オペレーション・テクノロジー(OT )のデジタル・トランスフォーメーションに関する私のブログ・シリーズのパート2へようこそ(パート1はこちら)。
前回の投稿では、AIと機械学習を活用して資産の可視化と異常検知を実現するための重要なステップを取り上げた。
この記事では、OT をセキュリティ・オペレーション・センター(SOC)に統合することの重要性と、これが産業および重要インフラ組織にとってもはやオプションではない理由について述べる。
運用技術へのサイバーリスクが増大
以前は、産業用システムは孤立しており、企業システムやインターネットに接続されていなかったため、リスクが高いとは考えられていなかった。それらは、不明瞭さによって安全に保護されており、サイバー攻撃者の関心は低いと考えられていた。
今日の現実は大きく異なっている。今、産業界のサイバーリスクは、そのおかげではるかに高くなっている:
- ITと産業システム間の暴露とデータ共有の増加
- パンデミック以来高まっている地政学的緊張
- クラウドベースのアプリケーションとアナリティクスへの移行
- 巧妙化する攻撃と脅威の主体
ガートナー社によると、「リスクを低減するために、セキュリティとリスク管理のリーダーは、単一のデジタル・セキュリティとリスク管理機能を構築することによって、ITとOT のサイロを排除すべきである。この部門はIT部門に報告すべきだが、ITとOT のセキュリティすべてに責任を持つべきだ。"これ以上の意見はない。
OT を企業レベルの SOC に含める必要がある理由
企業レベルのSOCにOT 、複数の利点がある。例えば、企業は以下のことができる:
- サイバー「キル・チェーン」の初期段階で脅威を特定することで、脅威を迅速に阻止する。このような脅威は多くの場合、ITシステムから発生する。
- ITチームとOT チーム間のコミュニケーションを改善することで、レスポンスタイムを短縮。
- 複数の異なるSOCではなく、1つの包括的なSOCによってコストを削減。
- チームの強みを活かして人材不足に対処する。OT のスタッフに IT サイバーセキュリティのトレーニングを行うよりも、OT の感性について IT リソースをトレーニングする方が、スキル・ギャップを埋めるのは一般的に容易である。
米国政府は、Cybersecurity and Infrastructure Security Agency (CISA)が主導するContinuous Diagnostics and Mitigation (CDM)プログラムを通じて、これらの点のいくつかに取り組み始めている。このプログラムは有用なリソースを提供するだけでなく、OT を SOC にうまく統合し、全社的なサイバーセキュリティ・イニシアチブを展開することが可能であることを示している。
継続的な診断と緩和プログラム(CDM)を実施する以外にも、ITとOT をよりよく統合するために組織が実施できるベストプラクティスは数多くある。ここではそのいくつかを提案する:
- SIEMアーキテクチャや容量の見直し、規制やコンプライアンスとの整合など、コンプライアンス主導のイニシアティブ
- サイバー防衛準備、技術的・経営的卓上演習、サイバーレンジ/シミュレーション演習などの評価
- サイバー脅威インテル能力の向上など、インテル主導のプランニング
- マルウェア分析トレーニングなどのサイバー対応プログラム、ITサイバーセキュリティチームのOT スキルアップ、OT チームとのITサイバー知識の共有。
このようなイニシアチブは、強みと改善の機会を特定し、よりレジリエントでサイバーセキュアな組織になるためのロードマップを提供することができる。
パート3では、資産の可視化によって業務効率を大幅に向上させ、予防保全をサポートする方法について取り上げますので、次回のブログをお見逃しなく。
