サイバーフィジカルシステムの脆弱性　ベンダー社内からの公表件数が1年半で80％増加

当レポートは、イスラエル国防軍のサイバーセキュリティ部門として知られる「8200部隊」出身の最優秀人材で構成されるクラロティの専門分析チーム「Team82」が作成したものです。XIoTセキュリティ強化に対する研究者の積極的な影響と、XIoTベンダーの製品セキュリティに対する投資の増加が明らかになりました。

2022年下半期に開示されたサイバーフィジカルシステムの脆弱性は、2021年下半期のピーク時と比較し14%減。一方で、各ベンダーに在籍する研究者や製品のセキュリティチームが発見した脆弱性は80%増加したことが判明しました。この調査結果が、産業（OT）、医療（IoMT）、商業（IoT）にわたるサイバーフィジカルシステムの広大なネットワークであるExtended Internet of Things（XIoT）のセキュリティ強化にセキュリティ研究者がプラスの影響を与えていることや、XIoTベンダーが自社製品のセキュリティと安全性を検証するためにこれまで以上にリソースを割いていることがわかります。

クラロティの「Team82」が作成した第6回「XIoTセキュリティの現状」レポートは、運用技術や産業制御システム（OT/ICS）、医療機器インターネット（IoMT）、ビル管理システム、エンタープライズIoTなどのXIoTに影響を与える脆弱性を深く調査・分析するもので、以下の通りとなっています。このデータセットは、Team82が2022年下半期に公開した脆弱性と、National Vulnerability Database（NVD）、Industrial Control Systems Cyber Emergency Response Team（ICS-CERT）、CERT@VDE、MITRE、産業オートメーションベンダーのSchneider ElectricおよびSiemensなどの信頼できるオープンソースから構成されています。

■クラロティのリサーチ担当副社長 Amir Premingerのコメント
「サイバーフィジカルシステムは、私たちの生活を支えています。私たちが飲む水、家を暖めるエネルギー、私たちが受ける医療、これらすべてはコンピューターコードに依存し、現実世界の結果に直結しています。Team82の調査とこのレポートの目的は、これらの重要な分野の意思決定者が、接続環境に対するリスクを適切に評価し、優先順位を付け、対処するために必要な情報を提供することです。ベンダーが、ソフトウェアやファームウェアの脆弱性の修正だけでなく、製品のセキュリティチーム全体に時間、人材、資金を割くことによって、サイバーフィジカルシステムの安全性を確保する必要性を受け入れていることを示しています」

＜主な調査結果＞

• 影響を受けるデバイス：公表されたOTの脆弱性の62%は、ICSのパデュー・モデルのレベル3のデバイスに影響を及ぼしています。これらのデバイスは、生産ワークフローを管理し、ITとOTネットワーク間の重要なクロスオーバーポイントとなり得るため、産業界の運営を混乱させようとする脅威者にとって非常に魅力的な存在です。
• 深刻度：脆弱性の71% が CVSS v3 の「重要」（9.0～10）または「高」（7.0～8.9）のスコアで評価されています。これは、被害を最小限に抑えるために、最も大きな影響を与える可能性のある脆弱性の特定に注力するセキュリティ研究者の傾向を反映したものです。さらに、本データセットの上位5つの共通脆弱性タイプ一覧（CWE）のうち4つは、MITREの「2022 CWE Top 25 Most Dangerous Software Weaknesses」の上位5つにも入っており、比較的簡単に悪用できるため、脅威者はシステムの可用性やサービス提供を妨害することが可能になる場合があります。
• 攻撃経路：脆弱性の63%はネットワーク経由でリモートから攻撃可能であり、脅威者は脆弱性を悪用するために、影響を受けるデバイスへのローカル、隣接、または物理的なアクセスを必要としないことを意味します。
• 影響：潜在的な影響のトップは、リモートでの不正なコードやコマンドの実行（54%の脆弱性で顕著）、次いでサービス拒否状態（クラッシュ、終了、再起動）の43%となっています。
• 緩和策：緩和策のトップは、ネットワークのセグメンテーション（脆弱性開示の29%で推奨）、次いで、安全なリモートアクセス（26%）、ランサムウェア、フィッシング、スパムの保護（22%）となっています。
• クラロティ「Team82」の貢献：Team82は、XIoT脆弱性調査において、長年にわたり多くのリーダー的地位を維持しており、2022年下半期に65件の脆弱性を開示し、そのうち30件はCVSS v3スコア9.5以上の評価を受け、現在までに400件を超える脆弱性を報告しています。

