2021年 セキュリティ技術 の展望
1) ITとOT環境の安全性の確保処置、融合セキュリティ監視
ICT技術の発展は企業間のブラー(Blur)減少によって産業間の境界が崩れ、単純な結合(Collaboration)から融合(Revolution)に変化し新たな価値創出を高めている。パイプライン(Pipe Line)の製品とサービの提供方法は、連結の効果を極大化できるプラットフォーム(Platform)によって新しい接点が作りだされ、その拡張性と複雑性が攻撃要因(Attack Surface)として指目されている。
制御(Control)とモニタリング(Monitoring)を遠距離で行い、業務の便宜性と効率性は高くなっているが、 閉鎖的な環境の接続経路(Access Path)の拡大によるセキュリティ(Security)と安全(Safety)を守る重要性が高くなった。IT(Information Technology)とOT(Operation Technology)環境は脅威管理の優先順位(Priority)、セキュリティ対象、システムの運用方法、管理資源に対してのライフサイクル、接続性など目的及び活用分野によって相当違いがある。
IT環境はTCP/IPをペースとしているが、OT環境はパーデューモデル(Purdue Model)をベースとしており、ベースモデルをみても環境の違いについて認識できる。このような環境的な違いを認識し、一元化された融合セキュリティガバナンスの樹立をさせることでセキュリティ体系の確認ができるようになる。
| 区分 | セキュリティ脅威 | 対応方法 | |
|---|---|---|---|
| IT | Level5 (Enterprise Network) | ・ 外部媒体によるマルウェア ・ 無線ネットワークのアクセス ・ 主要アプリケーションの認証不足 ・ 構成要素間の未暗号化 ・ セキュリティ脅威検知機能の不足 | ・ セキュリティガバナンスの樹立(機密性、完全性、可用性ベースのセキュリティ政策、手順、脅威分析、ツール) ・ ネットワーク分離による、物理的、論理的なネットワーク制御 ・ データ収集による分析および集中化されたモニタリング環境 ・ 送信暗号化適用による脅威減少(SSL/TLS) |
| Level4 (Business Planning and Logistics) | ・ 外部媒体によるマルウェア ・ 無線ネットワークのアクセス ・ 主要アプリケーションの認証不足 ・ 構成要素間の未暗号化 ・ セキュリティ脅威検知機能の不足 | ・ セキュリティガバナンスの樹立(機密性、完全性、可用性ベースのセキュリティ政策、手順、脅威分析、ツール) ・ ネットワーク分離による、物理的、論理的なネットワーク制御 ・ データ収集による分析および集中化されたモニタリング環境 ・ 送信暗号化適用による脅威減少(SSL/TLS) | |
| DMZ | Level3.5 (DMZ/Perimeter Network Policy Enforcement) | ・ アクセス制御の不足 ・ ユーザー管理の不足 ・ ユーザー権限細分化の不足 | ・ アクセス制御(Access Control) ・ 認証及び認可(Authentication & Authorization) |
| OT | Level3 (Site Manufacturing Operations) | ・ Lateral Movement ・ 通信パケットの改ざん | ・ ICS内部の細分化(Separating)によるレベル分類 ・ 許可された通信に限って上位通信と配下通信の交換承認(別途のモニタリングシステムが必要) |
| Level2 (Area Supervisory Control) | ・ 通信フィルタリング及び処理時のサービス拒否(DoS)攻撃 | ・ モニタリング、自動化プロセスの追加制御 | |
| Level1 (Basic Control) | ・ 閾値(Threshold)以上の操作試し | ・ 機器起動の基準性(Baseline)基板の完全性検証 | |
| Level0 (Physical Process) | ・ Sensor, Actuatorの物理的な損傷及び破壊 ・ 低品質の物理的な製品 | ・ システムの安全性と安全性を確保するために受信されるデジタル及びアナログ信号のセキュリティ ・ 監視カメラ、物理的な壁及び警報を含む物理的なセキュリティ制御の必要 |
【▲ サイバーセキュリティ観点のITとOT環境のセキュリティ脅威要因と対応方法】
(参考 : ‘Cybersecurity Based on IEC 62351 and IEC 62443 for IEC 61850 Systems’から一部再構成)
環境的な違いが克明であるため融合セキュリティガバナンスを樹立するためには、ビックバン方法のガバナンスの樹立より漸進的なガバナンスの樹立が重要である。IT観点のセキュリティガバナンスにOT観点を融合したり、OT観点のセキュリティガバナンスにIT観点を融合する形である。
