「レベル3.5」の先へ
パロアルトネットワークスにとって、グローバルなサイバーセキュリティを強化し、デジタルな暮らしを守る上で、官民連携は重要な役割を果たします。この目標に関連して、大統領国家安全保障電気通信諮問委員会の新しい小委員会のメンバーに任命されたことを名誉に思います。小委員会の任務は、IT/OTの融合にサイバーセキュリティがどのように関与できるかを検討することです。基幹インフラネットワークのセキュリティを改善し、サイバー脅威からオペレーショナルテクノロジと基幹インフラ(OT/CI)を保護できるようにする重要な取り組みに筆者の経験を活かすことができ、光栄です。
このようなシステムは、エアギャップで隔離された従来型のシステムから、クラウド接続された現代的なITシステムへと進歩を続けていますが、反面、先手を打った管理が必要な攻撃対象領域が拡大しています。さらに、地政学的なイベントがエスカレートしたことで、インフラ保護強化の必要性が従来以上に叫ばれるようになっています。
中には、規制に関するクラウド導入のハードルが高く、完全な融合に多少の時間がかかるタイプのOT/CIもあるでしょう。しかし、運用者の大部分は変革に向けた取り組みを始めています。産業インフラのクラウド拡張、スマートIoTテクノロジの利用、産業向けローカル エリア ネットワークと広域ネットワーク(LAN/WAN)の進化はその代表例です。そしてこうした進化に伴い、OTセキュリティの範囲に関する議論が変化しています。従来はITとOTの境界、すなわちISA 95 (別名Purdue)参照モデルの「レベル3.5」DMZを扱っていましたが、現在ではクラウド、5G、SD-WANへの産業ネットワークの拡大も含まれるようになりました。
OT/CIセキュリティに関するブログシリーズの第3回では(第1回は「Modernizing Critical Infrastructure Requires Security Transformation (基幹インフラの刷新にはセキュリティ変革が必要)」をご覧ください)、上述のネットワーク変革に着目し、拡張された最新のOT/CIネットワークインフラでパロアルトネットワークスの次世代ファイアウォールが一貫したゼロ トラスト アプローチをどのように実現するかを解説していきます。
産業用クラウドネットワーク
これまでOTではクラウドの利用が忌避されていましたが、オンプレミスデータセンターからクラウドへのOTワークロードの移行につながる、競争力のある応用事例は多数存在します。例として、データウェアハウス/ヒストリアンから、予知保全、デジタルツイン、VR/AR、製品最適化などの台頭する産業向けIoT用途まで、さまざまな用途が挙げられます。こうした用途でさえ、異なる制御システムに一本化された管理サービスを提供するような初歩的な用途かもしれません。
さらに初歩的な用途としては、OTのクラウド管理に関連したSCADA向けの用途が挙げられるでしょう。また、会計システムや請求システムのような隣接部門の非OTワークロードを考慮することも重要です(Colonial Pipelineへのハッキングを参照)。これらは運用者にとってOTワークロードと変わらない重要性を持つ場合があります。ドライバが何であれ、OTとクラウド サービス プロバイダ間のNorth-Southトラフィックだけでなく、ワークロードを実行する異なるVMとコンテナ間のEast-Westトラフィックのセキュリティも確保しなければなりません。したがって、クラウドを侵害され攻撃の基点として利用されることを防ぐには、詳細な可視化ときめ細かいゼロ トラスト ポリシーの適用によって脅威を検出・阻止する必要があります。
5GプライベートLAN
IoTを利用できるスマートなOT/CIネットワークを実現する上で、プライベートネットワークには柔軟性、俊敏性、パフォーマンスが求められます。5Gセルラー技術がもたらした数多くの進歩は、こうした要求を満たすもので、スループットの改善、遅延の低減、ネットワークスライシングなどがその例です。資産の所有者は、プロセス制御ネットワーク(PCN)とフィールド エリア ネットワーク(FAN)に使用されている従来の有線ネットワークと無線ネットワークを5Gプライベートネットワークで更新することを検討し始めています。5G接続された自律走行車やロボット、複合現実といったテクノロジの導入を望んでいるのです。しかしながら、5Gの採用を目指す企業のほとんどは、5Gにまつわるセキュリティ課題を十分に理解していません。
