組織論は,従業員やチームの生産性やパフォーマンスなど,成功するビジネスのダイナミクスを分析しようとするものである.最近,米国証券取引委員会がソーラーウィンズ社とそのCISOに対して不正行為を理由に起こした訴訟では,サイバーセキュリティのデューデリジェンスのための組織設計,指揮命令系統,管理責任系統が最重要視されている.
SECは,ソーラーウインズとティモシー・ブラウン元CISOが,"少なくとも2018年10月から2021年1月12日にかけて,セキュリティ慣行のギャップを開示せず,投資家を欺いた "と主張している.この前例のない動きは,経営幹部が運用上のサイバーセキュリティ・リスク,つまり接続されたプロセスや機能に視界の喪失や制御不能を引き起こす可能性のあるあらゆる状況を所有する準備ができているかという疑問を投げかけている.
組織設計では,これらのチームや利害関係者グループがどのように協力し,誰がOT サイバーセキュリティプログラムのさまざまな側面に責任を負うかを扱う.これには,役割と責任,意思決定権限と拒否権,コミュニケーションと調整のプロセスの定義が含まれる.組織設計では,効率的な情報共有と意思決定を促進するために,定期的な会議,報告体制,インシデントレスポンス手順など,明確なコミュニケーションチャネルを確立する必要がある.
モデルは以下の通り:
- 集中型と分散型:組織は,OT セキュリティの責任を専任のセキュリティチームまたは MSSP の下で一元化するか,関連するチームや部門に分散させるかを決定しなければならない.集中型モデルでは意思決定とリソース配分が効率化され,分散型アプローチではエンジニアリングや技術者のスキルなど各部門の専門知識を活用して運用上のニーズに合わせることができる.
↪CF200D↩ - クロスファンクショナルチーム:多くの場合,組織は,情報セキュリティ,ネットワーク管理,OT システムエンジニアリング,ガバナンス,リスク,コンプライアンス の各分野の代表者を集めて,OT セキュリティを共同で管理するクロスファンクショナルチー ムを選択する.このアプローチによって,コラボレーションが促進され,OT セキュリティの仕組みが,IT部門とOT にまたがる運用要件,ガバナンスの枠組み,標準,コンプライアンスと整合する.
↪Cf200D↩ - 完全なアウトソーシング:小規模な組織では,IT,OT ,ネットワー クインフラ管理,GRC が成熟していない,存在しない,または完全にアウトソー スされている可能性がある.規模の大小にかかわらず,多くの組織がこれらのセキュリティ機能の多くを外部プロバイダに依存するようになっており,これらのパートナーは,内部利害関係者による相当の監視,検証,妥当性確認を必要とする重要な利害関係者グループとなっている.
OT セキュリティの利害関係者とは?
NIST 800-82 revision 3Guide to Operational Technology によると,「OT システムの安全性を確保するための最も成功する方法は,業界で推奨されている慣行を収集し,経営陣,OT エンジニアとオペレータ,IT 組織,および信頼できるOT アドバイザーの間で,積極的かつ協力的な取り組みを行うことである.このチームは,現在進行中の連邦政府,業界団体,ベンダー,標準化活動から得られる豊富な情報を活用すべきである.
OT セキュリティプログラムに関与する利害関係者グループには,ネットワーク管理チーム,情報セキュリティ,OT システム運用者,ガバナンス,リスク管理,および完全なGRCチームが含まれる.しかし,それぞれには明確な運用機能がある:
- ネットワーク管理チームネットワーク管理は,堅牢で信頼性の高い IT およびOT ネットワークを維持するために不可欠です.ネットワーク管理チームは,シームレスな接続性を確保し,ネットワーク・パ フォーマンスを最適化し,インフラ需要を促進し,キャパシティ・プランニングを行う.その予算には,セキュリティ要件を遵守しながらネットワークの回復力を確保するためのツール,要員,および戦略を含める必要がある.
- 情報セキュリティ・チーム:これらの専門家はサイバーセキュリティの旗手である.threat intelligence ,検知,インシデントレスポンス,運用リスクの軽減を専門とする.その役割は,外部および内部の脅威から重要なシステムを保護することである.
