機能 5。セキュリティモニタリングとインシデント対応の提供 - AWS 規範ガイダンス
根拠セキュリティに関する考慮事項修復

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

機能 5。セキュリティモニタリングとインシデント対応の提供

この機能は、AWS IoT の SRA ベストプラクティスのベストプラクティス 9 と 10 をサポートしています。

Capability 5 は、IoT、IIoT、OT、エッジ、クラウド環境全体で包括的なセキュリティモニタリングとインシデント対応メカニズムを実装することに重点を置いています。この機能には、ログ記録とモニタリングメカニズムのデプロイ、セキュリティアラートの一元管理、ハイブリッド OT および IT アーキテクチャの固有の課題に合わせたインシデント対応プレイブックと事業継続計画の作成が含まれます。

根拠

OT、IoT、IIoT テクノロジーを従来の IT システムやクラウドサービスと統合することで、新しい攻撃ベクトルが導入され、サイバー攻撃領域全体が拡大されます。セキュリティイベントは、OT 環境で発生し、IT システムに伝達することも、IT システムで発生し、OT 環境に伝達することもできます。これにより、攻撃対象領域全体に包括的なセキュリティモニタリングを実装することが重要になります。この機能を実装することで、組織は次のことが可能になります。

  • OT、IoT、IIoT、エッジ、クラウド環境全体のセキュリティの統合ビューを確立します。

  • セキュリティの異常や脅威をリアルタイムで検出して対応します。

  • サイバーインシデントが発生した場合でも運用の継続性を維持します。

  • 全体的なサイバーセキュリティレジリエンスを強化し、セキュリティ違反の潜在的な影響を軽減します。

さらに、クラウドに接続された OT および IIoT ワークロードに特に合わせたインシデント対応プレイブックと事業継続計画を開発することで、組織はセキュリティインシデントを効果的に管理し、復旧できます。このプロアクティブアプローチは、ダウンタイムを最小限に抑え、財務上の損失から保護し、セキュリティ違反や運用の中断が発生した場合に組織の評判を保護します。

セキュリティに関する考慮事項

この機能の主な考慮事項は、OT 環境と IT 環境のモニタリングがサイロ化されているため、セキュリティインシデントの検出が遅れるリスクです。これは、これらの多様なテクノロジースタック間でセキュリティイベントを関連付けることができないことで悪化する可能性があります。この断片化により、多くの場合、産業用ネットワークトラフィックと異常の可視性が不足し、重要なシステムが検出されないイベントにさらされます。さらに、最新の産業システムの相互接続性により、1 つのエリアのセキュリティイベントが相互接続された OT システムと IT システム間で迅速に伝播され、インシデントの影響が拡大する、カスケード障害が発生する可能性があります。

もう 1 つの重要な懸念事項は、ハイブリッド OT/IT セキュリティインシデントに対処する際の従来の対応手順の非互換性です。これには、専門知識と複数のドメインにわたる調整されたアクションが必要です。これは、産業プロセスを対象とするサイバー物理イベントの脅威が高まっていることを考えると、特に重要です。さらに、相互接続された OT および IIoT システムの固有の性質は、多くの場合、セキュリティインシデント後の復旧メカニズムが不十分であり、ダウンタイムの延長や運用の中断につながる可能性があります。

次の図は、IT システムと OT システムの統合 System and Organization Controls (SOC) アーキテクチャを示しています。

統合 IT/OT SOC アーキテクチャ

修復

セキュリティのログ記録とモニタリング

一元化された AWS Security Hub CSPM および Amazon Security Lake サービスを使用して、IoT、IIoT、クラウド接続 OT ソリューションに関連するイベントを AWS 組織の他の部分と組み合わせてキャプチャして処理します。個別の懸念事項、責任、IAM アクセス許可セット、アイデンティティセンターの割り当てを使用して、OT、IIoT、および産業分離アカウントリソース AWS アカウント 専用の の設定を変更できるチームを特定します。すべてのセキュリティイベントを Security Hub CSPM に送信して、OT、IoT、IIoT、エッジ、クラウド環境全体のセキュリティ検出結果を一元的に表示できます。SRA の Log Archive アカウントセクションのログ記録とモニタリングの推奨事項を確認します。 AWS

Security Lake に IT および OT セキュリティデータを統合することで、統合された SOC を実装します。これにより、IT および OT 環境全体で広範な可視性を提供し、脅威検出の調整、インシデント対応の迅速化、環境間の侵害指標 (IoCs) の即時共有が可能になります。これにより、OT、IoT、IIoT、エッジ、クラウド環境全体の脅威パスとオリジンをよりよく理解できます。パートナー IoT、IIoT、OT SaaS ソリューションセクションでは、 AWS Partner Network (APN) プロバイダーなどの OT および IIoT セキュリティモニタリングソリューションを使用して、 が提供する IoT エッジおよびクラウドセキュリティサービスを補完する方法を示します AWS。

インシデントへの対応

まず、IoT デバイスやエッジゲートウェイの侵害、運用データ侵害、産業プロセスの中断など、デプロイに固有の潜在的なインシデントシナリオを特定します。シナリオごとに、検出、封じ込め、根絶、復旧のステップを概説した詳細な対応手順 (プレイブック) を作成します。これらのプレイブックでは、役割と責任、コミュニケーションプロトコル、エスカレーション手順を明確に定義する必要があります。テーブルトップ演習を使用して、これらのプレイブックをテストします。これらの演習では、手順をテストし、実際の進行中のインシデントのプレッシャーの下で手順を実装する必要があるチームを教育します。

継続的なヘルスチェックとモニタリングシステムを実装して、重大なインシデントにエスカレーションする前に異常を検出します。可能な場合は、初期応答アクションを自動化してイベントをすばやく含め、システムを既知の正常な状態に戻します。IoT 環境が成熟したら、これらのプレイブックを定期的に見直して更新し、新しい脅威に対処し、以前のインシデントやシミュレーションから学んだ教訓を取り入れてください。

事業継続性とディザスタリカバリのために、障害や中断時のシステム動作の明確なパラメータを定義します。システムを開くか閉じるか、復旧を自動にするか、人的介入を必要とするか、手動コントロールを有効または無効にする条件を決定します。これらの決定は、システムの重要度と、安全、運用、環境に対する潜在的な影響に基づいて行う必要があります。継続計画と復旧計画をテストして、さまざまなシナリオで期待どおりに動作することを確認します。