心配事は実は同じ、IT/OT部門がセキュリティ対策で協調するのに必要なこと産業制御システムのセキュリティ(2/2 ページ)

» 2022年03月07日 09時00分 公開
[貴島直也MONOist]
前のページへ 1|2       

IT部門もOT業務への理解深化を

 OT部門がITへの認識を改めるべきであるのと同様に、IT部門もOTの世界はITとは違うこと、OT環境の半サイバー、半物理的な特質には、極めて深刻な影響をもたらす動的なリスクがあることを認識する必要があります。IT部門はOT部門のオペレーションが「なぜそのような形ややり方に従っているのか」を理解する必要があります。

 両サイドの知識ギャップは、ITとOTのコラボレーションを推進すれば埋めることができ、また、企業のトップレベルがOT環境におけるサイバーリスクについて理解することによっても改善できます。幹部レベルでの理解は、全てのステークホルダーがOTセキュリティを優先項目にするための下地として重要です。

 ただし、IT担当者がOT業務に関与することに、OT側から抵抗感が示される可能性もあります。主に、外部の人間が関与するとダウンタイムが発生しかねないとOT部門が懸念する向きがあるためです。工場長の賛同がなければ、CISO(最高情報セキュリティ責任者)がいくら努力しても、あまり状況に進展は望めません。

 また、OT部門では「壊れていないものには触るな」という考え方が幅を効かせており、これを乗り越えるのも一苦労になるかもしれません。対策としては、サイバー衛生を受け入れることのメリットについてCISOが工場長に説明することに注力するというものがあります。いったんメリットを理解してもらえれば、サイバーリスクとそれが運用の安全性、可用性、品質に与える影響について、OT部門全員に教育することはそう難しくなくなります。

ITとOTの「優先事項」は根底でつながっている

 究極的にはIT部門とOT部門の懸念事項は同じです。ただ、言葉と行動での表し方が少し異なるだけなのです。

 両者の合意点を探り、協調した行動を取れるようにするには、ビジネス全体の観点に立ったリスクと脅威の評価が必要です。リスク評価プロセスの実行に最も役立つツールの1つに、NIST Special Publication 800-82(NIST 特別文書 800-82)があります。産業制御システムのセキュリティに特化したガイダンスが記載されています。

 この文書には、次の4項目に基づいたリスク評価プロセスを採用することが提言されています。

  • 枠組み:リスク管理プロセスと許容できるリスクレベルの枠組みの構築
  • 評価:脅威と脆弱性の識別、それらが悪用された場合発生する損害の想定、それらが実際の攻撃で悪用されることの確率
  • 対応:識別された脅威と脆弱性への対策の明確化と実施
  • 監視:新たな脆弱性と脅威を検出するための継続的な探索と調整

 リスク評価と管理プロセスで重要なことは、企業の全員が参加することです。最高責任者から現場のオペレーターまで、OTのセキュリティは全員の責任です。IT/OT部門だけの管轄領域ではありません。

セキュリティ改革は企業トップが先陣を切るべし

 経営幹部レベルのサポートがなければIT/OT部門のコラボレーションは成功しません。コンバージェンスの推進役を最高責任者レベルの役職として設置している企業もあります。最高デジタル改革責任者(CDXO)が任命され、ITとOTの橋渡しを任務に、両部門を交えたインシデント対応プロセスの確立にあたる場合もあります。

 ビジネスレベルでの監督、最高責任者レベルでのリーダーシップがあれば、IT/OT両部門は互いに効果的に協働できます。最近の傾向として、OT部門で長年経験を積んだエンジニアを抜てきして、セキュリティチーム内でインシデント対応業務をサポートさせるケースが増えています。ITとOT部門が効果的に協力し合える環境が形成されるからです。

 仕事のやりがいとは「困難を乗り越えてはじめて得られるもの」といいますが、これはITとOTについてもいえることです。ITとOTの両部門での、相互理解に基づく効果的な連携体制が整備されていれば、セキュリティチームは分散されたオペレーションをより確実に制御できます。両サイドが互いの役割を理解して尊重し合えれば、インシデント発生時の対応能力が向上し、より優れた意思決定につながって、不慮の事態にもより速く対応できるようになります。

 相互接続されたOT環境を効果的に守るには、OTとIT、両方の部門を統合した上での、以下のような多面的なアプローチが必要です。

  • ステークホルダー全員を教育する
  • 企業の最上層部にスポンサーを配置する
  • 堅牢(けんろう)なリスク管理プロセスを確立する

 製造業者、また、そのサプライチェーンに携わるサプライヤーなどステークホルダーがこれら3点の対策を行えば、サイバー攻撃による困難な状況の発生を防げますし、仮に危機に直面しても、備えが万全であれば無事に乗り越えられる可能性は高まるでしょう。

⇒特集「制御セキュリティ」はこちら
⇒「産業制御システムのセキュリティ」の記事を読む

著者紹介

貴島直也(きしまなおや)
Tenable Network Security Japan株式会社
カントリーマネージャー

photo

経歴

アダムネット株式会社(現三井情報株式会社)やEMCジャパン株式会社で主に金融担当営業および営業マネージャーを経て、EMCジャパンのセキュリティ部門であるRSAに執行役員として所属。GRCソリューションやxDRのビジネスの立ち上げ、拡大に従事、さらに韓国のゼネラルマネージャーも兼務。その後、RSAの独立に伴い執行役員社長としてRSAのビジネスの拡張をけん引。2021年4月より現職。日本企業のセキュリティマーケットの拡大およびチャネルアクティビティーの実行を統括。


前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.