新たに発表された証券取引委員会(SEC)のサイバーインシデント開示規則は、さまざまな評価を受けている。特に懸念されるのは、産業用制御システムや接続されたIoT インフラストラクチャを所有・運営する上場企業が、オペレーショナル・リスクを完全に定義し、したがってサイバー・インシデントによる重大なビジネス・リスクを完全に開示する準備が整っているかどうかである。この懸念はまた、準備のための新たな機会を提供する。
同規則は、登録企業に対し、重要なサイバーセキュリティインシデントを、そのインシデントが重要であると判断してから4営業日以内に(8-Kファイリングを通じて)開示することを求めている。 さらに同規則は、公開企業に対し、重要なサイバーセキュリティ・リスクを評価、特定、管理するためのサイバーセキュリティ・リスク管理およびガバナンス戦略に関する情報を、10-K提出書類の一部として毎年開示することを求めている。
サイバーセキュリティの問題は生産を中断させ続けており、クロロックスのような企業は、情報開示の1ヵ月後に製品不足を報告している。ラスベガスのMGMリゾーツは9月、システムをオフラインにするインシデントを報告した 。ラスベガスのMGMリゾーツは9月、同社のシステムをオフラインにしたインシデントを報告した。カジノの支払いインフラは利用できず、スロットマシンは作動せず、宿泊客は客室にアクセスできなかった。
ここでは、OT 、IoT におけるオペレーショナル・リスクとはどのようなものか、また、SECの新規則に備える組織が、なぜそれが自社の業務にどのように適用されるかを理解する必要があるのかを見てみよう。
OT & におけるオペレーショナル・リスクIoT
ネットワーク化された技術によって、システムからシステムへ、サイトからサイトへ、人からあらゆるものへ接続されるようになり、元々インターネット経由でアクセスできなかったコンポーネントを持つ業務は、ますますデジタル化され、接続されるようになっている。オペレーショナルリスクとは、接続されたプロセスや機能に対する視界の喪失や制御の喪失を引き起こすあらゆる状況を指し、視界や制御は、操作から自動的または遠隔的に回復することができない。対応と復旧は、しばしば計画外のダウンタイム、手作業の延長、多額の財務コストにつながる。
事業継続にとって最も重要なプロセスと機能を特定するには、「クラウンジュエル分析」と呼ばれる プロセスを経て、業務の稼働時間と収益に貢献する重要な資産を特定する。これらの資産を特定することで、セキュリティ・チームとそのエグゼクティブ・リーダーは、OT やIoT など、どのシステムに独自のセキュリティ保護と検出が必要かを優先順位付けすることができる。
重要な資産を特定したら、それらを分類またはインベントリ化する必要がある。見えないものは守れないというのは事実かもしれないが、説明されていない、監視されていない、ベースライン化されていない、ハード化されていない、照会されていない資産については、チームは根本原因分析を行うこともできない。オペレーショナル・リスクと重要資産を特定し、その概要を説明した上場企業のセキュリティ・チームには、12月15日までに3つの重要な目標がある:
- オペレーショナル・リスクを理解し、自社の重要性の定義に対応させる。
- 既存の IT セキュリティ統制や機能ではカバーできないOT/IoT の資産を評価し、把握する。
- SEC規則に概説されている、組織が重要なリスクをどのように評価し、識別し、管理しているかを記述するための報告要件に、両方の評価を組み込むこと。
オペレーショナル・リスクの回避と軽減
サイバーセキュリティの消極的な性質は、取締役会や経営陣がセキュリティチームにリスク回避を課すことでリスクを軽減しようとする現実を招いた。しかし、リスクの回避は、組織とその資産に悪影響を及ぼす可能性のある危険、活動、エクスポージャーを排除するものである。一方、リスクの軽減は、完全に回避することができない状況については、その事象や影響が避けられないことを受け入れるものである。
SEC規則では、組織が、セキュリティチームと管理者が、重要なリスクを理解し、評価し、軽減することをどのように可能にしているか(あるいは可能にしていないか)について報告することを求めている。OT 、IoT 資産とネットワークの安全確保を任務とするチームと管理者は、これらのシステム、接続、ネットワークトラフィックに対する可視性が欠けていることが多い。このような状況認識の欠如により、事故や設定ミスがログに記録されないまま放置され、ビジネスの一部を操作または破壊しようとする脅威行為者の滞留時間が長くなります。
相互に依存する複雑なプロセスを持つ企業は、ほぼ24時間365日、商品、サービス、リソースを供給するための機器、通信、業務に依存しています。これらの業務やジャストインタイム・プロセスは、ITまたはOT ネットワークに起因するインシデントによって大きな影響を受ける可能性があります。直接または間接的にOT 、あるいはプロセス・マシンやエンジニアリング機器に影響を与えるインシデントは、当初はもちろん、連鎖的な影響が続くにつれて壊滅的な被害をもたらす可能性のある、結果的に重大な事象を引き起こす可能性があります。
高次災害に対する備えは、国土安全保障省の国家事故管理システム(National Incident Management System)に類似している。DHS NIMS には、計画、組織化と装備、訓練、演習、評価と改善という 5 つの要素が含まれている。これらの5つの要素はサイバーセキュリティにとって不可欠である。健康と人間の安全、計画外のダウンタイムの回避、平均復旧時間の延長が重大な影響を回避するために重要であるならば、運用リスクも無視できない。
オペレーショナル・リスクに関するデューデリジェンスを始めた、あるいは成熟しつつある企業にとって、答えるべき4つの質問がある:
- 我々のビジネスが最も依存しているシステム、資産、デバイス、コンポーネントは何か?
- OT 、IoT 制御システムにおける脅威と脆弱性の現状は?
- 私のビジネス、業務、ネットワークにどのような脆弱性が存在し、悪用可能か?
- OT 、IoT のデバイスとネットワークに、どのような既存のセキュリティ管理とポリシーが適用されているか(もしあれば)。
これらの質問に答えるだけでなく、OT 、IoT セキュリティに関する既存の(場合によってはセクター固有の)基準、フレームワーク、ベストプラクティスを活用することで、SECの報告要件を支援することができる。サイバーセキュリティがスプリントではなくマラソンであるとすれば、SEC規則17の準備はウォームアップである。
