産業用モノのインターネットに関するトップ 5 のセキュリティ課題とその克服方法
公開: 2023-09-042010 年にイランのナタンツにある原子力発電所が、プログラマブル ロジック コントローラー (PLC) を構成および操作するためのソフトウェア製品である Simatic Step 7 を標的とした Stuxnet マルウェアの被害に遭いました。 この攻撃により、ハッカーが工場全体の PLC ユニットを悪用し、約 1,000 台のウラン濃縮遠心分離機に損傷を与えることができ、国の核開発計画に深刻な打撃を与えました。
イランの場合、これは必ずしも悪いことではありませんでした。 私たちはこれ以上核兵器を周囲に置いておきたくないのですよね? しかし、同じことがあなたの工場や 1 つあたり数百万ドルの価値のある設備に起こり、あなたの評判が危険にさらされた場合を想像してみてください。 物事を大局的に考えることは常に有益ですよね?
私たちがここで言いたいのは、企業がサイバーセキュリティを軽視するわけにはいかないということです。特に、製造業やサプライチェーン管理などの競争の激しい分野で事業を展開している場合、特にモノのインターネットのソフトウェア開発に取り組んでいる場合はなおさらです。ライバルの 72% がそうしているように。
故障が発生する前に機器のパフォーマンスの異常を検出することから、RFID タグや BLE ビーコンを使用してリアルタイムで在庫レベルを監視することまで、考慮すべき魅力的な IIoT アプリケーションとメリットが数多くあります。 IIoT ソリューションが IT インフラストラクチャ全体を侵害する可能性がある方法は数多くあり、次のような結果をもたらします。
- 損傷した機械
- 生産のダウンタイム
- 工場現場での事故
- データ侵害
- 風評被害
- 上記すべてによって引き起こされる直接的および間接的な経済的損失
IIoT のセキュリティをリスクにさらす主な要因は何ですか?また、貴社は災害が発生する前に IIoT のセキュリティ上の課題をどのように予測して解決できますか? 一緒に謎を解きましょう!
IIoT のセキュリティ上の欠陥と課題の概要
わかりやすくするために、セキュリティへの影響を詳しく説明する前に、IIoT とそのテクノロジー コンポーネントを定義しましょう。
IIoT という用語は、相互に通信およびデータを交換する機械、センサー、コントローラー、システムの相互接続ネットワーク、および産業環境の中央プラットフォームを指します。
このようなサイバーフィジカル システムは、従来の産業機器の要素と接続、データ分析、データの視覚化を組み合わせたものです。 企業は、製造および倉庫業務を監視し、単一プロセスまたはワークフロー全体を自動化するために IIoT コンサルタントに頼っています。
舞台裏では、IIoT は他のすべてのモノのインターネット (IoT) ソリューションと同じアーキテクチャを備えていますが、産業現場ではセンサーに近い場所でデータを分析するエッジ IoT 導入が普及する傾向があります。 IIoT を利用する企業は、センサーで強化され、デフォルトで接続をサポートする新しい機器を調達するか、カスタムおよび既製の IIoT レトロフィット キットを使用して既存の機械をアップグレードする場合があります。
IIoT セキュリティの観点から見ると、IIoT システムが舞台裏でどのように機能するかを理解することがなぜ重要なのでしょうか? IIoT のセキュリティ問題は、プログラマブル コントローラーからパッチが適用されていない脆弱性を含むレガシー アプリに至るまで、サイバー物理システムのあらゆる層で現れる可能性があります。 IIoT のセキュリティ リスクを軽減するには、企業は有線または無線ネットワーク上のすべてのエンドポイントを保護し、転送中および保存中のデータを保護し、IT インフラストラクチャを構成するアプリケーションのセキュリティの抜け穴を修正する必要があります。
それでは早速、IIoT ソリューションのセキュリティを損なう要因と、サイバーフィジカル システムをこれらの脅威から守るために何ができるかを調査してみましょう。
