あなたのOTソフトウェアはリスクですか? 見分け方を教えます。

あなたのOTサイバーセキュリティ戦略には、定期的なソフトウェアとハードウェアの更新が含まれていますか? そうでない場合、1,000万ユーロまたは全世界の年間売上高の2%の罰金を科せられる可能性があります¹。

理由は簡単です。2024年10月までに、すべてのEU加盟国はEUの改正ネットワークおよび情報セキュリティ指令(NIS2: Revised Network and Information Security Directive)を法律として可決する必要があります。また、新しい指令では、規則に違反した組織に対して1,000万ユーロまたは全世界の年間売上高の2%の罰金を科すことが規定されています。これらの規則の1つでは、指令の対象となる組織は、以下の内容を含むサイバーセキュリティポリシーを策定する必要があることが明確に規定されています。

“…ソフトウェアとハードウェアの更新を含む共通のベースライン･プラクティス･セットで構成されるサイバー･ハイジーン･ポリシー…”

改訂された指令は、これまで以上に多くの組織を対象としています。これには、電気通信、化学薬品、廃水、食品など、EUの安全保障と経済活動に「不可欠」または「重要」とみなされるまったく新しい分野が含まれます。NIS2の第7条は、これまで以上に多くの組織が新しい指令の影響を受けるという事実をさらに強調しています。

“国家サイバーセキュリティ戦略には、特に本指令の適用範囲から除外されている中小企業のサイバーレジリエンスとサイバーハイジーン基準の強化が含まれるものとします…”

結論は? EUで成魚技術を運用しているほぼすべての組織は、今すぐNIS2への対応について検討を開始する必要があります。そうしないと、侵害のリスクにさらされることになります。

NIS2ではソフトウェアアップデートがリスクとなるのはなぜでしょうか?

製造メーカであれインフラのプロバイダであれ、制御技術(OT)組織は、多くの場合、数百、あるいは数千ものデバイスを現場に持っています。マッキンゼーの最近のレポートでは、一部のエネルギー施設には30,000台もの接続デバイスがあると推定されています²。

これらのデバイスの多くには、可変周波数ドライブ、産業用スイッチ、プログラマブルコントローラ、産業用PCなどのスマートな接続コンポーネントも含まれている可能性があります。これらのコンポーネントはすべて、独自のソフトウェアとハードウェアを備えている場合もあります。

比較的小規模な本番環境を含む、より小規模なインストールでも、マッピングも管理もされていないOTデバイスが何百台も存在する可能性があります。これらのデバイスの1つでも古いソフトウェアが実行されていて、それがデータ漏洩、運用停止、その他の重大な問題につながる場合、それはNIS2の潜在的な違反となり、罰金が科せられる可能性があります。

リスクを軽減し、NIS2の正しい側面を維持する方法

古いソフトウェアによってもたらされるリスクを軽減する最も簡単な方法は、ITサイバーセキュリティの専門家と協力することです。それを実現する最善の方法は、メンテナンスと更新をカバーするサブスクリプションを使用することです。

適切なメンテナンスサブスクリプションでは、以下のようなメリットが得られます。

最新のソフトウェアおよびファームウェアアップデートに即座にアクセスしてプッシュインストールできるため、OTサイバーセキュリティの脅威が動的に変化する状況を把握できます。最新のソフトウェアおよびファームウェアアップデートに即座にアクセスできることは、セキュリティパッチや拡張機能が利用可能になるとすぐに適用されるため、非常に重要です。この即時性により、サイバー攻撃者が既知の脆弱性を悪用する機会を大幅に減らすことができます。プッシュインストールでは、アップデートの展開を自動化することでこのプロセスがさらに効率化され、OT環境内のすべてのデバイスが手作業による介入を必要とせずに最高のセキュリティ体制を維持できるようになります。
業界をリードするセキュリティエンジニアとコンサルタントによるサポート: OTシステムの複雑性と特殊性により、固有のセキュリティ課題に対処するには高度な専門知識が必要です。業界をリードするOTセキュリティエンジニアとコンサルタントにアクセスすることで、組織は豊富な知識と経験を活用できます。これらの専門家は、戦略計画からインシデント対応まで、カスタマイズされたアドバイスを提供し、セキュリティ対策がNIS2指令に準拠しているだけでなく、ベストプラクティスやこの分野の最新の研究にも沿っていることを保証できます。彼らのサポートは、潜在的な脆弱性を特定し、緩和戦略を推奨し、サイバー脅威に対するOT環境の全体的な回復力を強化するのに役立ちます。
すべてのデバイスを簡単かつ迅速に見つけて保護するツール: これらのツールを使用すると、組織はOT資産の最新のインベントリを維持し、その状態をリアルタイムでモニタし、セキュリティ侵害の兆候となる可能性のある異常を迅速に特定できます。これらのツールは、OTデバイスの保護プロセスを簡素化することで、運用効率を向上させるだけでなく、ネットワーク内での役割や場所に関係なく、すべてのコンポーネントと機器が適切に保護されていることを確認できます。

NIS2への準備として、適切なOT/ITコンサルタントがネットワークの監査をお手伝いし、ハードウェア、ファームウェア、ソフトウェアのリスクを見つけます。その後、コンサルタントはお客様と協力してこれらのギャップを埋め、セキュリティとコンプライアンスの取り組みを文書化し、NIS2の規約に準拠させます。

ロックウェル･オートメーションは、OTセキュリティ、コンプライアンス、リスク管理サービスにおける市場をリードするプロバイダの1つです。当社の専門家、コンサルタント、エンジニアは、NIS2への対応を支援するツール、経験、テクノロジを備えています。これには、準拠ポリシーと手順の策定から、ネットワーク全体で古いソフトウェアとファームウェアを迅速に検出して更新すること、さらにはNIS2準拠に向けたセキュリティ体制の強化と文書化まで、あらゆることが含まれます。

ロックウェル･オートメーションが、ソフトウェアとファームウェアを最新の状態に保ち、NIS2に備えてOTサイバーセキュリティ体制を強化するその他の多くの側面に対処するなど、サイバーセキュリティハイジーンにどのように貢献できるかを知りたい場合は、今すぐお問い合わせください。

¹https://digital-strategy.ec.europa.eu/en/faqs/directive-measures-high-common-level-cybersecurity-across-union-nis2-directive-faqs

²https://www.mckinsey.com/mgi/overview/in-the-news/by-2025-internet-of-things-applications-could-have-11-trillion-impact

公開 2024/08/08

Andreu Cuartiella

Lifecycle Services Commercial Manager, EMEA, Rockwell Automation

Andreu is Manufacturing Digital Transformation Advocate, helping leading industries to Reduce Risk and Generate Savings in their operations through disruptive and Innovative Solutions and Services through their lifecycle.

連絡先:

Antoine Pris

Enterprise Software Sales Manager, Rockwell Automation

As member of the EMEA Rockwell Automation software team, Antoine Pris is responsible for the Software sales and commercial leadership within the following countries: France, Italy, Spain and Israel. Antoine Pris has +20 years of experience in digitalization of the industry Helping his customers to achieve revenue growth, cost reduction and risk mitigation with digital transformation.

連絡先: