Automation Today第82号 | 特集記事

NISTベストプラクティスに従って製造業にサイバーセキュリティを実装

テクノロジ主導の世界でITおよびOTシステムを保護するための実用的なガイド

あなたの組織は、サイバーセキュリティをビジネス戦略の一部としてどの程度真剣に考えていますか?

第9回「スマートマニュファクチャリング報告書」によると、サイバーセキュリティは成長の障害として3位にランクされ、初めてトップ5にランクインしました。この結果から、企業はITシステムとOTシステム内でのサイバーセキュリティの統合を改善する必要があることは明らかです。また、製造メーカはサイバー犯罪のリスクに対抗するために、すでに技術投資を30%増やしており、その中で人材のスキルアップと熟練者の雇用が優先されています。

さらに、フォーティネットの2024年「運用技術とサイバーセキュリティの現状レポート」では、OTプロフェッショナルの73%が、何らかの形でOTシステムに影響を与える侵入を経験したと述べられています。これは、前年のわずか49%から大幅に増加しています。これらすべてが、サイバー攻撃のリスクを軽減するためのサイバーセキュリティの認識と行動の必要性が高まっていることを示しています。

NISTサイバーセキュリティフレームワークによるサイバーセキュリティへの対応

これらの課題に対処するため、米国国立標準技術研究所(NIST)は、サイバーセキュリティリスクを管理するための構造化されたアプローチを提供するサイバーセキュリティフレームワークを開発しました。NISTは、重要なインフラをサポートするために2014 年に初めて導入され、組織全体に適用できるようにユースケースを拡大することを目標に、今年バージョン2.0をリリースしました。

NIST Cybersecurity Framework — *Credit: N. Hanacek/NIST*

NISTフレームワークには、統治(Govern)、識別(Identify)、防御(Protect)、検知(Detect)、対応(Respond)、復旧(Recover)の6つの部分があります。NISTによると、最初の 4つのポイントはすべて継続的に実行する必要がありますが、残りの2つのポイントである対応と回復は、サイバーセキュリティインシデントが発生した場合に実行できるように準備する必要があります。

これらの基本的な側面は、企業を正しい方向に導き、ネットワークセキュリティの脅威に対処するための出発点を提供します。業界と脅威の状況が急速に進化する中、NISTフレームワークは、リスク許容度に応じて製造メーカのサイバーセキュリティの取り組みを簡素化するためのプラクティスの採用を導入しています。

産業と脅威の状況が急速に進化する中、NISTのフレームワークは、製造業者のリスク選好度に応じたサイバーセキュリティの導入を簡素化するためのプラクティスの採用を紹介しています。

NISTによるサイバーセキュリティ第一の考え方の構築

サイバーセキュリティを優先する組織文化は、一夜にして生まれるものではありません。しかし、適切な考え方とガイダンスがあれば、実現可能です。NISTフレームワークを参照した、開始するためのガイドを以下に示します。

Open All

組織が保有する資産とリスクを特定します。データ、ハードウェア、ソフトウェア、システム、施設、サービス、さらには関係者、サプライヤ、外部関係者からの関連リスクなど、ITおよびOT資産の徹底的なインベントリを実行します。次に、それぞれの潜在的なサイバーセキュリティのリスクと脆弱性を評価して特定します。

次に、ギャップ分析を実施します。組織の現在のサイバーセキュリティ対策をNISTサイバーセキュリティ･フレームワーク･コア(CFC)と比較して、ギャップを特定し、そのギャップを埋めるために必要な手順を特定します。組織は、NIST CFC内の他の機能を念頭に置きながら、ポリシー、計画、プロセス、手順、およびプラクティスを改善する機会を検討する必要があります。

明確なガバナンス構造を確立します。サイバーセキュリティ･ガバナンス･チームの編成を含め、明確な役割と責任を定義します。ガバナンスは、サイバーセキュリティを組織のより広範なエンタープライズリスク管理(ERM)戦略に組み込むために重要かつ必要です。ガバナンスは、サイバーセキュリティ戦略の開発と実行において組織全体を一致させる真実の源となるからです。

