誰もがOT機器/危機を管理できる世界へ / Empowering OT Security: Enabling Universal Control Device Management and Countering Cyber Attacks

Transcript

1. © NTT Communications Corporation All Rights Reserved. 1 誰もがOT機器/危機を管理できる世界へ 2023年9⽉12⽇

   NTTコミュニケーションズ株式会社 鍔⽊ 拓磨

2. © NTT Communications Corporation All Rights Reserved. 2 ⽬次 1.

   OTセキュリティが求められる背景 2. OT環境への攻撃事例 3. OTセキュリティの課題・当社のアプローチ 4. 当社が提供するサービスのご紹介 • OTセキュリティリスク可視化サービス OsecT 5. 当社でのPoCのご案内 • ⼯場LAN⾒える化サービス（仮） 6. まとめ

3. © NTT Communications Corporation All Rights Reserved. 3 OTセキュリティが求められる背景 製造業の⽣産性向上や製造リソースの削減

   ⇒ ITネットワークとの接続やIoTの接続 閉域環境*を前提としていたOTネットワーク ⇒ ITネットワーク同様のサイバー攻撃のリス ク ⇒ OTセキュリティが求められるが... ⼗分な⼈材・予算を確保できないため対策が 後回しに IoT OT IT リモートオペレーション サプライチェーン Cloud * インターネットに接続されないネットワーク環境 OT (Operational Technology)とは⼯場な どの製造業で利⽤される制御技術のこと

4. © NTT Communications Corporation All Rights Reserved. 4 OT環境への攻撃事例 |

   ランサムウェア感染 半導体製造⼯場でのランサムウェア感染 半導体製造⼯場のシステムがWannaCry の亜種に感染し⼀時⽣産停⽌。完全な復 旧に3⽇間を要した。最⼤190億円規模 の損害 （2018年@台湾） ⾃動⾞⼯場でのランサムウェア感染 ランサムウエアに感染した影響で、⾃ 動⾞約1,000台が⽣産できなかった。 感染発覚後、丸1⽇間⽣産システムが停 ⽌。同時期には海外拠点でも感染 （2017年@⽇本） ランサムウェアの感染拡⼤により、ほと んどの事業部⾨のITシステムが影響を受 け、製造・発電プラントを⼿動操作へ切 替。 1週間で4000万ドル相当の被害 （2019年@ノルウェー） アルミ精錬所でのランサムウェア感染 ⽯油パイプラインでのランサムウェア感染 外部からのサイバー攻撃を受けて、被 害防⽌のためシステム停⽌。1週間操業 停⽌、⾝代⾦440万ドルの影響発⽣ （2021年@⽶国） [画像左上] https://www.kuka.com/en-de/industries/automotive [画像右上] https://japan.cnet.com/article/35123578/ [画像左下] https://www.bbc.com/news/technology-40685821 [画像右下] https://unsplash.com/ja/%E5%86%99%E7%9C%9F/vOtSZd_8Af4

5. © NTT Communications Corporation All Rights Reserved. 5 OT環境への攻撃事例 |

   マルウェア 2010 Stuxnet 2017 Time discovered 2016 2011 2014 2015 2018 Triton/Trisis/ HatMan CrashOverride/ Industroyer Havex BlackEnergy3 Irongate PLC-Blaster BlackEnergy2 VPNFilter Siemens製 SIMATIC WinCC/PC7, STEP 7 Shnieder Electric製 安全計装システム Triconex 産業⽤プロトコル Modbusの傍受も 産業⽤プロトコル（電⼒等） IEC 60870-5-101/104 IEC 61850, OPC DA OPC Classic 産業⽤プロトコル EtherNet/IP等 GE製 CIMPLICITY OT環境に対しても多くのマルウェアが猛威を振るっています。

6. © NTT Communications Corporation All Rights Reserved. 6 OT環境への攻撃事例 |

   中堅中⼩の製造業 中堅製造業K社の事例 • ⼦会社が独⾃に構築した取引先との通信に利⽤してい たリモート接続機器の脆弱性を突かれて侵⼊を許す。 • ⼦会社ネットワーク経由でK社ネットワークへも侵⼊ され、⼀部のサーバやパソコンのデータが暗号化され る等の攻撃を受ける。 • 調査等のためにシステムを遮断したことにより、⼤⼿ T社全体の⾃動⾞⽣産（14⼯場28ライン）が停⽌ サプライチェーン全体へ影響 • 内部情報の流出は確認されていないが、K社グループ 社員になりすました不審なメールが多数送信されてい ることを確認 被害者が加害者にもなり得る ⼤企業と⽐べてセキュリティ強度の劣る 中⼩企業を狙った攻撃も加速 ⼤企業を狙う際の踏み台として、中⼩企 業が攻撃の起点として積極的に狙われる 統計データに⾒る中堅中⼩企業へ のサイバー攻撃実態 出典: IPA『情報セキュリティ⽩書2021』より作成 l 中堅中⼩企業もサイバー攻撃のターゲットに l セキュリティ事故は、取引先・サプライチェー ンにも影響が及ぶ

