IEC 62443-2-1第2版の改訂内容と推奨される対応
2024年8月、IEC 62443-2-1の改訂第2版「IACSアセットオーナーのためのセキュリティプログラム要求事項」が発行されました。第1版からの要件構成の変更、62443シリーズの他文書との連携、成熟度モデルの導入など多岐にわたり変更された第2版の概要や、改訂に伴って推奨される対応について解説します。
回答者の45%は、自社の取締役会が、オペレーショナルテクノロジー(以降、OTと略称)サイバーセキュリティに関するリスクを最大のビジネスリスクとして認識していると答えています。
回答者の54%は、過去3年間に自社がOTサイバーセキュリティ関連のインシデントを経験したと申告しています。
回答者の71%は、過去1年間に自社がOTサイバーセキュリティ予算を増額したと答えています。
今日の世界では、経営陣がOTシステムのセキュリティをますます注視するようになっています。
オペレーショナルテクノロジー(OT)とは、簡単に言えば、工業プロセスやインフラを制御するためのハードウェアとソフトウェアのことです。本レポートでは、従来のOTにインダストリアル・インターネット・オブ・シングス(IIoT)を含めてOTと定義しています。OTシステムは、発電・配電、公益事業、製造、物流、輸送といった資産集約型産業の心臓部です。したがって、セキュリティの突破に成功した場合の犯罪者の見返りという点でも、事業運営、公共の安全、国家安全保障への影響という点でも、OTシステムは極めて重要な標的です。
なぜ今、OTセキュリティへの関心が高まっているのでしょうか。昨年は、非常に注目を集めた数件のインシデントを含め、OTシステムへの攻撃件数が大きく増加しました。さらに、カナダ連邦政府は、サイバーリスク規制の重要性を認識し、重要なサイバーシステムとインフラの保護を目的とした新法案を策定しました。しかし、セキュリティへの脅威が増すのと並行して、OTシステムのデジタル化が進み、結果として脆弱性が増しています。これからの時代、OTセキュリティは、単なるリスク管理の手段にとどまらず、競争優位性を手にするための重要な要素になると予想されます。
では、カナダの企業は、ますます高まるこれらの脅威にどのように対応し、将来の成功に向け、組織としてどのようなポジションを取ろうとしているのでしょうか。2022年春、私たちはOTサイバーセキュリティの対策レベルを知るために、カナダ全土にわたる約175社のビジネスリーダー200人に調査を実施しました。これらの回答者のうち10人に8人以上(83%)は、所属組織のOTサイバーセキュリティに関して主たる意思決定者を務めています。
以下では、主な調査結果を紹介します。
組織のリーダーは、OT環境の安全をどのようにして維持するかに関して下す決定の重大さを理解しなければなりません。回答者は、自社においてOTセキュリティ侵害によるオペレーションへの影響とサイバーキネティック面への影響の両方を経験したことがあると述べています。
OTサイバーリスクはかねてから存在していましたが、特にリーダー層の間でOTリスクに対する認識が全体として高まっているようです。OTサイバーセキュリティリスクは、本調査回答企業の90%の取締役会において、最大のビジネスリスク、または大きなテクノロジーリスクとして認識されています。これはその他の調査結果とも一致します。最近実施した「第25回CEOサーベイ-カナダ編(CEO Survey - Canadian insights)」では、カナダのCEOのうち、これまでで最も多い53%が、来年度のサイバーリスクを極めて深刻に、または非常に懸念していると回答しました。
質問:自社の取締役会はOTサイバーセキュリティリスクをどのように認識していますか。次のうち最もよく当てはまるものを選んでください。
・・・取締役会は最大のビジネスリスクとして認識している。
・・・取締役会は大きなテクノロジーリスクとして認識している。
・・・テクノロジーリスクとオペレーショナルリスクの単なるサブセットと考えられており、独立したカテゴリーとして取締役会で議論されることや、取締役会に報告されることはない。
四捨五入しているため合計は100%になりません。
こうした意識の高まりには、過去に企業で起きたいくつかの重大なインシデントだけでなく、回答者自身が経験したOTインシデントの増加(さらにはそれらがもたらした悪影響)が関わっていると思われます。
回答者の54%が、過去3年間にOTサイバーセキュリティ・インシデントを経験したと答えています。
OTシステム関連のセキュリティインシデントが所属する組織に与えた影響について尋ねたところ、回答者は業務に多大な影響が生じたことを明らかにしました。各社に生じた影響として最も多く挙げられたのは、専有情報・機密情報の喪失(23%)と、製品/サービスの品質へのダメージ(20%)でした。
