析されるとRaj氏は述べています。さらに、システムは、運用チームが是正措置を講じるために使用できるインスタントアラートを生成します。

「以前は、SCADAシステムはインターネットに接続されておらず、島として存在していました」とRaj氏は述べています。 「つまり、製造機械があり、その上にPLCがある場合、それらは、監督者が製造[プロセス]全体を制御する制御室で一緒に機能しました。現在、このデータはネットワークの外部に送信する必要があります。」

その結果、HILはインターネットに安全に接続するためにIT側にファイアウォールを実装する必要がありました。エッジデバイスとセンサーをインターネットに接続してデータを転送するために、同社はこれらのデバイスが適切なセキュリティ基準に準拠していることを確認したとRaj氏は述べています。また、HILは、ソフトウェアとファームウェアに定期的にパッチを適用してアップグレードする必要がありました。

テクノロジーを扱った後、HILは人とプロセスも調べました。

「以前は、SCADAとPLCおよびプラントを制御する保守エンジニア、電気エンジニアは、ITエンジニア、ネットワークエンジニア、または組織のセキュリティを検討していたリーダーとさえやり取りしていませんでした」とRaj氏は述べています。 P>

今、これらのチームは集まってお互いを理解し、自分たちの地域で何が起こっているかを常に最新の状態に保つためのプロセスを整える必要があると彼は言いました。 HILはまた、OTおよびOTセキュリティについてITエンジニアの一部をトレーニングし、プラントチームに少なくともサイバーセキュリティの認識を持たせるように依頼しました。

「また、EYとデロイトがITとOTを理解するためのフレームワークをまとめるのに役立ったという外部の視点も取り入れました」とRaj氏は述べています。 「この機能は組織内に存在していなかったため、外部の視点を取り入れることが役立つ場合があります。」

プロセスの面では、HILは、役割の権限、パスワードのリセット、ユーザーアクセスなどのITセキュリティ対策がOT側でも守られていることを確認しました。

「それで、そのような強力な手順に慣れていなかったプラントチームは、それらを受け入れる必要がありました」と彼は言いました。

重要なデバイス/資産が厳重に保護されていることを確認する

IIoTへの攻撃はIT攻撃ほど一般的ではありませんが、生産の損失、収益への影響、データの盗難、重大な機器の損傷、産業スパイ、さらには身体への危害など、その結果は依然として甚大である可能性があります。接続されたデバイスとIIoTの自動サイバーセキュリティのプロバイダーであるVdooの役員。

したがって、攻撃の数を統計的に減らすだけでは不十分ですが、重要なデバイスと資産が本番環境に入るとすぐに厳重に保護されるようにする必要があります。

Karasは、組織がIIoTセキュリティを向上させるのに役立ついくつかのアプローチを提供しました。

• 業界環境に固有のリスクおよび脅威管理プロセスを採用します。
• 新しいデバイスを導入する前に、それらが設計によって保護されていること、およびデバイスのコードや構成に悪用可能なファーストパーティまたはサードパーティの弱点がないことを確認してください。
• 導入後、資産管理ツールを使用して、関連する産業資産を発見および特定します
• これらのデバイス用に独自に設計されたエンドポイントランタイムアプリケーションエージェントを実装して、継続的な監視と保護を確保します。

ハイパーコネクティビティの管理

今日の多くのデバイスの最大の課題は、サイバーセキュリティを念頭に置いて構築されていないことです、とブーズアレンハミルトンのプリンシパル/ディレクターであるカイルミラーは述べています。従来のITシステムと同じレベルのセキュリティ保護をサポートしていない、簡素化されたリアルタイムのレガシーオペレーティングシステムを頻繁に実行します。その結果、組織の攻撃対象領域を大幅に増やす可能性があると同氏は述べた。

現在、これらのデバイスは、多くの場合、産業用ネットワークから企業ネットワーク、インターネット、クラウドに直接接続するように求められています。

「[重要]そのハイパーコネクティビティ、データフロー、および構築を実際に管理すること。 。 。そのデバイスが通信できるもの、通信できないものを実際に管理し、侵害が発生した場合に、その爆風半径を実際に制限できるゼロトラスト環境」と彼は述べています。

