ITとOTの融合が進む現状と、それに伴う数多くのサイバーセキュリティリスクを踏まえ、企業は経営、技術、運用といったあらゆる側面において、セキュリティ対策を包括的に強化することが推奨されます。技術的には、基盤となるセキュリティ技術、データ、状況認識という3つの主要分野に重点を置くべきです。ITとOTのセキュリティ融合技術アーキテクチャを図3に示します。
基盤となるセキュリティ技術への注力
ITとOTの融合において、セキュリティ技術の融合はもはや必然的な選択肢となっています。セキュリティ、自立性、制御性の観点から、軽量な国産暗号化技術とセキュアな信頼技術を採用することで、PLCやRTU(リモートターミナルユニット)といった産業制御の中核コンポーネントとセキュリティ暗号化保護技術を高度に統合することが可能です。これにより、統合されたセキュアなPLC/セキュアなRTUが実現します。産業制御システムのリアルタイム要件と環境適応性を満たしながら、ホストコンピュータとの通信における暗号化保護、ネットワーク通信におけるプロトコル識別とコンテンツ検出、そして自身のストレージファームウェアとデータ整合性の保護を実現します。本質的に、これは内部OT脅威とIT脅威の両方から保護する本質的なセキュリティを実現します。
データ融合
データ融合は主にデータ取得レベルとデータ処理レベルで行われます。
(1)データ取得レイヤーのトラフィックプローブ機能融合。ITプローブは主に一般的なネットワーク機器、セキュリティ機器、端末からデータを収集し、OTプローブは主に現場の産業制御機器、自動化機器、制御・監視システム、端末からデータを収集します。これらのデータは、生のネットワークトラフィックデータ、資産データ、端末動作データ、監査データ、メタデータなど、さまざまな情報を含む、産業情報セキュリティのための大規模なデータソースを構成します。融合を実現する方法は2つあります。1つは、ITデータとOTデータの共通点と特性を資産、イベント、脆弱性、アラームの観点から調査・分析し、ネットワークプロトコルや産業制御シナリオに依存しない産業制御ネットワークデータの統一表現方法を構築し、この方法を用いて「プレプローブ」を開発する方法です。プレプローブとは、ITデータとOTデータを同時に収集しながら融合機能を実現するものです。もう1つは、ITとOTがデータ収集時にそれぞれ共通のプローブを使用し、収集後にデータに対して機能レベルの融合分析を行い、共通機能と特性機能を抽象化する方法です。
(2)データ分析と処理モデルの融合。ITとOTは、それぞれのデータをクレンジングして統一データベースに保存する必要があります。データ分析の手法としては、相関分析、機械学習などの技術を用い、それぞれの特徴ベクトルと使用シナリオに基づいて専用のルールモデルを構築します。これらのモデルは、それぞれの脅威インテリジェンスデータベースと組み合わされ、異常行動分析とリスク評価が行われます。データ分析層においては、ITとOTはデータモデル、ルール、プロトコルのみが異なる類似の技術を使用しており、普遍的な分析モデルの構築が可能であることは明らかです。
(3)脅威インテリジェンスデータベースの統合。ITおよびOTネットワークの脅威インテリジェンスは、それぞれITおよびOTネットワーク資産に対する潜在的なリスクと脅威を明らかにし、関連する環境、メカニズム、指標、影響、および実行可能な提案を提供することで、企業が関連する脅威やリスクに対応する際の意思決定を支援します。現状では、ITおよびOTネットワークの脅威インテリジェンスデータベースは十分に共有されておらず、セキュリティ脅威に関する協調的な認識と統一的な対応を阻害しています。解決策としては、ITおよびOTデータベースのインテリジェンスカテゴリ、エントリ、およびデータ構造を抽象化して分離し、フォーマット変換、統一的な保存、および統一的な配布のための統一的なデータ構造を設計することが挙げられます。これにより、セキュリティおよび脅威イベントの詳細な特定が可能になります。
状況認識の統合
ITシステムとOTシステムは、プレゼンテーション層において、企業システムの資産、脆弱性、脅威、ログ、アラート、および状況認識を、同様の機能と主に視覚的なインターフェースで表示します。この統合により、統一された表示が可能になり、高度なセキュリティリスクに対する協調的な対応と管理が実現します。同時に、アプリケーションインターフェースは、各国の省庁のサイバーセキュリティ規制要件を満たすように設定でき、統一されたデータ報告と統一された脅威インテリジェンスの受信を実現します。