詳細は、「2022年下半期セキュリティレポート（State of XIoT Security Report）」をダウンロードしてください。
https://claroty.com/resources/reports/state-of-xiot-security-2h-2022

「Team82」のSlackチャンネルに参加すると、本レポートに関するさらなる議論や洞察を得ることができます。
https://slack.com/intl/ja-jp/

■クラロティについて
日本語公式サイト：https://discover.claroty.com/ja-jp/xiot
クラロティは、産業分野（製造工場やプラントにおけるOT）、ヘルスケア分野（病院におけるIoMT）、商業分野（ビル管理システムやエンタープライズIoT）にわたるサイバーフィジカルシステムの広大なネットワークであるXIoT（拡張型モノのインターネット）を保護し、組織をサポートします。当社のサイバー・フィジカル・システム保護プラットフォームは、顧客の既存のインフラストラクチャと統合して、可視性、リスクと脆弱性の管理、ネットワークのセグメンテーション、脅威の検出、および安全なリモートアクセスのためのあらゆる制御を提供します。
2015年に設立以来、ニューヨーク、テルアビブヤフォ、ロンドン、ミュンヘン、アジア太平洋地域などに拠点を構え、50カ国以上約600社以上の顧客に製品を提供し、8000以上の工場・プラント、2000以上の医療施設に導入実績があります。2021年にはシリーズD、E合計で6億4000万米ドルの資金調達を獲得し、ユニコーン企業の1社となりました。クラロティのプラットフォームは、包括的なセキュリティ管理を可能にするSaaS型のxDomeとオンプレミス型のCTD(Continuous Threat Detection)、安全なリモート接続を可能にするSRA(Secure Remote Access)、資産情報を素早く収集するEdgeの4つで構成される、統合的な産業用サイバーセキュリティソリューションです。

※XIoT（拡張型IoT）について
サイバーフィジカルシステムを支える、従来および新規導入のOT機器、ITおよびIoT機器、ビル管理システム機器に至るまで、増え続ける接続デバイスの網のこと。

代表者：CEO Yaniv Vardi （ヤニヴ・バルディ）
イスラエル本社：Yigal Alon St 82, Building Suzuki floor 10-11, Tel Aviv-Yafo, Israel
米国本社：1250 Broadway, 2601, New York, NY, 10001, US
拠点：ロンドン（イギリス）、フランクフルト（ドイツ）、シンガポール、ソウル（韓国）、メルボルン（オーストラリア）
累計資金調達額：6.4億米ドル（約875億円）
URL：https://claroty.com/

■450以上のプロトコルを独自分析する『Team82』
クラロティ製品の優位性は、企業や導入IoTデバイス（メーカー）により異なる多様な通信プロトコルへの対応にあります。現時点で450以上のプロトコルを独自に解析し、ICSを含むXIoT機器の 脆弱性の発見、実現性の高いセキュリティ対策を提案しています。

独自解析においては、イスラエル国防軍のサイバーセキュリティ部門として知られる「8200部隊」出身の最優秀人材で構成される専門分析チーム『Team82』が担当しています。8200部隊は、他国からのサイバー攻撃の防御および、諜報活動を行うイスラエルの国家産業において重要な部隊です。

また、『2022 SC Awards Winner for Best SCADA Security Solution（米国） 』や『Best IoT/IIoT Security Solution （ヨーロッパ）』の受賞、『Industrial Control Systems （ICS） Security Solutions, Q4 2021』や2021年から3年連続で『KLAS Software & Services ReportヘルスケアIoTセキュリティ部門Best in KLAS賞』の受賞によりThe Forrester Wave（TM）のLeaderに選出されるなど、世界規模で数多くの評価を受けています。