課題 1: 安全でない通信
接続テクノロジーは、アプリケーションの複雑さや領域に関係なく、すべての IoT システムのバックボーンです。
産業環境では、より多くのデバイスやセンサーがオンラインになるにつれて、より多くのエンドポイント、通信チャネル、データ ストレージ ソリューションが登場します。 そしてこれには、特定の IIoT セキュリティ要件を満たすデータとネットワーキング プロトコルの非常に多様で、できればバランスの取れた混合が必要です。
現在、すべての IoT トラフィックの最大 98% が暗号化されていないため、ハッカーは、たとえばフィッシング攻撃によってユーザーのログイン名とパスワードを知ることによって、防御の第一線を簡単に回避して、会社のデータに手を伸ばすことができます。
不十分な暗号化の実践は、Modbus、Profibus、DeviceNet などのレガシー通信テクノロジの使用に起因します。 実際、従来の IIoT 通信プロトコルのほとんどにはデータ暗号化機能がまったく備わっていないため、IoT 開発者は、VPN や安全なトンネルまたはゲートウェイを実装し、セキュア ソケット レイヤ (SSL)/トランスポート レイヤ セキュリティでの暗号化の問題に対処するなどの回避策を探す必要があります ( TLS)レベル。
解決
IIoT ソリューションのコンポーネント間のデータ交換を保護し、IIoT のセキュリティ事故を防ぐために、以下で構成されるフェイルプルーフ接続技術スタックを実装することをお勧めします。
信頼性の高いデータプロトコル
IIoT では、データ プロトコルによって、情報がどのように構造化され、エンコードされ、デバイスによって解釈されるかが決まります。 企業が有線 IIoT 導入を選択した場合、Profinet、EtherNet/IP、Modbus TCP/IP などのイーサネット プロトコルを介して、接続された機器とゲートウェイ間のデータ交換を容易にすることができます。
これらのプロトコルは本質的にデータ暗号化をサポートしていませんが、IIoT 開発者はトランスポート層に TLS/SSL 技術スタックを実装したり、接続されたデバイスと接続されたデバイスの間にセキュア ゲートウェイやファイアウォールなどの中間デバイスを導入したりすることで、データを第三者が読み取れないようにすることができます。通信網。 IIoT および産業オートメーション ソリューション用のより柔軟なデータ プロトコルをお探しの場合は、エンドツーエンドの暗号化をサポートし、デバイス認証に X.509 デジタル証明書を採用し、有線と無線の両方の IIoT ソリューションで使用できます。
ワイヤレス IIoT システムを構築する場合、ITRex チームは通常、メッセージ キュー テレメトリ トランスポート (MQTT)、制約付きアプリケーション プロトコル (CoAP)、アドバンスト メッセージ キュー プロトコル (AMQP)、WebSocket、または HTTPS を使用した RESTful API にこだわります。 これらの最新のプロトコルは、TLS/SSL または Datagram Transport Layer Security (DTLS) を介した暗号化機能を提供し、接続された機器、ゲートウェイ、クラウド サーバー間の安全な通信チャネルの確立に役立ちます。
データ プロトコルとその IIoT セキュリティへの影響の詳細については、当社の R&D チームへの無料相談を予約してください。
安全なネットワークプロトコル
主に情報交換と相互運用性を扱うデータ プロトコルとは異なり、ネットワーク プロトコルは、デバイスの接続方法、データの送信方法、IIoT システムのコンポーネントがネットワーク内で相互作用する方法に関するルール、標準、手順を定義します。