>

ブーズアレンハミルトンのプリンシパル/ディレクターであるデビッドフォーブスは、IIoTシステムを実装する前に、組織がどのような種類のリスクを負っているのかをよく理解している必要があります。

このことを理解するには、企業はベンダーの現在のセキュリティ体制、ソリューション、ソフトウェアの実装、およびIIoTネットワークに実装しているデバイスを把握する必要があります。

たとえば、組織がサードパーティベンダーのテクノロジーを実装する場合、ベンダーに次のような質問をする必要があります。

• 安全なプラットフォーム上に独自のソフトウェアを構築しましたか？
• 必要に応じて暗号化された通信を使用していますか？
• アクセス制御機能はありますか？

「これは、リスクを理解し、これらのIIoTシステムを採用することでネットワークの脅威の状況を積極的に変える方法を理解する上で非常に重要です」とフォーブス氏は述べています。

企業は、これらのIIoTデバイスとシステムが、必要に応じて他のITおよびOTネットワークからセグメント化されていることを確認する必要があると同氏は述べた。これらのデバイスは、保護されたままであるだけでなく、ある攻撃ベクトルが別の攻撃ベクトルへのアクセスを作成できないように、厳密に制御する必要があります。

組織のサイバー衛生

「それらは組織的なものです」とフォーブスは言いました。 「私たちが実際に目にしているのは、これらの侵害や攻撃のいくつかの調査結果を見ると、その多くは、組織のサイバー衛生と規律、および導入されているかどうかにかかわらずプロトコルにまでさかのぼると思います。で始まります。」

産業環境は悪意のある人物にとって新たなフロンティアであり、すべての兆候は、これらの環境をますます標的にしていることを示しています。

Thielemannによると、2020年には、産業環境を標的とする脆弱性と脅威が大幅に増加しました。そして、企業が運用を通じて価値を生み出すことを考えると、当然のことです。

「産業スパイであろうとランサムウェアの試みであろうと、これらの環境はほとんどの企業にとって最高の宝石です」と彼女は言いました。 「彼はセキュリティコンプライアンスに関するものではありません。それはビジネスの回復力についてです。」

これらの課題に対処するために、組織は検討中のIIoTの取り組みの主要な特徴を理解する必要があるとThielemann氏は述べています。例：

• 取り組みによって求められるビジネスの成果は何ですか？
• IIoTシステムはどこに導入されますか？
  • 物理的世界とサイバー世界の両方で、誰がそれらにアクセスできますか？
  • どのように設計されますか？
• どのセキュリティソリューションが組み込まれるのか、階層化する必要があるのか​​？
• ベンダーはメンテナンスやアップグレードのためにリモートインする必要がありますか？
• データフローは既存のネットワークを通過しますか？ワイヤレス？

「組織はIIoTの取り組みのライフサイクルビューをとらなければなりません」と彼女は言いました。 「要件の設計から購入、導入、保守、および廃止まで、各ステップでセキュリティの考慮事項を考慮する必要があります。」

セキュリティリーダーは、産業環境が企業中心のIT環境とは大きく異なることを認識する必要があるとThielemann氏は述べています。たとえば、物理的な場所の制約、運用の回復力、さらには安全性を考慮することは、セキュリティ戦略の一部である必要があります。企業は、これらの環境に対応するためにIT中心のセキュリティアプローチを変更する必要があります。また、パッチ適用、監視、認証へのアプローチも変更する必要があります。

通常、IIoTはITではなくエンジニアリング部門と生産部門の管轄下にあるとSubramoni氏は述べています。

「しかし、テクノロジーの近代化とともに、変革の組織化と監視が必要です」と彼女は言いました。 「ほとんどの企業は、オンデマンドで拡張し、産業システムを保護するコストを管理するために、信頼できるテクノロジーとシステム統合パートナーを必要とします。これは急速に進化するニーズであり、テクノロジーコミュニティはこの課題に取り組んでいます。」