最近の規制変更により、CISO は企業のサイバーセキュリティ・リスクに対する責任とともに、賠償責任を負うことが求められるようになった。産業組織にとっては、OT デバイスとネットワークからのリスクが含まれる。IT、IoT 、OT ネットワークの境界線がかつてないほど曖昧になっているため、リスクの包括的な監視が必要となっている。
ほとんどのサイバー攻撃はビジネス・ネットワーク上で発生するが、それが生産エリアに到達し、健康、安全、または環境に害を及ぼす場合、それは企業リスクの一部となる。このため、取締役会レベルでは、OT セキュリティを無視し続けることは得策ではないという認識が高まっている。
大規模な産業組織のIT担当役員に、OT セキュリティについて何をしているかと尋ねると、「何もしていない。誰が所有しているのか、どこから始めればいいのかわからない。私たちのような他の組織はどうしているのでしょうか?
リスクに対するエンタープライズ・アプローチへのシフトは好ましいことだが、(IT部門にとって)なじみの薄いサイバーフィジカル環境に対するサイバーセキュリティソリューションの購入、展開、保守を誰が行うべきかについては疑問が残る。大規模な産業組織のIT幹部に、OT のセキュリティについて何をしているかと尋ねると、「何もしていない。誰が所有するのか、どこから始めればいいのか分からない」と答えることがよくある。私たちのような他の組織はどうしているのでしょうか?
ITセキュリティの枠組み、産業環境、規制要件、ITとOTのセキュリティ対策の根本的な違いを理解しているユニコーンのような人材が社内にいない限り、あらゆる分野をカバーするチームを編成する必要があります。例えば、OTエンジニア、技術者、プロセスオペレーター、コントロールルームオペレーター向けのサイバーセキュリティポリシーは、多くの場合存在しません。誰がポリシーを作成し、影響を受ける個人を誰がトレーニングするのでしょうか? 同様に、インシデントレスポンスプランを作成するのは誰でしょうか?通常、OTでは物理的な安全上の影響があるため、かなり異なる場合があります。
答え OT/ITの文化的な溝を埋め、採用を促進し、長期的にOT セキュリティに責任を持つためには、専門知識、意欲、フォロースルーを備えた部門横断的な「ドリームチーム」が必要である。
ここでは、OT セキュリティを企業のフレームワークに組み込むことに成功した産業組織で私たちが見てきたことに基づく、実践的なアドバイスを紹介する。同じ成果を得るためには、ドリームチームにふさわしい人材を起用することから始めよう。
CISOの役割:エグゼクティブ・スポンサー
組織図において、CISOは企業リスクを担当する当然の選択である。CISOは通常、IT環境のソリューションを評価し、実装する経験を少なくとも20年は積んでいる。ほとんどのCISOは、OT セキュリティについて十分な知識を持っており、それが自分の専門外であることを知っている。セキュリティ対策が安全性と信頼性を脅かすとまではいかなくても、厄介なものと見なされがちな工業生産環境に、ハードウェアやライセンスを追加して情報セキュリティ技術、ポリシー、管理を拡大することはできない。OT 、ITセキュリティには多くの違いがあるが、OT 、パッチを当てることは(安全でないプロトコルや土地で生活する戦術のため)無関係であるか、不可能であることが多く、ネットワークやデバイスのモニタリングは、オペレーティング環境にリスクを与えることはできない。
CISOは企業リスクの責任者であり、技術的意思決定とビジネス上の意思決定の両方に対して広範な影響力を持っているため、プロジェクトのエグゼクティブスポンサーとして最適である。彼らのガイダンスには以下のようなものがある:
- 戦略的方向性の提供
- 人材と資金の確保
- 組織の意識を高める
- リスク管理に対する会社の持続的なコミットメントを示す
- プロジェクトのマイルストーンを定期的にチェック
- エスカレーションの管理
- 経営陣および取締役会への進捗状況の伝達
CISOは、これらの機能のほとんどを得意としている。セキュリティプロジェクト(OT )にとって、ソリューションを評価し、展開し、継続的な監視を行う適切な人材を確保することは、彼らが取り組まなければならない大きな課題である。