IIoT セキュリティの観点から見ると、ネットワーク プロトコルはハッカーにとって魅力的な標的となる可能性があります。 その理由としては、アクセス制御と認証メカニズムが制限されていること、データ暗号化機能が欠如していることが挙げられます。 ネットワーク アーキテクチャ (ポイントツーポイント、スター、メッシュ パターンなど) と使用目的に応じて、さまざまなネットワーク プロトコルを利用して IIoT セキュリティの課題に対処できます。 これらのプロトコルは、データ配信サービス (DDS)、低電力ワイド エリア ネットワーク (LoRaWAN)、Zigbee、WirelessHART、および狭帯域 IoT (NB-IoT) に及びます。
IIoT セキュリティのすべてのニーズを満たす適切な接続技術スタックを選択するには、構築しようとしているサイバーフィジカル システムのタイプ、必要なデータ伝送範囲、および消費電力要件を考慮することが重要です。 これは、IoT プロジェクトの検出フェーズ中に実行できます。
課題 2: ソフトウェア更新の不適切な実施
コンピューター、タブレット、スマートフォンとは異なり、IoT デバイスはウイルス対策プログラムなどのエンドポイント セキュリティ システムをサポートしていません。これは、高度にカスタマイズされたソフトウェアや古い組み込みソフトウェアが実行されている場合が多いため、または小型でエネルギー効率が高いように特別に設計されているためです。
IIoT セキュリティの課題は、ファイアウォール、侵入検知および防御 (IDP)、およびネットワーク レベルでのデバイス制御メカニズムを導入することで部分的に解決できますが、起こり得る IIoT セキュリティ問題を解決するには、IIoT ソフトウェア エコシステムを構成するアプリケーションを最新バージョンにアップグレードすることが重要になります。 。
IIoT ソフトウェアについて言えば、ファームウェア、ミドルウェア、オペレーティング システム (OS) などの組み込みシステムと、デバイス管理を容易にする Web、デスクトップ、モバイル アプリケーションなどの通常のソフトウェアとの間に線を引く必要があります。
IIoT デバイスの設計上の制約とサイバーフィジカル システム内の多数のエンドポイントにより、IIoT ソフトウェアのセキュリティの脆弱性にパッチを適用することは、ほとんどの産業企業が対処できる課題です。 そのため、メーカーの最大 65% がゼロデイ セキュリティの脆弱性を抱えた古いオペレーティング システムを依然として使用しています。
解決
IIoT サイバーセキュリティのリスクを軽減するには、産業企業は効率的なソフトウェア更新管理メカニズムを導入する必要があります。
ITRex では、ソフトウェアとファームウェアの無線アップデート (OTA) を強く支持しています。 このシナリオでは、AWS IoT Device Management、Azure IoT Hub、または Bosch IoT Rollouts などの事前構成された SaaS ソリューションを利用したクラウドベースのプラットフォームが、エッジ デバイス、コントローラー、ゲートウェイにソフトウェアの更新を自動的に配信します。
適切に構成されたデバイス管理プラットフォームは、デバイス フリートをより適切に追跡し、デバイス固有の設定とセキュリティ要件を考慮してアップデートのロールアウトを最適化し、緊急時に IT チームに通知します。
課題 3: 不十分な物理的セキュリティ対策
Network IIoT のセキュリティは別として、サイバー意識の高い産業企業は、サイバー犯罪者や悪意のある内部関係者がデバイスの内部をスキャンしてウイルスやスパイ プログラムを感染させる目的でハードウェアを盗むことも防ぐ必要があります。
物理的なセキュリティ対策が不十分だと、機密データの完全性と機密性が損なわれるだけでなく、サービスの中断、運用のダウンタイム、および経済的損失につながります。 物理的なセキュリティの脆弱性の影響は、直接的な影響を超えて広がり、公共の安全や重要なインフラを危険にさらす可能性があります。
解決
IIoT における不十分な物理セキュリティの問題に対処するには、多面的なアプローチが必要です。 物理的な IIoT セキュリティの徹底的な見直しの一環として、企業が行うべきことは次のとおりです。
堅牢なアクセス制御メカニズムの実装を優先する