7. © NTT Communications Corporation All Rights Reserved. 7 国内外・業界・企業規模を問わず OTセキュリティは必須の時代へ

8. © NTT Communications Corporation All Rights Reserved. 8 【課題】 l

   制御系システムの安定稼働が第⼀優先 • セキュリティ対策の導⼊により制御系システムへの 影響があってはいけない • PCやサーバのOSやアプリケーションが最新版に更新 されていない • 既存端末へのランサムウェア対策のソフトウェア （EDR等）の導⼊が難しい l 制御系システムの現状把握ができていない l 対策コストを極⼒抑えたい l セキュリティの専担者が不在 OTセキュリティの課題・当社のアプローチ 【アプローチ】 l 制御系システムへの影響を排除した予防／ 早期発⾒策（検知優先） • コピーしたトラフィックデータを監視 • 既存機器へのソフトウェアインストール不要 • 学習と分析によるサイバー脅威／脆弱性の検 知 l ⾒える化 l 低価格（⽉額1桁万円） l 簡単導⼊・簡単運⽤ 特に、コスト・⼈材不⾜でOTセキュリティに⼿を出せないところを解消したい

9. © NTT Communications Corporation All Rights Reserved. 9 ご紹介するサービスで作りたい社会 誰もがOT機器/危機を管理できる世界

   特に以下のような考えを持っている企業さま・担当者さま • ⾼機能で⾼価なセキュリティ製品だと、「セキュリティ有識者じゃない と導⼊できない」・「お⾦がないと継続できない」 • スキルやお⾦がある組織じゃないと機器/危機管理できない

10. © NTT Communications Corporation All Rights Reserved. 10 OTセキュリティリスク可視化サービス OsecT

    ⽣産現場の業務を妨げることなく、制御系システムにおけるリスクを可視化しサイバー 脅威・脆弱性（セキュリティホール）を検知することで、早期にリスク感知できる状態 を作り、⼯場停⽌による損失を未然に防ぐことができます。 OsecT SaaS環境 OsecT センサー アラート通知 Webポータル画⾯ 状況の確認 お客さま拠点 お客さま トラフィック コピー スイッチ 予防／早期発⾒ ・学習と分析による サイバー脅威／脆弱性の検知 ⾒える化 ・端末 ・ネットワーク 簡単導⼊ ・マニュアルにそって設定 ・OsecTセンサーで取得した情報 はモバイル通信でアップロード されるため、既存LANへの変更 は最⼩限（スイッチにおけるミ ラーポートの作成のみ） 制御系システムへの 影響なし ・コピーしたトラフィックデータ を監視 ・既存機器へのソフトウェアのイ ンストール不要 簡単運⽤ ・VPNなど不要でどこからでも可 視化・検知画⾯を参照可能 ・シンプルなUI設計

11. © NTT Communications Corporation All Rights Reserved. 11 OTセキュリティリスク可視化サービス OsecT

    安⼼してお使いいただけるように、以下のような取り組みとネット ワーク設計にしています。 • パケット解析機能を有するOsecTセンサーのソースコードを公開*1 • ⾒える化・予防/早期発⾒に必要最低限の情報のみをSaaS環境に 送信していることを明⽰ • OsecTセンサー、SaaS環境で利⽤するソフトウェアは当社による内製開発 • ⽇本純正のサービスとして位置づけ • OsecTセンサーからSaaS環境へは当社が有する閉域網*2 を利⽤ • 取得した情報がインターネット上に流れない設計 *1 https://github.com/nttcom/OsecT *2 Internet Connect Mobile Type S、Flexible InterConnect (FIC)

12. © NTT Communications Corporation All Rights Reserved. 12 ⾒える化（端末・ネットワークの管理に︕） センサーが取得したパケットから⾃動で端末を⼀覧化︕

    ⼀覧化したデータはCSVで出⼒可能︕ 接続端末数/トラフィック量が多い端末を⼀⽬で把握︕ OTネットワークの傾向を把握︕ ネットワーク可視化機能によってOTネットワーク環境を視覚的に把握し、資産管理や重要度の⾼い 端末の特定を⾏うことで、対策強化や有事の際の対応に役⽴てていただけます。 端末⼀覧機能/ネットワークマップ ランキング機能

13. © NTT Communications Corporation All Rights Reserved. 13 予防（リスク対処・予防対応に︕） 新たに接続された端末やサポート切れのOSを使っている端末などを検知・アラート通知することで、

    お客さまでのリスク対処や予防対応につなげていただけます。 ネットワーク内に存在する端末情報を⾃動で学習︕ 野良端末を⾒逃さずに早期に発⾒︕ サポート切れのOSを利⽤する端末を⾃動検出︕ アップデート対応漏れを防⽌︕ 新規端末検知機能 脆弱端末検知機能

