お問い合わせは、以下までお願いします。
Beatrice Zvosec
Padilla
612.455.1914
beatrice.zvosec@padillaco.com
筆者: ロックウェル・オートメーションのコンサルティングサービスの製品ラインマネージャ ウメール・マスードとロックウェル・オートメーションのIIoTサービスのグローバル・マーケティング・ディレクタ シャーマン・ジョシュア
食品飲料メーカがスマートマニュファクチャリングのパワーを利用するペースは、急速にはやまっています。食品飲料メーカは接続することの価値とそれによるチャンスを認識しています。接続することで生産工程のより深い洞察を獲得し、食品安全に関わる実務と可視性を改善し、食品安全の問題を解決したり、発生を防止することができることを認識しています。しかし、この重要な傾向には、不十分なサイバーセキュリティに起因する脆弱性という、一層懸念される別の問題が伴います。
セキュリティ脅威の形式は、物理的なものとデジタル、社内と社外、悪意のあるものと意図的でないものというように、かつてないほど多様化しています。実際のところ、セキュリティインシデントの影響を受けない組織はありません。さらに、オペレーションを接続すればするほど、セキュリティリスク、特にサイバーセキュリティリスクは高まります。
世界には実にさまざまな敵対者が潜在しており、それらすべての目標と方法は異なります。特に食品飲料会社が標的になると、食品安全および国の食品供給の健全性が直接脅かされる可能性があります。敵対者が食品飲料会社を標的にして攻撃方法をテストし、最終的に別の組織や業界を標的にする可能性もあります。潜在的な脅威はすべて、食品飲料のオペレーション、ブランド、およびサービスを提供している消費者に対する重大なリスクとなります。
規制が厳しい業界ほど、他の業界よりもかなり早い時期に接続することを強いられ、増大するセキュリティニーズに取り組むことを強制されます。一時は、食品の安全と品質に関連する多くの食品飲料メーカの注目の的は、伝統的な物理的セキュリティを考慮することに留まっていました。現在、多くの企業はセキュリティアプローチを新たに見直して、接続された環境において包括的でまとまりのあるものにしようとしています。
リスクベースアプローチ
サイバーセキュリティは、予期しないことが起こる旅のようなものです。確実な方法やあらゆる状況に対応できるものがあって、恒久的にセキュアな環境を作り出すことができるものではありません。メーカはさまざまな機能や制御を導入し、神出鬼没の脅威に対抗、対応する必要があります。
リスクベースアプローチでは、組織が直面する、人材、プロセス、技術関連の固有リスクを特定し、ポリシーと手順を実装してリスクに対応します。これにより、メーカは柔軟に作業量を調整し、適切なリソースを割当て、組織で許容可能なレベルまでリスクを軽減できます。
このアプローチを適切に行なうと、その価値はセキュリティが明確に意味するものを超えていきます。生産性向上が促進され、無用な損失を防ぐことができるようになります。メーカは、サイバーセキュリティプログラムを実施すると、資産全体を見渡すことができるようになり、より効果的に問題を特定して修正できるようにもなります。例えば、エンジニアが生産環境でPLCにリモートアクセスできると、生産性レベルを維持できるという利益を享受できます。ただし、適切に制御しないと、エンジニアが誤ったPLCにアクセスして、無益な中断を引き起こし生産性が阻害されることがあります。
メーカは、どのようにして既存のセキュリティプログラムを評価し、包括的なリスクベースアプローチを取る方法を見出せるでしょうか。検討すべき主な領域は、組織のサイバーハイジーン、多層防御(DiD)戦略、攻撃連続体全体にわたる計画の3つです。
サイバーハイジーン
食品飲料メーカが、スマートマニュファクチャリングを導入したのがつい最近である場合、または実施しているサイバーセキュリティをアップデートしている初期段階の場合は、当然ながらサイバーハイジーンがスタート地点になります。4つの主なプログラム領域に対応すると、組織で基礎レベルのサイバーハイジーンを確立できます。
最初に、プラントフロアで接続されている資産の完全な在庫を調べて、それら資産の既知の脆弱性を確認します。この資産インベントリは、定期的に保守して更新する必要があります。2番目に、組織で資産の既知の脆弱性に対応するプログラムを作成してパッチを定期的に適用します。また、構成変更を実施し、それを追跡するための十分に検討されたプロセスが実装されていることを確認します。次に、すべての重要な資産にバックアップと復旧メカニズムを採用することが重要です。これにより、適切なバックアップが確実に準備されていることが周知され、必要に応じてすぐにアクセスできるようになります。最後に、組織で定期的なリスクアセスメントを行ない、継続的にリスクを測定して管理します。この評価により、組織がさらされているリスクのレベルと、そのリスクの軽減に必要となるリソースの最新の情報を確認できます。