これには、接続された機器への役割ベースのアクセス制御 (RBAC)、生体認証、コンピュータ ビジョンを利用したビデオ監視、侵入検知システムの実装などの対策が含まれます。
定期的な物理セキュリティ監査とリスク評価の実施
IIoT セキュリティ監査は、脆弱性を早期に特定するのに役立ちます。 また、適切な緩和戦略を開発するのにも役立ちます。 このプロアクティブなアプローチにより、組織は潜在的な脅威の一歩先を進み、IIoT システムを保護するための予防措置を講じることができます。 実際には、これは、改ざんの証拠のあるデバイスをネットワークから切断し、デバイスの製造元のマークを隠し、可能であればリバース エンジニアリング イベントを防ぐために不要な IIoT ソリューション コンポーネントを削除することを意味します。
充実した社員研修プログラムの実施
物理的なセキュリティのリスクとベスト プラクティスについての意識を高めることが、IIoT のサイバーセキュリティを強化する鍵となります (詳細は後ほど)。 IT チームと物理セキュリティ チーム間のコラボレーションも重要です。 このパートナーシップにより、セキュリティに対する総合的なアプローチが保証され、デジタルと物理の両方の側面が考慮および同期され、新たなセキュリティ脅威に対する堅牢な保護が提供されます。
課題 4: デバイスとネットワーク アクティビティの可視性が制限されている
最大 90% の組織がネットワーク上にシャドウ IoT デバイスがあると報告しており、回答者の 44% がセキュリティ チームや IT チームの知識なしにそのようなデバイスが接続されていたことを認めています。
その結果、多くの企業担当者は、収集および交換する情報の種類や、その情報が第三者にアクセスできないかどうかなど、どのデバイスが相互に通信するのかを認識していません。 そして、IIoT のセキュリティ監査が IP やオペレーティング システムによるハードウェア ソリューションの特定をはるかに超えて行われているという事実が、問題を複雑にするだけです。
解決
IIoT 導入でデバイスとネットワークの可視性を実現するには、いくつかの手順を実行できます。
- ディープ パケット インスペクション (DPI) ソリューションを使用して、すべてのネットワーク通信を分析します。
- ハードウェアのタイプ、モデル、シリアル番号、組み込みシステムのバージョンなどの包括的なデバイス情報を収集します。
- タイプ、機能、ミッション クリティカル性、および潜在的な IIoT セキュリティ リスクに基づいてデバイスをグループ化します。
- すべてのデバイス グループに仮想ローカル エリア ネットワーク (VLAN) を作成して、トラフィックの可視性と制御を強化します。
- AWS IoT Core、Azure IoT Hub、PTC ThingWorks などの信頼性の高いデバイス管理プラットフォームを利用して、デバイス インベントリ、監視、構成、更新プログラムのロールアウト、トラブルシューティングを改善します。
課題 5: 不十分な従業員トレーニングとサイバー意識
前述したように、情報技術 (IT) チームと運用技術 (OT) チーム間のコラボレーションと調整が不足すると、IIoT のセキュリティ管理が不十分になる可能性があります。
機器オペレータや工場管理者は、接続されたマシンを適切に管理できますが、それらを駆動する組み込みテクノロジや接続テクノロジについてはほとんど知りません。 対照的に、IT チームは従来の情報セキュリティに精通していますが、IIoT ソリューションを通常のハードウェアと同様に扱う傾向があります。
これにより、パッチ レベルが低くなり、ネットワーク アクティビティの可視性が制限され、IIoT システムの構成ミスが発生する可能性があります。 さらに、サイバー犯罪者は、フィッシング攻撃やなりすましを通じて、従業員の IIoT セキュリティのベスト プラクティスに関する限られた知識を悪用する可能性があります。 また、チームが弱いパスワードを選択したり、アプリケーション間でパスワードを再利用したりすることにより、IT インフラストラクチャへのバックドアが開かれ、IIoT ソフトウェアのセキュリティが損なわれる可能性があります。
