オペレーショナルレジリエンス(OT)を実現するための5つの原則

OTセキュリティガバナンスにおける3つのテーマ

堅牢なOTセキュリティガバナンスフレームワークを構築するには、組織が抱える主要なサイバーセキュリティ課題を理解する必要があります。これらの課題は、制御技術(OT)におけるサイバーセキュリティ管理の現実を反映しており、いくつかの重要なテーマによって形作られています。これらのテーマを理解することで、効果的なガバナンスのための5つの指針のニュアンスを理解するのに役立ちます。

テーマ1: 万能の答えは存在しない

サイバーセキュリティへの取り組みは、組織文化、運用モデル、リスクプロファイルによってそれぞれ異なります。こうした多様性に対応するには、万能ではなく、各組織のニーズと状況に合わせてカスタマイズされたガバナンスアプローチが必要です。

テーマ2: 権限と説明責任の単一障害点は存在しない

 多くの組織では、サイバーセキュリティの責任はさまざまな部門や役割にまたがっています。このような権限と説明責任の分散は、組織全体の連携と協力によるガバナンスへのアプローチの必要性を浮き彫りにしています。これにより、組織全体のセキュリティ目標達成に向けて、組織全体が連携し、協力して取り組むことが求められます。

テーマ3: 多くの企業はリーダシップの連携強化に支援を必要としている

サイバーセキュリティの脅威が増加し、リソースが限られている状況では、組織のリーダシップがセキュリティ戦略について連携することがこれまで以上に重要になります。この連携強化とは、戦略、コミットメント、そして必要なリソースと変革への支援に関する合意形成です。

適切なOTセキュリティガバナンスモデルを設計するための5つの原則

1. 経営幹部の意識統一から始める

適切なガバナンスモデルを実現するには、以下の点について経営幹部レベルで明確な意識統一をはかる必要があります。

• オペレーションに対する真のリスク
• 経営幹部チームと取締役会のリスク許容度
• 経営幹部チームと取締役会のリスク許容度を達成するためのコストの大まかな見積もり
• さまざまなレベルのセキュリティ成熟度を達成するためのコストの大まかな見積もり
• これらの分野における重要なトレードオフについて、経営幹部チームがどのように意思決定を行なうか

この演習の本来のリーダはCISOです。しかし、CISOがすべての決定権を持つわけではありません。私たちが目にした成功事例のほとんどにおいて、CISOは決定的な役割ではなく、ビジネス全体にわたるさまざまなトレードオフを考慮し、経営陣を最善の進路へと導くための影響力を発揮しています。

特定のガバナンスモデルでは、権限と説明責任の所在の定義に重点が置かれることがよくありますが、目標と優先事項について経営層が真に共有理解していない限り、RACI (responsible (責任)、accountable (説明責任)、consulted (協議)、informed (情報提供))チャートは、多くの点で紙一重になってしまうのを目にしてきました。予算、指標、リソースを、合意された一連の目標に基づいて設定することで、整合性を維持できます。

経営幹部の意思統一を支援するリソース

一部の産業組織では、社外のOTセキュリティ専門家を活用すれば、この意思統一プロセスが加速すると実感しています。こうしたプロフェッショナルなサービスチームは、組織のサイバーセキュリティ体制の改善を支援するだけでなく、技術的な脆弱性を取締役会や経営陣に理解しやすいビジネスリスクの言語に翻訳するファシリテーターとしての役割も担います。こうした外部の視点は、関係者が納得できるデータに基づく洞察を提供することで、社内の障害を打破することができます。

多くの組織は、OTセキュリティの取り組みにおいて、経営層との明確な意思統一がまだできていないことに気づいていません。多くの場合、最善の選択肢は、現状を見直し、チームが時間をかけて理解の基盤を確立することです。さもなければ、将来の進捗が遅れる可能性があります。プロフェッショナルなマネージドサービスは、この見直しに必要な客観的な基準を提供することで、関係者が現状と将来のニーズについて共通の認識を持った上で、取り組みを開始できるようにします。

