最近の規制の変更により、CISO は企業のサイバーセキュリティ・リスクに対する責任とともに、賠償責任を負うことが求められるようになった。産業組織にとっては、OT デバイスやネットワークからのリスクも含まれる。IT、IoT 、OT ネットワークの境界線がかつてないほど曖昧になっている今、リスクの包括的な監視は待ったなしである。リスクに対するエンタープライズ・アプローチへの移行は好ましいことだが、(IT部門にとって)なじみの薄いサイバー・フィジカル環境に対するサイバーセキュリティ・ソリューションの購入、展開、保守を誰が行うべきかという疑問が生じる。そして、シフトの現段階では、その答えは明確ではない。
IEC62443 Part 2-1規格は、産業オートメーションおよび制御システムのためのサイバーセキュリティ管理システムを確立するための要件を概説している。このガイダンスは不可欠であるが、それを実施するための適切な人材を特定するのは各組織次第である。例えば、OT エンジニア、技術者、プロセス・オペレータ、制御室オペレータのためのサイバーセキュリティ・ポリシーは存在しないことが多い。誰がポリシーを書き、誰が影響を受ける個人をトレーニングするのか?同様に、誰がインシデント対応計画を作成するのだろうか。一般的にOT 物理的安全性に影響するため、かなり異なる場合があるからだ。
CISOは企業リスクを管理する立場にあるが、通常、OT セキュリティについては専門外であることを十分承知している。CISOは、技術的な意思決定とビジネス上の意思決定の両方に幅広い影響力を持つため、プロジェクトのエグゼクティブ・スポンサーに最適である。これには、戦略的方向性の提示、必要なリソースの確保、エスカレーションの管理、経営幹部や取締役会への進捗状況の伝達などが含まれる。最も重要なことは、OT セキュリティ・ソリューションの評価、導入、および継続的な監視を行う適切な人材を確保することである。
理想的なOT セキュリティ・チームには、産業用制御システムを熟知しているプラント・マネージャ、エンジニア、オペレータが含まれる。サイバー側では、セキュリティ・マネージャ、ネットワーク・マネージャ、アナリスト、管理者を、たとえそのうちの何人かが工場の現場に足を踏み入れたことがないとしても、採用したい。サイバーセキュリティ規制の対象となる企業の場合は、導入するソリューションが報告などの重要な要件をカバーしていることを確認するために、コンプライアンスの専門家を加えることをお勧めします。
これらの役割のいずれかが欠けていても、十分な情報に基づいて購入を決定することはできますが、社内の課題が表面化し、遅れが生じる可能性が高くなります。たとえば、ネットワーキング・チームから誰も参加者がいない場合、SPAN トラフィック・モニタリングを実装しようとすると、さらに説得が必要になったり、まったく別のアイデアが出てきたりして、振り出しに戻らざるを得なくなる可能性があります。OT 主要な利害関係者がテクノロジー購入の決定に参加しない場合、導入が遅れたり、導入が完全に妨げられたりする可能性が高い。
これらのチームメンバーの中から、日々のプロジェクトを監督する適切なリーダーを見つけなければならない。OT セキュリティを現場に導入するということは、これまでとはまったく異なる行動を導入するということである。アクセス管理の強化など、新しいポリシー、設定、制御が必要になり、オペレータの日常業務のやり方が変わる。このような変更の多くは、一般に普及することはないだろう。CISOは、その変更が必要であるだけでなく、全員の利益につながるものであると主張できるだろうか?エグゼクティブ・スポンサーとして、CISOもこの担当を率いることになるが、詳細な質問に答え、否定的な意見に打ち勝つ、信頼できる同僚が必要である。セキュリティベンダーやシステムインテグレーターが登場する頃には、何が起こるかを理解し、準備ができている、教育された従業員を求めている。
導入後は、さらに部門横断的な協力が必要になる。企業のリスク管理を可能にするためには、OT 環境のデータをセキュリティ情報イベント管理システム(SIEM)に取り込むか、あるいは既存のITセキュリティ・プラットフォームと統合して、セキュリティ・オペレーション・センター(SOC)やマネージド・セキュリティ・サービス・プロバイダ(MSSP)が問題を特定できるようにする必要があります。OT 専門家(理想的にはOT セキュリティの 専門家)は、OT ネットワークの機密性について、またなぜ是正の取り組みには産業プロセスとネットワークに精通した担当者が関与しなければならないのかについて、これらのグループを教育し続けることが重要です。
要するに、プログラムを成功させるためには、組織全体の何十人もの人々が共同でOT サイバーセキュリティを管理する必要があるのです。Nozomi Networks 、あらゆる産業および重要インフラ部門において、何千もの環境にOT セキュリティ・ソリューションを導入してきました。プロジェクトがスムーズに進むこともあれば、あらゆる段階で行き詰まることも見てきました。導入のキックオフと同時に、OT文化に共通する課題を検討し、それを克服する方法を提案します。