これは、サイバーセキュリティの基盤を構築する基本手順であり、組織はここから基盤構築を継続して行ないます。適切なサイバーハイジーンを維持することは不可欠ですが、接続された組織はさらに一歩踏み出して、すべてのオペレーション全体に実装される、さらに堅牢なサイバーセキュリティプログラムを開発することを望むでしょう。
多層防衛
今日のように脅威と攻撃者が多様になると、隠蔽によるセキュリティアプローチでは組織を十分に保護できなくなります。組織では、一元的な保護は破られる可能性があり、結果的に破られるという考えのもとにセキュリティを構築する必要があります。多層防衛戦略では、物理的、電子的、手続き的な安全防御により複数の保護レイヤを作成します。脅威が迫っても、組織には複数の防衛が配備されているのです。
多層防衛戦略は、ポリシーと手順、物理的、ネットワーク、コンピュータ、アプリケーション、デバイスという、6つの主なコンポーネントから構成されます。すべての組織のセキュリティ戦略は固有ですが、それぞれのコンポーネントはアプローチ全体を有効にするために果たすべき役割を持っています。
ポリシーと手順では、セキュリティの人間的側面に対応して従業員の行動を規定し、セキュリティが正しく実践されていること、および技術が適切に使用されていることを確認します。物理的セキュリティでは、社外と社内の両方の関係者に施設へのアクセスを制限します。人材については、アクセスを厳密に管理し、施設内の領域の観点だけでなく、制御盤、配線、デバイスなどの物理ネットワークインフラのエントリポイントでもアクセスを制限します。
ネットワーク・セキュリティ・フレームワークを開発するには、ITとOTが緊密にコラボレーションし、提携することによって適切な技術とポリシーを特定して実装する必要があります。この技術では産業用非武装地帯(IDMZ)を組み込み、企業と産業用ゾーンを分離して、アクセスを管理し、トラフィックを監視できるようにします。
コンピュータコンポーネントが極めて重要なのは、侵入者がオートメーションシステムに侵入する格好の手段としてソフトウェアの脆弱性を利用するためです。パッチ管理、ウイルス対策ソフトウェア、アプリケーションのホワイトリスト、ホスト侵入検出システムなどの対策により、組織のコンピュータ資産を強化できます。生産アプリケーションレベルでは、セキュリティデバイスで物理的アクセスとデジタルアクセスを両方とも制限する必要があります。認証、許可、およびアカウンティング(AAA)ソフトウェアにより、アプリケーションのアクセスと変更を制限、モニタできます。
多層防御セキュリティの最後の領域はデバイスです。組織では、デバイス認証を導入して許可されないデバイスを識別すること、および組込みデバイスのデフォルト構成を変更することを検討する必要があります。
多くの多層防御アプローチでは、積極的な防衛対策に集中して、脅威が完全に顕在化することを防ぎます。ただし、組織としてセキュリティインシデントに発展しそうな、潜在的な脅威のライフサイクル全体を調査して脅威に備えることも重要です。
攻撃連続体
最も堅牢で効果的なサイバーセキュリティプログラムは、攻撃連続体の各フェーズ、つまり攻撃の発生前、発生中、発生後に対応します。上記で詳しく説明した手順や活動は攻撃発生前フェーズに直接関係し、このフェーズでは組織がITとOTの両方で資産を特定して保護することに集中する必要があります。リスク管理計画および堅牢なサイバーセキュリティプログラムを徹底して頻繁に更新すると、組織は最高の状態で攻撃の発生を最小限に抑えることができます。
脅威が複雑化して発展している状況では、常に警戒する必要があります。組織は期待されるパターンやベースラインに従わないネットワーク動作を監視して検出するシステムを配置して、攻撃中には攻撃に対応してシステムを調整し、可能性のある脅威を防ぎます。
攻撃後の最優先事項は、安全な生産を確保して、サイバー攻撃の結果として生じるダウンタイムを最小限にすることです。組織のリスク管理計画には、攻撃を封じ込めてその効果を根絶し、迅速に復旧するプロセスを含める必要があります。また、根本原因を特定することを目標にしてインシデント後に行なう調査の手順の概要、および耐性を強化するプランを策定する必要もあります。
対策
食品飲料メーカは、長年にわたり、物理的セキュリティ対策に集中し、食品の品質と安全を向上させ、消費者を保護し、国の食品供給をまかなってきました。しかし、今日の接続された環境では、物理的セキュリティとサイバーセキュリティが密接にリンクしています。今こそ、この業界全体の各組織が堅牢なサイバーセキュリティプログラムを実装していることを確認し、広範囲に及ぶ潜在的リスクと脅威を軽減すべき時です。物理プログラムとサイバーセキュリティプログラム全体に同じような厳格さを適用すれば、食品飲料メーカは人々を守るだけでなく、ブランド、名声、金銭的な利害も守れる最高の立場に立つことができます。