OTシステムへの安全なリモート
アクセスはゼロトラストから始まる
ZscalerとSiemensは、OTインフラストラクチャーを対象とした世界初のゼロトラスト セキュリティ プラットフォームを発表しました。
ZscalerとSiemensは、OTインフラストラクチャーを対象としたオールインワンのゼロトラスト セキュリティ プラットフォームを発表しました。この新しいソリューションにより、スマート ファクトリーの実現に向けた取り組みを加速させ、サイバー脅威による業務への影響を低減できます。
運用テクノロジー(OT)システムへの
アクセスの幅広さが課題に
多くの企業は、従来型のVPNをはじめ、運用技術(OT)システムや産業用制御システム(ICS)へのリモート アクセスを提供するために用いられる他のアプライアンスベースのセキュリティ ソリューションの脆弱性を攻撃者に突かれることで、セキュリティ侵害の被害を受けています。攻撃がランサムウェア、マルウェア、または悪意のあるサードパーティーによるものかどうかにかかわらず、すべて高額な被害をもたらすセキュリティ侵害につながります。結果として、生産ラインがリスクにさらされ、収益はもちろん企業のブランド イメージも傷つく可能性があります。
大半のリモート アクセス ソリューションにおいて、従業員や請負業者、サードパーティーのパートナーにOTネットワークへの全面的なネットワーク アクセスが与えられています。ほとんどの場合、VPNなどのリモート アクセス ソリューションによってインターネットでのアクセスが常に可能となっており、OTシステムやICSシステムが危険にさらされることになります。OTネットワークに接続しているユーザーを最終的には制御できないため、これらの過剰な権限が与えられたユーザーは大きなリスクを生産環境にもたらすのです。
それでは、OTネットワークへの完全なアクセスを提供することなく、生産ラインの迅速な保守を可能にしつつ、ICSシステムへの安全なリモート アクセスを提供するにはどうすれば良いのでしょうか?
特定のICSシステムへのアクセスのみを必要とする
ベンダーに、OTネットワークへのアクセスは不要
OTネットワークの水平移動を行える完全なアクセスをすべてのユーザーに提供することは危険ではある一方、特定のOTシステムへのアクセスを提供する必要はあります。この課題の解決策は、OTシステム管理ソフトウェアのアクセスをネットワークから切り離しつつ、個々のユーザーやアプリに基づいてアクセスをセグメント化することです。これを実現する唯一の方法が、ゼロトラスト ネットワーク アクセス(ZTNA)テクノロジーです。
OTネットワーク向けのPurdueリファレンス モデルに基づいたリモート アクセス ソリューションの大半がネットワークを中心としたものであるのに対し、ZTNAはユーザー(従業員、サードパーティーのパートナー、請負業者)と承認されたエンタープライズ アプリケーションの間に安全な接続を提供することに焦点を置いています。結果として、OTシステムへのアクセスのマイクロセグメント化が可能になり、セキュリティを維持しつつ、過剰な権限付きのアクセスをサードパーティーに与えることで生じるリスクを軽減できます。
セキュリティ
導入前:従業員やベンダー、請負業者がネットワークを水平移動できるアクセスを有しているため、OTシステムが不要なリスクにさらされています。
導入後:ゼロトラスト アクセスでは、OTネットワークではなく、承認されたICSシステムのみへのアクセスがユーザーに与えられます。
シンプルさ
導入前:リモート アクセス ソリューションでは、管理対象デバイスあるいは個人のデバイスにクライアントをダウンロードする必要があります。
導入後:デバイスや場所に関係なく、ユーザーはブラウザを利用するだけで、承認されたICSシステムにアクセスできます。
攻撃対象領域の削減
導入前:リモート アクセス ソリューションは脆弱性が高く、攻撃の標的になりやすいという特徴があります。パッチを適用できないOTシステム ソフトウェアでは、このリスクがさらに増大します。
導入後:ZTNAソリューションはOTシステムを不可視化することで、この攻撃対象領域を排除します。パッチを適用できないOTシステムに対する最善の対策は、ITとOTの間に高品質のエア ギャップを維持することです。
ZTNAサービスでリモート アクセスのリスクを容易に排除
Zscaler Private Access(ZPA)が実現するOTシステムへの安全なリモート アクセスは、ユーザー/アプリケーション中心のアプローチをOTセキュリティに適用したZTNAサービスに基づいています。ZPAにより、ユーザーが従業員や請負業者、あるいはサードパーティーのパートナーのいずれであっても、OTネットワークへのアクセスを一切付与せず、特定のICSシステムやアプリケーションへのアクセスを承認されたユーザーだけに許可します。ZPAは、物理/仮想アプライアンスの代わりにDockerコンテナや仮想マシンのようなインフラに依存しない軽量のソフトウェアを使用し、ブラウザー アクセスの機能を組み合わせることで、Zscaler Zero Trust Exchangeに組み込まれた内側から外側への接続を用いて、あらゆる種類のユーザーをOTシステムやアプリケーションにシームレスに接続します。
ソフトウェア定義の境界のコンセプト
1. ブラウザー アクセス サービスまたはクライアントベースのアクセス
- いずれの方法でもトラフィックがIdPにリダイレクトされ、
多要素認証を実施 - ブラウザー アクセスにより、クライアントのデバイスへの
ダウンロードは不要 - ブラウザー アクセスでHTML5ベースのストリーミングを活用
2. ZPA Public Service Edge
- ユーザーとアプリ間の接続を保護
- カスタマイズされたすべての管理ポリシーを適用
3. App Connector
- データ センターやAzure、AWSなどのパブリック クラウド サービスのOTシステムやアプリの前面に配置
- 内側から外側へのTLS 1.2接続をブローカーに提供
- OTシステムを外部から不可視化することで、DDoS攻撃を防止
ブラウザー アクセスによって、
サードパーティー ベンダーの
安全なアクセスが数分で実現
ZPAのブラウザー アクセス サービスにより、クライアントを必要とすることなく、サードパーティー パートナーとユーザーがOTシステムへの安全なアクセスを得られます。パートナーは面倒な手順を経てOTシステムにアクセスする必要がなくなり、自分のデバイスでインターネット経由で簡単にアクセスできます。結果として、サードパーティー アクセスの高度な制御が可能となり、ユーザーがデバイスや場所を問わず、OTシステムにいつでも接続できるようになります。
利点
- シームレスな体験をパートナーとユーザーに提供
- OTシステムへのBYODからのアクセスを保護
- パッチを適用できないICSシステムの露出を制限
- 主要なIDPとの統合
お客様の事例
MAN Energy SolutionsがZscalerを通じ、
ネットワークとアプリのトランスフォーメーションを実現
