Upgrade to Pro — share decks privately, control downloads, hide ads and more …

誰もがOT機器/危機を管理できる世界へ / Empowering OT Security: E...

誰もがOT機器/危機を管理できる世界へ / Empowering OT Security: Enabling Universal Control Device Management and Countering Cyber Attacks

2023年9月12日のECONOSEC(経済安全保障対策会議・展示会)で発表した「誰もがOT機器/危機を管理できる世界へ」の講演資料です。
イベントページについてはこちらを御覧ください(https://econosec.jp/conference/

NTT Communications

September 13, 2023
Tweet

More Decks by NTT Communications

Other Decks in Business

Transcript

  1. © NTT Communications Corporation All Rights Reserved. 2 ⽬次 1.

    OTセキュリティが求められる背景 2. OT環境への攻撃事例 3. OTセキュリティの課題・当社のアプローチ 4. 当社が提供するサービスのご紹介 • OTセキュリティリスク可視化サービス OsecT 5. 当社でのPoCのご案内 • ⼯場LAN⾒える化サービス(仮) 6. まとめ
  2. © NTT Communications Corporation All Rights Reserved. 3 OTセキュリティが求められる背景 製造業の⽣産性向上や製造リソースの削減

    ⇒ ITネットワークとの接続やIoTの接続 閉域環境*を前提としていたOTネットワーク ⇒ ITネットワーク同様のサイバー攻撃のリス ク ⇒ OTセキュリティが求められるが... ⼗分な⼈材・予算を確保できないため対策が 後回しに IoT OT IT リモートオペレーション サプライチェーン Cloud * インターネットに接続されないネットワーク環境 OT (Operational Technology)とは⼯場な どの製造業で利⽤される制御技術のこと
  3. © NTT Communications Corporation All Rights Reserved. 4 OT環境への攻撃事例 |

    ランサムウェア感染 半導体製造⼯場でのランサムウェア感染 半導体製造⼯場のシステムがWannaCry の亜種に感染し⼀時⽣産停⽌。完全な復 旧に3⽇間を要した。最⼤190億円規模 の損害 (2018年@台湾) ⾃動⾞⼯場でのランサムウェア感染 ランサムウエアに感染した影響で、⾃ 動⾞約1,000台が⽣産できなかった。 感染発覚後、丸1⽇間⽣産システムが停 ⽌。同時期には海外拠点でも感染 (2017年@⽇本) ランサムウェアの感染拡⼤により、ほと んどの事業部⾨のITシステムが影響を受 け、製造・発電プラントを⼿動操作へ切 替。 1週間で4000万ドル相当の被害 (2019年@ノルウェー) アルミ精錬所でのランサムウェア感染 ⽯油パイプラインでのランサムウェア感染 外部からのサイバー攻撃を受けて、被 害防⽌のためシステム停⽌。1週間操業 停⽌、⾝代⾦440万ドルの影響発⽣ (2021年@⽶国) [画像左上] https://www.kuka.com/en-de/industries/automotive [画像右上] https://japan.cnet.com/article/35123578/ [画像左下] https://www.bbc.com/news/technology-40685821 [画像右下] https://unsplash.com/ja/%E5%86%99%E7%9C%9F/vOtSZd_8Af4
  4. © NTT Communications Corporation All Rights Reserved. 5 OT環境への攻撃事例 |

    マルウェア 2010 Stuxnet 2017 Time discovered 2016 2011 2014 2015 2018 Triton/Trisis/ HatMan CrashOverride/ Industroyer Havex BlackEnergy3 Irongate PLC-Blaster BlackEnergy2 VPNFilter Siemens製 SIMATIC WinCC/PC7, STEP 7 Shnieder Electric製 安全計装システム Triconex 産業⽤プロトコル Modbusの傍受も 産業⽤プロトコル(電⼒等) IEC 60870-5-101/104 IEC 61850, OPC DA OPC Classic 産業⽤プロトコル EtherNet/IP等 GE製 CIMPLICITY OT環境に対しても多くのマルウェアが猛威を振るっています。
  5. © NTT Communications Corporation All Rights Reserved. 6 OT環境への攻撃事例 |

    中堅中⼩の製造業 中堅製造業K社の事例 • ⼦会社が独⾃に構築した取引先との通信に利⽤してい たリモート接続機器の脆弱性を突かれて侵⼊を許す。 • ⼦会社ネットワーク経由でK社ネットワークへも侵⼊ され、⼀部のサーバやパソコンのデータが暗号化され る等の攻撃を受ける。 • 調査等のためにシステムを遮断したことにより、⼤⼿ T社全体の⾃動⾞⽣産(14⼯場28ライン)が停⽌ サプライチェーン全体へ影響 • 内部情報の流出は確認されていないが、K社グループ 社員になりすました不審なメールが多数送信されてい ることを確認 被害者が加害者にもなり得る ⼤企業と⽐べてセキュリティ強度の劣る 中⼩企業を狙った攻撃も加速 ⼤企業を狙う際の踏み台として、中⼩企 業が攻撃の起点として積極的に狙われる 統計データに⾒る中堅中⼩企業へ のサイバー攻撃実態 出典: IPA『情報セキュリティ⽩書2021』より作成 l 中堅中⼩企業もサイバー攻撃のターゲットに l セキュリティ事故は、取引先・サプライチェー ンにも影響が及ぶ
  6. © NTT Communications Corporation All Rights Reserved. 8 【課題】 l

