Skip to content
EMERSON
Background
サイバーセキュリティ

サイバーリスクと脅威の管理: 基本的原則に戻る

著者: マイク・レスター

毎日のように、新たなサイバー攻撃のニュースが報じられています。 マイクロソフト、インテル、シスコなどの大手企業に影響を及ぼした SolarWinds へのハッキング、安全対策として操業停止を余儀なくされ、石油・ガス供給を混乱させた Colonial Pipeline への攻撃、そして最近ではグローバルコンサルティング企業アクセンチュアにも影響を与えた LockBit のランサムウェア攻撃など、例を挙げればきりがありません。 独立した犯罪組織や国家が関与するハッカー集団による攻撃の発覚が相次ぎ、企業の取締役会、政府機関、そして立法機関の間で懸念が高まっています。

これらのサイバー攻撃は、必ずしも新しい手法を用いているわけではありませんが、残念ながらその深刻さと頻度は増し続けています。 どの製造業組織もサイバー攻撃の影響を完全に回避できると保証はできませんが、経営者やサイバーセキュリティのリーダーたちは、サイロをなくし、全体的な視点で運用し、ベストプラクティスを導入することで、このような脅威によるリスクを軽減するための基本的な対策を講じることができます。

エマソンはこれらの懸念が業界にとって最重要課題であることを理解したうえで、強固な基盤を築き、リスクを最小限に抑えるために、日々お客様と共に取り組んでいます。 以下は、私たちが製造業のお客様に最も頻繁に推奨している基本的な対策ガイドラインです。

ビジネスオペレーションのマッピングを実施する

製造業者は、自社のビジネスおよび製造システムを、それぞれの機能、収益源、またはミッションに対応づけてマッピングする必要があります。 それにより、各プロセスへの理解と責任意識が深まり、サイバー攻撃などのリスクに対しても、事業を継続しやすく、回復しやすい体制づくりにつながります。 通常、ビジネスオペレーションのマッピングを行う際には、製造オペレーション、工場のサイバーセキュリティ、IT セキュリティ、製造システム、エンタープライズシステムなど、部門横断的な関係者が参加できるよう、経営層による支援や主導が必要となります。 これは容易な取り組みではないため、多くのことを学ぶ姿勢を持ち、フレームワークの導入を進める際には、専門的な助言を求める準備をしておくことが重要です。

脅威を徹底的に分析する

さらに製造業者は、念入りな脅威分析を行う必要があります。 このプロセスの一環として、実際の攻撃で使われた敵対者の戦術や手法をまとめたグローバルな知識ベースに基づく、最新の MITRE ICS ATT&CK マトリクスを含む MITRE ATT&CK マトリクスを確認することをお勧めします。
サイバーセキュリティ対策を評価する

現在導入されているサイバーセキュリティ対策や運用状況を、セキュリティアセスメントや監査を通じて把握・評価することが重要です。 この評価には、「人」「プロセス」「技術」という 3 つの主要な柱を含める必要があります。特に「人」に焦点を当て、新しい技術やプロセスに対応できるスキル向上を重視することが重要です。 技術は機能しますが、成功を導くのは「人」です。 評価を行う際は、この分野に精通し、産業用制御システムや運用現場にも詳しいエマソンのような自動化ソリューションベンダーと協力することが望ましいでしょう。

防御戦略を策定する

脅威分析やサイバーセキュリティ評価で得た知見をもとに、企業は多層防御の戦略を策定する必要があります。これは、直接的・間接的なサイバー攻撃や、運用能力の喪失によって影響を受ける可能性のあるあらゆる業務において、脆弱性を補い、リスクを軽減するためのものです。 この戦略には、リスクに基づいて脆弱性や脅威の優先順位を設定し、重大なリスクから優先的に対処する仕組みを含める必要があります。これによりレジリエンスを確保することができます。

「人」「プロセス」「技術」の3つの柱を評価する中で、多くの企業は、外部リソースの活用や従業員のトレーニング・スキル向上、新たなプロセスや技術的な管理手法、システムやアーキテクチャの見直しなどを通じて、防御体制の強化に大きな効果があることを実感しています。 アクションプランは、組織の事業継続計画や災害復旧計画とも整合させる必要があります。誤作動したシステムやハードウェア故障による運用停止と同様に、サイバー攻撃への対応計画にも、被害の封じ込めや復旧時間の目標に焦点を当てた、明確で実行可能なプロセスを定義しておくことが重要です。

この防御戦略には、最悪の事態を想定した計画も含める必要があります。 たとえば製造施設の場合、コンピュータシステムが停止した際に備えて、バックアップ計画を明確にしておくことが重要です。さらに、注文書・ラベル・連絡先などのハードコピーを用意しておくことで、システムがダウンしても手作業による運用を継続することが可能になります。 すべての状況でそれが可能とは限りませんが、定期的に見直されたバックアップ計画や事業継続計画を備えておくことで、サイバー攻撃を受けた場合でも事業を継続できる体制を整えることができます。

有効性を定期的に見直して更新する

多層防御戦略を導入した後は、その有効性を確認するために、計画的かつ目的を持って、そして定期的にテストと見直しを行い、戦略が実際に機能していることを確認するとともに、既存の運用を妨げたり、新たなリスクを生じさせたりしないことを確認する必要があります。 新しい運用手法や技術を導入する際には、役割や責任範囲、従業員向けのトレーニング内容もあわせて更新する必要があります。

製造業者は、自社が直面しているサイバー脅威の規模や種類を正しく把握するために、今すぐ行動を起こすべきです。 脅威やサイバー攻撃は現実に起こっているものであり、その規模と頻度は急速に拡大しています。 サイバーセキュリティは、重要なデータ、プロセス、そして事業運営を保護するために、適切な予防的・防御的な対策と運用を整備するうえで、製造業をはじめすべての企業が最優先で取り組むべき課題です。 経営層は、まずサイバーセキュリティ担当者と連携し、組織が効果的に取り組むために本当に必要なものを明確にすることが重要です。そのうえで、リスクを評価・把握・管理するために、取締役会レベルでの理解と支援、そして迅速な対応を確立することが求められます。

 

Go Boldly™
Go Boldly™

私たちは、世界をより健康、安全、スマートで、より持続可能なものにするイノベーションを推進します。

環境サステナビリティ
環境サステナビリティ

エマソンは、世界でも欠かすことのできない産業の一部において、測定可能なサステナビリティの進展の実現を支援し、同じ道を歩む他の企業を支援する態勢を整えています。

エマソンについて
エマソンについて

私たちは、世界で最も大切な産業のお客様が、現代生活が抱える大きな課題を乗り越えられるよう支援します。 詳細はこちらをご覧ください。