「デジタル化する工場のサイバーセキュリティ」ATT&CK for ICSを利用した攻撃者視点のOTセキュリティ評価
攻撃者の視点からOTセキュリティを評価することの必要性と、評価する際の留意点、評価に役立つ参考資料としてATT&CK for ICSを紹介します。
工場(OT)領域におけるセキュリティ人材
OT(Operational Technology:生産ラインやシステムの制御・運用技術)環境のセキュリティ確保を行う上で、セキュリティ管理の推進や実行を担う人材の確保は重要な論点です。優れたルールや対策が実装されても、それらを正しく運用し、環境の変化に合わせて最適化できる人材が揃っていなければ、無用の長物と化してしまうことは明白です。今回は、OT環境のセキュリティ確保に必要な人材要件と、そうした人材の獲得戦略について解説します。
1.主役はセキュリティスペシャリストではない?OT環境に求められるセキュリティ人材とは
セキュリティ人材と聞くと、高度な専門知識や実行能力を有する「セキュリティスペシャリスト」を想像するかもしれませんが、OTセキュリティにおいては、セキュリティスペシャリストが担う役割はごく一部に留まります。
IT/OTに関わらず企業がセキュリティに取り組むためには、ルールや仕組みを建て付けて監督する管理的な役割と、ルールの実現のために技術的対策を実装・運用する役割の両方が必要です。ITとOTで異なるのは、特に技術的な対策を行う際に必要になる知識・スキルの部分です。ITの場合、セキュリティを実装するシステムにおいては標準化された技術が使用されています。一方でOTの場合、自組織の製品生産に特化した設備やシステムが利用されていることが多く、セキュリティ対策の実装・運用のためには、自組織の設備やシステムの技術を理解し、最適化して実装することが求められます。
上記の前提に基づいて、OT環境におけるセキュリティ人材を以下の3種類と定義し、それぞれの要件を整理します。
- 管理人材
セキュリティのルールや仕組みを建て付け、その実行状況を確認し、改善を推進する人材です。
一般的なセキュリティ管理要件を、自組織の事業や設備の特性を考慮してルールとして最適化した上で監督・推進することが求められるため、セキュリティ管理の基礎知識と自組織の事業や組織に対する深い理解が必要です。
- 技術人材(OTシステム専門)
OTシステムの設計開発や運用・保守にセキュリティ対策を実装し、遂行する人材です。
OTシステムの設計開発や運用・保守業務にセキュリティ要件を組み込み、運用することが求められるため、同システムとその運用・保守に関する技術的な専門性を有していることを前提に、セキュリティ専門性も備えている必要があります。また、多くの企業・組織ではシステムが各拠点で異なり、運用業務もオンサイトで実施されることが多いことから、本人材は各拠点に配置され、人数も最も多くなります。
- 技術人材(セキュリティ専門)
セキュリティ監視(Security Operation Center)や高度分析など、技術的なセキュリティ専門業務を遂行する人材です。
セキュリティに関する高度な専門性が必要である反面、事業や設備の専門性はあまり求められません。
2.鍵は外部ではなく社内人員の育成。OTセキュリティの人材獲得戦略とは
前述のように、OTセキュリティ人材の多くには、自社の事業や組織またはOTシステムやその運用・保守に関する専門性が求められます。そうした人材の獲得のためには、外部からセキュリティ人材を登用するのではなく、既に自社の事業や組織またはOTシステムやその運用・保守の専門性を持っている社内人員を活かして、セキュリティ知識をアドオンしていくことが、人材戦略として望ましいと考えられます。また一般的には、高度な専門性が必要になればなるほど、また知識/スキルが標準的であればあるほど、外部リソースを有効活用しやすくなります。自社固有の知識の必要性がない領域においては、アウトソースや外部人員の登用も積極的に検討することが望まれます。
上記の考えをもとに、各人材の獲得戦略を以下のように整理することができます。
- 管理人材
自組織の事業特性を理解し、OT関連の施策を推進できる立場の人材(社内のOT関係者とリレーションを持つ人材など)に対して、セキュリティ管理に関する基礎的な知識を教育することが効果的です。
管理人材をどのような組織単位で配置していくのか組織のガバナンス戦略に沿って検討することが望ましいと考えられます。(「工場(OT)におけるセキュリティガバナンス」参照)
- 技術人材(OTシステム専門)
OTシステムやその運用・保守に関する技術的な専門性を持つ社内人材に対し、知識のみならずオペレーションスキルを含めたセキュリティ専門性を教育することが求められます。前述のように、多くの企業では各事業や各拠点独自でOTシステムを実装・運用していることから、本人材は各拠点で育成していく必要があります。
- 技術人材(セキュリティ専門)
高度なセキュリティ専門性が求められること、また自組織固有の知識の必要性が少ないことから、外部人材の登用やアウトソースを有効に活用できます。また自組織のIT部門で活用している人材のシェアを検討することも、効率的かつ効果的な人材獲得戦略であると考えられます。
図表2もご参考にしていただきながら、それぞれの獲得戦略に沿った教育計画や外部委託計画を検討・実践し、OT環境のセキュリティ確保に努めていただければ幸いです。
デジタル化する工場のサイバーセキュリティ
5 results
Loading...