しかし、サイバーキネティック・リスクは、OTリスクへの意識を高める大きなきっかけになる可能性があります。サイバー攻撃による被害として、従業員の死傷を選択した回答者が7%、一般市民の死傷を選択した回答者が6%いたと聞けば驚かれるでしょう。
今後、OTセキュリティインシデントに関してもっとも懸念される点については、「顧客の信頼失墜」と「企業ブランド/コーポレートレピュテーションの低下」が38%で最多となっています。人命、福祉、あるいは環境に影響を与えるサイバー事象は、コーポレートレピュテーションに大きなダメージを与え、結果として、国民と規制当局の両方の信頼を著しく損なう可能性があります。
質問:OTサイバーセキュリティ・インシデントによって起こりうる以下の結果の中で、自社にとって今後最大の懸案事項はどれですか。3つ挙げてください。
四捨五入しているため、パーセンテージの合計が表示通りにならない場合があります。
OTサイバーセキュリティ・インシデントによって生じるおそれのある影響として、最も多くの回答者が挙げたのは、「インシデント対応および緩和にかかるコスト」でした(11%)。
どのリスクも、企業がOTシステムのデジタル化を進めるほど高まるでしょう。しかし、どのような技術的トレンド、働き方のトレンドが、OTサイバーリスクを最も増やすと回答者が考えているのかについては、共通のトレンドが見当たりません。
全体としてみると、ハードウェアとソフトウェアのサプライチェーン、そしてサードパーティに関わるリスクが、OTセキュリティリスクを最も高めるトレンドです。また、ここ数年の出来事を考えれば当然のことですが、ベンダー(24%)および従業員(23%)のリモートアクセス、さらには市場におけるスキル不足(20%)、従業員の離職(17%)も懸念されるもう1つの分野です。しかしながら、全体として、現在のトレンドがサイバーセキュリティリスクにどのような影響を与えるかに対する懸念は多様であり、かつ広範囲です。OTサイバーセキュリティリスクを引き起こすトレンドとして、AIや機械学習ソリューションの導入、クラウドコンピューティングやSaaSソリューションの導入などが上位に挙げられています。
質問:現在または将来において、OTサイバーリスクを最も高めるのは、どのような技術的トレンド、働き方のトレンドだと思いますか。
四捨五入しているため、パーセンテージの合計が表示通りにならない場合があります。
リーダーは、IT担当者やポリシーに依存しすぎないように十分注意を払い、現在および将来のOTセキュリティギャップを埋めなければなりません。OTセキュリティ環境の技術的難易度が高まるにつれ、OT/IT連携の課題は増える一方です。
現在のリスク環境を考えたとき、組織の中でOTシステムのセキュリティ確保を目指す回答者たちは、どのような課題に直面しているのでしょうか。第一は、ITおよびOTセキュリティの定義が明確でないことです。このように境界線が曖昧なことは、組織内でのOTセキュリティに対する責任の所在についての質問への回答を見るとわかります。
組織の中でOTサイバーセキュリティリスク管理についての最終的責任を負うのはどの役職かを尋ねたところ、回答は多岐にわたりましたが、最高情報セキュリティ責任者(CISO)を選択した回答者が最も多く、22%でした。しかし、OTサイバーセキュリティコントロールの日常的管理は、OTテクノロジーの主たる利用者である部門が行っていると答えた回答者が最も多かった(27%)という点に興味が持たれます。CISOの役割は元来、OTではなくITサイバーセキュリティを監督することです。CISOにOTのセキュリティに関する最終的責任を与えれば、組織内に軋轢が生じるおそれがあります。
このような明確さの欠如は、ポリシーレベルでも見受けられます。84%の回答者が、ITセキュリティポリシーをOTセキュリティに転用していました。さらに、驚くかもしれませんが、15%は正式なOTセキュリティポリシーを全く文書化していませんでした。
IT部門とOT部門が協力し、OT環境を徹底して保護することは非常に重要ですが、技術の違いがあるため、確立されているITコントロールをOTシステムに適用するには限界があります。こうした技術の違いは、セルラーコネクティビティの導入が進むにつれて、ますます複雑になっていくでしょう。回答者の4分の3以上(78%)がすでに、何らかのセルラーコネクティビティをOTシステムで使用。60%はプライベートネットワークを使用しています。
97%の回答者が、自社組織でOTにセルラーコネクティビティを使用する計画があると回答しました。
