オペレーショナル・テクノロジー(OT)およびモノのインターネット(IoT)デバイスは、現在、企業のデジタル資産の中で最も急速に成長している分野の一つとなっています。しかし、IoT 従来のITネットワークと融合し続けている一方で、運用上のサイバーエコシステムは、リスクの観点から見ると、最も理解が進んでいない一方で、最も重大な影響を及ぼすものとなっています。
重要な課題の一つは、IoT リスク管理戦略が、IoT 大きく異なるという点です。不確実な状態から、測定可能かつOT 管理へと移行する方法を理解するには、OT 何を意味するのかをしっかりと把握することから始める必要があります。
OT IoT およびリスク管理が異なる理由
OT 最も重要な違いは、おそらくその影響の種類にある。通常、データ損失や事業中断を招くITインシデントとは異なり、OT インシデントは、人命の損失、身体的傷害、設備の損傷、環境への影響、金銭的損害、および長期にわたる操業停止につながる可能性がある。
こうしたリスクはもはや理論上の話ではありません。2010年から2024年の間に、生産停止、機器の故障、業務の混乱といった物理的な影響を伴うインシデントが、公表されたものだけで約264件発生しています(Waterfall Securityによる最近の調査に基づく)。 さらに、経済的な観点から見ても、運用環境に対するこうした攻撃による被害は甚大であり、1件のインシデントにかかるコストは最大500万ドルに達する可能性があります(世界経済フォーラム)。ランサムウェア攻撃については言うまでもなく、1回の攻撃あたりの平均コストは約100万ドルに上ります(Global Resilience Federation、Sophos)。こうした背景こそが、私たちが今日直面している現実なのです。
こうした脅威の状況は、今もなお変化し続けています。国家主体の攻撃者、金銭目的のランサムウェアグループ、ハクティビスト、内部関係者、サプライチェーンサービスプロバイダーなどが、攻撃対象領域の拡大に寄与しています。近年、この問題は加速していることが明らかになっています。実際、ABI Researchの調査によると、主要5カ国のサイバーセキュリティ責任者の85%が、今年、OT インシデントを少なくとも1件報告しており、全体の47%が今年、複数のインシデントを報告しています。
OT リスクはビジネスリスクである
IoT サイバーセキュリティは、もはや(そもそもそうだったかどうかは別として)純粋に技術的な問題ではないことは明らかです。安全面、法的側面、財務面、そして評判面での潜在的な影響を考慮すると、OT リスクは、他の企業リスクと同様に扱わなければなりません。
この転換には、取締役会レベルでの明確な可視性、経営陣による強力な後押し、十分な人員配置、そして専用の資金確保が不可欠です。サイバーリスク軽減計画は、上級経営陣に対して明確に伝達されなければならず、その成果は専門用語ではなく、ビジネス用語で表現される必要があります。
リスクを効果的に、かつ平易な言葉で伝えるためには、組織OT において「リスク」を実際に構成する要素が何であるかを理解しなければなりません。具体的には、リスクは以下の4つの要素によって左右されます:
- 危害をもたらす可能性のある脅威
- 悪用される可能性のある脆弱性
- 脅威が現実化した場合の影響
- リスクを低減または軽減するための管理措置
脅威、脆弱性、および影響はリスクを高めますが、効果的な対策はリスクを低減させます。これらの要素を理解し、ひいては測定することは、有意義なIoT 基礎となります。
確立されたフレームワークは、OT 管理のための実証済みの基盤を提供する
幸いなことに、組織は独自のリスク管理モデルを独自に考案する必要はありません。 ISO 31000:2018、IEC 31010:2019、NISTリスク管理フレームワーク(RMF)、ISO/IEC 27005:2022、およびISA/IEC 62443-3-2など、企業レベルおよびOT(OTレベルの両方で、すでに確立された規格やフレームワークが存在しています。
これらのフレームワークは範囲が異なるものの、リスクの特定、リスク評価、リスク軽減、リスク監視からなる継続的なリスク管理ライフサイクルという共通の構造を持っています。リスク管理は一度きりの作業ではなく、継続的な業務上の取り組みであることから、このようなプロセス志向の姿勢は不可欠です。
資産の可視性:IoT 管理の基盤
運用環境を完全に把握しなければリスク管理は不可能ですが、多くの組織では可視性の欠如が課題となっています。資産、通信、脆弱性、脅威に関する正確かつ包括的な洞察がなければ、組織はリスクを確実に評価・管理することはできません。
実際、資産の可視性は、リアルタイムのasset intelligenceに基づいた実践的なリスク管理の基盤となります。効果的なリスクの特定には、資産インベントリ、脆弱性、ネットワーク通信、有線・無線モニタリングといった詳細な資産テレメトリに加え、誤検知やアラート疲労を最小限に抑えるAIを活用した脅威検知が含まれます。
可視化が確立されれば、リスク評価が可能になります。資産ベースのリスクスコアリングにより、組織は個々の資産、ゾーン、拠点、そして企業全体といった複数のレベルでリスクを把握できるようになります。複数のリスク要因を活用し、実際の業務上の優先順位を反映するようにカスタマイズできるため、リスクスコアは実用的なだけでなく、状況に即した意味を持つものとなります。
OT 優先順位付け、軽減、および継続的な監視
リスクスコアリングによって正確な評価が確立されたら、次のステップはリスクの軽減です。Nozomi Networks を利用するチームは、絶え間なく発生するアラートにただ対応するのではなく、何を優先して修正すべきか、そしてその理由について、優先順位付けされた是正措置のガイダンスを受け取ることができます。推奨事項には、ソフトウェア、通信、またはハードウェアに関する対応が含まれる場合があり、これらは既存のセキュリティシステムとの連携や、カスタマイズ可能な対応プレイブックによってサポートされています。
運用環境がいかにダイナミックであるかを考慮すると、継続的なモニタリングも同様に重要です。環境の変化、資産の追加、脅威の出現に伴い、リスクも変化します。したがって、長期にわたるリスクの傾向を追跡することで、組織は進捗状況を測定し、セキュリティ投資の有効性を評価し、経営陣や取締役会に対してセキュリティ態勢を明確に伝えることが可能になります。同業他社とのベンチマークを行うことで、貴重な外部的な視点が得られます。サイバーセキュリティと積極的なリスク管理を競争上の優位性として捉える組織にとっては、こうした視点も考慮に入れる価値があるでしょう。
OT 測定:当て推量に頼らない
実際、OT 測定は、当て推量よりも優先されなければならず、以下の3つの基本原則に基づいて行われるべきである。
- アラートが殺到し、リソースが限られている環境では、優先順位付けが不可欠です。
- 正確なデータは重要です。なぜなら、不正確な入力は誤った判断につながるからです。
- 測定は推測よりも優れており、組織が改善状況を追跡し、投資の正当性を立証することを可能にします。
結局のところ、効果的なOT IoT 管理とは、継続的かつ動的で、データに基づいたプロセスである。可視性、分析、そしてビジネスに即した指標に基づいて意思決定を行うことで、組織IoT リスクIoT 、抽象的な概念から、管理可能な戦略的分野へと変革することができる。
OT についてさらに詳しく知りたい方は、オンデマンドのウェビナーをご覧ください: 「予測不能、未解決。IoT リスク管理戦略を強化する方法」
.webp)