解決
ここでは、会社が従業員のサイバーセキュリティに対する意識を高めるのに役立つ可能性のある高レベルの計画を示します。
IIoT環境に特化したトレーニングプログラムを作成
これらのプログラムでは、サイバーセキュリティの基礎、IoT デバイスのセキュリティ、安全な構成の実践、パスワードの衛生管理、潜在的なセキュリティ インシデントの認識と報告、内部セキュリティ ポリシーと手順の遵守などのトピックをカバーする必要があります。
定期的なトレーニング セッションを実施して、従業員が最新のサイバーセキュリティの脅威とベスト プラクティスを常に最新の状態に保てるようにする
これは、ワークショップ、セミナー、ウェビナー、または学習管理システム (LMS) のオンライン トレーニング モジュールを通じて実行できます。 たとえば、トレーニング活動の一環として、フィッシング シミュレーションや侵入テストを通じて、IIoT セキュリティの脅威を認識して対応する方法をスタッフに教えることができます。 また、トレーニング プログラムを特定の職務に合わせて調整し、従業員が自分の責任に関連したトレーニングを受けられるようにする必要があります。 たとえば、IT スタッフにはより技術的なトレーニングが必要な場合がありますが、運用担当従業員には安全なデバイスの使用法と物理的なセキュリティに関するトレーニングが必要な場合があります。
IIoT のセキュリティ課題に対処する包括的なポリシーと手順を開発する
これらのポリシーを従業員に効果的に伝え、セキュリティの維持における自分の役割と責任を確実に理解してもらいます。 テクノロジーや脅威の進化に応じて、これらのポリシーを定期的に確認し、更新してください。
組織全体で IIoT のセキュリティ意識と説明責任の文化を促進する
セキュリティインシデントや不審な活動があった場合は、直ちに報告するよう従業員に奨励します。 サイバーセキュリティは経営陣から最前線のスタッフに至るまで全員の責任であることを強調し、適切なセキュリティ慣行を実証した従業員に報酬を与えます。
外部の IIoT 専門家またはコンサルタントと提携してセキュリティ評価を実施することを検討する
外部の専門家は、貴重な洞察、業界のベスト プラクティス、最新の脅威インテリジェンスを提供して、従業員のトレーニング プログラムを強化できます。 さらに、いわゆる「設計によるセキュリティ」の実践を IIoT ソフトウェア開発プロセスに導入し、IIoT 導入の機能要件および非機能要件を引き出すのに役立ちます。
最後のメモについて
IIoT の導入率は近年急上昇しており、重要な IIoT インフラストラクチャを標的とした注目度の高い攻撃も同様に増加しています。
Check Point の最近の調査によると、2023 年の最初の 2 か月間で、企業の 54% が IoT 関連の攻撃に遭い、組織当たりの攻撃数は推定 1 週間あたり 60 件でした (昨年より 41% 増加)。 ハッカー攻撃の影響を最も受けやすいデバイスは、ルーター、ネットワーク ビデオ レコーダー、IP カメラでした。つまり、あらゆる企業の IT インフラストラクチャのバックボーンを構成するハードウェアです。
たとえ IT チームが開発および実装プロセス全体を通じて IIoT セキュリティのベスト プラクティスに従っていたとしても、ハッカーが IIoT エコシステム外のアプリやデバイスの脆弱性を悪用して機器やデータを制御しないという保証はありません。 だからこそ、あなたの会社には包括的なセキュリティ戦略が必要です。ITRex がそれを実現できます。
IIoT パイロットの立ち上げを検討している場合でも、IIoT の概念実証 (PoC) を他のユースケースに拡張する際にサポートが必要な場合でも、お気軽にお問い合わせください。 私たちは、ビジネス分析、組み込みシステム エンジニアリング、クラウド コンピューティング、DevOps、さらにはエンドユーザー アプリケーション開発にも精通しています。
この記事はもともと itrex Web サイトに掲載されたものです。