サイバーロードマップを実行するために組織の賛同を得るには、経営陣のスポンサーシップ、統一された戦略、効果的なコミュニケーション、および部門を超えたチームとの協力的なアプローチが必要です。この収束は多くの組織にとって課題となる可能性があります。この熟練した取り組みには専任のチームとリソースの賢明な使用が必要となるからです。
この収束を達成するために適切な専門知識とガバナンスが整備されていないと、組織は組織の複雑さと重要なプロセスを理解する前に、時期尚早に新しいプロセスやテクノロジを導入してしまう可能性があります。セキュリティテクノロジがどれほど高度であっても、OTセキュリティプログラムの成功には人材が不可欠です。サイバー戦略がビジネスの真のニーズと一致していることを確認するには、主要な関係者と協力することが不可欠です。
産業の生産性を向上させる重要なOTセキュリティ制御によって企業全体のサイバーセキュリティを強化しようとしているCISO (最高情報セキュリティ責任者)は、世界的な製造大手であるチャーチ&ドワイト社の取り組みから洞察を得ることができます。Arm & HammerTM、WaterPik®、OxiCleanTMなどのブランドを製造するニュージャージー州ユーイングのパッケージ製品メーカは、生産/製造業務の効率を犠牲にすることなくOTセキュリティを向上させる機能を実装するために、ロックウェル・オートメーションとの提携を選択しました。
この目標を達成するために、チャーチ&ドワイト社のセキュリティリーダは、次のような人間中心の戦略を活用しました。
- 製造、IT、OTチームと経営幹部チームの間で強力なビジネス関係を構築する。
- ビジネスニーズと組織のセキュリティイニシアチブの間の戦略の調整を推進する。
- 組織の運営を安全に保つために全員のサイバー意識を高める、強力で浸透したセキュリティ文化を継続的に育成する。
社内の賛同を促進する
チャーチ&ドワイト社の主な目的は、自社のサイバーセキュリティリスクに対する姿勢を理解し、ITおよびOTネットワーク全体の可視性を獲得することでした。可視性を高めるための最初のステップは、チャーチ&ドワイト社のすべての施設で製造現場の評価を実施することでした。ITサイバーセキュリティチームは、特権ユーザ、資産、その他のリソースを含む、会社のOTネットワーク全体に存在する強みと脆弱性の両方を理解する必要がありました。チャーチ&ドワイト社のCISOであるデビッド・オルティス氏は次のように述べています。「私たちは各施設を直接訪問し、各工場内の主要な関係者との関係を構築しました。製造現場の可用性を維持しながらサイバーリスクを軽減するという当社の戦略目標を理解してもらいたかったのです。」
チャーチ&ドワイト社は、ロックウェル・オートメーションと提携して、NISTサイバーセキュリティフレームワークに基づいて製造現場で一連のワークショップを実施しました。プラント運営チームの時間の無駄を避けるために、評価に集中しました。セキュリティチームの優先事項は、潜在的に悪意のあるものを検出することでした。「正しいアプローチは、これらの評価を過度に設計しないことでした」と、オルティス氏は言います。
サイバーセキュリティ導入による生産への影響を最小限に抑えるために、オルティス氏と彼のチームは各製造現場で時間をかけて関係者とつながり、各現場がどのように運用されているかを理解しました。
企業のリーダーも重要なパートナであり、サイバーセキュリティのリスクがどのようにビジネスリスクに変換されるかを知る必要があります。OTサイバーセキュリティへの投資に優先順位を付けるには、取締役会や経営幹部の賛同が不可欠です。チャーチ&ドワイト社のサイバーセキュリティチームは当初、会社の経営幹部と提携して、具体的な目標と成果について合意しました。
さらに、リスクベースのフレームワークを使用してプラント評価の結果を理解しやすい形式で提供することで、さまざまな利害関係者が情報にアクセスできるようになり、サイバーセキュリティに関する推奨事項を安全、稼働時間、評判、財務上の考慮事項などの運用要件に結び付けることができました。
信頼を構築してセキュリティを強化する
現在、悪意のある攻撃者がソーシャルエンジニアリングとAIを利用して人間の行動の弱点を突いているため、ほとんどのサイバー攻撃の中心は人間です。例えば、IBMセキュリティの研究者は、OT関連のインシデントの38%において、最初のアクセス経路がスピアフィッシングであることを発見しました。[i] 人的要因を悪用する攻撃に対する保護を強化するには、セキュリティ指向の文化を構築することが不可欠です。
チャーチ&ドワイト社では、ITチームとOTチーム間のパートナシップの一環として構築された関係と信頼により、セキュリティの文化がさらに強化されました。IT、サイバーセキュリティ、製造チーム間の四半期ごとのチェックインを通じて共同作業が継続されます。「現場の人々は、組織にとって重要なことに貢献していると感じるために、何が起こっているのか、そしてなぜ起こっているのかを認識する必要があります」と、オルティス氏は語ります。
ITおよびOT運用全体にわたるサイバーセキュリティを最新化することで、組織はインシデントをより適切に防止し、可視性を提供し、増大する脅威から重要な資産を保護できるようになります。チャーチ&ドワイト社にとって、セキュリティイニシアチブの成果には、より効率的なインシデント対応プロセスと、セキュリティチームが最も重要なリスクを迅速に特定して修正できるリスクベースのアプローチが含まれます。
オルティス氏は、サイバーセキュリティは終わりのない探求であると強調しました。「常に改善の余地があり、企業として対処すべき新たな脅威が常に存在します」と、彼は言いました。
IT運用を保護した経験を持つCISOは、製造の可用性に影響を与える可能性のある潜在的な脅威からOT運用を保護できるように、その範囲を適応および拡張する必要があります。総合的なサイバーセキュリティプログラムでは、セキュリティギャップ、脆弱性と露出の管理、脅威の監視、および回復力の準備状況を継続的に評価する必要があります。生産チームとビジネスリーダの間で良好なパートナシップを構築することは、CISOが戦略を微調整して成熟させ、次のことに備えるのにも役立ちます。
詳細は、チャーチ&ドワイト社のケーススタディをご覧ください。
[i] IBM Security, “X-Force Threat Intelligence Index 2023”
