後編では
工場のIDSの導入で失敗しないためのポイントと成功事例から学ぶ、IDSを導入する流れを説明します。
前編の記事はこちらからご覧いただけます。
工場でのIDS導入の進め方 情報システム環境向けIDSとの違い求められる機能とは(前編)
失敗しないためのポイント(後編)
以下のポイントを押さえ導入を検討すると良いでしょう
現状の把握
- ネットワーク構成の把握
- IDSの設置場所
- 既存のセキュリティ対策の確認
- 監視対象となるネットワークの規模やネットワークに接続されている機器数
製品の比較
- 導入目的の確認
- 予算
検証
- 導誤検知・過検知の確認
- 検出能力の評価
製品の選定
- 導検出したい脅威の種類
- 検証メンバーの意見の確認
導入
- 導入のスケジュール確認
- アラートのチューニング
継続的な運用と改善
- 運用体制の構築
- ルールの定期的な更新
- 社員への教育
成功事例から学ぶIDS導入の流れ
ある製造業のA社では、工場にIDSを導入することで、サイバー犯罪の被害を未然に防ぐことができました。では、どのようにすれば失敗することなくIDSを導入することが出来るでしょうか。
まずは、IDSを導入する流れを見ていきましょう。
(1)現状把握
(2)製品の比較
(3)検証
(4)製品選定
(5)導入
(6)運用
A社では、各フェーズにおいて重要なポイントを押さえてプロジェクトを推進したことで、IDSの導入を成功させました。では、それぞれのフェーズで何を意識すれば良いか見ていきましょう。
(1)現状把握
まずは、IDSの導入先である工場の現状把握を行いましょう。ネットワーク構成図等を用いて、工場の機器間でどのように通信しているか、ネットワークの規模やネットワークに接続されている機器数を確認しましょう。同時に、工場で既に実施しているセキュリティ対策を確認します。FWやEDRなどのセキュリティ製品を導入しているか、IDSと機能面で重複しているツールは無いかなど、既存のセキュリティ対策を確認します。これらを踏まえ、IDSをどこに設置すれば最も効果的か検討します。一般的には、工場内の通信が集約している場所に設置することで、広範囲の資産・通信を把握することが可能になります。
(2)製品の比較
製品の比較のフェーズで重要になるのは、IDS導入の目的です。IDS(侵入検知システム:Intrusion Detection System)という名称の通り、侵入や脅威検知を目的に導入されることが多いですが、ネットワーク上の通信や接続されている機器を可視化する機能も備えているため、工場内の資産把握を目的として導入する企業もあります。製品が持つ機能や価格を比較検討することは勿論ですが、その製品を導入することで何を達成したいのか、今後、他の工場にも設置する予定があるかなど、改めて目的に立ち返り、検討しましょう。また、このフェーズで導入に必要な概算金額を見積もっておき、今年度の予算枠に収まるか、収まらない場合は次年度の予算申請に向けた準備を始めておきましょう。
(3)検証
検証フェーズにおいては、いくつかの製品を実際に工場に導入し、使用してみることで機能や使いやすさを比較するとよいでしょう。アラート検知の仕方に違いがあるのか、製品によって検知数や検出能力に差異が見られるか、誤検知・過検知があるか、工場内の資産や通信を過不足なく可視化できているか、工場で使用しているプロトコルに対応しているか、導入後に運用できそうかなど、実際に使用するイメージを持ちながら検証していきましょう。特に大量の誤検知・過検知がある場合、重要なアラートが見逃されてしまう可能性があるため、注意しましょう。また、検証するにあたっては最低限、必要となる機能・品質などを予め決めておくことで、製品選びがしやすくなります。
(4)製品選定
製品選定フェーズでは、工場に導入する製品を1つに選定します。(2)製品の比較、(3)検証で検討した複数の製品の中から、本来の導入目的に合致したものを選んでいきます。この際、想定している脅威や検出したい攻撃を検知できるか、IDSを実際に運用することは出来そうか、検証に参加したメンバーやIDSの管理者となる社員からも意見を聞くようにします。なお、製品を選定する上で価格は重要な要素の一つではありますが、製品の使いやすさや機能、導入後の運用のしやすさなどを総合的に検討するようにしましょう。製品の価格のみで選定することは避けましょう。
