- NIST CSF成熟度スコアが全カテゴリで2倍に向上
- OT資産と脆弱性を一元的かつリアルタイムに可視化
- 経営幹部に定量化可能なサイバーセキュリティROI指標を提供
ある総合エネルギー企業は、規制の厳しい資産と規制の緩い資産を含む多様な資産ポートフォリオを管理しています。同社は事業継続を最優先とし、産業用制御システム全体のサイバーセキュリティ強化に取り組んでいます。
- OTサイバーセキュリティ投資のROIを明確に測定する方法が不足しており、産業用制御システム向けのITに重点を置いたフレームワークも不十分
- 可視性の限界と時代遅れのプロセスにより、資産管理、保護、脅威検知、復旧の成熟度が低い
- 資産と手順に関する基礎データが不足しており、技術面と手順面で大きなギャップが生じている
- NISTサイバーセキュリティフレームワークを採用し、成熟度プロファイルを定義し、施設全体のOTサイバー体制をベンチマークしました。
- ロックウェル・オートメーション傘下のVerve®のVerveセキュリティセンターおよびVIPサービス
- エンド・ツー・エンドの可視性と制御を実現する6つの統合モジュール
課題
可視性とROI指標の欠如
多様な資産ポートフォリオを持つある総合エネルギー企業は、ITサイバーセキュリティ体制を大幅に強化しました。そして今、OT環境についても同様の強化を行なう必要がありました。
CEOとCFOは、サイバーセキュリティ支出に対する測定可能なROI (投資収益率)を、事例証拠や侵入追跡にとどまらない形で確認する必要がありました。同社は多層防御アプローチを必要としており、目標状態プロファイルを確立し、進捗状況をベンチマークするためにNISTサイバーセキュリティフレームワーク(CSF)を選択しました。
同社は、NIST CSFのベースラインを確立するため、従業員へのインタビューとOT環境全体にわたる成熟度調査を実施しました。その結果、重大な懸念事項が浮き彫りになりました。資産管理、保護技術、脅威検知、復旧の各分野における成熟度スコアは低かったのです。資産と脆弱性の可視性が限られていたため、情報に基づいた意思決定や推進力の構築に必要な基礎データが不足していました。
ソリューション
Verveセキュリティセンターによるコンプライアンスと可視性
この総合エネルギー企業は、ロックウェル・オートメーション傘下のVerve®のVerveセキュリティセンターを採用しました。このセキュリティセンターには、以下の6つの完全統合モジュールが含まれています。
- アセットマネージャ: OS、ネットワーク、組み込みOTデバイス全体の包括的なインベントリ管理
- パッチおよび脆弱性マネージャ: 安全なクローズドループ修復
- エンドポイント保護: ICS環境向けにカスタマイズされたウイルス対策とアプリケーション許可リスト機能
- SIEM: ログ、NetFlow、デバイスの動作を相関分析
- バックアップおよび復: Dell EMCのAvamarプラットフォームを使用して、ネットワーク全体で拡張可能で、低帯域幅のレジリエンス(回復力)を実現
- レポートおよび分析: コンプライアンスレポートの簡素化と経営幹部への可視性向上
これらのモジュールを組み合わせることで、NIST CSFに準拠したスケーラブルな集中型プラットフォームが提供され、企業は資産の状態、脅威、修復アクションに関する洞察を得ることができました。
結果
18カ月でサイバーセキュリティ成熟度が倍増
Verveセキュリティセンターを18カ月間導入した後、この総合エネルギー企業は、同じNIST CSF成熟度プロファイルに基づいて進捗状況を再評価しました。その結果、すべてのカテゴリで成熟度スコアが倍増し、特に資産インベントリ、保護・検知技術、バックアップ・復旧において顕著な向上が見られました。
運用オーバヘッドの削減
Verveセキュリティセンターは、資産検出、パッチ追跡、コンプライアンス報告といった労働集約的なタスクを自動化することで、運用オーバヘッドの削減にも貢献しました。これにより、セキュリティチームはより優先度の高い脅威や戦略に集中できるようになりました。
公開 2025年9月26日
お客様へのご提案