産業サイバーセキュリティにおける現在の脅威状況
産業の現場は、厳しいコンプライアンス要件、増大するサイバー脅威、そして限られた予算とリソースの中でIT (情報技術)とOT (制御技術)のサイバーセキュリティを連携させる必要性といったプレッシャーに直面しています。製造メーカは、OT向けの包括的なサイバーセキュリティ戦略を策定するために必要なビジョンを明確に定義したり、組織にとって許容可能なリスクレベルを理解したりすることが困難な場合が少なくありません。OTに特化したサイバーセキュリティポリシーを策定することで、運用面と行動面の両方から戦略的なビジョンを構築することが可能になります。OTのセキュリティ対策は、ツールやテクノロジだけでなく、人、プロセス、行動も考慮する必要があります。
OT特有の課題があるため、従来のITセキュリティ対策だけではOT環境を十分に保護することはできません。ロックウェル・オートメーションのOTポリシーと手順は、工場現場向けに設計された専用のガバナンスフレームワークによって、重要なギャップを埋め、お客様の成熟度を高め、生産目標の達成を支援します。
概要
OTに関するサイバーセキュリティの方針および手順は、産業組織におけるサイバーセキュリティ戦略の根幹を成すものです。これらは、OT環境の保護に関連する重要な機能や要件にどのように対処すべきか、また、サイバーセキュリティに関して従業員がどのように振る舞うべきかを明確に定義するものです。
多くの製造施設ではインフラの老朽化が進んでおり、サイバーセキュリティを考慮して設計されたわけではない、旧式の資産や旧式のシステムに依存しているのが現状です。こうした資産はサイバー脅威に対する脆弱性を抱えており、セキュリティを向上させるためには大規模なアップグレードや機器の入れ替えが必要となる場合があります。しかし、これらを実施するには通常、システムや生産ラインを一時的に停止(オフライン化)させることが求められます。OTインフラはその構造上、本質的に複雑であるため、多くの製造業者では自社の資産、脆弱性、そして全体的なリスク状況に対する「可視性(見える化)」が不足しています。「見えていないものは守れない」という言葉を耳にする機会は多いでしょうが、脆弱性の実に80%が制御システムネットワークの深部に潜んでいる¹ことを踏まえると、そうした可視性が確保されていなければ、脆弱性の修正・対処を行なうことは極めて困難となります。さらに、規制を取り巻く環境も著しく変化・進化しており、コンプライアンスを維持するために可視性を高める必要性が、かつてないほど高まっています。現在では、地域や地方自治体の規制において、製造メーカに対し堅牢なサイバーセキュリティ対策の導入が義務付けられるようになっています。もし対策を怠れば、多額の金銭的ペナルティや法的責任の追及に加え、企業の評判を著しく損なうといった深刻な事態に直面することになりかねません。
最後に、サプライチェーンが相互に密接に連携しているという性質上、チェーンの一部分でセキュリティ侵害が発生すると、その影響はネットワーク全体に波及する可能性があります。フォーティネット社のOTサイバーセキュリティレポートによると、製造業に対する攻撃の65%は、サプライチェーンへと拡大している²とのことです。そのため、すべてのパートナやサプライヤのセキュリティを確実に確認することは、サプライチェーン全体のセキュリティを維持する上で極めて重要となります。こうした複雑なセキュリティ情勢下において、オペレーションのデジタル化がますます進展している現状は、製造業にとってまさに「パーフェクトストーム(最悪の事態が重なった状況)」とも言えるものです。この事実は、安全かつセキュアなデジタル運用体制を確立することが、かつてないほど重要になっているという事実を、改めて浮き彫りにしています。
ITとOT: OTポリシーと手順が重要な理由
OTサイバーセキュリティポリシーと手順への投資は、ITとOT間のギャップを埋め、明確なガバナンスとコミュニケーションチャネルを確立するのに役立ちます。OTポリシーと手順は、生産速度を低下させたり、IT中心のポリシーをOTに押し付けたりすることなく、産業事業者がコンプライアンスを実証し、成熟度を高めるための包括的なガバナンスフレームワークを提供します。
OTに特化したポリシーを策定することは、組織全体にわたり一貫した形で、サイバーセキュリティ体制を強化しつつ、安全、物理的セキュリティ、およびITセキュリティを補完するための明確な目的と指針を定めるものです。これにより、デジタルトランスフォーメーション、ITとOTの融合、そしてスマート製造を実現するための強固な基盤が確立されます。
