セキュリティ コミュニティは、サイバー脅威に対して世界をより適切に配置するために、継続的に変化し、成長し、互いに学び合っています。コミュニティの声ブログ シリーズの最新の投稿では、マイクロソフト セキュリティシニア プロダクト マーケティング マネージャーのBrooke Lynn Weenigが、Ampere Industrial Security の最高経営責任者 (CEO) 兼オーナーであり、エネルギー セクター セキュリティの創設者で元ディレクターでもあるPatrick C. Millerと対談しています。コンソーシアム。以下の考えは、Microsoft の見解ではなく、Patrick の見解を反映したものであり、法的助言ではありません。このブログ投稿では、Patrick が産業用セキュリティ業界におけるセキュリティと雇用の課題について語っています。
Brooke: どのようにして産業用セキュリティの世界に入ったのですか?
パトリック:私の父は電気通信の仕事をしていたので、私は片手にワイヤーを持ち、懐中電灯を歯に当てて、アスベストとほこりでいっぱいの暗い穴を這い、ワイヤーを走らせながら育ちました。私は多くのアナログ電話システムを構築し、1 組のポール スパイク、テスト セット、およびヘルメットさえ持っていました。クライミング ポールやストリング ラインから、建物サイズの主配電盤 (MDF) の配線まで、あらゆることを行いました。私は、若い頃のほとんどの電話システムをプログラミングする電話技術者でした。私はテレコム側で多くのセキュリティ コンポーネントを作成しました。当時、遠距離詐欺やボイスメール アクセスなど、セキュリティを確保しなければならないことがたくさんありました。
植物学と微生物学の側面に焦点を当てた生物学の学校に通っていたとき、監視制御とデータ取得 (SCADA)、運用技術 (OT)、および産業用制御システム (ICS) 環境に触れる機会がありました。副業。私は、生物学のスキルと技術的なことを使用して、非常に大規模な商業温室事業の繁殖マネージャーとして働いていました.それらをまとめて、照明、日陰、温度、水、気流の管理など、園芸倉庫の一連の操作を自動化しました。それが、産業環境でのプログラミングと構築の水に足を踏み入れた場所です。
Brooke: 産業用セキュリティの世界でどのようにスキルを伸ばしましたか?
Patrick : 1980 年代後半から 1990 年代前半には、セキュリティ証明書や大学のコースはありませんでした。インシデント対応のせいで運用上のセキュリティに後れを取ってしまいました。掲示板システムのようなものがありました。私は最初のダイヤルアップ モデムの 1 つを持っていて、大学のアカウントを調べて、何かを行う方法を調べていました。私は主に 2600: The Hacker Quarterly と実践的な成功または失敗を通じて、当時入手できたあらゆるチュートリアルから学びました。
現在、私はICSまたはOTを専門としています。パイプ内の水、電線の電力、通りの交通、ベルト上のボックスなど、すべてがフロー制御です。それは非常に挑戦的ですが、非常に満足のいくものでもあります。一日の終わりには、電気をつけ続けたり、水を流し続けたり、ガスを動かし続けたり、それが何であれ、あなたが貢献したことを知っています.それらは重要なインフラストラクチャです。
Brooke: 産業用システムがサイバー攻撃の標的にされるのはなぜですか?
パトリック: ガス、水、電気、食品加工、輸送はすべて非常に必要です。文明はこれらのインフラ サービスに依存しています。私がランサムウェアのオペレーターまたは犯罪者である場合、私はあなたのシステムを人質に取ることができます。あなたは迅速かつ深刻な影響があることを知っているので、あなたが私に支払う可能性が高い.彼らは、犯罪の側面からだけでなく、国家や地政学的な観点からも価値の高い標的です。理由は同じですが、動機は異なります。
専有情報も対象です。あなたが何らかの製品、製造、または何かを行うためのより良い方法を持っている場合、私はあなたと競争するために研究開発(R&D)を行う必要はありません.私は研究開発と努力にすべてのお金を費やしていないので、あなたのすべてのデータを盗んで、あなたがしていることをより良くすることができます.さまざまな理由から、それらは価値の高い標的です。
Brooke: 産業用システムを保護する上での最大の課題は何ですか?
