技術情報
OTセキュリティ
強力なOTサイバーセキュリティの基盤を構築:まず適切な質問をすることから始まる
COVID-19のパンデミックが始まって以来、世界的にデジタルトランスフォーメーションのペースは飛躍的に加速しています。
その一方で、この新しいデジタル分野で次のリーダーとなるのは、オンサイトのOTデータを制御および管理する企業であるという認識も高まっています。そのため、ゲームで優位に立ちたい企業は、まずIT部門とOT部門のコラボレーションを成功させ、OTデータの管理を強化する必要があります。必然的にIT/OTの統合は、企業の将来的な成長の可能性を示す重要な指標の1つとなっています。しかしながら、その重要性にもかかわらず、IT/OT統合は、サイバーセキュリティという1つの主要な障害のために多くの企業にとって考えられないままになっています。International Data Information(IDC)の調査によると企業は、IT/OTの統合がサイバーセキュリティに与える影響を警戒して非常に慎重になっています。
最初にサイバーセキュリティの重要性について語ることは、今となっては壊れたレコードのように聞こえるかもしれません。しかしながら、さらに詳しく調べてみるとITは、サイバーセキュリティを優先しているものの、OTについては同じことが言えないことがわかります。近年、Industrial Digital Transformation(Industrial DX)によってOTは、個々のイントラネットという小さな池から、インターネットという大海の世界へと移行しています。インターネットコネクションの背後に潜む豊富な脅威により、サイバーセキュリティは、突然、OTの世界ではできるだけ早く解決しなければならない緊急を要する問題となりました。しかしながら、この大海を安全に航海するためにMalaysiaを拠点とする産業用デジタルソリューションプロバイダであり、多くのIIoTプロジェクトでのMoxaのパートナーであるYNY Technologyがサイバーセキュリティの目的で制御システムを強化する際に対処すべき基本的な問題を特定しました。
この記事では、サイバーセキュリティ戦略を強化するために、3つのよくある質問FAQ(Frequently Asked Questions)を取り上げ、質問の裏に隠れた正しい答えを導くQBQ(Question Behind the Question)と呼ばれる質問によりこれらの問題を解決します。
FAQ 1 vs. QBQ 1
"このサイバーセキュリティプロジェクトの責任者は誰か?" vs."サイバーセキュリティ戦略の最も弱いリンクはどこにあるか?"
組織の観点から従来のITを中心としたタスクが現在、OTになったことにより、そのプロジェクトを誰が担当すべきであるか、という問題に気を取られがちです。OTスタッフは、サイバーセキュリティに対処するための適切なトレーニングと経験がないと主張するかもしれません。ITスタッフは、OT機器の経験不足が全体的な運用に影響を与える可能性があると主張する可能性があります。この場合、どちらの部門もサイバーセキュリティとOT運用の両方について完全な知識を持っていないことによるジレンマが発生するのです。経験だけで責任を明確に引き出そうとすると行き詰まります。そのため"locate the issue first"即ち、"問題を最初に特定する"アプローチを採用することをクライアントに推奨します。"責任を負うのは誰にあるのか?"を尋ねるのではなく、会話は、リスクと脆弱性の評価から始まります。この評価は、リストにはない、またはハイリスクのOT機器、古いソフトウェアまたはサービス、人為的エラーによって引き起こされるマネージメントの抜け穴など、客観的な観点から潜在的なリスクを特定します。これらの客観的な評価は、OT部門とIT部門の両方が目前の問題をより適切に連携して解決するための目標の明確なリストを設定するための優れた出発点です。
FAQ 2 vs. QBQ 2
"Return On Investment(ROI)=投資収益率とは?" vs."Cost Of Inaction(COI)"="行動を起こさないコストとは?"
OTにおいてROIは、新しい機器への投資を検討する際の重要な指標となります。しかしながら、ROIを使用してサイバーセキュリティのコストとベネフィットを測定する際の結果(例えば、上層部の承認を受けた投資)はしばしば期待外れになることがあります。これは、 サイバーセキュリティの性質によるものです。その問題は、リスクを軽減することであるため、成長中心(growth-centric)の"投資"として測定すべきではありません。従って、本当の質問は、"今、行動を起こさないと最悪の事態が起きるのでしょうか?"であり、これは、COIとも呼ばれます。サイバーセキュリティに関しては、何も行動を起こさないリスクは、多くの場合、予測よりもはるかに大きくなります。そのためCOIは、企業が潜在的なサイバーセキュリティリスクの影響をより現実的な観点から評価し、さらに、優先順位付けによってプロジェクトに関する意思決定プロセスをスピードアップすることができます。
FAQ 3 vs. QBQ 3
"最も安全なソリューションとは?" vs."最も適切なソリューションとは?"
サイバーセキュリティの脆弱性を特定し、優先順位をつけるだけでなく、上記の質問に対処した後は、計画、プロセス、システム、またはツールを評価する必要があります。既存のサイバーセキュリティの手法、ツール、サービスのほとんどはITの観点から設計されているためOTの導入に必ずしも適しているとは限りません。例えば、東南アジアにある当社のカストマは、IT部門から機器のハッキングを防ぐためにコンピュータとオンサイトのHMI(Human Machine Interface)の両方で画面保護のロック機能を有効にするよう提案を受けました。しかし、これはIT環境では適したソリューションですが、OT環境ではマシンが異常に即座に対応する必要性を考慮していません。例えば、あるサイトで異常が発生した場合、システムの制御を回復させるための応答時間は、ミリ秒以内でないと、莫大な損失が発生する可能性があります。オペレータが正しいパスワードを入力するのを待つのに時間がかかりすぎると、その遅れが金銭的にも人命的にも莫大な影響を及ぼす可能性があります。そのため、サイバーセキュリティソリューションを選定する際には、最も高価なソリューションや最も認知度の高いソリューションがベストであるとは限りません。カストマのニーズに適したソリューションを選定することが重要なのです。
"サイバーセキュリティは、技術的な問題だけでなくビジネス上の問題でもあります" 。最近の産業環境における数多くのサイバーセキュリティ攻撃に見られるようにサイバーセキュリティが多くのビジネスオーナーにとって最大の関心事であることは想像に難くありません。このため通常のFAQをQBQに変えることで、より強固な基盤を構築し、自社に適したサイバーセキュリティ戦略を確立することができます。