最近の規制変更により、企業のサイバーセキュリティリスクに対する責任とともに、CISO が法的責任を負うことが期待されるようになりました。産業組織の場合、OT デバイスやネットワークからのリスクも含まれます。IT、IoT、OT ネットワークの境界線がこれまで以上に曖昧になっているため、包括的なリスク管理は長らく待たれていました。
ほとんどのサイバー攻撃は業務ネットワークから発生しますが、生産エリアに到達し、健康、安全、環境に被害を及ぼす場合、それは企業リスクの一部となります。このため、OT セキュリティを無視し続けることは得策ではないという認識が、取締役レベルで高まっています。
大規模な産業組織の IT 担当役員に OT セキュリティ対策について尋ねると、多くの場合、"何もしていない。誰がオーナーなのかも、何から始めればよいのかもわからない。我々のような組織では、他にどのような対策が取られているのか?" という答えが返ってきます。
企業としてのリスク対策へのシフトは前向きな動きですが、IT 部門にとって馴染みのないサイバーフィジカル環境におけるサイバーセキュリティソリューションの購入、展開、およびメンテナンスを誰が管理すべきかという疑問が生じます。 私たちは、大規模な産業組織の IT 幹部に対して OT セキュリティ対策について尋ねることがよくありますが、彼らは "何もしていない。誰が管理するのか、何から始めればよいのかわからない。私たちの組織のような他の組織ではどのような対策を行っているのか?" と答えます。
IT セキュリティの枠組み、産業環境、規制要件、IT と OT のセキュリティ対策の根本的な違いを理解しているユニコーンのような人材が社内にいない限り、あらゆる分野をカバーするチームを編成する必要があります。例えば、OT エンジニア、技術者、プロセスオペレーター、制御室オペレーター向けのサイバーセキュリティポリシーは、存在していないことがよくあります。誰がポリシーを作成し、影響を受ける個人を誰がトレーニングするのでしょうか?同様に、インシデント対応計画は誰が作成するのでしょうか?通常、OT では物理的な安全上の影響があるため、かなり異なる場合があります。
答え OT と IT の文化的な隔たりを埋め、導入を促進し、長期的には OT のセキュリティに責任を持つためには、専門知識、推進力、実行力を備えた部門横断的な "ドリームチーム" が必要です。
OT セキュリティを企業フレームワークに組み込むことに成功した産業組織で効果のあったことを基に、いくつかの実践的なアドバイスを紹介します。同じ結果を得るには、まず、理想のチームに必要な人材を確保することから始めましょう。
CISO の役割:エグゼクティブスポンサー
組織図において、企業リスクの管理責任者として CISO が選ばれるのは当然のことです。彼らは通常、IT 環境におけるソリューションの評価と実装に少なくとも 20年の経験を持っています。ほとんどの CISO は OT セキュリティについて、自分たちの専門外であることを十分に理解しています。セキュリティ対策が安全や信頼性に対する脅威ではなくとも厄介なものと見なされることが多い産業生産環境に、ハードウェアやライセンスを追加し、情報セキュリティ技術、ポリシー、および制御を拡大するだけでは不十分です。OT と IT のセキュリティには多くの違いがありますが、OT ではパッチの適用は (プロトコルの安全性が確保されていないことや、オフライン環境で運用されていることなどから) 無関係であるか、不可能であることが多く、ネットワークやデバイスの監視が運用環境にリスクをもたらすことはありません。
CISO は企業リスクを担い、技術的およびビジネス上の意思決定の両方に大きな影響力を持っているため、このプロジェクトのエグゼクティブスポンサーに最適です。彼らの指導には以下が含まれます。
- 戦略的方向性の提供
- 人材と資金の確保
- 組織の意識を高める
- リスク管理に対する会社の持続的なコミットメントを示す
- プロジェクトのマイルストーンを定期的にチェック
- エスカレーションの管理
- 経営陣および取締役会への進捗状況の伝達
CISO は、これらの機能のほとんどに精通しています。それが彼らの仕事だからです。OT セキュリティプロジェクトでは、ソリューションを評価し、展開し、継続的な監督を行うのにふさわしい人材を確保することが、彼らが取り組まなければならない大きな課題です。
OT セキュリティドリームチームを結成する
ドリームチームの元祖、1992年の米国男子オリンピックバスケットボールチームを抜きにして、ドリームチームを語ることはできません。Charles Barkley, Larry Bird, Patrick Ewing, Magic Johnson, Michael Jordan, Christian Laettner, Karl Malone, Scottie Pippen, John Stockton......スーパースターが勢ぞろいしたチームでしたが、どの選手も自分の役割をしっかりと果たしていました。彼らは NBA の試合では激しいライバル同士でしたが、アメリカチームではエゴを捨て、何時間も一緒に練習し、バルセロナオリンピックでは 8試合全勝で金メダルを獲得しました。。
