OTサイバーセキュリティ評価: 最適な選択肢とは?

スマートマニュファクチャリングの導入が急速に広がっています。人工知能(AI)、機械学習(ML)、IIoT (産業用IoT)といった新技術の導入･実装により、製造業はかつてない領域へと進化を遂げています。しかし、接続性が高まるにつれて、サイバーリスクも増大しています。脅威アクター(攻撃者)の手口は進化･高度化しており、OTネットワークへの侵入を試みています。実際、ロックウェル･オートメーションの「スマートマニュファクチャリング報告書」によると、産業組織を標的としたランサムウェア攻撃全体の71%が製造業に向けられています。

絶えず変化する脅威の状況に対応するため、産業関連の組織には、強固なセキュリティ対策を講じるとともに、包括的な評価を通じて内部および外部の環境を適切に把握することが求められます。評価を実施する前に、評価とは何か、どのような種類があるか、それぞれの利点は何か、そしてどのような価値や成果をもたらすのかを理解しておくことが重要です。

「見えないものは守れない」と言われます。可視性の欠如はあらゆる業界、特に製造業における課題です。製造業のOT (制御技術)ネットワークの多くは、複数のセグメントに分断された環境に旧式の機器が混在しているためです。評価を実施することで、組織は製造プロセスや接続された資産、それらが抱えるサイバーリスクに関する重要な知見を得ることができます。ネットワークの可視性を確保することは、稼働時間の維持、リスクの低減、そして業務の安全確保を実現するOTサイバーセキュリティの取り組みを成功させるための基盤となります。

OTサイバーセキュリティ評価とは何か?

OTサイバーセキュリティ評価とは、組織の全体的なセキュリティ体制を検証するために、セキュリティ対策や挙動を評価するプロセスのことです。この評価には、未知の脆弱性や攻撃経路などに対する備えの検証といった手法が含まれ、システム、アプリケーション、ネットワークの欠陥の把握、防御策の導入、およびポリシーの最新化に役立てられます。サイバーセキュリティ評価の全体的な目的は、組織が製造現場における資産、それに関連するリスクや脆弱性、そしてそれらが悪用された場合に事業へ及ぶ影響を理解できるようにすることです。サイバー評価は、企業全体にわたる可視性を確保することで、OTセキュリティプログラムの基盤としての役割を果たします。

サイバーセキュリティ評価の範囲は、組織の目的、規模、および準拠すべき基準によって異なります。事前に評価の目標や要件を明確にしておくことは、自組織に最適な評価手法を選定する上で役立つほか、独自の懸念事項やその解決策を優先順位付けし、最適なサイバーセキュリティロードマップを策定する上でも有益です。

評価の対象は、資産やエンドポイント、人、プロセス、ポリシーから環境面に至るまで、産業環境の多岐にわたる側面に及びます。また、コンプライアンスの分析、攻撃対象領域(アタックサーフェス)の特定、サイバーレジリエンスの評価、資産に対する潜在的な脅威の特定に加え、組織の行動様式やリスク許容度の把握も行なわれます。サイバーセキュリティ評価を自社内で行なうことも可能ですが、ロックウェル･オートメーションのような第三者機関と連携することで、製造メーカは産業オートメーションの分野で実績ある組織の専門知識を活用し、社内特有のバイアスを排除することができます。さらに、第三者機関はグローバルな視点を提供し、企業全体を視野に入れたカスタマイズされたアプローチを通じて、各業界の特性、規制、要件、およびニーズに即した形で業務の安全を確保できるよう支援します。
 

サイバーセキュリティ評価の種類

1. 脆弱性評価 – ネットワークに接続された資産に関連する脆弱性を把握するための第一歩です。脆弱性評価は、資産に存在するセキュリティ上の異常や欠陥を特定するために、限定された範囲で実施される、費用対効果の高い自動化されたプロセスです。この評価は、OTネットワークのセキュリティ確保に向けた即時の行動を開始するための基盤となります。
2. リスクアセスメント – ペネトレーションテストや脆弱性評価を通じて特定された脆弱性に対し、リスクや脅威をマッピングするプロセスです。リスクアセスメントでは、IEC 62443やNISTサイバーセキュリティフレームワークといった業界標準に照らし、人、プロセス、手順に関するリスクを特定します。この評価は、セキュリティ対策の検証や、脅威から内部･外部環境を保護する上で役立ちます。また、リスクアセスメントは、組織が全体的なセキュリティ評価を向上させるための追加対策を計画する際にも有用です。
3. ペネトレーションテスト – ペネトレーションテスト(侵入テスト)は、攻撃者の視点に立ち、脆弱性を実際に悪用することで組織のセキュリティ体制を検証する詳細な手法です。これは、既存のセキュリティ対策が攻撃に対して有効かどうかを能動的に確認するアプローチであり、コンプライアンスや規制要件への対応にも役立ちます。対策の欠如や、対策が設計通りに機能していない箇所を把握することで、製造メーカは是正措置を計画･実行し、より適切で新しいセキュリティ対策を導入することが可能になります。
4. インシデント対応態勢評価 – サイバー攻撃に対処し、被害を最小限に抑えるための組織の備えがどの程度整っているかを評価するために実施されます。インシデント対応の準備状況評価は、組織の備えやセキュリティ対策を評価する目的で、第三者によって実施されます。
5. 机上演習(TTX) – サイバー攻撃発生時に組織(特にセキュリティチーム)内の各役割を担う担当者がどのように対応するかを評価するための、理論的なサイバーセキュリティ評価手法です。TTXでは、現実的なリスクやセキュリティインシデントのシナリオを用いて演習を行ないます。これにより、組織はインシデント対応計画を策定･改定したり、必要なトレーニング内容を特定したりすることが可能になります。

OTサイバーセキュリティのライフサイクルのどの段階にあっても、アセスメント(評価)を実施することで、製造メーカは業務の安全を高めるための次のステップへ進んだり、最新の脅威に対して既存の対策が有効かどうかを検証したりすることが可能になります。ロックウェル･オートメーションは、お客様固有のリスク許容度や予算に合わせて最適なサイバーセキュリティ評価を特定･実施するためのツールと専門知識を有しています。当社のサイバーセキュリティチームは、お客様の現在の状況に寄り添い、定義されたビジネス上の成果や目標の達成を支援します。OTサイバーセキュリティ評価の詳細や、最適なアセスメントの選び方については、サイバーセキュリティの専門家までお問い合わせください。