情報セキュリティチームは,その責任を効果的に遂行するために,自律性と十分なリソースを必要とする. - OT システム・オペレーター:これらのチームは,産業プロセスと制御システムの運用,保守,設計,完全性を監督する.OT システム・チームは,日常業務に支障をきたすことなく,セキュリティ・パッチ,更新,脆弱性評価を管理するためのリソースを必要としている.システムチームは,運用リスク軽減の責任を共有する.
- ガバナンス,リスク管理,コンプライアンス(GRC):GRC チームは,セキュリティポリシー,標準,およびビジネス内の規制コンプライアンスを確立し,実施する上で重要な役割を果たす.GRCチームは,セキュリティ対策が業界標準や法的要件に合致していることを確認し,組織の財務上および業務上のリスク・エクスポージャーを低減する.このチームの予算は,他のすべてのチームが必要な職務を遂行するためのニーズ をサポートするものでなければならない.例えば,リスク評価,コンプライアンス監査,ポリシー実施などである.
OT 考慮すべきユニークな課題とは?
OT リアルタイムのオペレーションを可視化してセキュリティ上の意思決定を行うことは,オペレーションの回復力を構築する上で極めて重要である.明確な組織構造を持たずにOT サイバーセキュリティを導入しても,OT が提示する複雑な課題に拍車がかかるだけである.このプロセスを開始するには,まず,IT チームとOT チームが,取締役会または上級管理職から必要な予算を確保するための説得力のあるビジネスケースを構築し,貢献する個々の利害関係者と上記の必要なコミュニケーション計画を概説する必要がある.さらに,組織は次のことも検討する:
- OT セキュリティプログラムの成熟度多くの組織が,OT セキュリティプログラム開発の初期段階にある.OT セキュリティの役割と責任が相対的に未熟で新しいため,効果的な実務,方針, 手順を確立することは困難である.CISA サイバー・パフォーマンス・ゴール(CPG),独立したコンサルタント,または評価ツールを検討し,OT セキュリティの基本水準を設定する.
- OT セキュリティ・スキルの不足:OT ,セキュリティの専門知識を持つ専門家の不足が大きな課題となっている.熟練したセキュリティ要員(OT )の採用と確保は困難であり,セキュリティプログラムやポリシーの効果的な実行に影響を及ぼす可能性がある.組織は,スタッフを育成するのがよいのか,スタッフを雇用するのがよいのか,要件をアウトソーシングするのがよいのか,といった疑問に答えなければならない.無料かつオープンソースの教育機会,有料の専門能力開発コース,外部の専門家による学習セッション,政府機関や業界団体による啓発キャンペーンなどを検討する.
- 変化への抵抗:従業員やチームは,役割や責任の変更に抵抗することがある.この課題を克服するには,効果的な変更管理とコミュニケーションが不可欠である.組織によっては,ITとOT は,別個のサイロ化したチームや機能として存在してきた.IT/OT の相互運用性の進化は,サイロ化された業務が最終的にビジネスの妨げになることを示唆している.組織設計,予算,権限のプロセスに,ITとOT の利害関係者の両方を参加させることを検討する.能力,スキルセット,専門能力開発,リーダーシップなど,両者が協力する方法に投資する.
- 資源配分:さまざまな利害関係者グループにどのようにリソースを配分し,公平な配分を確保するかを決定することは,論争になる可能性がある.利害関係者の関与と業務の複雑さへの理解とのバランスをとる適切な組織構造を見つけるには,その組織独自のOT 要件(業務慣行,継続計画,特定の業界規制とコンプライアンス基準,全体的な管理構造など)を徹底的に分析し,理解する必要がある.
結論
将来の行動を予測する最良の手段が過去の行動であるとすれば,今日こそ,OT セキュリティの実践状況を把握し,軌道修正する決定的なチャンスである.OT ネットワークの現状,役割と責任,セキュリティ対策の基本的な評価を実施することは,上級管理職や取締役会に対して説得力のあるビジネス・ケースを作成するのに役立つ.このような評価によって,利害関係者のギャップ,資金ニーズ,活発な脅威と脆弱性,アーキテ クチャの弱点,今後の GRC ニーズに関する洞察を得ることができる.
Nozomi Networks を通じて,産業攻撃対象領域全体のセキュリティ・イベントやインシデントを早期に発見し,リアルタイムの状況認識を実現します:
- ネットワークの可視性
- 脆弱性管理
- 専用threat intelligence
- ネットワークとデバイスの動作分析
詳しくは,デモをご予約ください.