「デジタル化する工場のサイバーセキュリティ」工場(OT)領域におけるセキュリティ人材
OT環境のセキュリティ確保を行う上で、セキュリティ管理の推進や実行を担う人材の確保は重要な論点です。OT環境のセキュリティ確保に必要な人材要件と、そうした人材の獲得戦略について解説します。
「デジタル化する工場のサイバーセキュリティ」工場(OT)環境におけるセキュリティアーキテクチャのリファレンスモデル化の重要性
工場の数が多く、かつ事業の異なる工場を持つ企業がセキュリティ対策を早く確実に実装することは容易ではありません。この課題を解決するための重要施策として、セキュリティアーキテクチャの実装・運用におけるリファレンスモデルの活用を紹介します。
「デジタル化する工場のサイバーセキュリティ」工場(OT)におけるセキュリティガバナンス ― 現場の実力を重視したセキュリティ管理態勢の構築
OTセキュリティ管理の実現に向けては、ITセキュリティの管理態勢とは別に、OT独自のセキュリティガバナンスを設計し、実装する必要があります。OTセキュリティガバナンスの設計・実装(第1段階)、成熟化(第2段階)を実現する上で重要になる論点を解説します。
Loading...
最新のサイバーセキュリティ&プライバシー コラム・対談
20 results
Loading...
航空サイバーセキュリティの強化 ―EASA Part-ISが求める情報セキュリティ要件―
航空業界は、航空機や関連システムの高度なデジタル化やグローバルなサプライチェーンによる複雑化が進む中、サイバーセキュリティの重要性がかつてないほど高まっています。こうした背景から欧州航空安全機関(EASA)が2023年10月に制定した、情報セキュリティに関する初の規則となるPart-IS(委員会実施規則(EU) 2023/203および委員会委任規則2022/1645)について解説します。
医薬品の安定供給を支える、OTセキュリティ実装の道筋とは
近年、製造設備などの制御系システムを守るOT(運用技術:Operational Technology)セキュリティの重要性が高まっています。第一三共株式会社でOTセキュリティ強化の活動に従事する江口武志氏に、実際の導入から運用立ち上げをどのように進めたか、現場への浸透における難しさやチャレンジについて聞きました。
事業のグローバル化からみるサイバー・物理セキュリティ強化の必要性
本海外規格や国内外のガイドラインを踏まえて、日本企業が国際水準の物理セキュリティを整備する必要性を解説し、実際にどのように「物理セキュリティペネトレーションテスト」を導入・活用できるかをご紹介します。
望ましいサイバーセキュリティの未来(銀行業界編)
スイス連邦財務省国際金融問題局の独立調査ユニットであるSwiss Financial Innovation Deskが発行した「Pathway 2035 for Financial Innovation」レポートを基に、銀行業界のサイバーセキュリティ戦略におけるAI、耐量子、デジタルトラスト、デジタル通貨のテーマ別に、それぞれの未来予測とサイバーリスク、望ましい対応策を整理します。
Loading...
