2022 年 6 月 15 日をもちまして、本ウェブサイトは Internet Explorer のサポートを終了いたします。
他のブラウザーをご利用いただき、当社ウェブサイトでの最適な閲覧体験をお楽しみください。
シェア

強固なOTサイバーセキュリティ基盤の構築:適切な質問がファーストステップ

2021年10月4日
My Moxaで保存したリストを管理および共有できます。
Teaser Image
シェア
My Moxaで保存したリストを管理および共有できます。

詳細については、OTデータ革命シリーズを随時ご参照ください。


コロナ禍を境にDX化のペースが飛躍的に加速しています。そして、オンサイトのOTデータを制御・管理できる企業が、この新たなデジタル競争の分野で次のリーダーになると各企業が気づきはじめています。つまり、企業が競争において優位性を得るためには、まずIT部門とOT部門の連携を成功させ、OTデータをこれまで以上に適切に管理する必要があります。自然な成り行きとして、IT/OTの統合における度合いが企業の成長可能性を示す重要指標の1つとなりました。IT/OTの統合は重要性が非常に高い一方で、サイバーセキュリティという1つの大きな障害があるため、多くの企業で議論が進まない状況です。International Data Information(IDC)が実施した調査は、サイバーセキュリティの影響を懸念するため、企業がIT/OTの統合に向けた取り組みに非常に慎重となっていることを伝えています。

サイバーセキュリティの重要性に関しては、数えきれないほど多くの話を聞いてきた人もいるかもしれません。しかし、そのような人が振り返ってみても、IT分野においてサイバーセキュリティが重視されてきた一方で、OT分野ではそうではないことに気づくはずです。産業界のデジタルトランスフォーメーション(産業DX)により、これまで個々のイントラネットという小さな池にとどまっていたOTデータが、インターネットという広い海で活用されることとなりました。そして、インターネット接続の背後には多くの脅威が潜んでいるため、サイバーセキュリティがOTの世界における喫緊の課題となりました。これは、可能な限り早く解決が必要な課題です。MoxaとYNY Technology(マレーシアに拠点を置き、数多くのIIoTプロジェクトでMoxaと提携している産業DXプロバイダー)は、このような環境で、多くの危険が潜む海を安全に航海するため、サイバーセキュリティに必要な制御システムの強化に向けて対応すべき基本的な問題を明確にしました。本稿ではそれらの問題に、よくある質問(FAQ)3問と、対応する質問の背後にある質問(QBQ)を通じ、課題にアプローチします。皆様のサイバーセキュリティ戦略を強化するお役にたてば幸いです。

FAQ 1 vs. QBQ 1

「このサイバーセキュリティプロジェクトの責任者は誰か」vs「サイバーセキュリティ戦略全体で最も脆弱な部分はどこか」

プロジェクトがOTの領域に含まれる一方で、従来はIT中心であったタスクを伴うため、組織の視点から考えたとき「誰がプロジェクトを担当すべきか」という質問に気を取られがちです。OTスタッフは、サイバーセキュリティに対処するための適切なトレーニングを受けておらず、経験がないと主張するかもしれません。ITスタッフは、OT機器に関する経験が不足しているため、全体的なオペレーションにネガティブな影響を及ぼす可能性があると主張するかもしれません。両部門が、サイバーセキュリティとOTオペレーションの両方に、十分な知識や経験を持ち合わせていないため、双方の主張に正当性があり、ジレンマが生じてしまいます。また、経験の有無だけで責任者を決めようとすると、行き詰まってしまう可能性があります。そのため、私たちは「まず問題を特定する」というアプローチをお客様にお勧めしてします。このアプローチでは「誰が責任を担うのにふさわしい経験を有しているか」という質問ではなく、リスクと脆弱性の評価から話し合いを開始します。この評価では、客観的な視点から潜在的なリスクを特定します。例えば、リストに登録されていないOT機器、リスクの高いOT機器、旧式のソフトウェアやサービス、人為的ミスによって生じる管理上の穴などです。このような客観的な評価は、OT部門とIT部門が連携して解決すべき当面の目標を明確化する良い出発点となります。

FAQ 2 vs. QBQ 2

「投資収益率(ROI)は何%か?」vs「行動しないことのコスト(COI)はいくらか?」

OT分野において、ROIは新しい機器への投資を検討する際の重要な指標です。しかし、ROIを指標としてサイバーセキュリティのコストやメリットを測定すると、結果(つまり上層部からの投資)が期待外れとなることが往々にしてあります。これはサイバーセキュリティの性質によるためです。サイバーセキュリティは、リスクの軽減を主な目的としているため、成長を中心に考えた「投資」として測定されるべきではありません。したがって、適切な問いは次のようになります。「今、行動をしなければ、最悪の場合にどのような事態が起こるか」。この考え方はCOI(Cost of Inaction)とも呼ばれています。サイバーセキュリティでは、行動しないことで発生するリスクは往々にして予想を大きく上回ります[1]。そのためCOIは、企業がより実践的な観点から潜在的なサイバーセキュリティの影響を評価し、優先順位の設定を促すことで、プロジェクトにおける意思決定プロセスの迅速化に役立ちます。

FAQ 3 vs. QBQ 3

「最も安全なソリューションは何か」vs「最も適切なソリューションは何か」

これまでの質問を踏まえて、サイバーセキュリティの脆弱性を特定し、優先順位を設定したら、次に計画、プロセス、システム、ツールを評価する必要があります。サイバーセキュリティにおける既存の手法、ツール、サービスの多くがITの観点から設計されているため、OT分野での導入においては必ずしも適切ではありません。例えば、東南アジアのお客様は、IT部門から「コンピューターとオンサイトのヒューマンマシンインターフェース(HMI)の両方で画面保護ロック機能を有効にしたい」という提案を受けました。この提案の狙いは、機器のハッキング予防です。しかし、このソリューションはIT環境においては適切ですが、OT環境では「マシンが即座に異常に対応する必要がある」というニーズを考慮していません。例えば、現場で異常が発生した場合、システムの制御を復旧するための対応時間は数ミリ秒以内でなければいけない場合があり、その時間を越えると大きな損失につながる恐れがあります。オペレータが正しいパスワード入力にかかる時間が長すぎれば、その遅れによって経済的、もしくは人命への影響が非常に大きくなる可能性があります。そのため、サイバーセキュリティソリューションを選択する場合、最も高価なソリューションや、最も認知度が高いソリューションが最善とは限りません。自社特有のニーズに適したソリューションを選択することこそが重要なのです。

「サイバーセキュリティは、技術的な問題であるとともにビジネス上の問題でもあります」。昨今の産業環境でサイバーセキュリティ攻撃が多発していることを考えれば、サイバーセキュリティが多くの経営者にとって重要な懸念事項である理由は明確です。ありがちなFAQからQBQへ視点を変えることで、自社にとって適切なサイバーセキュリティ戦略の確立に向けた、より強固な基盤を構築することができるでしょう。


OTデータの秘密について詳細を知りたい方は、こちらからOT Data Nextをご視聴ください。

その他の記事

バッグに追加