COOの責務とOTサイバーセキュリティにおける優先課題の変化

今日のオペレーショナルテクノロジー（OT）環境は劇的に変化しています。従来、これらのネットワークはITから完全に切り離されたものでした。しかし、俊敏性と応答性がより高いOT環境を構築するためにITテクノロジーを追加する必要性が生じ、状況が変わりました。IoTやIIoT（インダストリアルIoT）の急速な導入をはじめとする産業部門のイノベーションによって、かつては個別に存在していたIT環境とOT環境が融合し始めています。これらのネットワークの役割が進化する中、最高執行責任者（COO）はこれらの環境の管理を調整する必要に迫られました。

フォーティネットは最近のレポートで、このような観点からCOOの役割の変化を検討しました。世界がつながるようになり、新たな時代および世代の脅威と懸念との戦いがしばらく続いています。この状況で生産現場にITが導入されることで、従来のOTシステムとプロセスをターゲットとする問題に加えて、多くの新しいセキュリティ問題が発生しています。その結果、COOが直面している変化の中でも、OTのサイバーセキュリティをいかに展開及び管理するかが主要な課題となっています。

ここでは、OTとCOOに関する最新レポートから、急速な変革が起きているこのセクターにおける現在の優先課題と変化する問題について、明らかになった所見を述べます。また、現在このセクターで起こっているテクノロジーの混乱に主要プレーヤーがどのように取り組んでいるかも紹介します。

OTのサイバーセキュリティに関して、COOに対する企業の依存度が高まっている

企業の75%では、COOがサイバーセキュリティの全責任を担っています。そのため、大多数のCOOは常日頃からサイバーセキュリティ戦略の策定に関与しています。さらに、リスクの全体的な傾向を考慮すると、COOはOTセキュリティをより一層考慮しなければならず、結果としてCOOの責任が増大しています。現時点でこのプロセスに日常的に関与していないCOOも、折に触れて関与することが期待されています。つまり、現場での課題に精通していることが求められているのです。

同レポートはさらに、ほぼすべての組織が毎年複数の侵害に対処する必要がある点を強調しています。脅威に起因するOTの停止に直面したことがあると報告した割合は、89%に上ります。そのような脅威は、マルウェア、スパイウェア、フィッシング、モバイルセキュリティ侵害、内部関係者による侵害、ゼロデイ攻撃、ランサムウェアなど多岐にわたります。OTの停止は、ビジネスの中断、オペレーションに対する損害、従業員などへの身体的リスクに加えて、COOの評判を損なう可能性もあります。COOの成果を評価するために使用される指標が、費用対効果、生産性、安全性など、これらの中断によって直接影響を受ける要因に左右されるためです。

課題の一端は、COOの役割がすでに広範に及んでしまっていることです。多くのCOOにとって、サイバーセキュリティだけでなくOT環境の保護までも含むようになった責任範囲は手に余るものです。たとえば、多くのCOOは、OTサイバーセキュリティの調達の意思決定に直接関与していると報告しています。幸いに、調査対象の75%を超えるCOOの場合、2019年にはセキュリティ予算が増加しました。しかし、ソリューションの分析やレビューの時間が限られている中で、最も効果的な方法でこれらのリソースが使用されるようにすることが課題となっています。

COOが直面する主な課題

中断のリスク、セキュリティ関連の責任拡大、過度に多くの意思決定事項への対処を求められている今日のCOOは、理不尽なほどの課題に直面しています。このレポートが強調するように、サイバーセキュリティに関連してCOOが抱える課題の大部分は、以下の状況が背景となって生じています。

1. 高度な脅威に後れをとらないようにする必要がある。
2. 拡大する攻撃対象領域を把握し、その保護のために一貫した戦略を策定する必要がある。
3. セキュリティベンダーに関連する新たな課題を生じさせたり、ソリューションを無秩序に増加させたりせずに、ネットワークシステムとサイバー攻撃の両面での複雑化に対処する必要がある。

