サイバーセキュリティ・リスクの計算は、紙の上では簡単に見えるかもしれない。典型的な IT リスクの計算式では、リスクは可能性と影響の関数として示されます。しかし、CISO や SOC のアナリストなら誰でも言うように、これらの値を正確に見積もるために必要なデータを収集することは、決して簡単なことではありません。まず、完全で正確な資産目録を持っている組織はほとんどないため、未知のリスクがある可能性が高い。さらに、脆弱性と脅威という可能性の2つの要素が増加の一途をたどっているため、集中すべきところに集中し、適切な対策を実施しているかどうかを判断するのは難しい。
次に、物理的プロセスを制御するために運用技術OT)やモノのインターネットIoT)資産に大きく依存している重要インフラストラクチャのような高可用性産業環境に関連するサイバーセキュリティ・リスクを評価してみよう。IT リスクの公式を捨てることから始めよう。主にデータの完全性に関連する、影響度が低く、発生頻度の高い事象については問題ありませんが、OT サイバーセキュリティは、影響度が高く、発生頻度の低い事象に重点を置いています。その代わりに、これらの複雑な環境の重要な側面を考慮したリスクに対する多要素アプローチが必要です。
本記事では、ITとOT リスクマネジメントの主な違いを探り、Nozomi Networks プラットフォームが、リソースをどこに割り当て、その影響を伝えるべきかを理解できるように、お客様の環境における資産リスクの計算方法をカスタマイズする方法を説明します。
ITリスクアセスメントとOT リスクアセスメントの比較
IT環境とOT 環境におけるリスクの評価方法の違いは、環境自体の違いを反映している。ここでは、特に目立つ6つを紹介する。
1.サイバーリスクとオペレーショナルリスク
おそらく最大の違いは、OT サイバーリスクとプロセスリスクを含むオペレーショナルリスクの両方を考慮しなければならないことである。ITの面では、企業のメールサーバーがダウンしても、ビジネスへの影響は最小限である。休みを喜ぶ従業員さえいるかもしれない。しかし、運用環境で重要なサーバーがダウンした場合、甚大なリスクが発生する可能性がある。コロニアル・パイプラインがいい例だ。DarkSideのハッカーが同社のITネットワークからデータを略奪した際、攻撃によって請求と会計システムがダウンし、確かにコストのかかる混乱が生じるところだった。しかし、同社がパイプラインをシャットダウンした理由は、安全監視ツールへのアクセスを失い、パイプライン自体が侵害されたかどうかを確認できなかったからだ。
OT ネットワークのすべてのコンポーネントは、非常に分散した環境におけるより大きなプロセスの一部である。すべてがつながっており、結果的につながっている。
2.結果ベース
OT、リスクアセスメントは、物理的安全性、環境被害、業務の継続性などの結果に焦点を当て、これらはすべて莫大な財務的影響をもたらす可能性があります。郵便処理施設でも、食肉包装工場でも、貨物船でも、倉庫でも、OT 常に最悪の日を想定してリスク評価を行っている。何千人もの人々に影響を与えるような大惨事が起こり得るでしょうか?
3.相互関連リスク
OT ネットワークのすべてのコンポーネントは、非常に分散した環境におけるより大きなプロセスの一部である。すべてがつながっていて、結果的につながっている。データセンターでは、おそらく他のすべてのサーバーをリブートしても影響はないだろう。OT、マシンに問題が発生した場合、直ちにそのマシンが何に依存し、何に依存しているかを知る必要がある。そこから、緊急シャットダウンの結果はどうなるのか?石油精製所では、誰かが緊急シャットダウンのボタンを押したら、一瞬にして数百万ドルが消え、そのサイトをオンラインに戻すのに数カ月かかることになる。
4.脆弱性のみ対多次元
ITの場合、デバイスのリスクは脆弱性だけに基づいており、パッチを当てることで、実質的にリスクを排除することができる。OT場合、リスクは多層的であり、パッチは次のメンテナン スウィンドウまで延期されることが多い。パッチはOT リスク管理の特効薬ではないため、他の要因も考慮する必要がある。
5.スコア対トレンド
特に工場や取締役レベルでは、OT 利害関係者は数値的なリスクスコアをほとんど使いません。私たちの顧客はよくこう言う。"数値は必要ない。リスクが時間とともに減少していることを示す、線が下がっていくグラフを上司に見せるだけでいい。OT リスクには、地域や工場によって5.1が同じことを意味するようなリヒタースケールはありません。
