サイバーリスクと脅威の管理: 基本原則への回帰

毎日のように、新たなサイバー攻撃に関するニュースが流れています。今年の初めには、Microsoft、Intel、Cisco などの大手企業に影響を与えた SolarWinds のハッキングをはじめ、予防的な操業停止により石油・ガス供給を混乱させたコロニアルパイプライン攻撃などがありました。最近では、世界的なコンサルティング企業であるアクセンチュアに影響を与えた LockBit ランサムウェア攻撃なども挙げられます。独立した犯罪組織や国家の支援を受けたグループからのハッキングが明らかになったことで、企業の取締役会や政府の理事会、立法機関において懸念が高まっています。

これらのサイバー攻撃は、必ずしも新しい攻撃手法を使っているわけではなく、残念ながらより深刻で頻繁に発生しています。影響を受けないことを保証できる製造組織はありませんが、このような脅威からリスクを軽減するために、ビジネスおよびサイバーセキュリティのリーダーがサイロの除去、全体的な運用、ベストプラクティスを実施するための基礎的な行動があります。

当社は、これらの懸念が業界の最重要事項であることを認識しており、強力な基盤を構築してリスクを最小限に抑えるために、日々お客様と協力しています。ここでは、当社が製造業のお客様に最もお勧めしている基本的なガイダンスをご紹介します。

ビジネス・オペレーション・マッピングに取り組む
メーカーは、自社のビジネスおよび製造システムを各機能、収益源、ミッションにマッピングする必要があります。これにより、各プロセスの理解と当事者意識を得ることができ、企業のビジネス危機管理シナリオのように、サイバー攻撃に関する事業継続性と回復力の目標を達成することができます。一般的に、ビジネス・オペレーション・マッピングには、製造業務、工場のサイバーセキュリティ、ITセキュリティ、製造システム、企業システムなど、部門を越えたステークホルダーのスポンサーシップが必要です。これは大きな負担になる可能性があるため、多くのことを学び、フレームワークアプローチの実施を支援するための指導を受ける準備が必要です。

脅威を徹底的に分析
また、メーカーは徹底した脅威分析を行う必要があります。このプロセスの一環として、MITRE ATT&CK マトリックス、特に最近開発された MITRE ICS ATT&CK マトリックスを確認することをお勧めします。これは、実際の攻撃で使用される相手側の戦術と技術のグローバルな知識ベースに基づいています。

サイバーセキュリティ保護の評価
サイバーセキュリティ評価や監査を通じて、現在実施されているサイバーセキュリティの管理と運用を把握し、評価することが重要です。これには、新しい技術やプロセスのための人とスキルアップに焦点を当てる「人」、「プロセス」、「テクノロジー」の 3 つの主要な柱の評価が含まれる必要があります。テクノロジーは重要ですが、成功の原動力は人です。評価については、この分野の専門知識を持ち、産業用制御システムやオペレーションに精通している Emerson のようなオートメーションベンダーと協力するのが最善です。

防衛戦略の策定
脅威分析とサイバーセキュリティ評価から得られた情報を用いて、直接的および間接的なサイバー攻撃、または運用能力の喪失によって影響を受ける可能性のあるすべての業務において、弱点に対処し、リスクを軽減するための多層防御戦略を策定する必要があります。この戦略には、制御の回復性を確保するために、最も高いリスクへの優先的な対処を徹底できるよう、あらゆるギャップや脅威のリスクベースの優先順位付けも実施する必要があります。

「人」、「プロセス」、「テクノロジー」という同じ 3 つの柱を評価することで、強固な防御を確保するために、顧客が以下の要素に多く価値を見出したことが分かりました。外部リソース、従業員のトレーニング、スキル向上、特定のプロセス、技術的制御、システム、アーキテクチャの変更など。また、アクションプランも、組織の事業継続計画と災害復旧計画に一致させる必要があります。これは、システム異常やハードウェアの故障による運用停止と同様に、サイバー攻撃への対応計画には、封じ込めと復旧時間の目標に焦点を当てた、明確でアクティブなプロセスが必要です。

この防衛戦略には、最悪の事態を想定した計画を含める必要があります。例えば製造施設では、コンピュータがダウンした場合でも手動操作を継続するために、コンピュータシステムに障害が発生した場合の明確なバックアップ計画に加えて、注文、ラベル、連絡先のハードコピーを用意しておくことが不可欠です。これはすべての場面で可能とは限りませんが、バックアップ計画と継続計画を頻繁に見直しておくことで、企業をサイバー攻撃が発生した場合でも運用を継続できる最適な立場に置くことができます。

有効性の定期的なレビューおよび更新 
多層防御戦略が実施された後は、それが効果的であり、継続的な業務が危険にさらされたり、他のリスクが発生したりしないことを確認するために、計画的、意図的かつ定期的なテストおよびレビューが必要です。役割、責任および従業員のトレーニング内容は、新しい業務や技術が導入される度に更新する必要があります。

メーカーは、自社が直面しているサイバー脅威の規模と種類を把握するために、直ちに行動を起こす必要があります。脅威とサイバー攻撃は現実に存在し、著しいスピードで増加しています。重要なデータ、プロセス、およびビジネスオペレーションを保護するために、適切なプロアクティブかつ防御的なサイバーセキュリティの運用と管理を確保するには、メーカーおよびすべての企業がサイバーセキュリティを最優先する必要があります。ビジネスリーダーは、サイバーセキュリティのリーダーと連絡を取り、成功するために本当に必要なことを確認したうえで、これらのリスクを評価、理解、管理するための緊急性とサポートを取締役会レベルで確立する必要があります。