OT セキュリティドリームチームを結成する
ドリームチームの元祖、1992年のアメリカ男子オリンピック・バスケットボールチームを抜きにして、ドリームチームを語ることはできない。チャールズ・バークレー、ラリー・バード、パトリック・ユーイング、マジック・ジョンソン、マイケル・ジョーダン、クリスチャン・レトナー、カール・マローン、スコッティ・ピッペン、ジョン・ストックトン......スーパースターが勢ぞろいしたチームだったが、どの選手も自分の力を発揮しなければならなかった。NBAのコートでは熾烈なライバルだったかもしれないが、チームUSAではエゴを捨て、何時間も一緒に練習し、8試合無敗でバルセロナでの金メダルを獲得した。
OT セキュリティプログラムを立ち上げるのに、世界的なアスリートは必要ない(役に立つかもしれないが)。ビジネスにおいて「ドリームチーム」とは、その仕事において最高であると認められ、補完的なスキルを持ち、うまく協力し合える人々のグループを指す。
OT 主要な利害関係者がテクノロジー購入の決定に参加しなければ、導入が遅れたり、導入が完全に妨げられたりする可能性が高い。
理想的なドリーム・チームには、産業用制御システムを隅々まで理解しているプラント・マネージャ、エンジニア、オペレータが含まれる。サイバー面では、セキュリティおよびネットワーク・マネージャー、アナリスト、管理者を、たとえそのうちの何人かが工場フロアに足を踏み入れたことがなくても、採用したい。サイバーセキュリティ規制の対象となる企業の場合は、導入するソリューションが報告などの重要な要件をカバーしていることを確認するために、コンプライアンスの専門家を加えることをお勧めします。
これらの役割のいずれかが欠けていても、十分な情報に基づいて購入の意思決定を行うことはできますが、社内の課題が表面化し、遅れが生じる可能性が高くなります。例えば、ネットワーキング・チームから誰も参加者がいない場合、SPANトラフィック・モニタリングを実装しようとしたときに、追加的な説得が必要になったり、まったく別のアイデアを提案されたりして、振り出しに戻される可能性があります。もし、OT の主要な利害関係者がテクノロジー購入の決定に参加しなければ、導入が遅れたり、導入が完全に妨げられたりする可能性が高い。
OT- IT 文化の溝を乗り越える
多くのビジネスチーム(M&A を伴うチームを除く)とは異なり、ドリームチームは文化的な対立にも対処しなければならない。OT 関係者が「何かが壊れるかもしれない」という理由でセキュリティソリューションの導入に反対する場合、多くの場合、そのような意見は、安全に導入できると言われた IT セキュリティソリューションが原因で混乱が生じた経験から来るものである。前回のアップデートで、うちのプロセスが壊れてしまった」という話を聞くのは珍しいことではないが、それは 10 年前の話である!
このような見解を克服する最善の方法は、インフォセック・チームが、チーム内のOT 専門家から、この全く異なる環境の特殊性を学び、サイバー・ソリューションを推奨する際には慎重に進めることである。彼らが遭遇することになる、目を見張るような出来事には次のようなものがある:
- 数十年のライフサイクルを持つレガシーデバイス(OT )の数は、時代遅れの、あるいは独自のオペレーティングシステムやアプリケーションを実行し、ドキュメントもない。
- 24時間365日稼動している産業用プロセスでは、年に1回という限られたメンテナンス枠しかありません。サイバーセキュリティのアップグレード(可能であればパッチを含む)は、そのウィンドウに合わせ、他の重要な修正と並行してスケジュールされなければならない。
- パデュー・モデルは、OSIモデルにやや似た5レベルの参照アーキテクチャで、産業用制御システム内で許容されるデータフローを示すために使用される。例えば、DMZは企業ネットワークと製造ネットワークを分離し、これらのレベル間の下方トラフィックは制限される。
前回のアップデートが私たちのプロセスを壊した」と聞くのは、10年も前のことなのに、珍しいことではない!
