新しいテクノロジーを導入する前に概念実証(PoC)を実施する正当な理由はたくさんある。プロジェクトのリスクを減らし、選択したソリューションがユースケースに対応できるという社内の信頼を得ることから始まる。
しかし、サイバー・セキュリティソリューションのPoCを成功に導くには、プロジェクト管理(スコープ、スケジュール、猫の手も借りたい)にレーザーのように集中することに加え、人間関係の構築、交渉、忍耐といったソフト面のスキルも必要だ。業界のベスト・プラクティスに従うことも悪くない。
私は、ファイアウォールからネットワーク・モニタリングまで、複数の重要インフラのPoCに携わってきました。そして、Proof of Conceptを成功させるための計画を立てる際に、最も重要な考慮事項についてよく質問されました。私が最も重要だと考えていることは何か、ぜひお読みください。
なぜICSセキュリティの概念実証を行うのか?
上述したように、PoCは技術プロジェクトの成功の可能性を高めることができる。それは、ニーズをより深く理解するのに役立つからでもある。ICSネットワークの可視化、あるいは脆弱性の所在を知ることがより重要なのか?それとも、悪質なサイバー脅威からオペレーションを守ることの方が重要なのでしょうか?
PoCは、要件を具体化させ、経営陣の承認を得るために社会化できるプロジェクトの価値提案を構築するのに役立つ。また、ITやOT のような部門を共通のゴールに向けて調整するのにも役立つ。さらに、PoCは、提案されたソリューションがニーズを満たすことを証明し(あるいは満たさないことを証明し)、選択されたテクノロジーが組織にとって適切であるという確信を高めます。
ICSセキュリティの概念実証を計画する際に考慮すべき5つのこと
さて、基本的な話はこれくらいにして、PoCを始めることに不安を感じていることだろう。そこで、概念実証を計画する際に本当に重要だと私が考える5つのことを紹介しよう。
- 問題ステートメントとユースケースを熟知する - 典型的なPoCの成果物には、問題ステートメント、ユースケース、プロジェクト・スコープと計画、成功基準、評価(スコアリング)モデル、プロジェクト・スケジュールが含まれる。ユースケースと簡潔な問題ステートメントは、プロジェクトとPoCを確実に軌道に乗せるのに役立つ。問題ステートメントは、3万フィートレベルでニーズを定義する。ユースケースは問題の具体的な応用を明らかにし、潜在的なソリューションがどのようにニーズ、つまり問題文を満たすかを概説する。問題ステートメントと少なくとも1つのユースケースが前もって特定されていないと、成功基準の定義が場当たり的になり、PoCが失敗する可能性が高まる。
- 客観的な指標を重視し、主観的な指標を賢く利用する- 特定の運用環境に適合する必須かつ客観的な指標は、一般的に白黒をはっきりさせるものです。ベンダーのソリューションはFireEyeのSIEMと統合しているか、していないか。しかし、私のPoC評価モデルの約15%は主観的なメトリクスを含んでいる。例えば、ネットワーク・モニタリング・ソリューション・プロバイダーとPoCを実施する際、私のチームは提携する企業の「文化」に基づいて成功基準を選択した。もちろん、ベンダーは私たちの技術的な要件を満たす必要がありましたが、私たちは、選ばれた会社が一緒に働くのに素晴らしい会社であることも確認したかったのです。特に、予期せぬ課題を解決する必要があったり、将来的にイノベーションによって競争力を維持するために既成概念にとらわれない発想が必要になったりした場合だ。企業の文化を判断する客観的な指標はあるのだろうか?そうではありません。人間関係は会社の代表者との交流によって築かれ、長い時間をかけて培われていくものだ。しかし、このコンセプトは、私たちの選考プロセスにおいて重要なウェイトを占める基準となりました。連続モニタリング市場は比較的歴史が浅く、今後数年間で大きな混乱が起こるでしょう。このような場合、同じような価値観を共有し、何年にもわたる成長と変化を共に乗り越えようとする真摯な姿勢を示してくれる企業と仕事をする必要があることは明らかでした。
- スコープクリープへの対応- スコープクリープは、どんなに抑えようとしても発生する。私のアドバイスは、それを予測し、それに備え、どのように対処するかを早めに決めることです。ベンダーと一緒に仕事をしていると、新しいアイデアやひらめきが浮かんでくることがあります。これは良いスコープクリープである。しかし、アイデアが問題提起の核心から逸れてしまい、望ましくないスコープクリープになってしまうこともあります。PoCフレームワークの中に、スコープクリープを評価し、それぞれのケースを含めるべきか除外すべきかを判断するメカニズムを設けてください。
- テスト環境 - 石油・ガス、電力、水道のような重要なインフラ業務では、PoCが本番環境で実施されることは稀である。そのため、プロジェクトの成功は、ラボがどれだけ本番環境を忠実に模倣できるかにかかっている。テストラボが、本番環境と同じ構成とファームウェアで同じインフラを使用していることを確認する。
- エグゼクティブの賛同- PoCの計画は、チャンピオンを特定することから始まる。この人物は、適切なステークホルダーやスポンサー、チームメンバーを参加させることで、プロジェクトを前進させる重要な役割を果たす。しかし、プロジェクトが経営陣(トップダウン)によって推進されるものであれ、草の根的な人材(ボトムアップ)によって推進されるものであれ、経営陣の賛同を得ることがプロセスの重要なステップであることは明らかである。エグゼクティブチームの誰かがスポンサーとして定義されるべきである。この人物は、あなたの問題提起に対する解決策を見つけることに全面的にコミットし、選択した解決策に資金を割り当てたり予算化したりする意思がある必要があります。あなたのプロジェクト、問題提起、提案するソリューションの賛同を得るには、経営陣の牽引力を得るための忍耐が必要だが、それがなければあなたのPoCは水泡に帰してしまうだろう。
Nozomi Networks 現在、100を超える概念実証(PoC)インストレーションが進行中であり、過去の実績から察するに、そのほぼすべてがすぐに実用的なデプロイメントに移行するだろう。これだけの実績があれば、運用の可視化とリアルタイムのOT サイバー・セキュリティのPoCを実施すれば、組織のチャンピオンになれることは間違いない。
お客様の組織でICSセキュリティPoCの立ち上げを検討したい場合、Nozomi Networks チームがお手伝いします。まずはお気軽にお問い合わせください。