(5)導入
導入フェーズでは、いよいよ製品を工場に導入していきます。工場への設置にあたっては、IDS導入経験が豊富なベンダーと共に、無理のないスケジュールで導入を進めていきましょう。特に、実際の設置作業においては、工場の稼働や生産に影響を与えることは絶対に避けなければなりません。工場側とスケジュールを綿密に調整の上、工場が稼働していない休日・祝日に実際の設置作業を行うようにしましょう。また、IDS製品が想定通りに動作しない可能性もあるため、スケジュールには余裕をもって進めていきます。導入後、IDSは一定の期間、工場の通信を学習することでベースラインを作ります。一般的に、工場内では決まったパターンの通信が多いという特徴を持っているため、そのパターンを一定の期間学ぶことで、学習の期間内に流れた通信の状態を正しいものとしてベースラインを作ります。そのベースラインから逸脱した通信を異常と判断してアラートを上げる仕組みとなっています。特に、工場への設置後は、多くのアラートが発報されることもあるため、過検知・誤検知を軽減するためにベースラインやアラートのチューニングも実施しましょう。
(6)運用
運用フェーズでは、実際に導入した製品を運用していきます。日々の運用は誰が実施するのか、どのアラートをSOCに送るのか、製品が故障した際にはどう対応するかなど、実際に使っていく上で必要となる事項を検討していきます。このフェーズで特に重要になるのが、危険なアラートを検知した際の対応手順です。危険と思われるアラートが出た際に、その危険度や影響範囲を誰が特定するのか、影響が大きい場合には外部への報告を行う必要があるか、工場の生産に影響が出そうな場合は稼働を停止する判断を誰が行うかなど、実際のインシデントを想定した体制づくりが重要になります。なお、この運用体制は、状況に応じて変更が必要になるケースもあるため、必要に応じて柔軟に運用ルールも変更していきましょう。
工場に製品を導入することばかりに目が行ってしまい、その後の運用体制を考慮できていないケースは少なくありません。IDSを導入する目的はインシデントを防ぎ、サイバー犯罪の被害を未然に防ぐことす。そのためには、関係者で協議の上、製品をどのように運用していくか決めることが非常に重要になります。この運用フローを定めることが導入の成否を分けるため、丁寧に検討するようにしましょう。なお、IDSは有効なセキュリティ対策の1つですが、この製品だけで全てのサイバー攻撃を防ぐことはできません。インシデント発生を防ぐために、社員のセキュリティ教育も併せて行い、組織全体のセキュリティレベルを高めていきましょう。
A社は、上記で解説した各フェーズのポイントを念頭に置いて導入を進めたことで、製品導入を成功させ、サイバーの犯罪を未然に防ぐことができました。
まとめ
IDSの導入は、工場のセキュリティ対策において非常に重要な要素です。しかし、導入するだけでは十分ではありません。特に、工場(OT)環境では、生産ラインの停止は大きな損失に繋がるため、可用性(Availability)を確保することが重要です。
現状を把握し、工場(OT)環境に最適なIDSを選定し、継続的な運用と定期的なメンテナンス、更新、運用ルールの見直しや改善など、高度化するサイバー犯罪に対応できるよう、実際のインシデントを想定した体制づくりが重要になります。
本コラムで紹介したポイントを参考に、自社の状況に合った最適なIDS製品の導入を進めていきましょう。
※ 上記はあくまで一般的な事例であり、すべての企業に当てはまるわけではありません。
最新の技術動向や脅威については、常に情報を収集し、自社の状況に合わせて対策を検討してください。
このコラム記事は、あくまでも一般的な情報提供を目的としています。
具体的な導入については、不安や何から手を付けてよいかを専門家にご相談ください。
NTTセキュリティ・ジャパンでは最大60分間無料でセキュリティコンサルタントが質問に答えてくれる 「OTセキュリティ無料相談」の窓口を期間限定で開設しています。
