過去 10年間で,より多くの OT システムが IP 接続されるようになり,サイバー脅威に対する脆弱性が高まってきました.従来の IT リスク管理と運用リスク管理の境界が曖昧になるにつれ,CISO (最高情報セキュリティ責任者) にとって,OT サイバーリスクを組織のセキュリティ戦略に組み込むことが不可欠となっています.
OT (Operational Technology: 運用技術) とは?
まず,「運用技術 (OT)」とは何かを定義しましょう.OTとは,物理的世界におけるプロセスの運用資産を制御または監視するハードウェアおよび/またはソフトウェアを指します.これには,従来のICS (産業用制御システム) から,物理的プロセスに関与する IoT (モノのインターネット) デバイスまで,あらゆるものが含まれます.
「OT」という用語を耳にしたときに,工場やエネルギー網を連想する人が多いでしょう.しかし今日では,これらに限らず,ほぼすべての業界で OT を見つけることができます.この概念は,物理的世界で何かを制御しているものをすべてカバーしています.HVAC システム,エスカレーター,エレベーター,物理的なアクセス制御機構,ドローン,クレーン,自律型ロボットなど,すべてが「OT」とみなされます.
OT 環境について考慮すべき重要なニュアンス
統合的なアプローチにはアドバンテージがありますが,OT 環境におけるサイバーリスクを管理する際には,CISO は主要な相違点に留意する必要があります.
- OT では,レガシーデバイスや独自のプロトコルが一般的で,資産の発見や動作のプロファイリングを難しくしている.OT システム向けに構築されたデータ収集方法を使用することが,プロセスを中断させることなく,必要な資産とネットワーク情報を取得する最善の方法です.
多くの OT デバイスやコントローラは,処理能力やリソースも限られているため,このユースケース向けに特別に設計された軽量のエンドポイントセキュリティ ソリューションを選択します.
- OT プラットフォームとカスタマイズされたアプリケーションが混在する中で,ソフトウェアの脆弱性を管理することは大きな課題である.OT ,IoT デバイスの数が多いため,ITデバイスよりも管理が難しい(数十億対数百万)だけでなく,ITシステムのようにパッチ適用を自動化することもできない.
侵害の可能性と影響度に基づいて,どの脆弱性に重点を置くべきかを優先順位付けできるソリューションが,OT における脆弱性管理の最も効果的な方法である.このような環境に従来のIT脆弱性管理ソリューションを使用しても,コピー&ペーストはうまくいきません.
- OT システムは機密性よりも安全性と可用性を優先する.OT 環境は,リアルタイム処理のニーズとデータ・ヒストリアン・サーバーの組み合わせを持っている.モニタリングの戦術は,定常状態の分析だけでなく,時系列データをサポートするように調整されなければならない.
OT をエンタープライズ・リスク・マネジメントに統合する3つのビジネス・メリット
OT システムの可視化,検知,制御の向上により,CISO とそのチームは,企業全体のサイバーリスクを総合的に管理し,予期せぬダウンタイムのリスクを低減し,人々と環境の安全を確保し,世界的に高まるサイバーセキュリティ規制に備えることができる.
1. OT システムにおける計画外ダウンタイムの削減
サイバー攻撃は従来,IT システム内のデータを標的にしてきましたが,IT と OT の融合が進むにつれ,そのリスクは高まっています.悪意のある行為者は現在,製造会社,エネルギー会社,その他の重要なインフラプロバイダーの物理的なプロセスを混乱させる手段を手にしています.
適切なセキュリティ対策と監視が実施されていない場合,これらのシステムに対する攻撃は,サービスの中断や製品の欠陥による収益への壊滅的な影響をもたらす可能性があります.
2. 人と環境の安全の確保
エネルギーや輸送などの業界では,OT システムへのサイバー攻撃によって,人命や環境が危険にさらされる可能性があります.たとえば,石油掘削装置,化学精製プロセス,列車の運行などを制御する装置が故障したり,安全でない状態に陥ったりすると,負傷者や環境への被害が発生する可能性があります.
安全を促進するために,操作機器の変化を監視することで,セキュリティチームは危険な誤動作や操作を認識し,安全や環境上の問題が発生する前に介入することができます.
3. 規制強化に対応したサイバーセキュリティ政策の将来性
エネルギー,重要製造,輸送など,規制監督の強化に直面する業界では,OT環境に強力で拡張可能なサイバーセキュリティ対策を講じることが,NERC CIP,NIS2指令,SOCI法,サイバーセキュリティに関する新しいSEC規則などの 基準への準拠を維持するために不可欠となります.
ほとんどの規制では,IoT と OT を明確に扱うにはまだギャップがありますが,規制当局や監査人が変化するデジタル環境に追いつくにつれ,その状況はすぐに変わるでしょう.今から懸案の規制に先手を打っておくことで,後々のスムーズな導入が可能になります.
OT を企業リスク管理に統合する3つの技術的メリット
デバイスやネットワークの異常を早期に迅速に把握することで,セキュリティチームは,IT と OT インフラストラクチャ間のリンクされた経路を通じて悪意のあるソフトウェアの拡散を阻止するための措置を講じることができます.OT 資産とネットワークを既存のセキュリティ監視に統合することで,重大な影響が発生する前にサイバーインシデントを防止または検出するために必要な資産管理,脅威インテリジェンス,および行動分析を提供します.
1.統合資産管理 (Unified Asset Management)
産業環境では,OT システムと IT システムは通常,別々のデータセットを維持しています.OT システムは生産に関する詳細な資産情報を追跡し,IT システムは保守管理など,より上位のビジネスデータを追跡します.この分離は,チーム間の効果的なコミュニケーションやリスク管理の意思決定を妨げる可能性があります.
OT 資産データと補足的な IT 詳細情報を組み合わせることで,セキュリティチームと運用チームは,重要な生産資産の統一されたビューを得ることができます.これにより,より賢明なセキュリティ上の意思決定に必要なコンテキストが提供され,より良いコラボレーションが促進されます.その結果,リスク管理が改善され,稼働時間が増加します.
2. 脅威と異常の早期発見
OT 監視を SIEM や分析ツールに組み込むことで,脅威インテリジェンスの相互利用が可能になります.セキュリティチームは,IT から OT,またはその逆方向への侵害の拡大をより迅速に検知したり,攻撃パターンを認識したりすることができます.
また,継続的なモニタリングにより,セキュリティイベントが発生するまでの OT ネットワークや資産で何が起こっていたのかを把握し,より迅速な対応と復旧を可能にします.
3. プロセスと技術の効率化
組織は,IT 環境と OT 環境の両方からデータを既存の SIEM,分析,および監視プラットフォームに投入することで,セキュリティツールへの ROI を最大化することができます.これにより,すでに保有しているテクノロジーからより多くの価値を引き出すことができます.プロセス側のプログラムを統合することで,IT チームと OT チーム間の重複作業も排除できます.
運用環境全体におけるセキュリティ体制の強化を目指す CISO は,IT と OT の両方のインフラストラクチャを網羅する統合的なアプローチで継続的なセキュリティ監視を行うことで,組織のリスク管理戦略を大幅に改善できます.OT 資産の可視性と組織全体の状況認識が向上することで,より高い安全性を確保し,混乱による無駄なコストの発生を回避し,変化するグローバルな規制環境に備えることができます.