OT セキュリティプログラムを立ち上げるのに、世界的なアスリートは必要ない(役に立つかもしれないが)。ビジネスにおいて「ドリームチーム」とは、その仕事において最高であると認められ、補完的なスキルを持ち、うまく協力し合える人々のグループを指す。
OT の主要関係者がテクノロジー購入の意思決定に参加しない場合、導入の遅延や、導入自体が不可能になる可能性が高くなります。
理想的なドリームチームには、サイバーセキュリティに不安や懐疑的な見方を持っているとしても、産業用制御システムを熟知したプラントマネージャー、エンジニア、オペレーターが含まれます。サイバーセキュリティの側面では、セキュリティおよびネットワークマネージャー、アナリスト、管理者を雇用したいところですが、そのうちの何人かはプラントフロアに足を踏み入れたことがないかもしれません。サイバーセキュリティ規制の対象となる企業では、導入するソリューションが報告義務を含む主要な要件を満たすことを確実にするため、コンプライアンスの専門家をチームに含めることが望ましいでしょう。
これらの役割のいずれかが欠けていても、情報に基づいた購買決定を下すことはできますが、内部的な課題が後に表面化し、遅延が発生する可能性が高くなります。例えば、ネットワークチームの誰もテーブルに着いていない場合、SPANトラフィック監視を導入しようとしても、彼らを説得する必要が生じたり、まったく異なるアイデアが提案されて、計画を最初から練り直さなければならない可能性があります。 技術の購入決定に主要な運用部門の利害関係者が参加していない場合、導入の遅れや、導入自体が不可能になる可能性が高くなります。
OT- IT 文化の溝を乗り越える
多くのビジネスチーム (おそらく M&A に関わるチームを除く) とは異なり、あなたのドリームチームも文化的な対立に対処しなければなりません。OT の利害関係者が "何かが壊れるかもしれない" という理由でセキュリティソリューションの導入に難色を示す場合、その意見は、安全に導入できると聞いて導入したものの、混乱を引き起こした IT セキュリティソリューションの経験に基づくものであることが多すぎます。"彼らの最後のアップデートで我々のプロセスが壊れた" という話を聞くのは珍しいことではありませんが、それは10年前のことだったのです!
このような見方を克服する最善の方法は、インフォセックチームがOTの専門家からこのまったく異なる環境の特性を学び、サイバーソリューションを推奨する際に慎重に進めることです。彼らが遭遇するいくつかの目を見張るような例には、以下のようなものがあります。
- 数十年のライフサイクルを持つレガシー OT デバイスで、時代遅れまたは独自仕様の OS やアプリケーションが動作し、ドキュメントも存在しないものの数。
- 24時間365日稼働する産業プロセスは、年に一度のメンテナンスウィンドウが限られています。サイバーセキュリティのアップグレード (可能であればパッチも含む) は、そのウィンドウに収まるようにし、他の重要な修正作業とスケジュールを調整する必要があります。
- パデューモデルは、産業用制御システム内の許可されたデータフローを示すために使用される、OSI モデルに類似した 5段階の参照アーキテクチャです。たとえば、DMZ は企業ネットワークと製造ネットワークを分離し、これらのレベル間の下方向のトラフィックは制限されます。
10年前のことなのに、"彼らの最後のアップデートで、私たちのプロセスが壊れてしまった" という話を聞くのは珍しくありません。
OT の専門家もまた、曲げることを学ばなければなりません。彼らは、(1) OT のデバイスやプロトコルは設計上安全でないこと、(2) 重要インフラへのサイバー攻撃は現実に存在し、増加傾向にあること、(3) サイバーレジリエンスは優れたビジネスであることを認識することで、IT の専門家と歩み寄ることができます。OT の機密資産のスキャン耐性に適合する安全なパッシブ監視と選択的なアクティブ監視についてより深く学ぶことで、彼らは以下のようなメリットを理解するでしょう。
- ネットワーク上の状況、通信中の資産、インターネットへの接続状況を100%可視化する自動化された資産インベントリ
- サイバー脅威だけでなく、ベースライン化された正常な動作から逸脱し、生産に影響を及ぼす可能性のあるプロセスの異常やデバイスの誤設定も検出します。
- サイバー脅威の検出に役立つだけでなく、デバイスタイプや機能、ハードウェアのメーカー、モデル、シリアル番号、オペレーティングシステムやファームウェアのバージョン、ネットワークアドレス、Macアドレスやホスト名、使用されている通信プロトコル、実行中のアプリケーション、脆弱性やリスクなど、接続されたすべての資産に関する、これまで入手できなかった高精度のデータへのアクセス。この情報の使用例としては、在庫の最適化、ライセンス管理などがあります。