最近の規制の変更により、CISO は企業のサイバーセキュリティ・リスクに対する責任とともに、賠償責任を負うことが求められるようになった。産業組織にとっては、OT デバイスやネットワークからのリスクも含まれる。IT、IoT 、OT ネットワークの境界線がかつてないほど曖昧になっている今、リスクの包括的な監視は待ったなしである。リスクに対するエンタープライズ・アプローチへの移行は好ましいことだが、(IT部門にとって)なじみの薄いサイバー・フィジカル環境に対するサイバーセキュリティ・ソリューションの購入、展開、保守を誰が行うべきかという疑問が生じる。そして、シフトの現段階では、その答えは明確ではない。
IEC62443 Part 2-1規格は、産業オートメーションおよび制御システムのためのサイバーセキュリティ管理システムを確立するための要件を概説している。このガイダンスは不可欠であるが、それを実施するための適切な人材を特定するのは各組織次第である。例えば、OT エンジニア、技術者、プロセス・オペレータ、制御室オペレータのためのサイバーセキュリティ・ポリシーは存在しないことが多い。誰がポリシーを書き、誰が影響を受ける個人をトレーニングするのか?同様に、誰がインシデント対応計画を作成するのだろうか。一般的にOT 物理的安全性に影響するため、かなり異なる場合があるからだ。
CISOは企業リスクを管理する立場にあるが、通常、OT セキュリティについては専門外であることを十分承知している。CISOは、技術的な意思決定とビジネス上の意思決定の両方に幅広い影響力を持つため、プロジェクトのエグゼクティブ・スポンサーに最適である。これには、戦略的方向性の提示、必要なリソースの確保、エスカレーションの管理、経営幹部や取締役会への進捗状況の伝達などが含まれる。最も重要なことは、OT セキュリティ・ソリューションの評価、導入、および継続的な監視を行う適切な人材を確保することである。
理想的なOT セキュリティ・チームには、産業用制御システムを熟知しているプラント・マネージャ、エンジニア、オペレータが含まれる。サイバー側では、セキュリティ・マネージャ、ネットワーク・マネージャ、アナリスト、管理者を、たとえそのうちの何人かが工場の現場に足を踏み入れたことがないとしても、採用したい。サイバーセキュリティ規制の対象となる企業の場合は、導入するソリューションが報告などの重要な要件をカバーしていることを確認するために、コンプライアンスの専門家を加えることをお勧めします。
これらの役割のいずれかが欠けていても、十分な情報に基づいて購入を決定することはできますが、社内の課題が表面化し、遅れが生じる可能性が高くなります。たとえば、ネットワーキング・チームから誰も参加者がいない場合、SPAN トラフィック・モニタリングを実装しようとすると、さらに説得が必要になったり、まったく別のアイデアが出てきたりして、振り出しに戻らざるを得なくなる可能性があります。OT 主要な利害関係者がテクノロジー購入の決定に参加しない場合、導入が遅れたり、導入が完全に妨げられたりする可能性が高い。
これらのチームメンバーの中から、日々のプロジェクトを監督する適切なリーダーを見つけなければならない。OT セキュリティを現場に導入するということは、これまでとはまったく異なる行動を導入するということである。アクセス管理の強化など、新しいポリシー、設定、制御が必要になり、オペレータの日常業務のやり方が変わる。このような変更の多くは、一般に普及することはないだろう。CISOは、その変更が必要であるだけでなく、全員の利益につながるものであると主張できるだろうか?エグゼクティブ・スポンサーとして、CISOもこの担当を率いることになるが、詳細な質問に答え、否定的な意見に打ち勝つ、信頼できる同僚が必要である。セキュリティベンダーやシステムインテグレーターが登場する頃には、何が起こるかを理解し、準備ができている、教育された従業員を求めている。
導入後は、さらに部門横断的な協力が必要になる。企業のリスク管理を可能にするためには、OT 環境のデータをセキュリティ情報イベント管理システム(SIEM)に取り込むか、あるいは既存のITセキュリティ・プラットフォームと統合して、セキュリティ・オペレーション・センター(SOC)やマネージド・セキュリティ・サービス・プロバイダ(MSSP)が問題を特定できるようにする必要があります。OT 専門家(理想的にはOT セキュリティの 専門家)は、OT ネットワークの機密性について、またなぜ是正の取り組みには産業プロセスとネットワークに精通した担当者が関与しなければならないのかについて、これらのグループを教育し続けることが重要です。
要するに、プログラムを成功させるためには、組織全体の何十人もの人々が共同でOT サイバーセキュリティを管理する必要があるのです。Nozomi Networks 、あらゆる産業および重要インフラ部門において、何千もの環境にOT セキュリティ・ソリューションを導入してきました。プロジェクトがスムーズに進むこともあれば、あらゆる段階で行き詰まることも見てきました。導入のキックオフと同時に、OT文化に共通する課題を検討し、それを克服する方法を提案します。