事業を成功させるための防御： 増大するサイバーセキュリティ脅威への対応

メーカー、公益事業体、基幹インフラストラクチャの運営会社は、ますます高度なサイバーセキュリティ脅威に直面しています。攻撃は常に進化しており、共有化されたマルウェアや最先端のテクノロジーが新しい攻撃能力を脅威アクターに与えます。

サイバー攻撃の動機は、今も金銭を得ることがほとんどですが、国家ぐるみのアクターの介入が増加しており、さまざまな脅威アクターから産業制御スペースをターゲットにした攻撃の数も増加しています。

サイバーセキュリティ対策を効果的に行うには、最新の脅威に関する情報の更新、設備のリアルタイム在庫管理の実施、脅威検出機能の改善、装置や機器への最新防御対策の実装、システムへのパッチ適用と更新、インシデント対応機能の改善が必要です。また、ポリシーと手続き、従業員のスキルアップと定期トレーニングは、すべてがサイバーセキュリティの重要な要素です。リスクに基づいたアプローチに従うことで、重要システムを保護するために展開する必要があります。

産業用 IoT（IIoT）の潜在能力の開放を目指しているメーカーにとって、サイバーセキュリティは重大な懸念材料です。効果的なサイバーセキュリティが必要であることは十分に理解されていますが、業界内のテーマはあまり理解されていません。IIoT テクノロジーを設計・実装するには、新しいスキルとサイバーセキュリティ専門知識が必要です。新しいソリューションは、安全に実装・維持しないと新しい脅威ベクターの入口になってしまいます。

脆弱性の特定

製造業では、高額の設備投資費用を投じて設計されたソリューションは、システムの更新を怠ったり、変更の速度が遅くなったりしがちです。パッチを適用していなかったり、多層防御アプローチで適切に保護されていない古いシステムは、脆弱性が高まります。

産業用 IoT（IIoT）の潜在能力の開放を目指しているメーカーにとって、サイバーセキュリティは重大な懸念材料です

ユーザは、特定された脅威や攻撃に対応して講じる対策に優先順位を付け、その対策のロードマップを作成する必要があります。これには、すべての人員、プロセス、テクノロジーについて、各ライフサイクルにおいて、組織内でインシデント対応およびバックアップ/リカバリ計画を導入し、定期的にテストすることが含まれます。ユーザアカウント管理などのシンプルな対策でも、最初に承認されてから組織を離れるまでの各ユーザのライフサイクルに対処する必要があります。

組織のデジタルトランスフォーメーションを支援する新しいシステムやサービスを導入するために、IT および OT ステークホルダーが協力する必要性が高まっています。サイバーセキュリティ戦略を策定する上で、IT および OT ステークホルダーは、お互いの強みと、最高水準のセキュリティを維持しながらビジネス目標を達成する方法を理解する必要があります。

IT は高度に標準化されたプロセスを、OT はより設計を考えたソリューションを取り入れ、それぞれの専門知識を持ち寄って差別化を図りましょう。両ステークホルダーの目標をレビューし、ギャップやオペレーションに与えるリスクを避けるために要件を確立する必要があります。オートメーションサプライヤは、システムセキュリティを強化し、エンドユーザがサイバーセキュリティ評価に優先順位を付けやすくするセキュリティ制御、手続き、サービスの階層型製品を提供することで、セキュリティ保護されたシステムの展開をさらに成功させることができます。

組織は、制御システムプロジェクトの概念・基本設計中にサイバーセキュリティを考慮する必要があります。サイバーセキュリティ防御の追加は後手に回ることが余りにも多く、これではサイバーセキュリティをプロジェクトに組み込むよりもコストがかかる割には効果がほとんどありません。これは「シフトレフト」コンセプトと呼ばれます。適切なサイバーリスク分析と連動した設計によるセキュリティ保護には、セキュリティ機能および制御のレビューを含め、増大するサイバー脅威状況に対するその有効性を確保する必要があります。

サイバーセキュリティイニシアチブのビジネス正当化を支援するために、今までに実施されたサイバーイニシアチブの進行状況と、追加のサイバー保護を展開することで提供される潜在的な保護を表すリスク低減メトリックとしてアセスメントを使用できます。サイバーセキュリティ機能を適切に正当化する方法は、「シフトレフト」コンセプトを導入することです。このコンセプトでは、プロアクティブ（積極的）セキュリティにかけるコストは、リアクティブ（受動的）セキュリティにかかるコストの 60 倍以上に相当します。

攻撃が実際に行われた場合、それを撃退する最善策は、実践的なインシデント対応計画書を用意することです。つまり、サイバーセキュリティ機能、制御、念入りな計画なくして、攻撃をうまく撃退することはできません。

文化問題
サイバーセキュリティが組織文化の一部ではない場合 、従業員は意図しない行動により脆弱性を引き起こす重大なサイバーリスクを生み出します 。広範囲にわたるサイバーセキュリティ文化は 、外部および内部の脅威のリスクを軽減します 。新しい技術と関連するサイバーセキュリティに関するスキルアップ担当者は 、サイバーセキュリティ文化を構築するのに役立ちます 。

つまり、サイバーセキュリティ機能、制御、念入りな計画なくして、攻撃をうまく撃退することはできません

従業員のテクノロジーおよびサイバーセキュリティ能力を高めるためのトレーニング機会を作ることは極めて重要です。スキルアップには時間がかかりますが、サイバーセキュリティの実行責任および説明責任を意識して受け入れるように従業員を教育することは、最初の一歩として適切でしょう。サイバーセキュリティが誰か担当者の責任ではなくなると、従業員は自然に質問を多くするようになり、意図しない結果を予防するための専門知識を持つ同僚と協力するようになります。

サイバーセキュリティに必要なのはテクノロジーだけではありません。サイバーセキュリティには行動および企業文化の変容が必要です。意味のある行動変容を推進する上で、サイバーセキュリティの「理由」および「方法」について組織全体で考え方を深く浸透させることが重要です。したがって、人員、プロセス、テクノロジーを網羅するサイバーセキュリティ文化を構築することが重要です。