規制当局は、強固なサイバーセキュリティ対策を実施するよう、産業組織に対する圧力を強めています。米国証券取引委員会(SEC)のサイバーリスク管理規則や欧州のNIS2指令のような新たな義務化により、OT業務の保護強化が急務となっています。このような規制は、リモートアクセス、サプライチェーンの脆弱性、IT/OTの融合といった要因によって産業組織が直面する課題の増加に拍車をかけています。
ロックウェル・オートメーションは、このようなハードルを克服するために、サイバーセキュリティのリスクを低減し、オペレーションの最新化を図り、変化のスピードに対応するための以下の6つのステップを推奨します。
1. リスクアセスメントの実施
最大のリスクを把握するには、まず重要な資産を特定することから始めます。自動化された産業用脅威検出ツールを使用すれば、ネットワークに接続されている資産やデバイスのセキュリティリスクを伴う態勢を正確に把握することができます。
次に、OTペネトレーションテストを検討してください。ペネトレーションテストを実施することで、侵害行為に最もよく使用されるネットワークアーキテクチャ、資産、ポリシーやプロセスにおけるギャップを明らかにすることができます。
リスクアセスメントに関する貴重な情報については、以下のリソースを参照してください。
- NIST SP 800-30 — リスクアセスメントの実施に関するガイダンスを提供する。
- ISO/IEC 27005 — 情報セキュリティリスク管理のガイドラインを提供する。
- ロックウェル・オートメーションの産業サイバーセキュリティ対策アセスメント — 組織のサイバーセキュリティ対策と潜在的なギャップを素早く読取ることができる。
2. セキュリティ改善の優先順位付け
リスクベースのアプローチを適用することにより、セキュリティ改善の優先順位付けを行ない、最も重要なギャップに最初に焦点を当てます。上記の最初のステップで実施したリスクアセスメントによって、ギャップに関する知見を得ることができます。さらに状況を把握するために、次のような質問をしてください。
- この資産またはプロセスは、生産業務、稼働時間、データの完全性、または組織にとって重要なその他の要素にとって、どの程度重要ですか?
- 重要な資産はどのように保護されているか? 現在のセーフガードはリスクを低減しているか? 侵害のリスクを大幅に低減するサイバーセキュリティ保護が欠けていないか?
- ダウンタイム、コンプライアンス違反、罰金、風評被害、その他組織にとって重要な要素など、侵害された場合の潜在的なコストはどの程度か?
ギャップや改善に効果的な優先順位をつける前に、組織のリスク許容度を理解する必要があります。最終的には、組織の具体的な許容リスクレベルが、ここでの意思決定の指針となります。最も正確な意思決定を行なうためには、リスクと潜在的コストに関する定量化手法を適用するのが最善です。
3. サイバーインシデント対応計画の策定
NIS2とSECがインシデントの報告期限を最近厳しくしました。例えば、NIS2は既知のインシデントの詳細を24時間以内に報告し、72時間以内に完全な通知レポートを提供することを義務付けています。同様に、SECの新ルールでは、インシデントが重要であると判断してから4営業日以内に開示することが義務付けられています。
文書化された計画でプロセスと手順を確立することにより、チームがより効果的にインシデントに対応し、報告できるようになります。推奨されるインシデント対応計画の構成要素は次の通りです。
- インシデント対応チームに主要人員を割当てる。
- 各チームメンバーに役割と責任を適用する。
- インシデント分析のためのツールを使用して、インシデントデータを収集する。
- インシデントの報告、評価、対応に必要な手順とタイムラインを理解する。
4. 机上演習の実施
机上演習も、インシデント対応チームの効率を高めるために不可欠なステップです。対応担当者は、実際のサイバーセキュリティインシデントへの対応に投入される前に、ステップを通じて作業できるよう、計画を練習する必要があります。
また、定期的(四半期ごとから年1回まで)に演習を実施することで、チームの自信と能力を高め、継続的な改善をもたらすだけでなく、インシデント対応活動のスピードと効果を高めることができます。大規模な組織や重要なインフラ部門に属する組織は、より頻繁な、あるいは四半期に一度の机上演習を検討することをお奨めします。
机上演習の実施方法については、以下のリソースを参照してください。
- 米国のサイバーセキュリティ&インフラセキュリティ局(CISA)の机上演習パッケージ
- 英国国家サイバーセキュリティセンター(NSCS)のインシデント管理ガイダンス
- ロックウェル・オートメーションは、机上演習の設定と完了も支援
5. 多層防御ツールと戦略で保護を強化
どんなに堅牢なセキュリティツールでも、すべての脅威からOT環境を保護することはできません。多層防御戦略によってサイバーセキュリティの態勢を強化することで、サイバー攻撃に対するOTと組織のレジリエンス(回復力)を高めることができます。
多層防御には、ネットワークやエンドポイントからアプリケーションやアクセス管理に至るまで、あらゆるレベルでの制御を含める必要があります。
ロックウェル・オートメーションでは、以下のベストプラクティスを推奨しています。
- 産業用非武装地帯(IDMZ)でITとOTネットワークをセグメント化する。
- インシデントを検出し、セキュリティチームに警告を発し、根本原因分析と報告のためのデータ収集を行なう脅威監視システムを検討する。
- エンドポイント管理システムを導入し、脆弱性に効果的に対処する。
- 組織固有のニーズや要件に応じて、ウイルス対策、ファイアウォール、データ暗号化、リモートアクセス制御などのツールを導入する。
- ゼロ・トラスト・アクセス制御ポリシーを導入することで、デバイス、接続、ユーザを常に認証する。
- 産業共通プロトコル(CIP)セキュリティを適用し、通信攻撃からエンドポイントを保護する。
- 重要なOTシステムのバックアップを導入し、インシデントから迅速に回復する。
綿密な防御方法に関するより戦術的な情報については、NISTサイバーセキュリティフレームワーク、CISAのウェブサイト、CISの重要なセキュリティコントロールなどのリソースを確認してください。
6. 利害関係者の賛同を得る
規制当局の監視が強化されるにつれて、取締役会に対するサイバーセキュリティリスクの管理強化の圧力も高まっています。組織全体(現場からトップフロアまで)の主要な利害関係者の賛同を得ることで、強固な信頼基盤を構築することができ、業務保護に役立つ主要なセキュリティ対策に資金を提供し、実施する取り組みをより効果的に支援することができます。
消費者向けパッケージ製品を製造する世界的なあるメーカで、このようなことが起こりました。この企業は、適切なタイミングで適切な情報とプロセスを各グループに提供する段階的なプロセスに基づいて、複数の製造工場、IT部門、経営幹部全体を巻き込んだ新しいレベルのコラボレーションとパートナシップを実現しました。
利害関係者の賛同を優先させることで、貴重なリスク低減効果が日々生まれ続けています。
その他の役立つアドバイス
適切なプロセス、ツール、戦略に投資することで、強力で包括的なサイバーセキュリティ保護のための強固な基盤を構築することができます。
幸いなことに、このようなステップをガイドする支援があります。オートメーションと産業サイバーセキュリティの両方のリーダであるロックウェル・オートメーションのような信頼できるパートナと協力することで、サイバーセキュリティの取り組みを計画、実行、改善する際に、社内の専門知識を高めることができます。
詳細は、こちらからお問い合わせください。
