OTサイバーセキュリティアセスメント - どれが適していますか?

スマートマニュファクチャリングの導入が急速に広がっています。人工知能(AI)、機械学習(ML)、産業用モノのインターネット(IIoT)などの新技術の導入と実装により、テクノロジは製造業をこれまでにない場所へと導こうとしています。接続性の向上は、サイバーリスクの増大をもたらしています。制御技術(OT)ネットワークに侵入する脅威の手口は進化を続けており、ロックウェル･オートメーションの「スマートマニュファクチャリング報告書」によると、産業組織に対するランサムウェア攻撃の71%が製造業に集中しています。 

絶え間なく進化する脅威の状況は、産業組織に強固なセキュリティ対策を実施し、包括的なアセスメントを通じて内部および外部環境を適切に評価することを求めています。アセスメントを実施する前に、アセスメントとは何か、利用可能なさまざまな種類のアセスメント、それぞれのメリット、アセスメントが提供する価値と成果を理解することが重要となります。

見えないものは守れません。多くのOTネットワークが複数のセグメント化されたネットワークにまたがる旧式の機器に悩まされているため、可視性の欠如は、あらゆる産業、特に製造業における課題となっています。アセスメントは、製造プロセス、接続された資産、およびそれらがもたらす相対的なサイバーリスクに関する重要な洞察を得るのに役立ちます。ネットワークの可視化は、製造業が稼働時間を維持し、リスクを軽減し、セキュアなオペレーションを行なうためのOTサイバージャーニーを成功させるための基盤作りに役立ちます。

サイバーセキュリティアセスメントとは?

サイバーセキュリティアセスメントとは、組織の全体的なセキュリティ態勢を調査するために、セキュリティ管理を評価するプロセスです。アセスメントには、システム、アプリケーション、ネットワークの欠陥の追跡、防御管理の実装、ポリシーの最新維持に役立つ、未知の脆弱性、攻撃ベクトルなどに対する備えの検証などの戦術が含まれます。サイバーセキュリティアセスメントの全体的な目標は、組織が自社の製造スペース内の資産と関連する脆弱性を理解できるようにすることです。サイバーセキュリティアセスメントは、企業全体の可視化を実現することで、OTセキュリティ導入の基礎となります。

サイバーセキュリティアセスメントは、組織の目的、規模、コンプライアンス基準によって、その範囲に幅があります。事前にアセスメントの目標と要件を明確にしておくことで、組織に適したアセスメントを選択し、固有の懸念事項とその解決方法に優先順位を付けて、最も適切なサイバーロードマップを作成することができます。

エントリレベル、フルスコープを問わず、すべてのアセスメントは、現在のネットワーク、資産、関連する脆弱性を評価します。また、組織の行動やリスク許容度を理解するだけでなく、コンプライアンスの分析、攻撃対象の特定、サイバー回復力の評価、資産に対する潜在的な脅威の特定も行ないます。社内でサイバーセキュリティアセスメントを実施することも可能ですが、ロックウェル･オートメーションのようなサードパーティと協力することで、製造メーカは確立された産業用オートメーション組織の専門知識を活用することができます。また、サードパーティはグローバルな見解を提供し、さまざまな業界、規制、要件、および企業に焦点を当てたカスタムアプローチによる要求に応じて、セキュアなオペレーションの実施を支援します。

さまざまなタイプのサイバーセキュリティアセスメント

1. 脆弱性評価 – 接続された資産に関連する脆弱性を理解するための最初のステップ。脆弱性評価は、資産内に存在するセキュリティ異常/欠陥を特定するために、限定された範囲で完了する費用対効果の高い自動化されたプロセスです。このアセスメントにより、OTネットワークの安全を確保するための早急な対策の基礎が築かれます。
2. リスクアセスメント – 侵入･脆弱性評価を通じて特定された脆弱性にリスクと脅威をマッピングするプロセス。リスクアセスメントは、IEC62443やNISTサイバーセキュリティフレームワークなどの業界標準に照らして、人材、プロセス、手順のリスクを特定します。このアセスメントは、セキュリティ対策を検証し、内部および外部環境を脅威から保護するのに役立ちます。リスクアセスメントは、組織が全体的なセキュリティ評価を高めるための追加対策を計画するのに役立ちます。
3. サードパーティのリスクアセスメント – これらのアセスメントは、製造メーカの第三者が機器やソリューションをその環境に持ち込む際に課されうる関連リスクを定量化するために用いられます。
4. ペネトレーションテスト – ペネトレーションテストは、攻撃者の視点を通じて組織のセキュリティ態勢をテストするために脆弱性を悪用する詳細な方法です。これは、ギャップを特定し、コンプライアンスや規制要件を満たすための積極的なアプローチです。セキュリティギャップを認識することで、製造メーカは是正措置を計画･実行し、新たなセキュリティ管理策を採用することができます。
5. レッド･チーム･アセスメント – これはペネトレーションテストの一歩先へ進んだステップで、OT環境に対するサイバー攻撃のシミュレーションを伴う本格的な攻撃です。このアセスメントは、製造メーカが自社の防御能力をリアルタイムで監査するのに役立ちます。
6. インシデント対応準備評価 – 組織がサイバー攻撃に対抗する準備がどの程度整っているかを評価し、被害を軽減するために行なわれます。インシデント対応準備評価は、組織の準備とセキュリティ対策を評価するために第三者によって行なわれます。
7. 机上演習(TTX) – これは理論的なサイバーセキュリティアセスメントであり、サイバー攻撃が発生した場合に、組織内、特にセキュリティチーム内のさまざまな人材がどのように対応するかを評価することを目的としています。TTXは、さまざまな現実的なリスクとセキュリティインシデントのシナリオを実施することによって機能し、組織はそれに応じてインシデント対応計画とトレーニングの必要性を策定または修正することができます。

OTサイバーセキュリティをどのように進めているかにかかわらず、アセスメントを実施することで、製造メーカは業務の安全性を確保するための次のステップを踏み出したり、最新の脅威に対する既存の対策を検証したりすることができます。ロックウェル･オートメーションは、それぞれのリスク許容度と予算に合わせたサイバーセキュリティアセスメントの特定と実施を支援するツールと専門知識を備えています。ロックウェル･オートメーションのサイバーセキュリティチームは、上記の評価ポートフォリオ全体をサポートし、各組織の状況に対応できる体制を整えています。OTサイバーセキュリティアセスメントの詳細と、適切な評価の選択方法については、サイバーセキュリティのスペシャリストにお問い合わせください。