    制御系システムの安定稼働が第⼀優先 • セキュリティ対策の導⼊により制御系システムへの 影響があってはいけない • PCやサーバのOSやアプリケーションが最新版に更新 されていない • 既存端末へのランサムウェア対策のソフトウェア (EDR等)の導⼊が難しい l 制御系システムの現状把握ができていない l 対策コストを極⼒抑えたい l セキュリティの専担者が不在 OTセキュリティの課題・当社のアプローチ 【アプローチ】 l 制御系システムへの影響を排除した予防/ 早期発⾒策(検知優先) • コピーしたトラフィックデータを監視 • 既存機器へのソフトウェアインストール不要 • 学習と分析によるサイバー脅威/脆弱性の検 知 l ⾒える化 l 低価格(⽉額1桁万円) l 簡単導⼊・簡単運⽤ 特に、コスト・⼈材不⾜でOTセキュリティに⼿を出せないところを解消したい
  7. © NTT Communications Corporation All Rights Reserved. 9 ご紹介するサービスで作りたい社会 誰もがOT機器/危機を管理できる世界

    特に以下のような考えを持っている企業さま・担当者さま • ⾼機能で⾼価なセキュリティ製品だと、「セキュリティ有識者じゃない と導⼊できない」・「お⾦がないと継続できない」 • スキルやお⾦がある組織じゃないと機器/危機管理できない
  8. © NTT Communications Corporation All Rights Reserved. 10 OTセキュリティリスク可視化サービス OsecT

    ⽣産現場の業務を妨げることなく、制御系システムにおけるリスクを可視化しサイバー 脅威・脆弱性(セキュリティホール)を検知することで、早期にリスク感知できる状態 を作り、⼯場停⽌による損失を未然に防ぐことができます。 OsecT SaaS環境 OsecT センサー アラート通知 Webポータル画⾯ 状況の確認 お客さま拠点 お客さま トラフィック コピー スイッチ 予防/早期発⾒ ・学習と分析による サイバー脅威/脆弱性の検知 ⾒える化 ・端末 ・ネットワーク 簡単導⼊ ・マニュアルにそって設定 ・OsecTセンサーで取得した情報 はモバイル通信でアップロード されるため、既存LANへの変更 は最⼩限(スイッチにおけるミ ラーポートの作成のみ) 制御系システムへの 影響なし ・コピーしたトラフィックデータ を監視 ・既存機器へのソフトウェアのイ ンストール不要 簡単運⽤ ・VPNなど不要でどこからでも可 視化・検知画⾯を参照可能 ・シンプルなUI設計
  9. © NTT Communications Corporation All Rights Reserved. 11 OTセキュリティリスク可視化サービス OsecT

    安⼼してお使いいただけるように、以下のような取り組みとネット ワーク設計にしています。 • パケット解析機能を有するOsecTセンサーのソースコードを公開*1 • ⾒える化・予防/早期発⾒に必要最低限の情報のみをSaaS環境に 送信していることを明⽰ • OsecTセンサー、SaaS環境で利⽤するソフトウェアは当社による内製開発 • ⽇本純正のサービスとして位置づけ • OsecTセンサーからSaaS環境へは当社が有する閉域網*2 を利⽤ • 取得した情報がインターネット上に流れない設計 *1 https://github.com/nttcom/OsecT *2 Internet Connect Mobile Type S、Flexible InterConnect (FIC)
  10. © NTT Communications Corporation All Rights Reserved. 12 ⾒える化(端末・ネットワークの管理に︕) センサーが取得したパケットから⾃動で端末を⼀覧化︕

    ⼀覧化したデータはCSVで出⼒可能︕ 接続端末数/トラフィック量が多い端末を⼀⽬で把握︕ OTネットワークの傾向を把握︕ ネットワーク可視化機能によってOTネットワーク環境を視覚的に把握し、資産管理や重要度の⾼い 端末の特定を⾏うことで、対策強化や有事の際の対応に役⽴てていただけます。 端末⼀覧機能/ネットワークマップ ランキング機能
  11. © NTT Communications Corporation All Rights Reserved. 13 予防(リスク対処・予防対応に︕) 新たに接続された端末やサポート切れのOSを使っている端末などを検知・アラート通知することで、

    お客さまでのリスク対処や予防対応につなげていただけます。 ネットワーク内に存在する端末情報を⾃動で学習︕ 野良端末を⾒逃さずに早期に発⾒︕ サポート切れのOSを利⽤する端末を⾃動検出︕ アップデート対応漏れを防⽌︕ 新規端末検知機能 脆弱端末検知機能
  12. © NTT Communications Corporation All Rights Reserved. 14 早期発⾒(異常を早期に発⾒するために︕) 端末ペア毎に定常業務のトラフィック量を学習︕