OT チームの専門家もまた、曲げることを学ばなければならない。(1)OT のデバイスとプロトコルは設計上安全でないこと、(2) 重要インフラに対するサイバー攻撃は現実に存在し、増加傾向にあること、(3) サイバー耐障害性は優れたビジネスであること、を認めることで、IT 担当者と半ば強引に打ち解けることができる。センシティブなOT 資産のスキャニング耐性にマッチした、安全なパッシブ・モニタリングと選択的なアク ティブ・モニタリングについて理解を深めれば、次のようなメリットが得られるだろう:
- 自動化された資産インベントリにより、ネットワーク上に何があるか、どの資産と通信しているか、インターネットに接続されているかを100%可視化できる。
- サイバー脅威だけでなく、基本的な正常動作から逸脱し、生産に影響を及ぼす可能性のあるプロセスの異常やデバイスの誤設定も検知する。
- デバイスのタイプや機能、ハードウェアのメーカー、モデル、シリアル番号、オペレーティングシステムやファームウェアのバージョン、ネットワーク・アドレス、Macアドレス、ホスト名、使用されている通信プロトコル、実行中のアプリケーション、脆弱性やリスクなど、サイバー脅威の検出以外にも役立つ、接続されたすべての資産に関するこれまで入手できなかった高精度のデータにアクセスできます。この情報の使用例には、在庫の最適化、ライセンス管理などが含まれます。
自然なチームリーダーを見つける
スポーツでもビジネスでも、チームキャプテンの選び方に関するアドバイスには事欠かない。天性のリーダーシップや橋渡しのスキルに加え、理想のチームキャプテン(そして理想はチームメンバー全員)には、チェンジマネジメントの手腕が求められる。
OT のセキュリティを現場に導入するということは、これまでとはまったく異なる行動を導入するということである。アクセス管理の強化など、新しいポリシー、設定、コントロールが導入され、オペレーターの日常業務のやり方が変わることになる。このような変更の多くは、一般に普及することはないだろう。CISOは、その変更が必要であるだけでなく、全員の利益につながるものであると主張できるだろうか?エグゼクティブ・スポンサーとして、CISOもこの担当を率いることになるが、詳細な質問に答え、場を仕切り、否定的な意見に打ち勝つ、信頼できる同僚が必要である。セキュリティベンダーやシステムインテグレーターが登場する頃には、何が起こるかを理解し、準備ができている、教育された従業員を求めている。
実装後:ゲームを始めよう
あなたのチームがサイバーセキュリティソリューションの選定に成功し、綿密に文書化されたポリシーに裏打ちされたきめ細かなコントロールを導入できたとしましょう。今度は、長期的な製品とプロセスのオーナーシップを確保することで、これらの練習時間(この場合は、共同戦略を考案し、協力して作業する方法を学ぶこと)がすべて報われるようにする番だ。
企業のリスク管理を可能にするためには、OT 環境からのデータをセキュリティ情報イベント管理システム(SIEM)に送り込むか、あるいは既存の IT セキュリティプラットフォームと統合して、セキュリティオペレーションセンター (SOC) やマネージド・セキュリティ・サービス・プロバイダ(MSSP)が問題を特定できるようにする必要がある。ドリームチームのOT 専門家(理想的にはOT セキュリティの 専門家)が、OT ネットワークの機密性と、なぜ是正の取り組みに貴社の産業プロセスとネットワークに精通した人員を関与させなければならないかについて、これらのグループを教育し続けることが重要です。
やってはいけないこと
OT 、セキュリティプロジェクトがうまくいかない理由はさまざまだが、その多くはITセキュリティにとって身近なものである:
- 一人でやるんじゃない。どんなチームスポーツでも、1人のスターがアシストなしですべての得点を決めることはめったにない。クォーターバックにはワイドレシーバーが、リバウンダーにはシューターが、フォワードにはミッドフィルダーが必要だ。そして、すべてのチームにはコーチが必要である。コーチはどこにでもいる。同業者のネットワーク、業界アナリスト、ISAC、地域の業界団体に相談しよう。
- 分析麻痺に陥ってはならない。 事実を収集し、調査し、参考文献をチェックし、解決策を選択し、前進しましょう。完璧な製品も完璧な時期もありません。
- 購入の意思決定とソリューションの導入を外部のセキュリティ専門家(OT )に代わらせてはならない 。たとえコンサルタントの経験が豊富で、ソリューションの比較に役立ったとしても、意思決定と導入は、組織をよく知る社内の専門家が行う必要があります。
- プレイブックなしで勝とうとしてはいけない。 ISA/IEC62443 シリーズは、国際オートメーション学会(International Society of Automation)によって開発された、産業用サイバーセキュリティのための主要な国際コンセンサスに基づく規格です。パート2-1-2009は、高品質の産業用オートメーションおよび制御システム(IACS)セキュリティプログラムを確立する方法に関する詳細なガイダンスを提供します。
たとえコンサルタントが経験豊富で、ソリューションの比較検討の手助けをしてくれるとしても、意思決定と賛同は、組織をよく知る社内の専門家が行う必要がある。
OT セキュリティプログラムの構築にはNozomi Networks を活用しよう。
CISOとドリームチームには、もうひとつ、ベンダーという欠かすことのできない支援源が待っている。それはベンダーです。知識を持ったバイヤーは、購入したソリューションを採用し、最適化し、同僚に推薦する可能性が高くなります。
Nozomi Networks は、OT セキュリティソリューションを、あらゆる産業および重要なインフラ部門にわたる何千もの環境に導入してきました。私たちは、プロジェクトが円滑に進むことも、各段階で行き詰まることも見てきました。すべての導入キックオフの一環として、私たちは一般的なOT- IT 文化的課題を検討し、実績のあるガバナンス構造など、私たちが知っている効果的な克服方法を提案します。また、IEC 62443 Part 2-1規格に準拠していることを確認するお手伝いもいたします。
OT セキュリティプログラムを開始し、文化的な課題を克服し、金メダルを目指す方法についてご相談ください。