リスクベースのアプローチによるサイバーセキュリティのコードの解読: Emerson の電力および水道事業者用のベストプラクティス

電力業界と水道業界にとって、デジタルトランスフォーメーションは多くの意味で諸刃の剣と言えます。

一方では、情報技術（IT）と運用技術（OT）の融合、接続性の強化、より大きなデータセットへの合理的なアクセスなど、信じられないほど技術的な進歩を成し遂げてきました。これは、公益事業および自治体の運用を最適化し、分散型エネルギー資源を安全に管理し、信頼性の高い低コストの電力を発電し、きれいな水を生産し続ける能力に革命を起こしました。

その一方で、電力や水道事業者が上記のようなメリットを生かすために事業を変革していく中で、サイバーセキュリティ攻撃や脅威に対して脆弱（特にそれらから保護する適切なアプローチやパートナーがいない場合）になっています。

現在、重要なインフラストラクチャに対するサイバーセキュリティ攻撃が増加しています。米国環境保護庁は、地域の水道システムのセキュリティ対策を監査する必要性を強調する覚書を発表し、産業用サイバーセキュリティのリーダーである Dragos は、最近、エネルギー分野に対する攻撃が引き続き増加していることを報告しました。

また、攻撃が増えるにつれてコストも増加します。実際、世界中で毎年発生するサイバーセキュリティ攻撃や脅威は、2023 年には世界に 8 兆ドルの損失をもたらすと予測されています。この損失は、2015 年の 3 兆ドルから増加しており、2025 年には 10.5 兆ドルまで増加すると予測されています。

重要なインフラストラクチャに電力を供給するグリッドに再生可能エネルギーを供給するため、より多くの風力発電所、太陽光発電施設、マイクログリッドなどの分散型エネルギー資源（DER）を導入することにより、ハッカーが遠隔操作で電力の流れを妨害する可能性がさらに高まっています。米国エネルギー省は 10 月の報告書で、DER は「電気網にサイバーセキュリティの新たな課題が生じている」とし、セキュリティを「コアコンポーネント」と設計する必要があると述べました。

今ではハッカーがより賢くなり、より洗練された技術を使い、多くの場合、標的とする企業よりも速く進化と革新を遂げています。そこで、次のような問題が生じます。企業はハッカーを遮断するために何ができるのでしょうか？

サイバーセキュリティに対するリスクベースのアプローチ

業界を問わず、リスクベースのアプローチを採用することで、潜在的な脆弱性を特定し、現在および将来にわたって企業を保護することができます。リスクベースのアプローチとは、すべての脅威を防御するのではなく、潜在的な脆弱性を特定し、各脆弱性の尤度と影響に基づいて戦略的な決定を行うことです。

サイバーセキュリティの取り組みを強化する際には、このようなベストプラクティスを考慮し、アプローチは全体的に実施され、常に進化していることを確認してください。

リスクの評価。

リスクの評価から、企業はリスクを事前に軽減するのに役立つ重要なインサイトを得ることができます。評価を実施することで、ネットワークセキュリティ、データ管理、境界保護など、重要なサイバーセキュリティ要素の準備状況を把握し、システム全体のセキュリティ体制をよりよく理解することができます。

システムへのアクセスを強化。

セキュリティ対策は煩雑である場合もあり、そのためセキュリティを限定的に行うことが望ましく感じられるかもしれませんが、攻撃者はそこを狙ってきます。従業員がセキュリティポリシーを意識し、リスクを常に評価し、社内で適切なセキュリティ文化を構築することで、システムへのアクセスを厳重に保つことができます。

強力なポリシーを確立。

どれほど高度で安全な対策であっても、ヒューマンエラーで台無しになることがあります。そのため、ソーシャルエンジニアリング、フィッシング、およびこれらと同じような攻撃によるリスクを軽減するために、確固たる管理ポリシーを従業員に教育し、強化することが重要です。

制御システムをアップグレードする。

ダウンタイムにはコストがかかるため、可能な限り避ける必要があります。適時にパッチやシステムアップグレードを適用することで、無防備なサーバーやワークステーションを保持するリスクを排除すると同時に、ダウンタイムを最小限に抑えることができます。

境界防御だけにとどまらない。

攻撃者は多くの場合、境界防御が施されていることを前提に、一般的なプロトコルと既知のサービスポートを使用して、制御システムのコンポーネントの侵害を行います。標的型攻撃に対処するには、システムの境界を制御し、カスタマイズ可能で適応性の高いファイアウォールを導入し、セキュリティ上のギャップを継続的にスキャンすることで、潜在的な侵入口を保護します。

リモートアクセスは適切に管理する。

ほぼすべての制御システムが、何らかの種類のリモート接続を導入していますが、リモートアクセスが一般的だからといって、それが安全な方法であるとは限りません。リモートアクセスが必要なシステムでは、リモートアクセスが監視され、安全に実装されていることを確認してください。セキュリティを強化するために、多要素認証を考慮することもできます。

制御システムを知る。

サイバーセキュリティのリスクベースのアプローチを開発および導入した後、使用中はリスクを常に監視し、攻撃や脅威の可能性をできるだけ早く特定します。サイバーセキュリティに対する最善のアプローチは、常に進化して適応していくことです。

今日、イノベーションを起こし、競合他社に追いつこうとする電力会社や自治体の公益事業にとって、デジタルトランスフォーメーションは、「あればいい」ものではなく、「必要不可欠」なものです。また、リスクはあるかもしれませんが、それらのリスクによって、従業員間のコラボレーションやイノベーションの促進、画期的な業務改善など、企業が得られる利益が妨げられることはないでしょう。

さらに、進化し続けるサイバーセキュリティの世界において、上記のベストプラクティスは単なる出発点にしか過ぎません。現在、電力会社や水会社は、事業とそれを守るためのリスクベースのアプローチを真に最適化するために、業界をリードするサイバーセキュリティソリューション（米国国土安全保障省の認定テロ対策技術として指定・認定されている Emerson の Ovation™ 制御システムなど）を自動化し、シームレスに事業に統合しています。

企業がサイバーセキュリティをいつ、どのように導入するかに関わらず、次の潜在的な攻撃や脅威に備えて、常に改善および進化させ、準備を万全にする機会があることを忘れてはいけません。

まだ攻撃されていないからといって、攻撃を受けないとは限りません。だからこそ、今日から時間をかけて、適切なアプローチを開発し、適切なパートナーと協力してください。今後、この努力は報われます。