2. 現在の組織スタイルの流れに逆らわず、流れに沿う

私たちのチームが目撃した最も成功したOTセキュリティの導入事例の一つは、事業部門の独立性と成果に対するオーナシップを重視する文化を持つ公益事業持株会社におけるものでした。この会社の以前のガバナンスモデルは、長年にわたり多くの産業企業で有名になった、従来の分散型事業部門損益所有モデルを採用していました。

賢明な戦略

経営陣は、中央集権的なセキュリティを強制するのではなく、「何を」(目標と目的)を明確に定め、責任を負わせました。このケースでは、CSCの上位18項目がそれにあたりました。しかし、ここが重要な点です。各事業部門が目標達成方法を決定できるようにしたのです。

仕組み

• リーダシップが目標とレビュープロセスを設定しました。
• CISOは目標を策定しましたが、方法までは指示しませんでした。
• 各事業部門は独自のツール、管理方法、アプローチを選択しました。
• 全員が四半期ごとに会合を開き、共通の指標に基づいて進捗状況を追跡しました。

このアプローチが成功した理由

組織には、専門家を中央集権化したり、インフラを共有したりする文化がありませんでした。そのようなモデルを構築することは、組織の主要な運営方法に反することを意味していました。

もしCISOがこの方向へ推し進めようとしたなら、おそらく失敗していたでしょう。なぜなら、それは組織のDNAに根付いていなかったからです。彼は、完璧なガバナンスモデルなど存在しないことを理解していましたが、それでも、全員にとってうまくいく方法で、できることを適応させ、活用しました。

教訓

まず、組織のDNAを研究しましょう。分散型であれば、自律性を維持しながら説明責任を確保するフレームワークを構築しましょう。高度に中央集権化されている場合は、その構造を有利に活用しましょう。組織文化の流れに逆らうのではなく、それに沿って行動しましょう。そして、組織特有のアプローチのギャップに対処しましょう。

3. 資金の流れを追う

サイバーセキュリティガバナンスにおいて最も難しい側面の1つは、予算と説明責任の整合性を確保することです。多くの組織では、サイバーセキュリティ関連の支出が複数の部門に分散しています。

• 工場は、アップデート、パッチ適用、管理などを含む離散時間システムの予算を負担する場合があります。
• 企業IT部門は、ネットワーク機器やセグメンテーションの予算を管理する場合があります。
• CISOは、マルウェア対策や脅威検出のためのログ監視など、セキュリティに特化した取り組みに資金を投入する場合があります。
• 人事部門は、トレーニングや意識向上のための予算を保有している場合があります。
• 施設管理部門は、倉庫、冷蔵室、冷凍庫など、オペレーションに不可欠な建物システムの管理を担当する場合があります。

このような分散環境では、サイバーセキュリティ関連の現在の支出を把握し、新たな保護対策や検知対策への追加支出を優先することは困難です。

当社は、お客様がこの状況にさまざまな方法で適応しているのを見てきました。例えば、影の会計(Shadow Accounting)システムを構築し、さまざまな事業部門の支出を包括的なサイバーセキュリティ予算に集約している企業もあれば、明確な目標を設定し、事業部門にその達成を求めながら、全体の予算を通常の前年比増加率に合わせて管理している企業もあります。つまり、サイバーセキュリティへの支出と他の項目への支出のトレードオフを行なっているのです。また、工場ごとにセキュリティコンプライアンスを管理し、各工場の予算においてサイバーセキュリティが指標の主要要素の1つとして考慮されている企業もあります。

上記のいずれかのモデルを採用する場合でも、他のモデルを採用する場合でも、組織はまずサイバーセキュリティ支出全体を可視化し、次に予算権限とセキュリティ責任を整合させて、リスクを効果的に管理する必要があります。

4. オペレーションにおけるバランススコアカードとKPIの活用

成功しているオペレーション組織は、指標、目標、詳細な手順、そして時間ごと、日ごと、週ごとにモニタされた戦術的成果に基づいて業務を遂行しています。サイバーセキュリティの目標は、多くの場合、漠然としたもの、あるいは野心的なものです。 