自然なチームリーダーを見つける
スポーツでもビジネスでも、チームキャプテンの選び方については、アドバイスに事欠きません。 理想的なチームキャプテン (そして理想的にはチームメンバー全員) には、生まれ持ったリーダーシップや橋渡し役としてのスキルに加え、変化を管理する手腕が求められます。
OT セキュリティを製造現場に導入するということは、まったく異なる行動様式を導入することを意味します。 アクセス管理の強化など、新たな方針、構成、管理が導入され、オペレーターの日常業務のやり方が変わります。 これらの変更の多くは歓迎されないでしょう。 この人物は、変更が必要であるだけでなく、全員にとって最善の策であると支持できるでしょうか?CISO はエグゼクティブスポンサーとしてこの取り組みを主導しますが、詳細な質問に答え、反対意見を持つ人々を説得し、場をうまくまとめることができる信頼のおける同僚が必要です。セキュリティベンダーやシステムインテグレーターが到着するまでに、何を期待すべきかを知り、準備ができている教育を受けた従業員が必要です。
実装後:ゲームを始めよう
チームがサイバーセキュリティソリューションを適切に選択し、実装したと仮定しましょう。文書化されたポリシーに裏打ちされたきめ細かな管理機能を備えたソリューションです。今こそ、長時間にわたる実践、つまり、共同戦略の策定方法や共同作業の方法を学んだことが、長期的な製品およびプロセス所有権という形で報われる時です。
企業リスク管理を可能にするには、OT 環境のデータを SIEM (セキュリティ情報イベント管理システム) に送るか、あるいは既存のITセキュリティプラットフォームと統合し、SOC (セキュリティオペレーションセンター) や MSSP (マネージドセキュリティサービスプロバイダー) が問題を特定できるようにする必要があります。OT ネットワークの機密性や、産業プロセスとネットワークに精通した人材が改善活動に関与しなければならない理由について、ドリームチームの OT 専門家(理想的には OT セキュリティの 専門家)がこれらのグループに継続的に教育を行うことが重要です。
やってはいけないこと
アドバイスをする際には、何をすべきかよりも何をすべきでないかについて述べる方が、より役立つことがあります。OTセキュリティプロジェクトがうまくいかない理由は数多くありますが、その多くはITセキュリティではよく知られたものです。
- ひとりで頑張る必要はありません。どんなチームスポーツでも、1人のスターがアシストなしですべての得点を決めることはめったにない。クォーターバックにはワイドレシーバーが、リバウンダーにはシューターが、フォワードにはミッドフィルダーが必要だ。そして、すべてのチームにはコーチが必要である。コーチはどこにでもいる。同業者のネットワーク、業界アナリスト、ISAC、地域の業界団体などに相談しましょう。
- 分析に時間をかけすぎないようにしましょう。 事実を収集し、調査を行い、参照先をチェックし、解決策を選択して、前進しましょう。完璧な製品も、完璧なタイミングを待つこともできません。
- 購入の意思決定とソリューションの導入を外部のセキュリティ専門家 (OT ) に委ねてはいけません 。コンサルタントが経験豊富でソリューションの比較を手助けしてくれるとしても、意思決定と導入は、貴社の組織を熟知した社内の専門家が行うあります。
- 計画なしに勝利を治めようとしてはなりません。ISA/IEC62443 シリーズの標準規格は、ISA (国際自動化学会) が開発したもので、産業用サイバーセキュリティに関する国際的なコンセンサスに基づく主要な標準規格です。Part 2-1-2009では、高品質な産業用オートメーションおよび制御システム (IACS) セキュリティプログラムの確立方法について詳細な指針が示されています。
たとえコンサルタントが経験豊富でソリューションの比較を手助けできるとしても、決定と承認は、貴社の組織をよく知る社内の専門家から得る必要があります。
OT セキュリティプログラムの構築にはNozomi Networks を活用しよう。
CISOとドリームチームにとって、もうひとつ欠かせない助けとなる存在があります。それは、ベンダーです。私たちは、私たちの知識を共有したいと考えています。教育を受けた購入者は、購入したソリューションを採用し最適化する可能性がはるかに高く、また、そのソリューションを同僚に推奨する可能性も高くなります。
Nozomi Networks は、あらゆる産業および重要なインフラストラクチャ部門にわたる数千の環境に OT セキュリティソリューションを導入してきました。プロジェクトが順調に進むこともあれば、各段階で停滞することもあります。 導入開始時には、OT-IT の文化的な共通課題を検討し、実績のあるガバナンス構造など、効果的な課題克服策を提案します。 また、IEC 62443 Part 2-1規格への準拠を確実にすることも可能です。
OT セキュリティプログラムを開始し、文化的な課題を克服し、金メダルを目指す方法についてご相談ください。