    曜⽇や時間帯毎の閾値を⾃動で算出︕ 定常業務では利⽤しないOTコマンド*を検知 ! CVE 等の既知シグネチャーにマッチした通信を検知︕ マルウェア感染等の異常が発⽣した場合、その挙動(トラフィック量の増加や、定常業務でなかっ た通信の発⽣など)を検知・アラート通知することで、お客さまでの早期対応・影響の極⼩化につ なげていただけます。 IP流量検知機能 OT振舞検知機能/シグネチャー検知機能 * 2023年9⽉現在、CC-Link IE Field, IE Control, IE Field Basicに対応(ニーズに応じて順次追加予定)
  13. © NTT Communications Corporation All Rights Reserved. 15 当社でのPoCのご案内 |

    ⼯場LAN⾒える化サービス(仮)* 誰もがOT機器/危機を管理できる世界 特に以下のような考えを持っている企業さま・担当者さま • まずは機器管理から始めたい • まずはお⾦をかけずに始めたい、もっと安く始めたい * OsecTとは別サービスです。
  14. © NTT Communications Corporation All Rights Reserved. 16 当社でのPoCのご案内 |

    ⼯場LAN⾒える化サービス(仮) ⽣産現場の業務を妨げることなく、制御系システムのLAN・リスクを可視化し、セキュリティを含むリスク を早期に感知できる状態を作り、⼯場停⽌による損失を未然に防ぐことができます。 OsecT SaaS環境 OsecT センサー アラート通知 Webポータル画⾯ 状況の確認 お客さま拠点 お客さま トラフィック コピー スイッチ ⾒える化 ・端末 ・ネットワーク 早期発⾒ ・新規端末検知機能のみ 簡単導⼊ ・マニュアルにそって設定 ・OsecTセンサーで取得した情報 はモバイル通信でアップロード されるため、既存LANへの変更 は最⼩限(スイッチにおけるミ ラーポートの作成のみ) 制御系システムへの 影響なし ・コピーしたトラフィックデータ を監視 ・既存機器へのソフトウェアのイ ンストール不要 簡単運⽤ ・VPNなど不要でどこからでも可 視化・検知画⾯を参照可能 ・シンプルなUI設計
  15. © NTT Communications Corporation All Rights Reserved. 17 当社でのPoCのご案内 |

    概要 対象 • ⾃社⼯場のLANの端末・ネットワークの管理に課題を感じているお客様 概要 • 期間︓2023年9⽉~12⽉(1社あたり最⼤3ヶ⽉間) • 費⽤︓無償(使い⽅などの問い合わせ対応を含む) • センサー機器x1セット(1ミラーポートに対応)を無償貸与 お客様にご協⼒いただきたいこと • スイッチ等へのミラーポートの設定 • 設定について当社からのアドバイスは可能 • LANケーブル(ミラーポートとセンサーPCの接続⽤)の⼿配 • センサーPCの設置・撤去 • 電源投⼊・停⽌ • 当社がサービスの改良のために実施する下記についての同意 • パケットデータを利⽤すること • アンケートへの回答やユーザインタビューへの対応
  16. © NTT Communications Corporation All Rights Reserved. 18 まとめ •

    製造業の⽣産性向上に伴い、ITネットワークとの接続やIoTの接続が進んでいる。 国内外・企業規模を問わずサイバー攻撃の事例は増えており、OTネットワーク においてもセキュリティ対策が求められる時代になっている。 • 予算/⼈材が不⼗分な企業さまにおいても機器/危機管理できるように、当社では 低価格・簡単導⼊/運⽤可能・⽇本純正サービスとして位置づける「OTセキュリ ティリスク可視化サービス OsecT(オーセクト)」を提案。 • まずはOT機器管理からという企業さま向けに「⼯場LAN⾒える化サービス (仮)」のPoCをご案内。 OsecTセンサーの実機やデモを展⽰しているので、サービス・PoCなどにご興味を 持たれた⽅は展⽰ブース(⼩間番号︓B-1)でお待ちしています。
  17. © NTT Communications Corporation All Rights Reserved. 19 ご参考 |

    本発表に関連する各種Webサイト • OTセキュリティリスク可視化サービス OsecT(オーセクト) 申込ページ • https://www.ntt.com/business/services/security/security- management/wideangle/osect.html • または「OsecT」と検索 • OsecTに関する技術情報や機能開発の背景など(NTTコミュニケーションズ 開発者ブログ) • https://engineers.ntt.com/ • または「OsecT 開発者ブログ」と検索 • 本⽇の資料は後⽇公開予定(NTTコミュニケーションズ Speaker Deck) • https://speakerdeck.com/nttcom • または「NTTコミュニケーションズ Speaker Deck」と検索 • ⼯場LAN⾒える化サービス(仮)のPoCに関する問い合わせフォーム、及びQRコード • https://forms.office.com/r/zD5p6dGVgP