サイバーセキュリティが安全対策の不可欠な要素である理由

リスクを知る

今日、セキュリティ規格と安全規格は両方とも、すでに安全とセキュリティリスクとの間の関連性を認識しています。

サイバーセキュリティ規格ISA/IEC 62443-1-1は、セキュリティ侵害が情報を危険にさらす以上のダメージをもたらすことに触れています。規格では次のように記されています。「予想される人命や生産の損失、環境への悪影響、規制違反、およびオペレーションの安全を危うくすることは、はるかに深刻な結果をもたらします。これらは、対象となる組織を超えて影響を及ぼす可能性があり、対象となる組織の地域や国のインフラに重大な損害を与える恐れがあります。」

機能安全規格IEC 61508-1は、機器に関連した危険事象および制御システムは、 すべての合理的に予見できる状況の下で決定されなければならないことを規定しています。規格では次のように記されています。「これは関連するあらゆる人的要因の問題を含み、異常なめったに起こらないEUCの動作モードに特に注意を払うものとします。危険事象分析が、セキュリティの脅威を構成する悪意のあるまたは不正な行動を合理的に予見できるものとして特定した場合、セキュリティの脅威分析を実行すべきです。」

セキュリティは安全と同じように、リスク管理、継続的な評価の活用、および確実にリスクを入り口で管理できるためのベースラインに基づいて問題にアプローチします。許容できるリスクのレベルは、業界や予想される結果により異なります。

ほとんどのサイバーセキュリティ攻撃は、業界や知名度のために特別にターゲットとされるのではなく、攻撃者が単に脆弱なターゲットを見つけたということに基づいています。サイバーセキュリティ攻撃は、実質的にどの産業でも起こりうる状況です。サイバーセキュリティリスクを評価し、 許容可能なリスクのレベルを決定して、特定したリスクを許容可能なレベルにまで軽減することは、今や基本的に「妥当な」手順であり、人々を予見できる誤用や悪意、不正な行動から守るのに役立ちます。

安全とともに、サイバーセキュリティと関連するリスクを無視することは、「リスクについて知らなければ、責任を取る必要はない」という誤った認識です。それは、倫理的にまたはコンプライアンスのために、特に命がかかっている場合には許容できる姿勢ではありません。

共にリスクに対応

コネクテッドテクノロジに伴うリスクを、最新化に反対する論拠として使っている人たちもいます。しかし、何もしないことは解決策ではないということを認識することが重要です。旧式のシステムをあまりに長く維持することは、貴重な洞察とその他のIIoTの利益を失うだけではありません。これらのシステムは、多くの場合最新システムのセキュリティ対策にも欠けており、少なからず脆弱です。

優れたアプローチは、プロセスの不可欠な要素として安全とセキュリティを保護しながら、デジタルトランスフォーメーションを最大限に活用することです。これを実行するときに、いくつかの鍵となる項目に注意してください。

例えば、多くのセキュリティ対策が長い間ITの世界で使用されていますが、それらはOT (運用技術)の世界では新しいものです。また、移行手順の多くが比較的似ていても、フロントオフィスにはプラントフロアと大きく異なって適用されます。

製造環境では、サイバーセキュリティと安全リスクは両方とも、リスク管理の不可欠な要素であり、変化プロセス(MOC)の不可欠な要素であるべきです。しかも、環境および労働安全衛生(EHS)の専門家は、管理プロセスおよび規格と法令の順守に関与すべきです。

産業の新世代の登場です。インダストリ4.0の利点は、増大するリスクを確かに上回ります。デジタルの新たな取組みのための不可欠な要素としてリスクを理解し軽減することにより、お客様にとって一番重要なものを守ることを支援しながら、必要なオペレーション能力を拡大できます。

産業用セキュリティについては、こちらをご覧ください。

ロックウェル･オートメーションはグローバル･サイバーセキュリティ･アライアンスの設立メンバーであり、複数のISA/IEC 62443証定を受けています。