　OT部門がITへの認識を改めるべきであるのと同様に、IT部門もOTの世界はITとは違うこと、OT環境の半サイバー、半物理的な特質には、極めて深刻な影響をもたらす動的なリスクがあることを認識する必要があります。IT部門はOT部門のオペレーションが「なぜそのような形ややり方に従っているのか」を理解する必要があります。

　両サイドの知識ギャップは、ITとOTのコラボレーションを推進すれば埋めることができ、また、企業のトップレベルがOT環境におけるサイバーリスクについて理解することによっても改善できます。幹部レベルでの理解は、全てのステークホルダーがOTセキュリティを優先項目にするための下地として重要です。

　ただし、IT担当者がOT業務に関与することに、OT側から抵抗感が示される可能性もあります。主に、外部の人間が関与するとダウンタイムが発生しかねないとOT部門が懸念する向きがあるためです。工場長の賛同がなければ、CISO（最高情報セキュリティ責任者）がいくら努力しても、あまり状況に進展は望めません。

　また、OT部門では「壊れていないものには触るな」という考え方が幅を効かせており、これを乗り越えるのも一苦労になるかもしれません。対策としては、サイバー衛生を受け入れることのメリットについてCISOが工場長に説明することに注力するというものがあります。いったんメリットを理解してもらえれば、サイバーリスクとそれが運用の安全性、可用性、品質に与える影響について、OT部門全員に教育することはそう難しくなくなります。

ITとOTの「優先事項」は根底でつながっている

　究極的にはIT部門とOT部門の懸念事項は同じです。ただ、言葉と行動での表し方が少し異なるだけなのです。

　両者の合意点を探り、協調した行動を取れるようにするには、ビジネス全体の観点に立ったリスクと脅威の評価が必要です。リスク評価プロセスの実行に最も役立つツールの1つに、NIST Special Publication 800-82（NIST 特別文書 800-82）があります。産業制御システムのセキュリティに特化したガイダンスが記載されています。

　この文書には、次の4項目に基づいたリスク評価プロセスを採用することが提言されています。

枠組み：リスク管理プロセスと許容できるリスクレベルの枠組みの構築
評価：脅威と脆弱性の識別、それらが悪用された場合発生する損害の想定、それらが実際の攻撃で悪用されることの確率
対応：識別された脅威と脆弱性への対策の明確化と実施
監視：新たな脆弱性と脅威を検出するための継続的な探索と調整

　リスク評価と管理プロセスで重要なことは、企業の全員が参加することです。最高責任者から現場のオペレーターまで、OTのセキュリティは全員の責任です。IT／OT部門だけの管轄領域ではありません。

セキュリティ改革は企業トップが先陣を切るべし

　経営幹部レベルのサポートがなければIT／OT部門のコラボレーションは成功しません。コンバージェンスの推進役を最高責任者レベルの役職として設置している企業もあります。最高デジタル改革責任者（CDXO）が任命され、ITとOTの橋渡しを任務に、両部門を交えたインシデント対応プロセスの確立にあたる場合もあります。

　ビジネスレベルでの監督、最高責任者レベルでのリーダーシップがあれば、IT／OT両部門は互いに効果的に協働できます。最近の傾向として、OT部門で長年経験を積んだエンジニアを抜てきして、セキュリティチーム内でインシデント対応業務をサポートさせるケースが増えています。ITとOT部門が効果的に協力し合える環境が形成されるからです。

　仕事のやりがいとは「困難を乗り越えてはじめて得られるもの」といいますが、これはITとOTについてもいえることです。ITとOTの両部門での、相互理解に基づく効果的な連携体制が整備されていれば、セキュリティチームは分散されたオペレーションをより確実に制御できます。両サイドが互いの役割を理解して尊重し合えれば、インシデント発生時の対応能力が向上し、より優れた意思決定につながって、不慮の事態にもより速く対応できるようになります。

　相互接続されたOT環境を効果的に守るには、OTとIT、両方の部門を統合した上での、以下のような多面的なアプローチが必要です。

ステークホルダー全員を教育する
企業の最上層部にスポンサーを配置する
堅牢（けんろう）なリスク管理プロセスを確立する

　製造業者、また、そのサプライチェーンに携わるサプライヤーなどステークホルダーがこれら3点の対策を行えば、サイバー攻撃による困難な状況の発生を防げますし、仮に危機に直面しても、備えが万全であれば無事に乗り越えられる可能性は高まるでしょう。

⇒特集「制御セキュリティ」はこちら
⇒「産業制御システムのセキュリティ」の記事を読む

著者紹介

貴島直也（きしまなおや）
Tenable Network Security Japan株式会社
カントリーマネージャー

経歴

アダムネット株式会社（現三井情報株式会社）やEMCジャパン株式会社で主に金融担当営業および営業マネージャーを経て、EMCジャパンのセキュリティ部門であるRSAに執行役員として所属。GRCソリューションやxDRのビジネスの立ち上げ、拡大に従事、さらに韓国のゼネラルマネージャーも兼務。その後、RSAの独立に伴い執行役員社長としてRSAのビジネスの拡張をけん引。2021年4月より現職。日本企業のセキュリティマーケットの拡大およびチャネルアクティビティーの実行を統括。

制御システムセキュリティの現在とこれから
制御システム技術者が知っておくべき「セキュリティの基礎知識」を分かりやすく紹介する本連載。最終回となる今回は、今までに述べてきた制御システムセキュリティの基礎的な考え方をまとめた上で、これから制御システムセキュリティの分野がどうなっていくのかについての考えを紹介する。
経営層が理解できる「OTセキュリティ戦略」はどのように策定すればよいのか
製造業がIoTを活用していく上で課題となっているのが、サイバーセキュリティをはじめとする安心・安全の確保だ。本連載では、安心・安全を確立するための基礎となる「IoT時代の安全組織論」について解説する。第5回は、経営層が「OTセキュリティ戦略」の必要性をさらに深く理解できるようにするための策定手法について説明する。
社内にマルウェアが常駐する製造業、セキュリティ対策は何から始めるべきか
製造業を取り巻くサイバー攻撃の脅威が増している。サイバーセキュリティ対策を講じる上で意識すべきポイントや課題点は何か。日立ソリューションズセキュリティマーケティング推進部部長の扇健一氏に話を聞いた。
コロナ禍で加速するDXが生み出すサイバーセキュリティの3つのトレンド
製造業におけるサイバーリスクとセキュリティトレンドおよびそれらの課題と対策について説明する本連載。第3回は、コロナ禍で加速するDXによって日本のサイバーセキュリティにどのようなトレンドが生まれるのかを予測する。
スマート工場で見逃されている2大侵入ポイントとは？
スマート工場化が加速する一方で高まっているのがサイバー攻撃のリスクである。本連載ではトレンドマイクロがまとめた工場のスマート化に伴う新たなセキュリティリスクについての実証実験研究の結果を基に注意すべきセキュリティリスクを考察する。第1回では、工場の「スマート化」とは何かを定義するとともに、そこから見えたスマート工場特有の侵入経路について解説する。
現場と連携するセキュリティ責任者は8倍有能!? テナブルが調査結果を報告
Tenable Network Security（テナブル）は、調査会社のForrester Consultingと共同で実施したセキュリティ業界の調査レポートを発表した。世界各国の800人以上の事業責任者およびセキュリティ責任者を対象に実施したもので、テナブルとしては初の試みとなる。