5Gセキュリティの主要な課題の1つが、5Gを利用するとラッパープロトコル(GTP)でトラフィックをカプセル化する必要性が生じ、可視性が低下する恐れがある点です。また、多くの環境で動的なIPアドレスが利用されるため、IPアドレスだけを基準としてトラフィックと産業用エンドポイントを結びつけることは難しくなります。5Gネットワークのセキュリティ対策には可視性だけでなく、アプリケーション、ユーザー、デバイスを識別する能力が求められます。また同時に、きめ細かいポリシーを適用することで、工場現場に侵入してPCNやFANの他の領域に移動する可能性のある脅威を封じ込める能力も必要です。
ソフトウェア定義型広域ネットワーク(SD-WAN)
CI/OT WANも進化しており、具体的にはSD-WANが多くのCI組織の注目を集め始めています。これは、既存のトランスポート層の上にプライベートネットワークをオーバーレイする機能によるもので、オーバーレイするネットワークはMPLSでも、低コストブロードバンドでも、高速ブロードバンドでも、これらの併用でもかまいません。公正を期すために言えば、SD-WANの導入は緩やかなペースで進んでいます。また、当初の導入先はミッションクリティカルではないリモートサイトのSCADA (監視制御・データ収集)ネットワークや、バックアップ接続の提供など、重大性が比較的低い用途が中心です。とはいえ、テクノロジの成熟に従って、OT/CI向けSD-WANの将来が開けると多くの企業が考えています。
SD-WANの導入が進まない一因が、セキュリティが不十分という見方と、分散型SD-WAN接続にセキュリティを導入する場合のセキュリティ管理の複雑さです。SD-WANを導入する際には、運用可能性を高める高度なセキュリティ機能と集中管理機能の両方を備えたソリューションを探すことが大切です。
新たなOT/CI領域にゼロ トラスト ネットワーク セキュリティを
ご安心ください。パロアルトネットワークスの次世代ファイアウォール(NGFW)テクノロジなら、上述したクラウド、5G、SD-WANの用途にすべて対応できます。複数のポイントソリューションを採用する代わりに、すべての形態のNGFW (アプライアンス、仮想、クラウド、SASE)にPAN-OSを実装する「プラットフォームとしてのNGFW」アプローチを採用することで、OTネットワークの新領域に一本化されたポリシーと管理のフレームワークを提供できます。このアプローチは、インターネットゲートウェイ、データセンター向けファイアウォール、IT/OT境界(レベル3.5)ですでに導入されており、レイヤー7セキュリティ、高度な脅威防御機能、集中管理を実現します。
仮想次世代ファイアウォール(NGFW)であるVM-SeriesとCN-Seriesもクラウド ネットワーク セキュリティの鍵として、忘れてはならない存在です。弊社のNGFWは5Gプロトコル(GTP)のカプセル化を解除して隠れたアプリケーション、ユーザー、デバイス、脅威を明らかにできます。それだけではなく、ユーザーの特定が難しくなりかねない動的なIPアドレスではなく、変化しないSIMカード識別番号(ISIM、IMEI)を利用して、セキュリティテレメトリを関連づけることが可能です。さらに、Prisma AccessはSD-WAN導入環境でセキュリティを効果的に確保する、柔軟な手段を提供します。セキュリティを支社の近くでクラウドから提供することで、本社と同等の保護を実現しつつ、ネットワーキングとセキュリティを合理化できるのです。
まとめると、拡張された基幹インフラネットワーク全体で、より効果的かつ一貫性のあるセキュリティを実現するとともに、セキュリティ運用を簡素化できます。基幹ネットワークの刷新プロジェクトに乗り出す際は、上述のプラットフォームとしてのファイアウォールを念頭に置いて運用チームと協力しましょう。
ゼロトラストと基幹インフラ保護に対する弊社のアプローチについては、以下の資料もご確認ください。