ほとんどのCOOは、マルチクラウド戦略の採用、モバイルワーカーのサポートに関して増大する課題への対応、IoTデバイスの流入、支社のSD-WAN接続への移行など、ネットワーク運用の刷新と拡張のためにすでに多大な圧力を受けており、その中で上記のような問題が生じているのです。ワークロードが拡大し、ビジネスに不可欠なアプリケーションが増え、作業のストレスが高まり、サイバーセキュリティの維持はますます複雑化しています。

リスク管理を維持しながらこれらの課題を調整することは非常に困難であり、COOが効果的な戦略を実施していない場合には、すぐに手に負えない状況に陥る可能性があります。わずかな手抜かりによって後でサイバーセキュリティのイベントが発生し、組織に甚大な影響が及ぶことになれば、有望なキャリアが断たれる可能性すらあります。このため、調査対象のCOOの77%は、リスク管理が最も大きな頭痛の種となっていることの一番の理由として、サイバー脅威の複雑さを挙げています。

また、CISOやCIOと比べて、その複雑さは今後の見通しにより大きな影響を与えます。このため、COOはその他の経営幹部以上にリスク管理を優先する傾向があります。

COOに推奨されるベストプラクティス

では、COOはこれらのトレンドや脅威にどのように対処しているのでしょうか。同レポートは、以下のベストプラクティスをCOOに推奨しています。

• コンプライアンスに関する定期的なレビューを計画する。これは、新しく接続されたOT環境については特に重要です。この取り組みを早期に実現し、また簡素化するには、コンプライアンスへの対応と報告を自動化するように設計されたセキュリティツールを導入するとよいでしょう。
• サイバーセキュリティを経営幹部の優先事項にする。サイバーイベントに対する経営幹部や取締役員の認識と対応姿勢を維持する上では、サイバーセキュリティの状態（特にクラウドの採用やIT / OTの集約などの新しいプロジェクト領域）や現在の一連のリスクと課題に関して、情報を定期的に更新することが優れた方法となります。
• 長期的にセキュリティを強化する計画を策定する。オープンな環境として悪名高いOTネットワークでは、サイバー犯罪者が自由に動き回り、何か月も検出されずにとどまり続けることができます。したがって、セキュリティ開発戦略には以下の目標を盛り込むべきです。
• ネットワークで誰がどのようなリソースにアクセスできるかについて、正確な評価を維持する。すべてのデバイスについてのセキュリティ状態（パッチレベル、OS、アプリケーションなど）を含む正確なインベントリを作成することは、IOC（Indicators of Compromise：侵害指標）を追跡し、リスクがあり更新や監視が必要なデバイスを特定するのに役立ちます。
• 多要素認証を導入する。これにより、ユーザーとデバイスに対する責任追跡性を確保し、アクセス時にポリシーに基づいた権限を適切に割り当てることができます。
• ゼロトラストネットワークアクセス戦略を検討する。これにより、ユーザーがアクセスできるリソースを、作業に必要な最小限のレベルに限定できます。
• 定期的な侵入テストの結果を報告する。経営幹部や取締役員は、組織が直面するリスクを理解する必要があり、それによってリソースを割り当て、潜在的リスクを織り込んだプランニングを実行できます。

終わりに

COOは、OT環境の保護のため組織内で主導的役割を果たしますが、それだけでなく従来の職務ですでに課題に直面しています。しかし、責任が複雑化する状況においても、適切な指標の報告と追跡、コンプライアンスに関するレビューとセキュリティテストの定期的な実施などのベストプラクティスに従うことで、COOは成功に向けて道を見失うことなく前進し続けることができます。

データセンターからクラウド、さらには過酷なICS / SCADA環境のネットワーク境界まで、フォーティネットがセキュリティの拡張に役立ちます。その詳細をご確認ください。

Echoenergiaとこの大手石油ガス企業は、フォーティネットのOTセキュリティソリューションを活用して、分散ネットワークと重要なインフラストラクチャを保護しました。その方法を、これらのお客様のユースケースでご確認ください。