6.リスク許容度が高い 。
産業界のダウンタイムは避けなければならないため、安全性の問題以外では、産業界の利害関係者のリスクに対する許容度ははるかに高い。あるデバイスがTelnetに公開されているとする。しかし、パデュー・レベル2では、その上下にファイアウォールがあり、そのポートでは何も話すことができない。OT システムの性質上、よくあるシナリオだ。資産所有者は、デバイスがTelnetにさらされているために発せられたアラートをミュートする(あるいは、少なくともアラート・ルールの脆弱性リスクをダイヤルダウンする)ことを選択するかもしれません。一方、ITアナリストはアラートを見て、すぐにデバイスにパッチを当てたいと思うでしょう。
OTリスクの計算
どのようなリスクアセスメントも、まずビジネスインパクト分析を実施し、自社の至宝を特定し、その保護に優先順位をつけることから始まります。産業環境では、資産のリスクだけでなく、最も重要なプロセスとその保護方法も特定する必要があるため、より複雑になります。鉄鉱石を炉に運ぶ工場内のベルトコンベアは、本館から倉庫に郵便物を運ぶベルトコンベアよりもリスクが高い。同じ技術と同じプロトコルを使用していても、リスクレベルは大きく異なる。
いくつかのベンダーは、資産リスクを理解するのに役立つ計算されたリスクスコアを提供している。POCでは印象的に見えるかもしれないが、日々のモニタリングやリスク低減にどれほど役立つだろうか?あなたの組織がどのようにリスクを計算しているのかが反映されていなければ、おそらく無視することになるでしょう。
Nozomi Networks プラットフォームは、各資産に リスクスコアを割り当てることで、セキュリティ対策に優先順位をつけ、最も重要なリスクから対処し、潜在的な脅威を効果的に軽減するための的確な対策を講じることができます。資産リスクは、脆弱性リスク、アラートリスク、通信リスク、デバイスリスク、資産の重要度、代替コントロールの5つの要素に基づいて計算されます。また、各変数の重み付けを完全にカスタマイズすることも可能で、組織のリスク割り当てを正確に反映した計算を行うことができます。
このような背景があっても、個々の資産のリスク・スコアはほとんど意味をなさない。適切なリスク管理のためには、リスク・スコアの経年変化を理解する必要がある。
セキュリティ対策がリスクに与える影響を時系列で見る
OT 資産のリスクを見る場合、ゾーン別、サイト別、ベンダー別、その他分類したい方法で、どの資産が最もリスクが高いかを一目で確認できる必要がある。そして、何がリスクを高めているのか、それに対して何ができるのかを理解するためにドリルダウンできる必要がある。また、個々のリスクスコアが、その資産が属するサイトやゾーンの上位のリスクスコア、ひいては会社全体のリスクスコアにどのように寄与しているかを確認することも重要です。このような背景があっても、個々の資産のリスクスコアにはほとんど価値がありません。適切なリスク管理のためには、経時的なリスクスコアの変化を理解する必要があります。
Nozomi Networks リスクダッシュボードは、ゾーン別、サイト別、その他選択したカテゴリー別に現在のリスクスコアを表示します。リスクが悪い方向に傾いている場合は、ドリルダウンしてその理由と適切なコントロールを追加する必要がある場所を確認できます。安全でないプロトコルをロックダウンしたり、セグメンテーションを強化する必要があるかもしれない。あなたが何をするにしても、リスク・スコアは、あなた自身のリスクの仮定を使用して、あなたの行動が与えた影響の程度を反映します。リスク・スコアがグローバルで70から始まり、52まで下がったのであれば、投資を正当化するためのROI(投資収益率)が厳しくなったことになる。
サイバーセキュリティ資金を確保するためのOT リスクの定量化
OT サイバーリスクを計算しようとすると、多くの未知数や経験則に基づく推測が必要になるため、労力を費やす価値がないと結論づけられるかもしれない。しかし、そうではありません。標準的な(しかしカスタマイズ可能な)計算式を適用して、あらゆるレベルでの評価と優先順位付けを行うことで、サイバーリスクを経営幹部、取締役会メンバー、その他のリスク所有者が理解できるビジネスリスク用語に置き換えることができる。何をもって許容可能なリスクレベルとするかについて交渉する必要はあるかもしれないが、組織のサイバー成熟度を向上させるための十分な予算を求める訴えは、はるかに聞き入れられやすくなる。