• 脆弱性の低減
• 潜在的なマルウェアの特定
• 攻撃者の特定
• インシデント対応をX%向上

成功するOTセキュリティアプローチは、オペレーション管理のフローと連携し、これらの微妙な目標を、赤、黄、緑のシンプルなチャートで表示できる非常に戦術的な目標と指標に変換します。

実例

あるお客様は、NIST CSFをサイバーセキュリティフレームワークとして採用し、次のステップに進み、週次、月次、四半期ごとに追跡できる一連の対策を実装しました。

各管理領域には、一連の目標と指標が設定されていました。これには、未適用の重要なパッチの数、過去1週間にバックアップされていないマシンの数、誤検知アラートの数、誤検知への対応に運用担当者が費やした時間などが含まれていました。脅威データを分析している社内セキュリティ･オペレーション･センター(SOC)は、上流の資材サプライヤであるかのように扱われ、脅威検出の品質と適時性に関する目標が設定されました。

このデータは運用部門とSOCの間で定期的に共有され、チームが互いに責任を負えるようにしました。項目が「グリーン」でない場合は、製品品質やスループットの指標と同様に、改善計画が策定されました。

オペレーションは、生産量やコストだけでなく、KPIのバランススコアカード(BSC)を管理するために活用されています。すでにオペレーション指標と並行して、労働安全、環境品質、製品品質なども管理しています。フローに沿って作業を進め、サイバーセキュリティをBSCの要素として組み込むことで、組織は説明責任と権限を連携させ、リソースを割当て、対策を講じることができます。

5. 戦術的に行動する

NISTサイバーセキュリティフレームワークは5つのコア領域と98の具体的なサブカテゴリで構成されており、CSC 20には140を超えるサブコントロールが含まれています。これらのサブ要素すべてに高レベルのガバナンスモデルを適用することは現実的ではありません。オペレーションと同様に、チームは具体的な成果物に関して、責任のある関係者とその権限レベルを特定した詳細な手順を構築する必要があります。

ガバナンスはミクロレベルで崩壊する傾向があります。例えば、NIST CSFの特定されたコンポーネントにおいて、必要な情報を含む資産データベースの維持管理は誰が担当するのでしょうか? ITチームはそうすべきだと考えているかもしれませんが、OTチームはITツールをOTネットワーク上で稼働させることは安全または適切ではないと主張するかもしれません。

組織によっては、工場レベルでも必要とされる資産情報が、サイバーセキュリティ管理の観点から企業レベルで必要な情報をはるかに上回っている場合があります。別の例として、重要なデバイスにすぐにパッチを適用するか、障害が発生するまでそのままにしておくか、またはデバイスがアップグレードされるまで半永久的にそのままにしておくかという決定は、私たちがクライアントとほぼ毎日目にする議論です。

重要なオペレーションにおいては、誤った判断、または正しい判断であっても遅れた判断が生産の損失、負傷、さらには死亡につながる可能性があるため、こうした詳細な意思決定権を事前に付与することが不可欠です。優れたオペレータは、意思決定権だけでなく、メンテナンスや品質管理といった分野で誰が必要な措置を講じるかについても、時間をかけて詳細に文書化します。
 

SecureOT™ソリューションスイート: OTセキュリティガバナンスを支援するために構築

効果的なガバナンスには、保護対象の明確な可視性、リスクの客観的な測定基準、そしてコンプライアンスに向けた進捗状況の証拠が必要です。SecureOTは、生データをセキュリティ体制の改善に役立つ優先事項に変換する専用テクノロジーによって、このギャップを埋めます。

SecureOTは、以下の点でお客様を支援します。

• 生産稼働を維持し、レジリエントな(回復力のある)オペレーションを維持します。
• OT環境全体にわたる隠れたリスクを排除します。
• NIS2、IEC 62443、NIST CSF、その他のコンプライアンス要件を満たします。
• 専用サポートにより、チームを拡大し、コスト削減を実現します。