有名企業のセキュリティインシデントがニュースの見出しを飾るのは当然のことであり、特に個人の顧客が侵害の影響を直接受ける可能性がある場合はなおさらです。しかし、産業界の企業に対する攻撃は、一般にはあまり知られていないようです。しかし、だからといって、製造業に対するリスクがないわけではありませんし、高まっているわけでもありません。
昨年話題になった例では、世界最大級のアルミニウム企業にランサムウェアが攻撃され、数千万ドルの損害が発生しました。これは、ある企業の事例に過ぎません。Forrester社とTenable社の共同調査によると、94%の経営者が、過去12ヶ月以内にビジネスに影響を与えるサイバー攻撃や情報漏洩を経験したと回答しています。企業がデータ侵害を受けた場合の平均コストは386万ドルです。
お金の問題だけではありません。工場やプラントには、潜在的に危険な機械がたくさんあります。機器やプロセスのコントロールを放棄してしまうと、生産の中断はもちろん、怪我や最悪の事態を招く可能性があります。
We know that phishing attacks and malware pose some of the biggest threats to businesses. But in an industrial environment, there’s also a very real threat of physical danger. Ultimately, the most important part of safety in manufacturing is preventing accidents or risk to life, and industrial leaders must take every physical step necessary to prevent that.
When it comes to protecting people, cybersecurity is intrinsically linked to real-world safety.
隠れたリスクの発見
かつて、一般的な産業環境では、情報技術(IT)システムと制御技術(OT)システムが明確に区別されていました。これらの環境が接触することはほとんどなく、通常は別々のチームが管理していました。
現代の製造業では、この2つの世界が融合することで、円滑なオペレーションを確保するだけでなく、サイバー攻撃の新たなベクトルに備えるための、まったく新しいアプローチが必要とされています。
製造業を破壊しようとする者にとって、産業プロセスに関わる制御装置は格好の標的となります。例えば、石油&ガスのような業界の連続プロセスを考えてみてください。これらのプロセスは、スイッチを押すだけでは止めることができません。しかし、ハッカーはバルブや容器から徐々に圧力を下げ、誰にも気づかれずにプロセスを停止させることができます。悪名高いStuxnetウイルスも同じようなことをしていました。原子力発電所の遠心分離機を目に見えないほど安定した速度で安全な速度以上に押し上げることで、誰も故障に気づかなかったのです。自動化されたシステムでさえもです。
And it’s just one of several attacks that have been conducted in recent years. In fact, if a company has a data breach, it typically takes around six months to notice it. So, whether through covert attempts to hinder production or brazen demands for money through ransomware, cyber-attackers that take control of your processes also hold your employees’ safety in their hands.
While this is clearly a risk that manufacturing leaders need to be cognisant of, it doesn’t mean that you should seek to isolate all OT systems. As with any form of risk, the aim is to mitigate rather than remove altogether.
安全なバランスをとる
適切な対策を講じれば、産業プロセスの接続によるメリットを享受できず、競合他社に大きく遅れをとるリスクを冒す必要はありません。
接続された環境を持つことは、ビジネスにとって貴重な資産であり、適切なセキュリティ対策が施されていれば、安全かつ生産的に展開することができます。例えば、砂漠の真ん中にある製油所のポンプシステムのモータを想像してみてください。外部からの干渉のリスクを減らすためにオフラインで非接続にしておき、機器をチェックするたびに何百マイルも離れた場所からエンジニアを派遣することに頼ることもできます。しかし、接続されたアルゴリズムシステムからの即時の情報がなければ、故障や問題はより長く発見されない可能性があります。そして、産業プロセスに含まれる材料の揮発性によっては、故障や最悪の事態を引き起こすこともあります。
前述のStuxnet事件のような状況では、システムをインターネットからエアギャップで遮断しても、被害を防ぐことはできませんでした。感染したUSBメモリを介して、施設にアクセスできる内部リソースをターゲットにして広がっていったのです。
だから、オフラインにしたり、システムを隔離したりするのでなければ…
正しいサイバーセキュリティ対策とは?
多層的な問題には、多層的なアプローチが必要です。ハードウェアとソフトウェアを保護することは明らかにソリューションの一部ですが、人の役割も無視できません。ネットワークに適した設計手法、ネットワークを安全に保つために必要なスキルへのアクセス、そして長期的なモニタへのコミットメントが必要です。
ロックウェル・オートメーションでは、このようなサイバーセキュリティに関するアドバイスと導入を専門に行なっています。お客様と協力して、環境がこれまでどのように管理されてきたか、どのような新しいリスクが発生したか、または将来発生する可能性があるかを詳しく理解し、一貫して持続的に採用できるセキュリティモデルを見つけることを目指しています。これには以下が含まれます。
その全貌
すべての製造施設にとって、サイバー攻撃の脅威は現実のものとなっています。そのコストは、生産の中断、財務上の損失、さらにはお客様や従業員の安全上のリスクとなる可能性があります。
このようなリスクに直面すると、これらの犯罪者がアクセスできるデジタルトランスフォーメーションや接続性を放棄することが解決策であると考えてしまいがちです。しかし、このような変革は、競争上の利益をもたらし、ビジネスの生産性を向上させるものでもあります。これらを無効にするという選択肢はありません。むしろ、物理的なものとデジタル的なものを融合させ、人材を考慮に入れた多層的なサイバーセキュリティのアプローチが解決策となります。
産業用オートメーションの話題が新聞の見出しを飾ることはほとんどないかもしれません。しかし、私たちは皆、適切な技術を備えるだけでなく、リスクとそれを軽減するための行動を理解しておく必要があります。産業用サイバーセキュリティの全容を知りたい方は、ぜひお話を聞かせていただきたいと思います。お気軽にご連絡ください。
公開 2021/01/03
お客様へのご提案
