解説：効果的な産業用制御システム（ICS）セキュリティプログラムを構築するための3つのステップ

ステップ1：主要なOT（オペレーショナルテクノロジー／運用制御）チームとのコミュニケーションを確立する 

OT（オペレーショナルテクノロジー／運用制御）チームを早期に関与させ、各拠点の「セキュリティチャンピオン」からの賛同およびサポートを得ることが非常に重要です。多くの企業では、ITチームとOTチームが別々に、異なる優先順位（ITは接続/セキュリティ、OTは可用性/復元力に重点を置いています）のもとで、活動しています。ITセキュリティ組織の最優先事項は環境の安全性を確保することですが、OTチームは効率性を高め、生産機能を可能な限り迅速かつ安全に完了することに注力しています。OTチームは、多くの場合、セキュリティと追加のコントロールを、彼らの業務の目的達成の障害と見なします。 
産業用制御システム（ICS）セキュリティ対策の強化を検討している企業へは、コントロールが必要な理由について組織の認識を高めることから始め、次にそれらコントロールの運用担当チーム（OTチーム）からの賛同を得ることをお勧めしています。組織のセキュリティの優先順位を伝えることができる「セキュリティチャンピオン」を設置することは、チーム間のギャップを埋めるプロセスを容易にするうえで重要なステップになると考えます。 

ステップ2：当取り組みのオーナーシップを確立し、フレームワークとの整合性を図る

上述のウェブセミナーでは、企業において、社内のICSセキュリティの責任はだれが担っているかを尋ねました。約3分の1（33％）が、最高情報セキュリティ責任者（CISO）がこの責任を担っていると回答し、次に最高情報責任者（CIO）、工場長、またはICSセキュリティマネージャーが続きました。視聴者のほぼ4分の1（25％）が「その他」と回答し、この重要な役割に、必要な注意が向けられていない可能性を示唆しています。 
次のステップでは、この取り組みを誰が責任を取り、推進するかを特定します。目標は、リスクに優先順位を付け、組織にとって重要な資産や拠点を特定するために適切な人材を確保することです。ICSセキュリティイニシアチブは、企業のIT、サイバーセキュリティ、オンサイトの物理的セキュリティ、およびOTチームからのサポートが必要になります。前述のように、OTチームからの同意とサポートは、現場およびビジネス目標/要件設計時に、課題を明確に表現するために重要です。彼らの意見は、今後の道筋を描き、OTチームのニーズを満たし、重要な資産のセキュリティを向上させるコントロールを設計する上で重要になります。そのパートナーシップは、経営幹部のサポートを受けることで長期的な成功が保証され、経営幹部がリスクを理解し、それらのリスクをどのように軽減できるか、また、ICSセキュリティの取り組みにおいて定義された戦略を設定する際にどのようなメリット（コスト削減、効率の向上、回復力）を得られるかを確認することから始まります。

企業がICSセキュリティプログラムを調整するために使用可能なフレームワークがいくつかあります。我々がお客様独自のICSセキュリティ手順開発を支援するときのように、組織は特定ニーズに最適なソリューションを開発するために、複数のフレームワークをしばしば活用します。 石油およびガス業界におけるお客様は、NISTサイバーセキュリティフレームワークに合わせる傾向があり、成熟したお客様の中には、NIST 800-82の複数のコントロールを活用しているところもあり、多くの場合、我々のチームは双方のアプローチを組み合わせたハイブリッドフレームワークを推奨しています。

ステップ3：ICSリスクを定量化し、リスクベースの方法でコントロールの実装に優先順位を付ける

企業におけるICSセキュリティガバナンスの構築後、直面している多数のリスクへの対応方法を決定する必要があります。リスクにおける諸要素や技術基盤が異なる運用拠点が複数存在する可能性があるため、既知のセキュリティリスクへの対処開始方法の決定には、定量的なアプローチが必要になります。法律および規制に関連するコントロールが欠如していると、罰金に直結する可能性があるため、それら法規制の遵守状況を理解することは、リスクの優先順位付けに有効です。また、何から始めるべきかを決定する際には、セキュリティ観点で優先順位付けされたアプローチを作成し、ビジネスをよりよく理解するために、リスクをランク付けすることをお薦めします。リソースや時間に制約がある場合が多いため、優先順位を付けたアプローチが必要です。さらに、関係性が強い工場でパイロットアプローチを利用し、プログラムへの支持基盤を構築し、提案されたセキュリティ対策がビジネスに与える影響をよりよく理解することをお薦めします。パイロット段階では、柔軟性を持ち、ビジネスを理解し、すべてを文書化することが重要です。
2021年に向けて、企業は重要な資産の回復力と可用性に悪影響を及ぼさない管理を求めていることがわかります。以下のチャートは、ICS組織が直面する実装上の主要な課題を示しています。予想通り、可用性と安全性は最も重要な考慮事項の2つです。最近、工場現場に行ったことがある人ならば、従業員の健康と安全性が重要視されていることは明白なはずです。健康と安全性を重視する組織は、過去数十年間、その使命を運用に浸透させることで大きな進歩を遂げました。チームは、健康と安全とを統合する方法を鋭敏に認識し、セキュリティが、工場の従業員の安全と健康への信頼を高めるうえでどのように役立つかを説明する必要があります。 

健康と安全性のテクノロジーに関しては、安全性情報システムを保護する必要性に重点が置かれています。これには、何かが発生した場合にアラームを発動させるために、安全性情報システムが適切なセンサーに接続され、予期せぬ問題が発生した場合でも、システムが利用可能な状態を維持できるように意図的に設計することが含まれます。
安全情報システムと追加制御システムを分離することに注力する企業が増えていますが、これにより、主制御システムが危険にさらされても、必ずしも安全衛生システムが危険にさらされることはありません。 
現在、攻撃者は、制御システムに影響を与え、環境や人々に物理的な危害を加えるための新しい方法を絶えず考案しており、対策が極めて困難な状況です。システムに入出力される運用データの流れを正確に把握し、システムを変更することが可能なユーザーを把握し、強力な認証プロセスを実装している組織は、攻撃による悪影響を軽減できます。

要約

経営幹部の同意、ITチームとOTチームの強力なコミュニケーション、適切な人材とシステムの確保は、ICSセキュリティを成功させる主要な要因となります。一見、困難な作業のように思えることであっても恐れないでください。私たちは、この課題を「象を一口ずつ食べる（一歩ずつ着実に実施）」という格言に例えています。リスクや拠点に優先順位を付けます。リスクフレームワークを開発し、パイロットアプローチから始めます。次に、実施拠点での実装導入の成功に基づき、反復アプローチを使用して、ICSセキュリティの構築を成功に導きます。 
プロティビティのICSセキュリティプログラムの詳細については、弊社までお問い合わせください。また、ポッドキャスト、「Building an Effective Industrial Controls System Security Program（効果的な産業用制御システムセキュリティプログラムの構築）」（英語）も是非ご視聴ください。
 

（2021年1月4日）

英語版ブログ「Three Steps to Build an Effective Industrial Control Systems Security Program」へのリンクはこちら