私たちが未来に向かって進む過程で、常に必要とされるのは、IT/OTシステムの融合とそのリスクを理解できる、高度に専門的なテクニカルスキルセットを備えた人材であり、回答者の皆様はその必要性を理解しています。OTサイバーセキュリティ導入の典型的な障壁について尋ねたところ、「OTサイバーセキュリティの専門知識がない」(45%)と「OTサイバーセキュリティのための正式な予算がない」(44%)が上位を占めました。第1位にランクインすると思われた「専門知識がない」は23%でした。
質問:自社において、OTサイバーセキュリティ導入計画の実施を阻む典型的な障壁/遅れは何ですか。
四捨五入しているため、パーセンテージの合計が表示された通りにならない場合があります。
リーダーは、現在のようなOTセキュリティスキルの不足を解決する方法を独創的に考え始めなければなりません。回答者の大多数は、過去1年間にOTサイバーセキュリティ活動に予算を割り当てたと回答しています。人材、プロセス、テクノロジーの3つの側面で改善が見られたと言います。
これらの障壁を克服し、迫り来る脅威から身を守るために、企業はどのような対策を講じているのでしょうか。回答者の10人に7人強(71%)が、過去1年間にOTサイバーセキュリティ予算を増額したと回答しました。予算の大部分は人材に割かれています。
今後1年間の投資で最優先すべき分野を尋ねたところ、回答者は第一に、OT特有の環境の中で、IT情報セキュリティとサイバーセキュリティ担当者のスキルアップを図る必要性を指摘しました(26%)。さらに、サイバーセキュリティの分野でエンジニアリングとオペレーションを担当するスタッフのスキルアップ(22%)、OTサイバーセキュリティ専門家の採用(21%)がこれに続きます。
当然、多くの企業が人材、特に専門教育を受けた人材の確保に苦労している現状を考えれば、回答者のなかでアウトソーシングへの関心もみられます。最も多くの回答者が関心を示したのは、サードパーティサポートと、セキュリティイシュー、データ漏洩、脅威の専門知識でした(30%)。
回答者の16%が、今後1年間に自社が最優先するOTサイバーセキュリティ投資の1つは、マネージド・セキュリティ・サービスだと答えました。
質問:OTサイバーセキュリティへの投資で、今後12カ月間に最優先する事項は何ですか。
四捨五入しているため、パーセンテージの合計が表示された通りにならない場合があります。
プロセス改善に関しては、回答者の16%がOTに特化したサイバーリスクガバナンスの改善に力を入れていることが分かりました。多くの場合、プロセス変更が同時に必要となるテクノロジーアップデートに関しては、OT用脆弱性管理ソリューション(21%)、OT用アセットマネジメント・ソリューションおよび他のサイバーセキュリティコントロールとアセットマネジメントの統合(18%)が上位を占めました。
しかし、特に変化し続ける今日のセキュリティ環境において、プロセスとテクノロジーの両方のアップデートが成功するかどうかは、それらの変更とソリューションを実装し、監督する高技能人材の肩にかかっていることを指摘しておかなければなりません。
リスクが高まる中、OTシステムのデジタル化が進んでいます。企業にとって、従業員と重要なインフラを保護するとともに、オペレーショナルレジリエンスを確保することは極めて重要です。ここでは、組織のリーダーが考慮しなければならない3つの重要な対策をご紹介します。
OTセキュリティ戦略を立案し、サイバーセキュリティ予算を効果的に配分するための最初の一歩は、OTセキュリティリスクの評価・管理に対する自社の取り組み方を明確にすることです。業務ミッションを継続的に遂行できるかどうかは、自社に対するサイバー脅威を特定し、評価し、優先順位をつけるというリスクベースのアプローチを取れるかどうかにかかっています。IT-OTサイバーリスクガバナンスを効果的に行うための社内ポリシー、手順および責任を考案することは、サイバーセキュリティ予算の配分と危機対応を改善するだけでなく、最終的にサイバーリスクへのエクスポージャーを減らすことにつながります。
しかし、OTサイバーリスクの完全な把握は、ITチームとOTチーム間の緊密な連携がなければ実現できません。ITチームは、ITシステムおよび通信に対するサイバー脅威のカテゴリーや、それらの脅威がどうやってOT環境に到達するのかを深く理解しています。OTチームは、安全計装システムまたは手作業での回避によるリスク軽減を検討することで、基盤となる物理プロセスおよび組織への影響を正しく評価することができます。