OTに関する明確なポリシーや手順が未整備である場合に生じがちな一般的な課題としては、製造現場における資産の所有権やアクセス制御が明確に定義されていないこと、セキュリティ更新プログラムに関するメンテナンス計画が策定されていないこと、そして資産インベントリの管理が不十分であることなどが挙げられます。
OTサイバーセキュリティポリシーの主要構成要素
効果的なOTサイバーセキュリティポリシーは、安全と可用性に重点を置き、資産インベントリ、ネットワークのセグメンテーション、多要素認証を用いたセキュアなリモートアクセス、脆弱性管理、および継続的な監視を優先事項として掲げます。OTに関するポリシーや手順を整備することで、お客様は規制への準拠をより迅速に達成し、サイバーセキュリティ成熟度を早期に向上させるとともに、IT、OT、およびビジネスの各ステークホルダーが一体となってOT環境の保護に取り組む体制を確立することができます。
OTサイバーセキュリティポリシーの主要な構成要素には、以下のものが含まれます。
- 明確な目的: ビジネスの優先順位およびリスク許容度に整合した目標設定
- 役割の明確化: OTセキュリティに関する説明責任およびオーナシップの確立
- 資産の可視化: OTシステムの正確かつ網羅的な資産目録の作成
- アクセス制御: 認証、認可、およびリモートアクセスに関するルールの策定
- ネットワークのセグメンテーション: 重要システムの分離による攻撃対象領域(アタックサーフェス)の縮小
- パッチ管理: 脆弱性に対処するための体系的かつ一貫したプロセス運用
- インシデント対応: 検知、対応、および復旧に向けたプレイブックの整備
- サプライチェーンセキュリティ: サードパーティのベンダーに対する管理・統制の実施C
- コンプライアンスへの準拠: IEC 62443, NIST SP 800-82, NIST CSF 2.0
- 教育・啓発: サイバーセキュリティ意識の高い組織文化の醸成
OTポリシーおよび手順がもたらす成果
OTに関するポリシーおよび手順は、産業用制御システム、重要インフラ、そして製造プロセスに対し、安全の大幅な向上、高い信頼性、および最適化されたパフォーマンスをもたらします。これらは、リスク管理、ダウンタイムの削減、そしてサイバー攻撃と運用上の不具合の双方からの物理的資産の保護を通じて、安全かつ法令に準拠した効率的な運用体制の維持を支援します。
OTポリシーおよび手順がもたらすものには以下のものがあります。
- 特定の要件、リスク、管理策、および手順に対する明確性と重点化
- 規制遵守: 取り組みが特定のOT関連の基準やガイドラインと直接的に整合していることの確認
- 運用の特異性への配慮: 産業用制御システム特有の運用特性を考慮に入れた対応
原則として、これらのポリシーは、OT環境における「物理的な隔離への依存」から脱却し、安全を損なうことなくデジタルトランスフォーメーションを支える、能動的かつ現代的で、堅牢かつセキュアな体制へと移行させるものです。
IT/OTの融合: ロックウェル・オートメーションのSecureOTはいかにしてそのギャップを埋めるのか
ロックウェル・オートメーションが提供するOTポリシーおよび手順は、OTシステムの保護を確実なものとし、お客様の重要インフラ、製造プロセス、およびデータをサイバー脅威から守ります。ロックウェル・オートメーションの産業用サイバーセキュリティ・ソリューション・スイートであるSecureOTは、産業分野とサイバーセキュリティの専門知識を結集し、OT環境の保護に向けた堅牢かつ先を見越した積極的なアプローチを実現するための、OTに特化したサイバーポリシーと手順を提供します。
SecureOTが掲げる顧客中心のアプローチは、お客様の要件やビジネス成果の達成に合致した一連の手順を提供する、きめ細やかなソリューションを実現します。ロックウェル・オートメーションの柔軟なアプローチは、お客様の現在の成熟度レベルに合わせて最適な形で支援を提供します。具体的には、お客様自身で発展させていける基礎的なドキュメント一式を提供するほか、お客様固有の環境に合わせてカスタマイズを行なうための専門知識も提供いたします。こうしたアプローチは、お客様が属する特定の業界におけるスケーラビリティの確保や、コンプライアンス、および各種規制要件への対応を強力に後押しします。SecureOTは、産業用オートメーションおよびOTサイバーセキュリティの分野における数十年にわたるベストプラクティスに基づき、その確かな専門性を実証してきました。