ポリシーの作成: ガバナンスに関する議論から、NIST CSFに準拠したサイバーセキュリティポリシーと手順を作成し、組織全体で確実に実施します。役割と責任が明確に定義されているため、ポリシーの実施はシームレスなプロセスになります。

ニーズを評価し、適切なポリシーと手順を考案したら、適切なセキュリティソリューションを導入します。境界制御、ネットワークベースのソリューション、エンドポイント保護を実装します。

産業用制御システム(ICS)とOTセキュリティ用に構築されたモニタツールを統合します。これにより、脅威のタイムリーな検出と対応が保証されます。

どんな組織にとっても最高の資産は人材です。サイバーセキュリティのトレーニングセッションを定期的に実施して、従業員が最新のサイバー脅威について最新情報を把握できるようにし、侵害が発生した場合にどう対処すればよいかがわかるように知識を身に付けさせましょう。

サイバーセキュリティは暗闇の中で常に進化する分野であるため、常に意識を高めるために継続的な意識向上キャンペーンを実施することが重要です。

すべての組織は、潜在的なサイバーセキュリティインシデントが発生した場合に備えて、セキュリティ･オペレーション･センター(SOC)とサイバーセキュリティインシデント対応チーム(CSIRT)を24時間体制で準備しておく必要があります。

OT固有の対応計画を策定します。インシデント対応計画と実行する必要があるアクションを明確にします。できるだけ早く運用を回復するための復旧計画を必ず用意してください。

エンド･ツー･エンドのサイバーセキュリティで製造メーカをサポート

サイバーセキュリティのリスクは新しいテクノロジによって拡大し続けているため、それらのリスクの管理は継続的なプロセスでなければなりません。組織がサイバーセキュリティの取り組みのどの段階にいても、改善の余地は常にあります。

ロックウェル･オートメーションは、適切な専門知識、テクノロジ、ツールを組み合わせて、製造メーカがNIST CSFに準拠し、コンプライアンスを達成できるよう支援します。NISTフレームワークを使用してOTネットワークを保護すると、EUサイバーレジリエンス法や機械規制(EU) 2023/1230などの将来の規制へのコンプライアンスも迅速化されます。

ロックウェル･オートメーションによる産業用サイバーセキュリティサービス:

包括的な戦略
当社は、企業のITおよびOT環境を網羅し、環境全体でよりセキュアでレジリエントな(回復力のある)製品、サービス、ソリューションを提供します。
ガバナンスと構造
サイバーセキュリティリスクは、最高情報責任者(CIO)や最高情報セキュリティ責任者(CISO)などのセキュリティリーダが主導し、取締役会の監督下にある当社の総合的なエンタープライズリスク管理プログラムの一部です。
多層防御
すべての境界制御、ネットワークベースの制御、ネットワークベースの制御、エンドポイント保護は、人間の専門知識と機械知能を組み合わせて管理されているため、精査なしで通過するものはありません。
インシデント対応
年中無休24時間体制のSOCがインシデントをモニタおよび検出し、CSIRTが重大度に基づいてインシデントを処理します。この専門チームは、インシデントの処理を即座に優先順位付けし、インシデントの性質、範囲、影響に応じてお客様と緊密に連携します。
従業員トレーニング
従業員がサイバーセキュリティのベストプラクティスを習得するだけでなく、組織の「ヒューマンファイアウォール」として機能できるように、定期的なセキュリティトレーニングとフィッシング評価を提供しています。

結局のところ、あらゆる組織の安全は、準備のレベルにかかっています。信頼できるコンプライアンス規格を遵守し、適切な専門知識を持つパートナと協力することで、企業は常に最適なソリューションを導入していることを知り、安心して業務を遂行できます。その結果、収益に深刻な影響を与える可能性のある、コストのかかるサイバー攻撃から企業を守ることができます。

組織のサイバーセキュリティ対策を改善するのに早すぎることも遅すぎることもありません。ここから始めましょう。