Loading
ブログ | サイバーセキュリティ

適切なOTセキュリティツールとサービスで、今すぐNIS2に対応

OTネットワークをNIS2に準拠させるために必要なセキュリティツールを見つけましょう。NIS2のどの領域に専門ツールが必要なのか、また適切なツールを選択する方法について学びましょう。
Photo of it-specialist working on global project using laptop testing alpha, version of newly developed software checking bug existence debugging script code

制御技術(OT)ネットワークは、標準的なITネットワークとは異なります。確かに、基本的なインフラ(IPベースのネットワークに接続されたデバイス)は同じです。しかし、制御・運用とセキュリティのパラメータは完全に異なることがよくあります。

これは重要です。わかりやすい例を挙げると、例えば主にITネットワークを担当してきた経験の浅いサイバーセキュリティ担当者がOTスイッチを間違った方法でクエリすると、間違ったコマンドを実行したり、データで過負荷になったりする可能性があります。スイッチがダウンし、ネットワークもダウンする可能性があります。

このようなことは、特にEUの改訂ネットワークおよび情報システム指令(NIS2)の発効が迫っている現在、現実に起こりうるリスクです。OTオペレータがコンプライアンスへの取り組みを加速するにつれ、間違ったツールを導入したり、正しいツールを間違ったアプローチで導入したりするリスクが高まります。また、コンプライアンスへの取り組みをサポートする資格のあるリソースのスキルギャップも大きくなっています。OT環境のニュアンスを理解し、サイバーセキュリティのスキルセットを備えたリソースは、今後数年間でますます忙しくなるでしょう。

NIS2監査中に予定外のダウンタイムが発生するのは誰も望んでいません。しかし、それが最悪の結果というわけではありません。NIS2の適用範囲に該当する組織は、法律で定められた基準に従ってOTネットワークを保護する必要があります。そうでない場合は、最大700万ユーロまたは全世界の年間総売上高の少なくとも1.4%の罰金が科せられます1

EU加盟国は、2024年10月までにNIS2を現地法に制定する必要があります。そのため、OTオペレータは今すぐコンプライアンス計画の準備を開始する必要があります。

NIS2コンプライアンスには、善意以上のものが求められます。製造メーカは、適切なサービス、ハードウェア、ソフトウェアツールを装備する必要があります。

OTオペレータは、NIS2コンプライアンスに適したツールとリソースを選択し、それらを適切に使用するにはどうすればよいでしょうか。

  1. ポリシーと手順: ガバナンス、リスク管理、コンプライアンス(GRC)の専門家は、ポリシーと手順の確立と管理を支援できます。OTサイバーポリシーは、産業用制御システムの管理とセキュリティ保護の課題の増加に対応する鍵となります。OTサイバーポリシーは、一般的に人とデータによって推進され、上級管理職のビジョン、経営陣が許容できるリスクレベルを定義し、OT環境のサイバー目標を設定し、リスクを軽減するための原則を定義します。資産のマッピングと識別を行なうには、資産インベントリツールがよく使用されます。ネットワークに悪影響を与えたり過負荷をかけたりしないツールを選択することが成功の鍵となります。さまざまな収集方法を使用して、よりコンテキスト化された情報を提供することも重要です。パートナが特定のツールを活用して資産の識別と脆弱性のマッピングを実施することを期待してください。
  2. インシデント処理: オンプレミスとクラウドの両方のインシデント対応ソフトウェアプラットフォームは、インシデントの検出、対応、報告のための構造化されたアプローチを提供します。侵入検知システムは、ログ分析に役立ちます。サイバー侵害が発生した場合、インシデント対応もサポートします。イベントデータを迅速かつ正確に分析できれば、アナリストがトリアージと原因の特定に費やす時間を短縮できます。インシデントの検出と対応を管理および文書化するためのチケットシステムを確実に導入してください。繰り返しになりますが、監査目的や、定義された機関にインシデントを報告する際のデータ提供に使用します。
  3. 危機管理: 危機管理ソフトウェアは、危機発生時の対応活動とコミュニケーションの調整に役立ちます。堅牢でテスト済みで実証済みのバックアッププロセス(ソフトウェアと手順)は、イベント後の環境の回復と復元に役立ちます。セカンダリロケーションにバックアップするソリューションがあれば、データセキュリティがさらに強化されます。ビジネスにとって最も重要な資産を定義するために、クラウンジュエル(重要防護資産)アセスメントを完了することは、危機管理の重要なステップです。それらの資産が何であるか、そのリスクプロファイルを把握し、どのように保護するかを定義します。
  4. サプライチェーンのセキュリティ: サプライチェーンのリスク管理ツールは、サプライチェーンのリスクを監視および管理するのに役立ちます。組織は、世界的に認められた標準に従う組織によって開発された、設計段階からセキュリティが考慮されたハードウェアとソフトウェアを使用および実装する必要もあります。
  5. ネットワークのセキュリティ: 適切なネットワーク設計により、次世代ファイアウォール、産業用非武装地帯(IDMZ)、CIPセキュリティなどの安全な通信プロトコルを使用して、重要なネットワークを分離して実行できます。組織は、OT資産のインベントリ作成、脆弱性の特定、脆弱性管理ソリューションへの統合のための自動化ツールも実装する必要があります。これにより、修復作業を効率化し、組織内のリスクを効果的に軽減できます。侵入検知システム(IDS)は、資産インベントリ作成と、収集された資産に関連する脆弱性の提供に役立ちます。
  6. リスク管理: Verveなどのリスクアセスメントおよび管理ツールは、脆弱性とコンプライアンスを包括的に可視化し、デバイスがネットワークに及ぼすリスクを判断します。侵入テストは、サイバー攻撃をシミュレートして脆弱性を発見するためにも使用できます。攻撃をシミュレートして対応するテーブルトップ演習などのツールを使用すると、手順のギャップを発見して軽減するのに役立ちます。
  7. 基本的なサイバーセキュリティハイジーン: エンドポイント保護プラットフォームは、マルウェアやその他の脅威からの保護を支援することで、基本的なサイバーセキュリティハイジーンを維持できます。繰り返しになりますが、IDSを使用すると、OT環境内の脆弱性と脅威を明らかにし、その情報に基づいて行動することで衛生状態が向上し、修復ガイダンスに従うことでサイバーセキュリティハイジーンが向上します。
  8. 暗号化(P&P): 通信プロトコルに組み込まれた暗号化ソリューションとマネージドスイッチ暗号化により、暗号化サービスとポリシーの適用が可能になり、組織をネットワークスニッフィング攻撃から保護します。
  9. 人的資源のセキュリティ: IDおよびアクセス管理システムは、アクセス制御ポリシーと資産管理を実施します。これらのツールを使用すると、ネットワーク管理者はユーザの行動を積極的に監視し、ベストプラクティスを実施できます。
  10. 多要素認証: ネットワークにアクセスできる製品に含まれるMFAソリューションは、複数の形式のユーザ検証を要求することで、セキュリティをさらに強化します。