14. © NTT Communications Corporation All Rights Reserved. 14 早期発⾒（異常を早期に発⾒するために︕） 端末ペア毎に定常業務のトラフィック量を学習︕

    曜⽇や時間帯毎の閾値を⾃動で算出︕ 定常業務では利⽤しないOTコマンド*を検知 ! CVE 等の既知シグネチャーにマッチした通信を検知︕ マルウェア感染等の異常が発⽣した場合、その挙動（トラフィック量の増加や、定常業務でなかっ た通信の発⽣など）を検知・アラート通知することで、お客さまでの早期対応・影響の極⼩化につ なげていただけます。 IP流量検知機能 OT振舞検知機能/シグネチャー検知機能 * 2023年9⽉現在、CC-Link IE Field, IE Control, IE Field Basicに対応（ニーズに応じて順次追加予定）

15. © NTT Communications Corporation All Rights Reserved. 15 当社でのPoCのご案内 |

    ⼯場LAN⾒える化サービス（仮）* 誰もがOT機器/危機を管理できる世界 特に以下のような考えを持っている企業さま・担当者さま • まずは機器管理から始めたい • まずはお⾦をかけずに始めたい、もっと安く始めたい * OsecTとは別サービスです。

16. © NTT Communications Corporation All Rights Reserved. 16 当社でのPoCのご案内 |

    ⼯場LAN⾒える化サービス（仮） ⽣産現場の業務を妨げることなく、制御系システムのLAN・リスクを可視化し、セキュリティを含むリスク を早期に感知できる状態を作り、⼯場停⽌による損失を未然に防ぐことができます。 OsecT SaaS環境 OsecT センサー アラート通知 Webポータル画⾯ 状況の確認 お客さま拠点 お客さま トラフィック コピー スイッチ ⾒える化 ・端末 ・ネットワーク 早期発⾒ ・新規端末検知機能のみ 簡単導⼊ ・マニュアルにそって設定 ・OsecTセンサーで取得した情報 はモバイル通信でアップロード されるため、既存LANへの変更 は最⼩限（スイッチにおけるミ ラーポートの作成のみ） 制御系システムへの 影響なし ・コピーしたトラフィックデータ を監視 ・既存機器へのソフトウェアのイ ンストール不要 簡単運⽤ ・VPNなど不要でどこからでも可 視化・検知画⾯を参照可能 ・シンプルなUI設計

17. © NTT Communications Corporation All Rights Reserved. 17 当社でのPoCのご案内 |

    概要 対象 • ⾃社⼯場のLANの端末・ネットワークの管理に課題を感じているお客様 概要 • 期間︓2023年9⽉~12⽉（1社あたり最⼤3ヶ⽉間） • 費⽤︓無償（使い⽅などの問い合わせ対応を含む） • センサー機器x1セット（1ミラーポートに対応）を無償貸与 お客様にご協⼒いただきたいこと • スイッチ等へのミラーポートの設定 • 設定について当社からのアドバイスは可能 • LANケーブル（ミラーポートとセンサーPCの接続⽤）の⼿配 • センサーPCの設置・撤去 • 電源投⼊・停⽌ • 当社がサービスの改良のために実施する下記についての同意 • パケットデータを利⽤すること • アンケートへの回答やユーザインタビューへの対応

18. © NTT Communications Corporation All Rights Reserved. 18 まとめ •

    製造業の⽣産性向上に伴い、ITネットワークとの接続やIoTの接続が進んでいる。 国内外・企業規模を問わずサイバー攻撃の事例は増えており、OTネットワーク においてもセキュリティ対策が求められる時代になっている。 • 予算/⼈材が不⼗分な企業さまにおいても機器/危機管理できるように、当社では 低価格・簡単導⼊/運⽤可能・⽇本純正サービスとして位置づける「OTセキュリ ティリスク可視化サービス OsecT（オーセクト）」を提案。 • まずはOT機器管理からという企業さま向けに「⼯場LAN⾒える化サービス （仮）」のPoCをご案内。 OsecTセンサーの実機やデモを展⽰しているので、サービス・PoCなどにご興味を 持たれた⽅は展⽰ブース（⼩間番号︓B-1）でお待ちしています。

19. © NTT Communications Corporation All Rights Reserved. 19 ご参考 |

    本発表に関連する各種Webサイト • OTセキュリティリスク可視化サービス OsecT（オーセクト） 申込ページ • https://www.ntt.com/business/services/security/security- management/wideangle/osect.html • または「OsecT」と検索 • OsecTに関する技術情報や機能開発の背景など（NTTコミュニケーションズ 開発者ブログ） • https://engineers.ntt.com/ • または「OsecT 開発者ブログ」と検索 • 本⽇の資料は後⽇公開予定（NTTコミュニケーションズ Speaker Deck） • https://speakerdeck.com/nttcom • または「NTTコミュニケーションズ Speaker Deck」と検索 • ⼯場LAN⾒える化サービス（仮）のPoCに関する問い合わせフォーム、及びQRコード • https://forms.office.com/r/zD5p6dGVgP