欧州全域の組織とリスク管理リーダーは、加盟国が最近更新したNIS2指令の実施に向けた準備に余念がない。この新しい法律は2024年10月に発効し、7つの広範なセキュリティ要件を実施することで、欧州の重要インフラの総合的な回復力を高める。NIS2は、OT 、IoT の資産とネットワークについては明確に論じていないが、暗黙のうちに多くの要件にこれらを含んでいる。
NIS2実施準備に関する調査結果
Nozomi Networks は最近、OT とIoT のセキュリティを NIS2 指令に適合させるための準備状況を測るための調査を実施した。ドイツ、フランス、スウェーデン、オランダのITセキュリティの意思決定者300人へのインタビューに基づくこの調査では、「重要インフラ産業を代表する重要かつ不可欠な組織にとって、今度のNIS2法制化は相当な難題であることが判明するだろう。
競合する優先事項があるにもかかわらず、ITにとどまらず、運用技術(OT )も含めたリスク管理に特に重点を置く必要がある。"結局のところ、NIS2はサイバーセキュリティのリスク管理対策の方針と手順の重要な見直しと強化を強調している。要求事項には、リスク分析と情報セキュリティポリシーの採用、インシデント処理の仕組み、事業継続と危機管理が含まれる。セキュリティの具体的な内容としては、サプライチェーンのセキュリティ、ネットワークと情報システムのセキュリティ、暗号と暗号化の使用も義務付けられている。加盟国は現在、各国がこの法律をどのように遵守する予定かを示すためのビジネス要件を決定している。
以下では、Nozomi Networks -指示された調査から得られた結果の一部と、OT とIoT セキュリティをNIS2と整合させるために取り組んでいる重要インフラ組織にとって、これが何を意味するのかを紹介する。
OT 、IoT サイバーセキュリティの責任は誰にあるのか?
OT 、IoT の接続性とセキュリティ要件を評価し、OT 、IoT の資産に到達または回避する攻撃による不正アクセス、不正操作、意図しないダウンタイムからビジネスを保護するために、ITリーダーが派遣されるケースが増えています。フォーティネットの2023年セキュリティレポート(OT )によると、重要インフラのサイバーセキュリティ専門家500人以上からのグローバル調査データの回答から、「組織の95%は、OT サイバーセキュリティの責任が、今後12カ月でディレクターやマネージャーからCISOに移行すると予想している」ことが明らかになりました。
しかし、今日のヨーロッパでは、Nozomi Networks 、「3分の1強の組織がCISO(35%)に最終的な責任を委ねている一方で、他の多くの組織はIT部門全体(24%)や運用技術(18%)などに依存している」と回答している。これらの回答は、リーダーがこの責任をCISOに移行させるのに、どれだけの道のりが必要かを示している。一方、回答者はまた、トレーニングと教育が自社のビジネスにとって最も成熟していないポリシー分野であり、次いで脆弱性管理であると回答している。
これらを総合すると、OT とIoT のサイバーセキュリティの所有権は、説明責任、トレーニング、意識、行動という点で、ますます拡大する余地がある。調査対象のITリーダーによると、「運用技術(OT )およびIoT デバイスとネットワークの安全確保に対する責任は、社内の利害関係者と社外のサードパーティの両方で共有されている」という。
OT とIoT Networks を守るために、指導者たちはどの程度の準備ができているのだろうか?
Nozomi Networks -指示された調査における組織および意思決定者からの回答は、コンサルティング、threat intelligence 、およびインシデントレスポンスにおいて、外部のマネージドサービスプロバイダーに広く依存していることを示している。組織が重要情報システム(CIS)に関するリスク分析を実施し、定期的に更新しているかという質問に対しては、50%がCISに関するリスク分析の実施と更新に関してスケジュールに従っている。34%は、CISのリスク分析をアドホックに実施・更新している。驚くべきことに、15%は現在まったくリスク分析を行っていない。
グローバルFortinet 2023OT Security Reportの調査対象となった組織の大多数が、過去1年間に侵入を経験しており、攻撃パターンとしては、ITとOT の両方を標的としたマルウェア、フィッシング、ソーシャルエンジニアリング、ランサムウェアが引き続き見られます。Nozomi Networks の指示調査では、ITリーダーの81%が、自社組織には資産の特定とインベントリ管理に関連するプログラムが最も不足していると回答しており、80%は脆弱性のマッピングと脅威の探索、75%は状況認識とデータ分析機能が不足していると回答しています。これらの並行した傾向は、セキュリティ担当者が、壊滅的なインシデントにつながるセキュリティ・イベントをうまく特定し、修復するための体制を整えていない可能性があることを示している。サイバー攻撃による潜在的な影響の深刻さを軽減するためには、自社が所有し、運用している資産、その運用・通信状況、潜在的な脆弱性を把握することが不可欠です。無視したものを保護することは現実的ではなく、資産やネットワークトラフィックを可視化することなく、根本原因分析を実行し、良性のイベントやアクティビティもレビューすることはますます難しくなっています。
可視性の向上は、重要なNetworks の防衛にどのように役立つのか?
最後に、マッキンゼー・アンド・カンパニーのデータによると、"ビジネスリーダーの約96パーセントが、OT サイバーセキュリティに投資する必要性を示しており、投資した人の約70パーセントが導入の課題に直面している"。効果的なネットワーク・モニタリングとリスク管理の鍵は、正確なリスク・ビューに情報を活用することにある。
情報によって、組織はその環境で活動しているリスクと脅威を特定することができる。「OT サイバーセキュリティを評価するために(トップダウンとボトムアップの両要素からなる)二重のアプローチをとることで、組織はOT 環境とオペレーションに対する重大なリスクを迅速に特定することができる。これは、産業組織にとって、業務にリスクをもたらすサイバー攻撃からの保護を確保するための重要な出発点である。"
包括的なAI行動ベースの分析とシグネチャベースの検出エンジンに基づき、Nozomi プラットフォームは、重要な製品、リソース、サービスの提供に影響を及ぼす可能性のあるセキュリティインシデント、ポリシー違反、プロセスの異常を確実に検出します。ネットワーク・アクティビティがリアルタイムで監視されていない場合、資産のステータスはほとんど不明であり、脆弱性の有無にかかわらず、日々の機能に必要な可視性がなければ、これらの資産を保護することはできません。
