
Download PDF -
医薬品の安定供給を支える、OTセキュリティ実装の道筋とは
近年、製造設備などの制御系システムを守るOT(運用技術:Operational Technology)セキュリティの重要性が高まっています。第一三共株式会社でOTセキュリティ強化の活動に従事する江口武志氏に、実際の導入から運用立ち上げをどのように進めたか、現場への浸透における難しさやチャレンジについて聞きました。
現在、「不確実性の時代(VUCA)」という言葉が示すとおり、将来の先行きが見え難く変化の激しい社会を迎えています。この影響は、現実社会に留まらずサイバー空間においてもさまざまなリスクを生み出しており、ときにはインシデントという形で顕在化しています。
このようなリスクの高まりに応じて、企業のセキュリティ投資も増加の一途をたどっています。限りある経営資源の中で投資対効果の高いセキュリティ対策を実現するためには、サイバーインテリジェンスの活用は欠かすことのできないテーマとなります。
本レポートでは前回調査で提唱した「機先を制するセキュリティ」から歩を進め、サイバーインテリジェンスをいかに企業のセキュリティ戦略に統合すべきかを考察します。
これらの調査結果から得られる示唆が、日本の企業の皆さまの効果的なセキュリティ対策を講じるための一助となれば幸いです。
2023年 Cyber IQ調査の一部を抜粋してご紹介します。全文は以下よりPDFをダウンロードしてご覧ください。
ランサムウェアの流行に伴って、従来のサイバークライムへの回帰も発生している中、サイバークライムにより金銭的要求をされた場合の対応について、各企業がどのように考えているかについて質問したところ、「対応方針が決まっていない」(61.5%)が最も多い回答となりました。
ランサムウェアによる金銭的要求には対応しないことがスタンダードとなっている中で、より広いサイバークライムという単位にはまだ意識が向けられていないことが読み取れます。
サイバークライムがこのまま増加すれば、今後、ランサムウェアの対応と同様に金銭的要求をされた場合の対応方針の検討が必要となるでしょう。
「サイバーインテリジェンス」とは、自組織に発生し得る脅威を予測し、脅威が発生した際に対応できるよう備える活動を指します。これを実現するためには、セキュリティ対策に脅威アクターのプロファイルを活用する「脅威インテリジェンス」と呼ばれる取り組みが重要となります。
一方で、サイバーインテリジェンスはこうした技術的観点(Technology)に留まらず、組織がどのようなセキュリティ戦略を採用・実施すべきかといった戦略的観点(Strategy)、セキュリティ運用の設計やその改善・高度化に関する運用観点(Operations)が包含されます。
企業はこうしたインテリジェンスを活用し、インシデントが発生した場合であっても被害を極小化・最小化し、しなやかにシステムを回復させてレジリエンスを向上させなければなりません。そのために必要なのが、「組織におけるCyber IQの向上」です。次の図は、過去のセキュリティ戦略とCyber IQの高い組織の戦略立案を比較した表です。
Cyber IQの高い企業は、戦略インプットにサイバーインテリジェンスを活用しています。自社が属する業界に対し、「どのような攻撃グループが」「どのような攻撃手法を用いて」「どのような攻撃キャンペーン(作戦活動)を展開するのか」を分析しながら、ダイナミックなセキュリティ対策を考えて、最も費用対効果の高い対策を導出しているのです。
組織のCyber IQを高めるためには、サイバーインテリジェンスの活用とセキュリティ管理体制をタイムリーに照合することが求められます。そのアプローチはPDFをご参照ください。
Download PDF -
近年、製造設備などの制御系システムを守るOT(運用技術:Operational Technology)セキュリティの重要性が高まっています。第一三共株式会社でOTセキュリティ強化の活動に従事する江口武志氏に、実際の導入から運用立ち上げをどのように進めたか、現場への浸透における難しさやチャレンジについて聞きました。
Download PDF -
本海外規格や国内外のガイドラインを踏まえて、日本企業が国際水準の物理セキュリティを整備する必要性を解説し、実際にどのように「物理セキュリティペネトレーションテスト」を導入・活用できるかをご紹介します。
Download PDF -
スイス連邦財務省国際金融問題局の独立調査ユニットであるSwiss Financial Innovation Deskが発行した「Pathway 2035 for Financial Innovation」レポートを基に、銀行業界のサイバーセキュリティ戦略におけるAI、耐量子、デジタルトラスト、デジタル通貨のテーマ別に、それぞれの未来予測とサイバーリスク、望ましい対応策を整理します。
Download PDF -
IEC 62443シリーズは、OT環境のセキュリティを確保するための推奨事項を規定した国際標準規格です。IEC 62443シリーズの概要と活用するメリット、関連する認証制度とその動向について解説します。