一般的にIT観点からはISO/IEC27001, ISO/IEC25151, ISMSPなどの体系を適用していて、OT観点からはIEC 62443, IEC 61850, IEC 62351などの体系を適用している。IT観点のセキュリティガバナンスは法・制度的な側面の支援を基に管理的・物理的・技術的な体系が良く樹立されていてIT観点のセキュリティガバナンスにOT観点のセキュリティガバナンスを結合するのが一般的である。最近は「Cybersecurity Based on IEC 62351 and IEC 62443 for IEC 61850 Systems」の論文のようにIT観点のセキュリティガバナンスを基にしてOT環境の融合セキュリティガバナンスを樹立するための研究結果が持続的に発表されている。
融合セキュリティガバナンス体系を基にして周期的なサイバー融合セキュリティ監視技術とサイバー攻撃の検知及び対応技術を結合した融合セキュリティ監視体系を適用すべきである。バーデューモデルのOT環境のLevel0からLevel3までのところで発生するデータ(Raw data)を収集して、IT環境のセキュリティ監視体系結合してITとOTベースの融合セキュリティ監視(Security Operation Center)による一元化された脅威モニタリング及び可視性を確保できる管理的・物理的・技術的な観点の対応方法の適用が必要である。
2) AI活性化のための技術限界の克服、eXplainable AI(XAI)
セキュリティ監視体系の根幹になるペリメータセキュリティ(Perimter Security)の現実的な限界でビックデータ基盤のセキュリティ監視で克服しようとしたが、体系化されたセキュリティ監視体系(SOC Framework)の不完全性及び一日の処理量を上回るアラートで業務の疲労度の増加、相関分析機能が不十分で検知できなかった脅威要因(Unknown Threat)による限界はセキュリティ監視体系で新たな宿題として残ることになった。
このような問題を解消するための対案が人工知能(Machine Learning)ベースのスマートセキュリティ監視である。教師あり学習(Supervised Learning)と教師なし学習(Unsupervised Learning)による、インシデント対応時間(Response Time)の短縮と監視レベルの向上を達成し、セキュリティ脅威の可視性(Visualization)を確保することである。セキュリティの隙間を最小化することを目標に人工知能を利用したスマートセキュリティ監視は単なる研究段階を超え、実際のセキュリティ監視環境に適用され、効果を証明している。
EU GDPR条文第22「プロファイリングを含む自動化された個人意思決定(Automated decision-making and profiling)」からは自動化された意思決定による個人の権利と自由に対応するために、説明権利が付与されることを明示することでXAI技術研究の必要性を示している。このように技術的な限界に対応するために2017年からDARPAにてAI(eXplainable AI, XAI)開発プロジェクトが進んでいる。
XAI開発プロジェクトでは多様な技術を試している。教師あり学習(Supervised Learning)でラベル(Label)を利用して正検知と誤検知を分類(Classification)したり回帰(Regression)することのようにマシンラーニングのニューラルネットワークに対して説明できるノードを探して説明ラベルを貼る「説明ラベルラベリング手法」を適用したのが体表的な接近方法とみられる。その他にも意思決定ツリー(Decision Tress)のように説明力が高い学習手法を連携して原因と結果に対する一致性を向上したり、技術統計(Descriptive Statistics)を介して結果を類推する技術などの研究が進んでいる。
| 手法 | 説明 | 説明可能なAIモデル |
|---|---|---|
| 深層説明学習 (Learning deep explanation) | ・ 既存学習モデルを変更する方法 ・ Unpooling, Unnormalization活用 ・ ディープラーニング(Deep Learning)技術を変形してディープニューラルネットワーク(Deep Neural Network, DNN)が説明できる特徴を学習させるようにする技術を意味 ・ 隠匿階層(Hidden Layer)のノードが意味ある属性を現すように学習 | ・ ターミナルノード特徴マッピング(Terminal node feature mapping) ・ 階層別妥当性伝播(LRP, Layer-wise Relevance Propagation) |
