Y-SOCの経験をサービス化して提供するまでに
ITとOTのセキュリティにはさまざまな違いがある。「セキュリティ3要素(機密性/完全性/可用性)」のうち、可用性を重要視することがOTの特徴だろう。また、対応するセキュリティ基準が異なり、使用するプロトコル、エンジニア、SLAにも大きな違いがある。
こうした違いを踏まえた上で、横河電機は2022年8月に「IT/OT SOC」を発表した。これはY-SOCの実績をベースに、クラウド型SIEM、サイバースレットインテリジェンス、SOARの技術を加味した、ユーザー専用のダッシュボードを提供するもの。チケットシステムは、横河標準のシステムの他、ユーザーが利用しているJiraやSlack、ServiceNowなどとも連携ができ、ユーザーごとにカスタマイズ可能だという。
[画像クリックで拡大]
監視対象はITとOTの双方に対応しており、OTでは「Purdueモデル」のレベル1、2、3、3.5のセンサーや機器に対応するほか、リモート検査に使われるTeam Viewerなどにも対応。基本的に、Y-SOCと同様のダッシュボードにより管理が可能となる。
OTについては、たとえば「未承認の機器が接続された」「ファイアウォールポリシーが変更された」「機器の設定情報を変えた」「コンフィグレーションファイルのダウンロードやリモートアクセス」「通常は流れていないようなプロトコル」など、事前にユーザーの環境から想定されるユースケースを15ほど洗い出す。それをISO/IEC 19770、62443シリーズなどとマッピングするなど、可能な限りISOスタンダードに則った監視を心がけているという。
塩崎氏は最後に、「今回の内容は『横河技報』という技術誌に掲載[1]されていますので、興味のある方はぜひご覧ください」と紹介し、セッションを締めくくった。
[1] 参考:『横河技報 Vol64 No.1』(2021年、PDF)、『横河技報 Vol.65 No.1』(2022年、PDF)
