OT サイバーセキュリティの説明責任が CISO に移行するにつれ、企業は産業用ネットワークにおけるビジネスリスクを優先するようになっている。このシフトはかなり遅れている。
過去10年間を通じて、OT サイバーセキュリティ業界には変わらないもの、あるいはほとんど変わらないものがある。確立された製品市場であるにもかかわらず、検知ツールを大規模に導入している資産所有者はごく一部である。システムは本質的に脆弱なままであり、資産所有者はOT サイバーセキュリティの人材を維持するのに苦労し続けており、包括的なリスク管理プログラムは非常にまれである。
しかし、変化したのは、リスクに対する認識、組織のリーダーのマインドシェア、そして特定の条件下での法的・金銭的罰則を含む懲罰的救済を要求し始めた規制である。後者の最近の例としては、対象事業体に対してサイバーセキュリティインシデントの報告義務を課したCIRCIA(Cyber Incident Reporting for Critical Infrastructure Act of 2022)や、空港や鉄道などの交通機関全体に対してネットワークのセグメンテーション、アクセス制御、監視・検知、パッチ適用などの要件を課す複数のTSA(Transportation Security Administration)指令などがある。
OT サイバーセキュリティへの投資は報われているか?
このようなシフトにより、CISOには正式な責任と説明責任が課されるようになり、CISOは単なるテクノロジーよりもビジネスリスクを優先するようになった。 彼らがますます自問自答するようになっているのは、「OT サイバーセキュリティへの投資について、それが達成したビジネス上の成果を実証できるか」ということだ。ビジネス成果」が何を意味するかは、プロジェクトによって異なる。それは、監視・検知ツールへの投資によって、測定可能で実証可能な方法で運用の回復力/アップタイムが向上したかどうかということである。あるいは、セキュリティプログラムの改善によって、コンプライアンス報告に必要な時間が短縮され、その精度が向上したか。端的に言えば、「自分のやったことは効果があったのか」ということである。
この問いに答えることは、非常に難しい。OT サイバーセキュリティのインシデント・データを最も多く手にしている保険会社でさえ、リスクを定量化するのに苦労している。実務者、サービス・プロバイダー、ベンダーにとって、これは課題であると同時にチャンスでもある。答えを出すのは難しいが、答えを出すことができれば、CISOの注目(と資金)を集めることは間違いない。
ビフォー・アフターデータによるリスク低減の定量化
業界が定量化可能なビジネス成果を証明するためには、ソリューション導入後のリスク削減を測定するビフォー・アフター・データを取得、追跡、共有できるようにする必要がある。この課題に取り組むプロジェクトは存在し、さらに多くのプロジェクトが進行中である。このプロジェクトは、リアルタイムで匿名のOT脅威情報を共有するためのオープンソースプラットフォームを提供することを目的としています。ETHOSプラットフォームが利用可能になれば、他の参加組織でセキュリティ脅威が発生したときに、情報源に関する機密データを開示することなく、組織がアラートを受け取ることができるようになる。
アウトカムデータでコンセンサスに基づく基準を強化する
ETHOSのような情報共有は、私たちが業界レベルで行っていることが機能しているかどうかを知るための重要なステップとなる。また、他の分野での進展も期待できる。前サイバーセキュリティ・インフラセキュリティ局(CISA)局長のジェン・イースタリーは、業界を進歩させ、重要インフラの防御を強化するために、政府と民間が協力する必要性を以前から公言している。さらに、インパクト・データこそが、ISA/IEC62443規格のような主要なOT サイバーセキュリティ規格を進化させるものであり、コンセンサスに基づく一連の要件とガイダンスは、主に専門知識に基づくものから、実証可能なデータによって強化され洗練されたものになる。
ビジネスの成果に対する考え方の転換は、時宜を得たものであるだけでなく、遅きに失したものでもある。それは、必要とされるデータと分析の需要を促進する。 それは、政府機関と営利団体、さらには競合企業間の協力を促進し、ユーザーとベンダーの双方を、真のインパクトをもたらすソリューションへと導くだろう。
