2021 .12.1
強固なOTサイバーセキュリティ基盤のために: 的確な問題定義からスタートすることの重要性
COVID-19によるパンデミックが始まって以来、デジタルトランスフォーメーションのスピードは大幅に加速しています。同時に、新しいデジタル業界のリーダーとなるのは、現場のOTデータを制御・管理できる者だという認識が企業に広まり始めています。それ故、業界をリードしたい企業は、自社のOTデータをより上手く制御するため、ITとOT両部門の優れた協力体制を築く必要があり、IT/OT統合は必然的に企業の将来的な成長の可能性をはかる重要な指標の1つとなっています。しかし、その重要性に反して、IT/OT統合は同時にサイバーセキュリティ対策という難題を抱えており、多くの企業にとって未だ現実的ではありません。IDC (International Data Information)の調査によると、サイバーセキュリティに対する影響を警戒し、企業はIT/OT統合にとても慎重になっているようです。
サイバーセキュリティの重要性は、既に繰り返し語られてきたことでしょう。しかし調査では、ITではサイバーセキュリティが重要視されている一方、OTでは異なることが判明しています。近年では、産業デジタルトランスフォーメーション(Industrial DX)によって、OTもイントラネットという小さなネットワークだけでなく、インターネットというより大きなネットワークへの対応を迫られています。こういった環境の変化により、サイバーセキュリティ対策はOT業界において緊急を要する問題となりました。困難を安心して乗り越えられるよう、マレーシアの産業デジタルソリューションプロバイダで、Moxaと数多くのIIoTプロジェクトにおけるパートナーのYNY Technology※は、サイバーセキュリティ制御システムを強化する際に対処しなければならない基本的な問題を見極めてきました。このコラムでは、3つのよくある質問(FAQ)とそれに対抗する質問(質問の裏にある質問(QBQ)と呼びます)を通して問題に対処し、サイバーセキュリティ戦略の強化に役立つ情報を提供したいと思います。
※YNY Technology社の英語サイトに接続されます。
FAQ1「サイバーセキュリティプロジェクトの責任者は誰か?」vs. QBQ1「サイバーセキュリティ戦略における1番の弱点は何か?」
組織の観点からすると、OTのプロジェクトでありながらIT中心のタスクも含まれている場合、責任の所在に気を取られてしまうのは不思議なことではありません。OTスタッフがサイバーセキュリティに対応するための適切なトレーニングや経験がないと言う一方、ITスタッフはOT機器に対する経験のなさが運用全体に悪影響を与えてしまうと言うかもしれません。この場合、どちらの部門もサイバーセキュリティとOT機器両方の十分な知識がないため、ジレンマが生じ、経験の有無だけで責任者を決めようとすると行き詰ってしまいます。そこでMoxaは、クライアントに「問題に重点を置く」アプローチを提案しています。つまり、「誰が責任を負うだけの十分な経験があるか?」ではなく、リスクや脆弱性評価について話し合うのです。この評価では客観的観点から、リストに載っていないもしくは高リスクのOT機器、古いソフトウェアやサービス、人的ミスによって起こる管理上の抜け穴など、潜在的リスクを特定します。このような客観的な評価によって、OTとITの両部門にとっての明確な目標を設定し、優れた協力体制を築き、目の前の問題の解決に導きます。
FAQ2「投資利益率(ROI)はどのくらいか?」vs. QBQ2「何もしないことで発生するコスト(COI)は何か?」
OTにおいて、ROIは新設備への投資を考慮する際の重要な指標です。しかし、ROIによってサイバーセキュリティのコストと利益が評価されると、結果(上層部からの投資など)は期待外れになることがよくあります。これはサイバーセキュリティ対策の性質によるものですが、最も重要なのはリスクの軽減であり、成長重視の”投資“として評価されるべきではありません。つまり、本来の質問は、COIとして知られるように「もし今行動しない場合、起こり得る最悪の事態は何か?」であるべきです。サイバーセキュリティに関して言えば、何もしないことのリスクは予測よりもはるかに大きいことがよくあります[1]※。COIは、企業がより実用的な観点から潜在的なサイバーセキュリティリスクの影響を評価するのに役立ち、さらに、優先付けによってスピーディな意思決定が可能になります。
※Moxa社の英語サイトに接続されます。
FAQ3「最も安全なソリューションは何か?」vs. QBQ3「最も適したソリューションは何か?」
サイバーセキュリティの脆弱性を明確にするだけでなく、優先順位を付ける前述の質問の次は、計画やプロセス、システム、ツールなどの評価が必要となります。既存のサイバーセキュリティのメソッドやツール、サービスの殆どはITの視点から設計され、必ずしもOTに適しているとは言えません。例えば、Moxaの東南アジアのお客様は、機器をハッキングから保護する目的で、コンピュータと現場のヒューマンマシンインターフェース(HMI)両方のスクリーンプロテクションロック機能を有効にする提案をIT部門から受けました。しかし、これはIT環境においては適したソリューションであるものの、機械が異常に対し即座に反応しなければならないOT環境を考慮していません。現場で異常が発生した場合、ミリ秒単位でシステムを元の状態に戻すことができなければ、莫大な損失を被ることになります。例えば、オペレーターがパスワードを入力するのに時間がかかれば、致命的な結果を引き起こすでしょう。従って、サイバーセキュリティソリューションの選択において、最も高価もしくは一般的なソリューションがベストとは言えず、自社のニーズに適したソリューションを選ぶことが重要です。
サイバーセキュリティは技術の問題だけではなく、ビジネスの問題でもあります。サイバーセキュリティが多くのビジネスオーナーにとって最大の関心事である理由は、近年の産業環境での無数のサイバーセキュリティ攻撃によって証明されています。FAQをQBQに変換することで、適切なサイバーセキュリティ戦略に必要な強固な基盤を築くことができます。
Moxaは世界中のお客様のサイバーセキュリティの構築に貢献してきました。ソリューションの詳細をお求めの方は、営業担当までお問合せください。
こちらのコラムを読まれた方は、下記のコラムも読まれています。
NPortシリーズ:あらゆるシーンでエッジデバイスへの接続を保護
|
産業用セキュリティ:クリティカルな資産を守る
|
産業用セキュリティ:Moxaのソリューションはどのように企業のサイバーセキュリティを強化するのか? |
資料ダウンロード
Moxaのソリューションのケーススタディをご用意していますので、ご興味のある方は是非ご覧ください。※ダウンロードには会員登録が必要です。