catch-img

OTセキュリティ 運用自動化にチャレンジ!

こんにちは。IIoT全般を担当している久保田です。

OTセキュリティの 運用自動化をテーマにした活動を昨年実施しましたので、その活動内容をブログでシェアさせていただきます。
※本活動内容の一部はPaloalto Networks様主催のPALO ALTO NETWORKS DAY 2020 VIRTUALにも出展させていただきました。


目次[非表示]

  1. 1.OT セキュリティ対策の課題
  2. 2.OTセキュリティ対策ソリューション:SCADAfence Platform
  3. 3.SOARを利用したOTセキュリティ運用自動化
    1. 3.1.自動化を実現するコンポーネント
    2. 3.2.自動化の仕組み
    3. 3.3.運用自動化シナリオ
  4. 4.OTセキュリティ対策の将来


OT セキュリティ対策の課題

近年、OTセキュリティ対策の重要性が広く認知されてきています。この流れから制御システム特有の通信であるOTプロトコルを深く解析することで、脆弱性の可視化やサイバー攻撃の検知/防御を得意とする製品が数多く登場しています。これらの製品は、OT特有のネットワーク環境ニーズに合わせて開発されており、一見、どれも市場に広く受け入れられそうに見えます。

しかしながら、これらのセキュリティ対策製品を導入するにあたりいくつかのOT環境特有の課題を乗り越える必要があります。私の経験上、その中でも特に課題となるのが「運用上の課題」です。

どういうことかと言いますと、製造業の例では、経験上OTネットワーク環境は情報システム部の管理外であることが大半です。そうなると、セキュリティ対策製品を入れても「誰が」運用するか、という問題がついて回ります。OTを対象としたSOCサービスを提供している事業者も少なく、お客様と一緒にこの課題に立ち向かっているというのが現状です。


OTセキュリティ対策ソリューション:SCADAfence Platform

弊社ではSCADAfence PlatformというOTセキュリティ対策製品を取り扱っています。この製品はEDRといったEndpoint製品と違い、端末にエージェントをインストールする必要無く導入できるという特徴があります。このため、現行のワークステーションのOSやアプリケーションに依存すること無く、簡単にセキュリティ対策をスタートできます。



SOARを利用したOTセキュリティ運用自動化

OTセキュリティ運用上の課題を克服する糸口を模索するため、SCADAfence PlatformとSOARを利用したセキュリティ運用自動化にチャレンジしました。

自動化を実現するコンポーネント

今回検証に利用した製品は3つ。

・SCADAfence Platform :OTセキュリティ対策製品(NTA/NDR)

・Paloalto Cortex XSOAR  :セキュリティ運用のオーケストレーション製品

・Paloalto Panorama :ファイアウォールの統合管理製品

この3つの製品をAPI連携させて、SCADAfenceで検知したセキュリティアラートを起点に、アラート内容に応じてPanoramaへセキュリティポリシーを自動生成しよう、というものです。

自動化の仕組み

今回3つのコンポーネントをAPIで連携させていますが、APIを実行するためのプログラムは自前では一切用意していません。Cortex XSOARでは各社セキュリティ製品とAPI連携するためのモジュールが標準で用意されており、Cortex XSOARのGUIからモジュールを追加することによって、簡単にAPI連携させることができます。

自動化のためのワークフロー作成はCortex XSOARのPlaybook機能を利用します。Playbookでは利用したいAPI機能(タスク)を選択し、必要なパラメータを入力することで簡単に1つのタスクを作成することができます。


運用自動化シナリオ

Cortex XSOARを利用してセキュリティ運用をする想定で、工場に設置したSCADAfence Platformで検知したマルウェア通信をCortex XSOARで評価し、最終的に感染端末とC&Cサーバを対象とした通信拒否のポリシーをPanoramaに作成するという所までを自動化しました。

ざっくりと以下の要件で自動化ワークフローを作成しました。

1. SCADAfence Platformでマルウェア通信を検知。アラート出力。

2. SCADAfenceのアラート情報をCortex XSOARから取得。

3. アラートの危険性をXSOARで評価する。

4. アラートの危険性が高い場合、感染端末とC&Cサーバを対象として、XSOARからPanoramaへAPIを通じて通信拒否のポリシーを自動作成する。


尚、感染端末をネットワークから隔離することも視野にいれて自動化したかったのですが、諸事情ありましてそこまで対応できず...。


OTセキュリティ対策の将来

OTセキュリティ対策製品はITセキュリティ対策製品とは違う視点で提案していく必要があります。IT側の人間がOTについて詳しくないのと同じで、OT側の人間も同じようにITに詳しくありません。世の中ではIT/OTコンバージェンスを実現されている企業も一部で増えてきていますが、まだまだ発展途上と言えます。これがいよいよ一般的になってきたころには、IT/OT含めた、一貫したセキュリティ運用を実現していく必要が出てくると予想しています。本活動は現実的には実現に課題が多い内容ではあるものの、そんな将来を想定した先駆けの活動として、このブログを閲覧頂いた皆様のご参考になれば幸いです。


久保田 泰章(くぼた やすあき)

久保田 泰章(くぼた やすあき)

ネットワンパートナーズ セールスエンジニアリング部 SE2チーム所属。 海外鉄道業界向けIIoTソリューション構築の経験を経て、2018年にネットワンパートナーズへ入社。以後IIoTソリューション担当として従事。