- グローバル事業全体におけるサイバーセキュリティリスクを、状況に応じた資産固有の視点から把握
- 予測的かつデータ駆動型の分析により、脆弱性の優先順位付けを改善
- サイバーセキュリティ対策、コンプライアンス要件、および戦略目標間の整合性を強化
- 事後対応型のリスク特定から、事前対応型のインテリジェンス主導型リスク管理へと移行
世界的な大手食品メーカは、米国に本社を置きながら、150カ国以上で事業を展開しています。この企業は、最高品質基準を実現するために、グローバルな製造ネットワーク全体で安全性、効率性、コンプライアンスを確保する上で、OT (制御技術)システムに大きく依存しています。
同社は、重要な業務を保護し、規制遵守を維持し、長期的な戦略目標を支援することに尽力しています。こうした取り組みを継続するため、高度なサイバーセキュリティとリスク管理の実践を求めていました。
- 従来型の国家脆弱性データベース(NVD)および共通脆弱性評価システム(CVSS)フレームワークに依存していたが、OT (制御技術)特有の脆弱性を評価するためのコンテキストが不足していた。
- データが不十分なため、サイバーセキュリティ対策の優先順位付けに苦労していた。
- リスク管理をより広範な戦略目標およびコンプライアンス目標と整合させることに困難を抱えた。
- ロックウェル・オートメーションと提携し、OT環境に特化した計算リスク評価(CRR)フレームワークを開発
- 各資産のビジネスおよび運用への影響を定量化するために、影響評価(CIR)を統合
- 脆弱性が悪用される可能性を予測するために、エクスプロイト予測スコアリングシステム(EPSS)を適用
- CIRとEPSSを組み合わせることで、リソース配分を的確に行なうための実用的なリスクヒートマップを作成
課題
従来のリスクフレームワークはOT環境のコンテキストを欠いていた
世界有数の食品メーカが、OT環境全体におけるサイバーセキュリティリスクをより正確かつ実用的な方法で管理するために、ロックウェル・オートメーションに相談を持ちかけました。
このメーカの既存のアプローチは、従来の国家脆弱性データベース(NVD)と共通脆弱性評価システム(CVSS)のフレームワークに大きく依存していました。これらのフレームワークはIT資産には有効でしたが、OT環境で求められる運用への影響、稼働時間、安全といったコンテキスト認識が欠けていました。その結果、メーカは脆弱性の優先順位付け、リソースの効率的な配分、そしてサイバーセキュリティ対策をより広範なビジネス目標やコンプライアンス目標と整合させることに苦慮していました。
ソリューション
計算リスク評価フレームワークの導入
ロックウェル・オートメーションとの提携により、このメーカは従来のリスク・アセスメント・プロセスの課題に対処するため、計算リスク評価(CRR)フレームワークを採用しました。
CRRフレームワークは、以下の2つの主要コンポーネントを統合しています。
- 影響度評価: 各OT資産 (サイト固有、ネットワーク、ハードウェア関連)の潜在的な影響を定量化し、それらの概念を測定可能で実用的なデータポイントに変換します。
- エクスプロイト予測スコアリングシステム: 予測分析を組み込み、実際のデータに基づいて、脆弱性が30日以内に悪用される可能性を推定します。
ロックウェル・オートメーションとメーカは、これら2つの評価を統合することで、重大な脆弱性とその影響を強調表示する動的なリスクヒートマップを作成しました。この視覚化により、メーカは最もリスクの高い資産に優先的にリソースを集中させることができました。
結果
自信に満ちた、統制のとれたリスク管理を支援
CRRフレームワークの導入を通じて、メーカはOTリスクに関する明確でデータに基づいた見解を得ることができ、サイバーセキュリティ、コンプライアンス、戦略的オペレーション間のギャップを埋めることができました。
メーカは、CIRとEPSSを活用してオペレーションに最も影響を与える可能性のある脆弱性を特定することで、事後的なリスク特定から、事前的かつ予測的なリスク管理へと移行しました。早期導入からのフィードバックにより、意思決定の効率性とリスク優先順位付けの精度が向上しました。
成果は以下の通りです。
- グローバルOT資産全体における状況に応じたリスクの可視化
- 予測分析による脆弱性の優先順位付け
- コンプライアンスおよび戦略目標との整合性
- 静的な評価から動的でインテリジェンス主導型のリスク管理への移行
公開 2026年6月2日
お客様へのご提案