| 解析可能なモデル (More interpretable model) | ・ 解析できる新規学習モデルの開発 ・ 構造化できて原因と結果間の因果関係(Causation)の解析ができるモデルを活用 | ・ ベイジアンプログラム学習構造(BPL, Bayesian Program Learning) ・ AND OR Graph |
| 帰納的モデル (Model Induction) | ・ 任意のブラックボックスモデルを説明可能なモデルに推論(Inference)する技術 | ・ ローカル代理分析(LIME, Local Interpretable Model-agnostic Explanations) ・ SA(Sensitive Analysis) |
【▲ 説明可能なAI(eXplainable AI, XAI)のための技術的な接近方法】
3) セキュリティ監視能力の極大化技術:SOAR
インフラパラダイム変化による知能化・高度化されるセキュリティ脅威に対応するために、コンプライアンスと多様なセキュリティソリューションの連携などによる、環境の複雑化はSOC運用の阻害要因である。
セキュリティパラダイムの変化だけ見てもペリメータセキュリティ(Perimeter Security)はビックデータ基盤の統合セキュリティ監視を超えて人工知能技術を結合したスマートセキュリティ監視体系への発展環境の変化を感じさせる。
セキュリティ境界の曖昧性と複雑性は脅威可視化の阻害要因として悪用させる可能性があるため、セキュリティ監視の効率性を極大化して複雑性が緩和できる、一元化されたセキュリティプロセス体系のための技術が必要となっている。△標準化された対応プロセスの未設定、△セキュリティ人材の不在及び人材格差、△複雑なコンプライアンス対応など、高負荷状態の監視業務は「SOAR(Security Orchestration, Automation & Response)」を通じて解決できるようになる。
SOARは多様なシステムの統一された運用と業務効率化のための方法で△多様なセキュリティソリューション間のワークフローを自動化させる「’SOA(Security Orchestration and Automation)」、△一貫した結果を導出するように対応プロセスを標準化する「SIRP(Security Incident Response Platforms)」、脅威データを収集して相関分析する「TIP(Threat Intelligence Platforms)」などが基盤技術要素として構成される。
「▲ SOAR発展パラダイム」
(参考 : Gartner, ID : 338719 / IBM, Intelligent Orchestrationから一部再構成)
4) 非対面時代のデジタルトラスト(Digital Trust)戦略
感染症の拡散防止及び国家対応戦略のひとつでDX(Digital Transformation)が加速化されることで ビジネスプロセス改善及び業務効率化による コスト削減の効果を期待することになった。テレワークの普及による勤務パラダイムの変化で組織内のITインフラ構築及び運用方法は新たな転換点を迎えることになった。一元化されていない勤務環境の連続性のためには柔軟性と安全性が保障できる新たなセキュリティ戦略が必要になった。
特に デジタル環境のサイバーセキュリティレジリエンス(Cyber Security Resilience)のための「デジタルトラスト(Digital Trust)」確保が必要である。デジタルトラストを構成するためには不確実性に対応するためにパンデミックBCP体系の樹立による対応力と安全性確保が必要である。
最後に
今まで2020年セキュリティインシデントを基に2021年に発生しうるセキュリティ脅威に対して予測し、対応するためのセキュリティ技術について調べてみた。攻撃の大規模化・高度化・知能化による環境的変化に対応するためにセキュリティ技術も進化している。2020年でも様々なセキュリティ脅威及びセキュリティインシデントを通じてセキュリティの重要性と内在化について認識できることであれば、2021年は不確実性の可視化のための対応戦略樹立を基にしてPDCA(Plan, Do, Check, Action)の行動指針を確保しなければならない。
準備された人のみセキュリティ脅威に対応できる時代である。既存のセキュリティ体系や対応戦略で新たなセキュリティ脅威に対応できると考えていたら脅威の認識ができず情報漏洩やシステム障害による企業イメージ低下などにつながる可能性がある。従って、2021年に発生しうるセキュリティ脅威要因及び対応技術をベースにして今すぐ目の前に来るセキュリティ脅威に対応できる道しるべと思って準備することを期待する。
Written by CYBERFORTRESS, INC.
Tweet
関連記事
よく読まれている記事
