サイバーニュース.jp

世界のサイバーなニュースを配信

強力なパスワードポリシーがOTシステムをサイバー脅威から守る方法

カテゴリ:

はじめに:重要インフラを守るOTセキュリティの課題

運用技術(OT)システムは、エネルギー施設から製造工場に至るまで、重要なリアルワールドインフラを支えています。これらの環境はサイバー攻撃の明白な標的となりますが、OTセキュリティはしばしば改善の余地があるのが現状です。

OTはITよりも広範な概念で、産業環境を支えるソフトウェアおよびハードウェアシステムを指します。具体的には、SCADA(監視制御およびデータ収集)システムやICS(産業制御システム)のように、物理世界と直接連携するシステムが含まれます。ITと多くの重複があるものの、その優先順位は大きく異なります。英国の国家サイバーセキュリティセンター(NCSC)が指摘するように、「ITにおけるサイバーセキュリティが伝統的に情報の機密性、完全性、可用性を重視するのに対し、OTの優先事項は安全性、信頼性、可用性であることが多く、OTの障害や誤動作には物理的な危険が伴うため」です。

OTセキュリティにおけるパスワードの主要な課題

OT環境は犯罪者にとって魅力的な標的であるだけでなく、固有の脆弱性を抱えています。例えば、これらの環境で使用されるハードウェアやソフトウェアは、しばしば古く、リソースが制限されていると世界経済フォーラムは指摘しています。さらに、ITとOTの相互連携が進むことで、犯罪者がユーザー認証情報や使い回されたパスワードを悪用し、攻撃を拡大する可能性が生じています。IoTの導入もまた、接続システムの層を増やし、攻撃対象領域を自然に拡大させています。

パスワードに関しては、以下のような特有の課題があります。

  • 共有アカウントとワークステーション:資格情報の共有は、悪意のある行為者が脅威を拡大させ、ITシステムからOT、さらには物理インフラへと移行することを可能にする場合があります。同様に、遠隔地のインフラ作業など、OTの作業の性質上、人々がワークステーションを共有することがあり、全体的な脆弱性を高めます。
  • リモートアクセスからのリスク:ベンダーやその他の第三者がOT環境にリモートでアクセスする必要がある場合があります(例:サポートや保守契約の専門家)。このようなリモートアクセス経路は、新たな脆弱性を導入する可能性があり、保護が必要です。
  • 古いOTシステム:エネルギーや製造業のような大規模なインフラ投資は、サイバーセキュリティの要求よりも、長期的な運用を念頭に置いて行われることが多いです。実際、OT環境で使用されているシステムの中には、何年も、あるいは何十年も前に導入されたものもあります。これにより、高度な現代のサイバー犯罪者にとっての機会が生じる可能性があります。

Verizonのデータ漏洩調査報告書によると、情報漏洩の44.7%で盗まれた認証情報が関与しています。

OTパスワードセキュリティの強化策

では、OT環境の運用者はどのようにしてリスクを軽減できるでしょうか? パスワードポリシーのベストプラクティスを採用することで、堅牢な基盤を構築することが不可欠です。パスワードセキュリティはOT環境においてもITと同様に重要であり、場合によっては、シャットダウンや停止が引き起こす可能性のある生命を脅かす結果を考慮すると、さらに不可欠です。

OTにおけるパスワードの基本的なベストプラクティスには以下のようなものがあります。

  • パスワードの長さ:これはパスワードセキュリティにおいて最も重要な要素であり、特に犯罪者が総当たり攻撃で推測しやすいパスワード(一般的な単語や繰り返し文字など)を解読する際に重要です。例えば、8文字のパスワードを解読するのに1分かかる強力なコンピューターでも、16文字のパスワードを解読するには2,080億分以上かかる場合があります。
  • パスワードのローテーション:長期間パスワードを変更しないままだと、犯罪者に解読する機会を長く与えてしまいます。パスワードローテーションポリシーは、この問題に対処する一つの方法ですが、具体的な期間は組織によって異なります。また、古いパスワードの再利用を防ぐなど、パスワードの衛生管理を徹底することも重要です。
  • パスワードボールト:これらは情報を暗号化された形式で保存し、複数のユーザーが利用するアカウントの保護によく使用されます。通常、ハードウェアトークンなどの制御によって保護されます。

強固なOTセキュリティアーキテクチャの構築

パスワードはサイバーセキュリティの要であり続けますが、真に堅牢なOT環境を構築するためには、他のセキュリティアプローチと組み合わせて使用するべきです。例えば、多要素認証(MFA)はしばしばセキュリティのゴールドスタンダードと見なされています。これは、メッセージベースの方法、チャレンジベースの認証アプリ、FIDO2認証など、パスワードの上にいくつかのセキュリティ層を追加することでOT環境のセキュリティを強化します。

一部のOT環境では、特権アクセスワークステーション(PAWs)も利用されることがあります。これは、高リスクな活動に使用されるインフラを、ウェブブラウジングや電子メールアクセスといった潜在的に危険な機能から分離するものです。しかし、セキュリティと使いやすさのバランスをとることが重要です。同様に、セグメンテーションとネットワークアクセス制御も重要であり、適切なデバイス(および人物)のみが指定された領域にアクセスできるようにし、最悪のシナリオが発生した場合でも損害を限定的にすることができます。

OTにおける継続的なパスワード保護

このようなセキュリティアプローチには明確な利点があるものの、不適切なパスワードセキュリティはサイバー攻撃に対する脆弱性を大幅に高め、深刻な結果を招く可能性があることは明らかです。そのため、OT環境全体のパスワードセキュリティの状況を明確に把握することが不可欠です。

OTシステムは、産業と社会の最も重要なインフラの一部と連携しており、問題が発生した場合には深刻な結果を招きます。堅牢なパスワードセキュリティは、回復力のあるOT環境の礎であり、人々と資産を長期的に保護します。

元記事: https://www.bleepingcomputer.com/news/security/how-strong-password-policies-secure-ot-systems-against-cyber-threats/

投稿をさらに読み込む