この記事は、Brilliance Security Magazineに掲載されたものです。
多くの企業にとって、デジタルトランスフォーメーションは、関連性と競争力を維持するために不可欠な進化です。デジタルトランスフォーメーションは、新しい情報を収集する機会を提供し、意思決定と業務効率を迅速に改善するための洞察を明らかにし、成長と収益性の両方に利益をもたらします。
制御技術(OT)の分野では、デジタルトランスフォーメーションによって、総合設備効率(OEE)の向上、生産の質と量の改善、パフォーマンスと稼働率の向上など、主要な指標の改善が可能になります。
IDCの推計によると、デジタルトランスフォーメーションに対する世界の支出は、2023年までに6兆8,000億ドルに達すると予想されています。しかし、デジタルトランスフォーメーションは、特にサイバーセキュリティの成熟度がITに比べ一般的に遅れているOTにおいて、新たなリスクにつながることがよくあります。
このようなデジタルトランスフォーメーションのセキュリティリスクはどのようなものなのでしょうか。
- コネクティビティは、組織の攻撃対象領域を拡大しています。OTシステムは、以前はなかったネットワークに接続され、ITネットワーク上に存在するERPシステムなどの複数のシステムで分析するためのデータを抽出し、送信しているのです。ITとOTのネットワークがブリッジされると、対策を講じなければ、サイバー犯罪者がOTに侵入する経路が飛躍的に増加する可能性があります。
- データと知見を得るために新しいアプリケーションが使用されています。OTネットワーク環境では、基本的にネットワークのエッジで運用データを分析するためのソフトウェアアプリケーションも配備されています。多くのアプリケーションはクラウドベースであるため、俊敏性は向上しますが、インターネットやサプライチェーンリスクにOTインフラをさらすことになります。
OTにおけるデジタルトランスフォーメーションのセキュリティ上の課題を考えると、産業組織がIT中心の産業よりもゆっくりと変革するのは当然のことです。しかし、そのメリットは否定できません。例えば、エンド・ツー・エンドの接続により、サプライチェーンの追跡が可能になり、より効果的な品質管理、品質問題やリコールへの対応が可能になり、お客様とブランドの保護に役立ちます。
どこから始めるか
デジタルトランスフォーメーションの実現は、最初から適切なセキュリティを組み込むことから始めるのが最善です。すでに前進しており、セキュリティのアプローチやアーキテクチャを強化する必要がある場合はどうすればよいのでしょうか。
どのように始めるにせよ、以下のステップを踏むことで、OT違反への扉を閉ざし、デジタルトランスフォーメーションへの道筋、すなわちスピードと自動化を実現することができます。そのステップとは、ゼロトラスト戦略の実施、ネットワークのセグメント化と強化、継続的モニタの導入です。
ステップ1: ゼロトラスト戦略の挿入
ゼロトラストの導入は、サイバー攻撃の成功率を低下させ、軽減するのに役立ちます。これは、デジタルデータの流れの利点を活用する新しいテクノロジを利用する際に最も重要なことです。
ゼロトラストには、いくつかの重要な原則があります。
- ビジネスクリティカルな資産の特定と優先順位付け
- 保護面の定義(データ、アプリケーション、アセット、サービスといったDaaSの要素から構成される)
- トランザクションフローのマッピング
- 適切なアーキテクチャの設計(DaaS要素を分離するマイクロセグメンテーション、データおよびユーザやアプリケーションの予想される動作に関連する識別およびアクセス管理技術とポリシーの強化、ファイアウォールを含む場合がある)
- 継続的なモニタ
このように、ゼロトラスト戦略は、新しいユーザ集団、顧客エンゲージメントモデル、IoT(モノのインターネット)やOTデバイス、センサなどの新しい自動化技術をセキュアに追加するなど、デジタルトランスフォーメーションの仕組みをサポートすることができます。したがって、産業環境におけるデジタルトランスフォーメーションのセキュリティのための優れた戦略なのです。
ステップ2: ネットワークのセグメント化と強化
ネットワークのセグメンテーションは、ビジネス上重要な資産を非重要な資産から分離することで保護します。また、セキュリティを強化することで、ネットワークの一部で発生した違反が他の部分に伝染しないようにします。
ネットワークのセグメンテーション戦略として重要なのは、産業用非武装地帯(IDMZ)です。これは、ITネットワークと産業用機器を分離する境界線または「エアギャップ」です。IDMZは、業務システムをIT環境から直接アクセスできないように管理し、IT侵害が発生した場合に産業用制御システムを保護するのに役立ちます。
ほとんどの産業用セキュリティ規格が依拠するエアギャップ技術やテクノロジは、効果的なデジタルトランスフォーメーション戦略と相反する傾向があります。セキュリティチームは、ゼロトラストのアプローチを適切な産業用セキュリティ規格(ISA 62443など)にどのように対応させ、急速に拡大し、継続的に進化する脅威からOT環境を保護しながらコンプライアンス要件を達成するか決定する必要があります。
産業用セキュリティ規格をゼロトラスト戦略に対応させるためのガイダンスについては、ロックウェル・オートメーションにお問い合わせください。
ステップ3: 継続的モニタの導入
デジタル環境は、サイバーセキュリティの脅威にさらされています。企業は、社内のアナリストやサードパーティのセキュリティ・オペレーション・センター(SOC)を通じて、環境内で何が起きているのかを常に監視する必要があります。
脅威検知ソフトウェアは、年中無休24時間体制の効果的なネットワーク監視を可能にします。異常な動作は迅速に特定され、マルウェアがインフラ内で拡散する前に対処することができます。また、脅威検知ソフトウェアは、資産のインベントリを自動化し、この重要なセキュリティステップを高い頻度(例えば、毎時または毎日)で実行し、ネットワーク上の未承認デバイスやユーザをセキュリティチームに表示することができます。
継続的モニタは、セキュリティイベントおよび情報管理(SEIM)プラットフォームで生成されるログなど、内部および外部のログを確認することでさらに実現されます。そして、攻撃を試みるたびに得られた学習結果を組織のサイバーセキュリティ計画に適用することで、デジタルトランスフォーメーションのセキュリティリスクをさらに低減させることができます。
セキュアなデジタルトランスフォーメーションの実現を今すぐ開始
ロックウェル・オートメーションは、産業用オートメーションと産業用サイバーセキュリティの両方における深い経験に基づき、安全なデジタルトランスフォーメーションのためのソリューションと専門知識を提供します。詳細は、The Fourth Industrial Revolution: Secure Digital Transformation in OT (第4次産業革命: OTにおけるセキュアなデジタルトランスフォーメーション)の最新のガイドをダウンロードしてください。
または、ロックウェル・オートメーションにお問い合わせの上、セキュアなデジタルトランスフォーメーションについて専門家にご相談ください。
公開 2022/09/25