OTデバイス・ディスカバリーを実行して、全てのOTアセットを特定し、アセットマネジメント・ソリューションにインポートします。ITとOTの可視化ソリューションが交差することは稀であるため、ネットワーク上のアセットを発見するためには、両方のツールセットを含めたアプローチを取らなければなりません。自動化されたアセット発見ツールでは、全てのOTアセットを特定できるとは限りません。総合的なアプローチには、いくつものソースから情報を手作業でつなぎ合わせるという要素を含める必要があります。
多くの組織が抱える最大の課題の1つは、IT-OTアタックサーフェスの可視性が不十分なことです。総合的なITアセット・インベントリーがなければ、未知、未確認のセキュリティ問題が山積する可能性があります。
OT脆弱性の評価と管理を検討する必要があります。脆弱性をある時点で特定し、自社の環境を保護するための緩和プランを策定する上で役立つはずです。さらに、このプロセスでは、脆弱性の評価と管理を定期的、継続的に行う取組みを制度化し、必ず最大のリスクから対処できるようにすべきです。
OT環境において基本的なセキュリティレベルを維持するために、広く支持されている一連のサイバーベストプラクティスとサイバーセキュリティコントロールを導入し、それに準じることが重要です。サイバーハイジーンを維持することによって、組織のリスクを緩和します。
さらに高度なソリューションも検討する価値があります。OTに特化したモニタリングおよびディテクション・ソリューション、インハウスまたはアウトソーシングしたOTセキュリティ・オペレーション・センターは、OT環境に多大な影響が及ぶ前に脅威を迅速に検知し、封じ込める上で役立ちます。OTに特化した固有アクセス管理、ならびにアイデンティティおよびアクセス管理のためのプロセスやソリューションは、OTおよびOT接続システムへのアクセスを制御する際に役立ちます。
OTに特化したセキュリティインシデント対応策を策定し、OT環境への脅威を速やかに封じ込め、根絶できるよう態勢を整えます。OTインシデント対応は、ITインシデント対応よりも複雑であり、そこにはより多くの関係者が関与する点に留意ください。
※本コンテンツは、「 Strengthening operational resilience 」を翻訳したものです。翻訳には正確を期しておりますが、英語版と解釈の相違がある場合は、英語版に依拠してください。
2024年8月、IEC 62443-2-1の改訂第2版「IACSアセットオーナーのためのセキュリティプログラム要求事項」が発行されました。第1版からの要件構成の変更、62443シリーズの他文書との連携、成熟度モデルの導入など多岐にわたり変更された第2版の概要や、改訂に伴って推奨される対応について解説します。
NISTが公表した「NIST IR 8011 v1r1 (Automation Support for Security Control Assessments)」ドラフトを解説するとともに、ISMAPにおける外部評価の一部自動化と、リアルタイム評価・継続的モニタリングを組み合わせたハイブリッド評価の可能性について考察します。
2025年5月2日付で公表された「重要経済安保情報保護活用法の運用に関するガイドライン(適合事業者編)」、「重要経済安保情報保護活用法の運用に関するガイドライン(行政機関編)」及び「適正評価に関するQ&A」の概要を解説します。
営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第1回となる本稿では、営業秘密の定義とその重要性について解説します。
グローバルでは近年、船舶サイバーセキュリティに関する統一規則(IACS UR E26/E27)の発行を筆頭に、海事分野におけるサイバーセキュリティの機運が高まっています。船舶・港湾分野におけるサイバーセキュリティの動向を理解し、発生しうる規制対応リスクについて解説します。
航空業界は、航空機や関連システムの高度なデジタル化やグローバルなサプライチェーンによる複雑化が進む中、サイバーセキュリティの重要性がかつてないほど高まっています。こうした背景から欧州航空安全機関(EASA)が2023年10月に制定した、情報セキュリティに関する初の規則となるPart-IS(委員会実施規則(EU) 2023/203および委員会委任規則2022/1645)について解説します。
近年、製造設備などの制御系システムを守るOT(運用技術:Operational Technology)セキュリティの重要性が高まっています。第一三共株式会社でOTセキュリティ強化の活動に従事する江口武志氏に、実際の導入から運用立ち上げをどのように進めたか、現場への浸透における難しさやチャレンジについて聞きました。
本海外規格や国内外のガイドラインを踏まえて、日本企業が国際水準の物理セキュリティを整備する必要性を解説し、実際にどのように「物理セキュリティペネトレーションテスト」を導入・活用できるかをご紹介します。
