守ることで未来を拓く: 拡大するサイバーセキュリティ脅威への対応
著者: マイケル・T・レスター
製造業、公共事業、そして重要インフラを運用する事業者は、ますます高度化・巧妙化するサイバーセキュリティの脅威に直面しています。 攻撃者は、商用化されたマルウェアや高度な技術を利用して新たな攻撃手段を手に入れており、攻撃の手口は常に進化し続けています。
サイバー攻撃の主な動機はいまだに金銭的利益ですが、国家主体による関与が増加しており、さまざまな脅威行為者によって産業用制御システムを標的とする攻撃も増えています。
効果的なサイバーセキュリティを実現するには、最新の脅威情報を常に把握し、資産のリアルタイム管理を行い、脅威検知能力を高めることが重要です。さらに、機器やデバイスに最新の防御対策を適用し、システムのパッチ適用や更新を確実に行い、インシデント対応能力を向上させることが求められます。 加えて、リスクベースのアプローチに基づいて重要システムを保護するには、ポリシーや手順の整備、人材のスキル向上、定期的なトレーニングの実施といった取り組みもサイバーセキュリティの重要な要素となります。
産業用モノのインターネット(IIoT)の可能性を最大限に活用しようとする製造業にとって、サイバーセキュリティは極めて重要な課題です。 効果的なサイバーセキュリティの必要性は広く知られていますが、業界内で問題についての大きな理解はあまりありません。 IIoT 技術の設計と導入には、新たなスキルとサイバーセキュリティに関する専門知識が求められます。 新しいソリューションを活用しても、安全に導入・運用しなければ、新たな脅威の経路を生み出す可能性があります。
脆弱性を特定する
製造業では、設備投資コストの高いエンジニアリングソリューションが多いため、システムの更新に慎重になりやすく、変化のスピードが遅くなる傾向があります。 パッチが適用されていなかったり、多層防御が十分に施されていなかったりする旧式のシステムは、最も脆弱で攻撃を受けやすい状態にあります。
産業用モノのインターネット(IIoT)の可能性を最大限に活用しようとする製造業にとって、サイバーセキュリティは極めて重要な課題です。
ユーザーは、特定された脅威や攻撃に対して取るべき行動の優先順位を明確にし、その対応策を段階的に示すロードマップを作成する必要があります。 これには、組織内のすべての「人」「プロセス」「技術」に対して、ライフサイクル全体を通じてインシデント対応計画やバックアップ/復旧計画を導入し、定期的にテストを行うことも含まれます。 たとえばユーザーアカウント管理のような一見単純なものであっても、利用者が最初に承認される時点から、組織を離れる時点までのライフサイクル全体を適切に管理する必要があります。
組織のデジタルトランスフォーメーションを支援する新しいシステムやサービスを導入するには、IT と OT(運用技術)の関係者間の連携がますます重要になっています。 サイバーセキュリティ戦略を策定する際には、IT と OT の関係者がそれぞれの強みを理解し合い、高いセキュリティ水準を維持しながら、どのようにしてビジネス目標を達成するかを共有することが重要です。
それぞれの専門分野には異なる強みがあり、IT は高度に標準化されたプロセスを持つ一方、OT はよりエンジニアリング的なアプローチによるソリューションを提供します。 IT と OT 両者の目標を見直し、要件を明確に定義することで、運用上の抜け漏れやリスクを防ぐ必要があります。 自動化ソリューションの提供者は、システムのセキュリティを強化し、エンドユーザーがサイバーセキュリティ評価の優先順位をつけやすくするために、多層的なセキュリティ対策、手順、サービスを組み合わせたソリューションを提供することで、安全なシステム導入をより効果的に支援できます。
組織は、制御システムのプロジェクトにおけるフロントエンドエンジニアリングおよび設計段階から、サイバーセキュリティを考慮に入れる必要があります。 サイバーセキュリティ対策は後付けされることが多いのが現状ですが、これはコストがかさむうえに、プロジェクトの初期段階からセキュリティを組み込む場合に比べて効果が十分に発揮されないことが少なくありません。 これは「シフトレフト(Shift Left)」という概念として知られています。 「セキュア・バイ・デザイン」と適切なサイバーリスク分析を組み合わせることで、セキュリティ機能や対策を見直し、拡大するサイバー脅威に対して十分に効果があるかを確認することが重要です。
サイバーセキュリティ施策の導入を正当化するために、アセスメントはリスク低減の指標として活用できます。これにより、これまでに実施されたサイバー施策の進捗状況や、追加のサイバー対策を導入した場合に得られる潜在的な保護効果を示すことができます。 サイバーセキュリティの投資を正当化する有効な方法のひとつとして、「シフトレフト」の考え方があります。これは、予防的なセキュリティに投入した 1 ユーロの費用が、事後対応にかかる 60 ユーロ以上のコストに相当すると見なせる、という考え方です。
万が一攻撃された場合、それを乗り越えるための適切な方法は、文書化され、実際に訓練されたインシデント対応計画を持っておくことです。 要するに、サイバーセキュリティ機能や対策、そして十分に練られた計画がなければ、攻撃を乗り越えることは容易ではありません。
文化的な問題
組織の文化としてサイバーセキュリティが根付いていない場合、従業員の意図しない行動が脆弱性を生み出し、大きなサイバーリスクとなる可能性があります。 組織全体にサイバーセキュリティ文化が浸透すれば、外部からの脅威だけでなく内部の脅威からのリスクも低減できます。 新しい技術やそれに関連するサイバーセキュリティに関するスキル向上を従業員に行うことで、サイバーセキュリティ文化の醸成を促進できます。
要するに、サイバーセキュリティ機能や対策、そして十分に練られた計画がなければ、攻撃を乗り越えることは容易ではありません。
従業員の技術力とサイバーセキュリティ能力を高めるためのトレーニング機会を設けることは極めて重要です。 スキル向上には時間がかかりますが、従業員がサイバーセキュリティに対する責任と説明責任を自覚するよう教育することが、まず取り組むべき第一歩となります。 サイバーセキュリティが「誰か他人の責任」ではなくなれば、自然と従業員はより多くの疑問を持ち、専門知識を持つ人と連携して、意図しない結果を防ごうとするようになります。
サイバーセキュリティは、単に技術だけで実現できるものではありません。 行動や組織文化の変革も不可欠です。 組織全体でサイバーセキュリティの「なぜ」と「どうやって」を深く理解することは、実質的な行動変容を促すうえで極めて重要です。 そのため、「人」「プロセス」「技術」を包含するサイバーセキュリティ文化を構築することが大切です。
