重要インフラは、他のセクターと同様にセキュリティ上の脅威に直面していますが、その影響は何百万人もの人々にとってはるかに深刻なものになる可能性があります。このため、重要インフラの経営幹部は、物理的な領域だけでなく、デジタル領域、いわゆるサイバー・フィジカル・システムを包含するセキュリティへの包括的なアプローチを開発することが重要である。
ニューズウィーク誌(VANTAGE )が、重要インフラのセキュリティを担当する415人の経営幹部を対象に行った世界規模のユニークな調査によると、彼らはサイバー・フィジカル・システムに対する総合的なアプローチの必要性を認識している。それにもかかわらず、特にITとOT システムに関しては、変革に対する文化的抵抗を克服するのに苦労している。
このような長年の障害を克服する必要性は、増大するサイバー脅威とサイバー・フィジカル・セキュリティの確保に失敗した場合の影響によって、より緊急性を増している。2020年の重要インフラ・セキュリティの状況を詳しく見てみよう。
重要インフラのセキュリティにとって最大の脅威は従業員であると考える経営幹部
安全なサイバー・フィジカル・システムの必要性に懐疑的な人は、この極秘調査の結果を熟慮すべきである。重要インフラに携わる幹部のほぼ全員が、過去12ヶ月間に少なくとも1件のセキュリティ・インシデントに見舞われ、半数が2件以上のインシデントに見舞われていると回答している。4分の1近くが、侵害から発見までの時間が24時間を超えたと回答している。
同様に心配なのは、従業員がサイバー犯罪グループよりも大きな脆弱性を持つ最大の人的要因とみなされていることだ。元従業員もセキュリティ・リスクである。この統計は、テロリストや国家権力者が悪いという一般的な見方とは矛盾している(彼らは大混乱を引き起こす可能性はあるが、一般的ではない)。
こうした攻撃はどのように発生するのだろうか。半数以上がITシステムへのサイバー攻撃だが、ITやOT システムへの物理的な侵入も非常に多い。だからこそ、サイバーと物理の両方の観点からセキュリティにアプローチすることが重要なのだ。多くの人が、統合の欠如が脆弱性の主な原因だと言う。
これらの数字は難問を浮き彫りにしている。IT-OT-物理システムが統合されればされるほど、セキュリティの程度は高まるが、統合されているがゆえに、これらのシステムは攻撃に対してより脆弱になる。経営陣は明らかに、効率性の必要性とセキュリティの必要性のバランスを取らなければならない。
パフォーマンスを向上させるために統合し、その後に全体的なセキュリティに対処することの結果
多くの組織が、サイバー・フィジカル・セキュリティに対する自分たちのアプローチは適切であると思い込んでいます。経営幹部の3分の1以上が、実際のサイバー侵害をきっかけに、組織のサイバー/物理セキュリティに対する全体的なアプローチを開発するようになったと答えています。
サイバー・フィジカルの脅威に対応するため、3分の2はIT、OT 、物理システムの一部を統合しており、そのプロセスは継続中である。5分の1はすべてのシステムを統合している。しかし、経営幹部は統合の主な利点を、より迅速でより良い意思決定と考えている。統合の動機として、セキュリティ強化の必要性を挙げる企業は最も少ない。しかし専門家によれば、サイバー・フィジカル・セキュリティに対する全体的なアプローチは、業務パフォーマンスを向上させるためのステップに先行するべきだという。
サイバー・フィジカル・セキュリティ向上への最大の障壁
ある意味、この調査結果で最も意外でなかったのは、経営幹部が統合の主な障害と考えていることだ。長年の議論にもかかわらず、IT部門とOT 。調査によると、組織的にも技術的にも、全体的なアプローチに対する主な内部障害は、リスク許容度や運用環境といった分野におけるIT部門とOT 。
ほぼ3分の1が、最大の障害は文化的なもの、つまり変化への抵抗だと答えている。もし抵抗が少なければ、ITとOT の担当者は今頃意見の相違を解決しているはずだ。組織は、IT、OT 、物理的セキュリティの担当者が協力して脅威を軽減するように、文化を変える必要がある。
ホリスティック・アプローチに対する外部からの主な障害は、セキュリティ・システムに関する業界標準が利用可能であるにもかかわらず、十分に普及していないことである。
摩擦の原因の大部分は、人と仕事と同僚に対する姿勢に関わる問題であるため、これを解決する方法は、重要なインフラで働く人々の間でサイバー・フィジカル・セキュリティ・システムに対するより調和のとれたアプローチをとることだと経営幹部が言うのは論理的である。調査対象の半数近くの経営幹部は、障害を克服する最善の方法は、IT/OT/物理セキュリティチームがサポートする統合の詳細な行動計画であると答えている。文化を変えるためには、セキュリティチームにIT/OT/物理担当者を含める必要があるとしている。
重要インフラのサイバーセキュリティと物理的安全性は両立する
重要インフラ組織は、従業員、顧客、一般市民の物理的安全に重点を置いている。これが危険にさらされた場合、彼らは脅威と戦うためにリソースを結集する。これらの組織は、サイバーセキュリティに対しても同じアプローチを取る必要があります。特に、サイバーフィジックスの侵害は、公衆衛生と安全に影響を及ぼす可能性があるためです。
このような常識は、悲しいかな、重要インフラでは一般的ではない。このような文化を変えるには、4つのポイントを考慮する必要がある:
- サイバーフィジカル標準を適用し、可能であれば引き上げる必要がある。
- 物事を正しい順序で行う。 サイバー・フィジカル・セキュリティに関する方針と手順を策定し、次にテクノロジーに投資する。
- 間違いを認めても罰しないこと。 セキュリティの失敗は、より良いやり方を学ぶ機会である。
- サイバーフィジカル・セキュリティはダイエットのようなものではない。長期的なライフスタイルの変化なのだ。
ぜひ、全レポートをダウンロードし、あなたの組織のセキュリティ態勢がグローバルな業界リーダーと比較してどうなのかをご確認ください。そして、そこから学んでください。大惨事が発生する前に、賢明な判断と行動をとり、全体的なセキュリティ・アプローチを採用する必要があります。