これらのサービス、ハードウェア、ソフトウェアは、サイバーセキュリティ、リスク管理、コンプライアンスのさまざまな側面に対応し、NIS2指令の要件に準拠するために必要なツールの例を総合的に提供します。

組織がNIS2コンプライアンスに適したツールを選択し、効果的に使用するために実行できる手順は次の通りです。

  • ITとOTの両方のサイバーセキュリティとコンプライアンスにおいて、関連する経験と有効なテクノロジを備えたスペシャリストにアクセスできることを確認してください。適切なスペシャリストは、技術的なソリューション以上のものを提供します。また、既存のサイバーセキュリティプラクティスの評価、リスクの理解、ギャップの特定、変更の推進にも役立ちます。
  • 一連のツールを提供できる IS2コンプライアンスパートナを選択してください。ソフトウェアとツールに投資する場合は、規制コンプライアンスと社内のニーズがカバーされていることを確認し、ソリューションが拡張可能であり、成熟度が増すにつれて成長できることを確認してください。
  • 設計上安全なツールとテクノロジを使用し、コンプライアンスを維持しながら実装できるようにサポートできるテクノロジパートナにサポートしてもらいます。

OTオペレータにとって理想的なNIS2コンプライアンスパートナは、初期のリスクアセスメントから修復と文書化、ネットワーク設計とインシデント処理まで、コンプライアンスプロセスのあらゆる段階で役立つツールと専門知識を備えています。

ロックウェル・オートメーションは、製造業者およびインフラプロバイダ向けのサイバーセキュリティのマーケットリーダーです。当社のスペシャリストが、お客様の現在のサイバーセキュリティ体制、事業を展開する地域での法律で導入されているNIS2の状況、および準拠方法について理解できるようお手伝いします。

ロックウェル・オートメーションは、業界をリードする設計段階からセキュリティを考慮したOT製品の開発と認証に加え、シスコ社、ドラゴス社、フォーティネット社、クラロティ社などの外部パートナと協力して、業界をリードするセキュリティOTテクノロジを開発してきました。

当社のスペシャリストは、当社独自のOTセキュリティスイートに加えて、消費者向けツールとオープンソースツールの最適な組み合わせを選択するお手伝いをします。彼らは豊富な経験をいかして、適切なテクノロジを適切な方法で実装し、リスクを最小限に抑え、可能な限り短期間でコンプライアンスを達成できるようお手伝いします。

今すぐロックウェル・オートメーションのスペシャリストにお問い合わせください
 

1https://digital-strategy.ec.europa.eu/en/faqs/directive-measures-high-common-level-cybersecurity-across-union-nis2-directive-faqs

公開 2024/07/18

Maria Else
Maria Else
Sr. Global Product Manager, Cybersecurity Services, Rockwell Automation
Maria joined Rockwell Automation in 2009. Since then, she has been focused primarily on bringing cybersecurity services and solutions to market as part of our Lifecycle Services organization. Maria is passionate about helping customers achieve their desired goals and outcomes for a more secure industrial environment.
お客様へのご提案
Loading