Patrick : 産業用システムの場合、私たちの最大の懸念はレガシー環境です。コンポーネントの一部は、約 40 ~ 50 年使用されています。それらはデジタル風で、アナログ入力がありますが、ネットワーク化するようには設計されていません。それらは、物理的にアクセスする必要がある閉鎖システムにあるように設計されていましたが、とにかくネットワーク化しました。これらの環境は他の環境に決して接続しないことが期待されていたため、非常に安全ではありません。
必ずしもそれらを切断するのではなく、よりスマートな方法で接続する傾向が見られます。また、これらの環境にアクセスする必要がある場合は、インバウンド接続を取得するために膨大な量の苦痛を飛び越えなければなりません.私たちはそれを完全に分離し、それらの環境をインテリジェントにアイランド化または「タートルモード」して、それらが単独で動作できるようにする方法を見つけているだけです。そうすれば、問題が発生した場合でも、重要なものを隔離された非接続モードで実行でき、電力、水、ガスなどを失うことはありません.
企業環境でランサムウェアが猛威を振るっている場合、産業環境を外界から遮断して「タートル モード」で動作させることができます。ただし、コストは上がります。分離にはコストがかかり、追加のアーキテクチャにもコストがかかります。私たちが持っていたよりも防御可能なアーキテクチャに移行しようとすると、財政的にも運用的にも多くの課題があります。
Brooke: 企業がこれらのセキュリティ リスクから身を守るために他に何ができるでしょうか?
Patrick : いくつかのことしかできない場合は、これらのことを行うというプレゼンテーションを何度も行いました。簡単に聞こえるかもしれませんが、多くの場合、産業環境では簡単に実行できません。
- 資産棚卸を行います。自分が何を持っているかを知らなければ、何を守ればよいかわかりません。それが存在することさえ知らないからです。
- それらの壊れやすいシステムを取り除きます。たとえば、誰かの机の下にあり、重要であるにもかかわらず、方法がわからないために交換できない場合、それは大きなリスクです。防御できる新しいものに置き換える方法を見つけてください。
- 防御できるネットワークを設計します。依存関係がなく、真に分離できる場所に移動します。
- リモート アクセスをロックダウンします。攻撃は通常、IT 側から行われます。
- 効果的な変更管理を行います。
- 試合当日のようにインシデント対応を練習します。
- 従業員をトレーニングし、その環境を運用するために必要なものと、それを行うための時間を与えます。
Brooke: 産業用セキュリティ リーダーがより多くの人材を引き付けるにはどうすればよいでしょうか?
Patrick:スキルのギャップはないと思います。この仕事をうまく特徴付ける方法を理解すれば、この仕事をしたい人やできる人はたくさんいます。このことを学ぶために、プログラマーやサイバーセキュリティの専門家である必要はありません。それには、特定の方法で接続されたシステムと、非常に系統的で予測可能な方法で物事を行うことが含まれます。これは、ほとんどの技術者にとって標準外のものではありません。
私は通常、人々を業界に引き込むための初心者レベルの道は見当たりません。あなたが期待しているのは、後輩であり、後輩としても 5 年から 10 年の経験が必要な人を雇うということです。これらの職務記述書の多くは、まったく非現実的です。あるプラットフォームで、そのプラットフォームが存在するよりも多くの経験を求めているという職務記述書を目にします。基本的なスキルを持っている人を獲得できる人はたくさんいて、1〜2週間トレーニングします。彼らは自分たちに何ができるかを示し、そこから成長することに飢えているでしょう。
Brooke: 業界のセキュリティ プロフェッショナルが成功するために必要なスキルは何ですか?
パトリック:産業用セキュリティは、実際よりも難しく聞こえます。私が人々を訓練するとき、私たちはそれをこれらのシンプルで一口サイズの断片と小さなパンくずリストのステップに分解します.一日の終わりに、彼らは「うわー、それは私が思っていたよりずっと簡単だった」と言います。サイバーセキュリティに関するこの謎めいた雲がありますが、それは小さな部品がたくさんあるだけです。すべての部品が何であり、頭字語が何であるかを学ぶ必要があります.実際のアプリケーションで記述されると、ほとんどの人はすぐに理解します。
そのほとんどは、十分に好奇心が強いに違いありません。システムを保護するには、自分がしていることとそれがなぜ重要なのかについてある程度の共感を持たなければならないため、共感は別の要素です。 IT および OT の世界では、エンジニアリングの担当者がいて、彼らは単に物事が機能することを望んでいます。画面でアラームが鳴り、反応して何かをクリックする必要がある場合、画面がロックアウトされてそのボタンをクリックできないようにしたくないため、場合によってはプラントに大きな問題が発生する可能性があります。彼らの状況と必要なものに十分な共感を持たなければなりません。そして、セキュリティの専門家として、彼らがそれらのものをより安全な方法で手に入れることができるように設計する必要があります。細部にまで気を配り、好奇心と共感力があれば、この分野で成功できます。
もっと詳しく知る
Microsoft セキュリティ ソリューションの詳細については、当社の Web サイト を参照してください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
Comments