OTシステムへのセキュアリモートアクセスはゼロトラストから始まる
産業用ネットワークのデジタル化を加速させ、ビジネスアップタイムの最大化、生産性の向上、働く人の安全の確保を支援
運用テクノロジ(OT)システムへのアクセスの範囲が広すぎる
多くの企業で、運用テクノロジ(OT)システムやICS(産業用制御システム)へのリモートアクセスを提供する目的で使用する従来型のVPNやアプライアンスベースのセキュリティソリューションの脆弱性が悪用され、セキュリティ侵害の被害が発生しています。ランサムウェア、マルウェア、悪意のあるサードパーティのいずれに悪用されたとしても、結果に違いはありません。すなわち、セキュリティ侵害によって生産ラインが侵害され、会社の利益と評判が負の影響を受けることになります。
ほとんどのリモートアクセスソリューションが、従業員、契約社員、サードパーティパートナーにOTネットワークへの全面的なネットワークアクセスを許可しています。ほとんどの場合、インターネットでのアクセスを1日24時間/週7日間可能なままにしておくことで、VPNなどのリモートアクセスソリューションにより、OTシステムやICSシステムが危険にさらされることになります。これらの過剰な権限が与えられたユーザが生産環境にとって大きなリスクとなるのは、OTネットワークに接続しているユーザをコントロールできないためです。
OTネットワークへの全面アクセスを提供することなく、生産ラインなどのタイムリーなメンテナンスを可能にしつつ、ICSシステムへの安全なリモートアクセスを提供するには、どうすれば良いのでしょうか?

特定のICSシステムへのアクセスのみを必要とするベンダに対し、OTネットワークへのアクセスも許可すべきでしょうか?
OTネットワークの水平移動が可能な完全アクセスをサードパーティにまで拡大するのは危険なことではありますが、特定のOTシステムへのアクセスを提供する必要はあります。その解決策は、OTシステム管理ソフトウェアのアクセスをネットワークから切り離しつつ、個々のユーザやアプリに基づいてアクセスをセグメンテーションすることです。これを可能にする唯一の方法が、ゼロトラストネットワークアクセス(ZTNA)テクノロジの採用です。
ほとんどのリモートアクセスソリューションがPOTネットワーク向けのPurdueリファレンスモデルに基づくものであるのに対し、ZTNAは、ユーザ(従業員、サードパーティのパートナー、取引業者)と認可されたエンタープライズアプリケーションの間に安全な接続を提供するという考え方に基づいています。結果として、OTシステムへのアクセスのマイクロセグメンテーションが可能になるため、セキュリティを維持しつつ、過剰な権限をサードパーティのアクセスに許可することで発生するリスクを軽減できます。
セキュリティ
導入前:従業員、ベンダ、契約社員がネットワークを水平移動できたことから、OTシステムが不要なリスクにさらされていました。
導入後:ゼロトラストアクセスでは、OTネットワークではなく、承認されたICSシステムだけに対するアクセスがユーザに許可されます。
シンプルさ
導入前:リモートアクセスソリューションでは、管理対象デバイスあるいは個人のデバイスにクライアントをダウンロードする必要がありました。
導入後:デバイスや場所に関係なく、ユーザがブラウザを利用するだけで、承認されたICSシステムにアクセスできるようになります。
攻撃対象領域の削減
導入前:リモートアクセスソリューションは、多くの脆弱性により、多くの攻撃の標的になる可能性がありました。パッチ適用できないOTシステムソフトウェアでは、このリスクがさらに拡大します。
導入後:ZTNAソリューションは、OTシステムが公開されないようにすることで、この攻撃対象領域を排除します。パッチ適用できないOTシステムに対する最善の防御は、ITとOTの間に可能な限り優れたエアギャップを置くことです。
ゼロトラストネットワークアクセス(ZTNA)サービスであれば、リモートアクセスのリスクを容易に排除できます
Zscaler Private Accessが実現するOTシステムへのセキュアリモートアクセスは、ユーザ/アプリケーション中心のアプローチをOTセキュリティに採用しているZTNAサービスです。従業員、契約社員、あるいはサードパーティのパートナーのいずれのユーザであるかにかかわらず、OTネットワークへのアクセスが付与されていない場合であっても、承認されたユーザやデバイスだけに特定のICSシステムやアプリケーションへのアクセスがZPAにより許可されます。ZPAは、物理/仮想アプライアンスの代わりにDockerコンテナや仮想マシンのようなインフラストラクチャに依存しない軽量のソフトウェアを使用し、ブラウザアクセスの機能を組み合わせることで、Zscaler Security Cloudに組み込まれた逆方向接続経由で、すべてのタイプのユーザをOTシステムやアプリケーションにシームレスに接続します。

SDP(Software-Defined Perimeter)の概念
1. ブラウザアクセスサービスまたはクライアントベースのアクセス
- いずれの方法でも、トラフィックがIDPにリダイレクトされ、多要素認証される
- ブラウザアクセスであるため、クライアントのデバイスへのダウンロードは不要
- ブラウザアクセスでHTML5ベースのストリーミングを利用
2. ZPAパブリックサービスエッジ
- ユーザ/アプリ間接続を保護
- カスタマイズされたすべての管理ポリシーを適用
3. App Connector
- データセンタ、AzureやAWSなどのパブリッククラウドサービスのOTシステムやアプリの前面に配置
- ブローカへの内側から外側へのTLS 1.2接続を提供
- OTシステムを外部に公開されないようにすることで、DDoS攻撃を防止

ブラウザアクセスによって、サードパーティベンダのセキュアアクセスが数分で完了
ZPAブラウザアクセスにより、クライアントを必要とすることなく、OTシステムへの安全なアクセスが、サードパーティパートナーやユーザに許可されます。パートナーは、面倒な手順を実行してOTシステムにアクセスする必要がなくなり、自分のデバイスを使用して、インターネット経由で簡単にアクセスできます。結果として、サードパーティアクセスの高度なコントロールが可能になり、ユーザが、時間、デバイス、場所の制限なく、OTシステムに接続できるようになります。
メリット
- シームレスなユーザエクスペリエンスをパートナーとユーザに提供
- BYODからOTシステムへの安全なアクセス
- パッチを適用できないICSシステムの公開を制限
- 主要IDPとの統合

