規制、ロックイン、レガシー: 製造業 CISO が難問を解決するためのヒント

※この投稿は米国時間 2024 年 3 月 7 日に、Google Cloud blog に投稿されたものの抄訳です。

清潔な水、継続的な電力供給、安全な輸送。そのいずれか 1 つでもなくなることになれば、現代生活における多くのことが止まってしまうことになるでしょう。しかし、現代生活を支え、向上させる重要なインフラストラクチャに対する要件は、特に組織がビジネス要件、規制の枠組み、サイバーセキュリティのベストプラクティスと自社の技術スタックを整合させようとする中で、厳格化し続けています。

さまざまな業界のビジネス リーダーは、こうした複雑なニーズに対応するための最適なソリューションとして、大量のデータを集約、保存、処理するクラウド移行のメリットにますます注目するようになっています。

インダストリー 4.0 のリーダーは、障害予測分析、ルート最適化、積荷計画、市場需要予測などの価値を重要視しています。しかし、セキュリティ要件や、独自の重要インフラストラクチャ情報技術（IT）とオペレーショナル テクノロジー（OT）がユニークに組み合わさっていることで、より成熟した重要インフラストラクチャの領域ではこれらのタスクがはるかに困難になります。エンドポイント検出対応（EDR）は多層防御戦略の重要な要素ですが、重要インフラストラクチャの防御者が攻撃者をうまく追い払うにはそれ以上のものが必要です。

「通常 EDR ソリューションをサポートしていないエッジ製品やシステムのゼロデイ脆弱性を特定する国家も現れています。こういった国家はこれらの脆弱性を悪用し、カスタム マルウェアをデプロイしてスパイ活動を進めています」と、Mandiant Consulting の CTO である Charles Carmakal は述べています。

コンテキスト、明確さ、ベスト プラクティス

多様なデータセットの保護はこの変革の重要な側面です。プロセスが成功するたびに技術的かつ規制上の課題に対処する必要があります。重要なインフラストラクチャを保護するには、コンテキストと明確さが必要なのです。

コンテキストと明確さが欠けていることにより、多くのビジネス リーダーにとって「ベスト プラクティス」という言葉は達成不可能な、抽象的なものとなっています。これを受けて、製造業と産業分野全体で見られる 4 つの一貫した課題を検討していきたいと思います。

• 動的な要件とリスク領域
• 動的な規制とリスク回避環境における重要インフラストラクチャの保護
• ベンダー ロックインの把握
• IT および OT のレガシー システム

行政機関や規制当局がサイバーセキュリティの脅威の増大とプライバシー要件の変化に対応する中、製造業のリーダーは進化するコンプライアンス標準に悩まされています。最近の米国大統領令では、IT および OT システム、そしてソフトウェア部品表に関する政府の政策に焦点が当てられています。一方、他の行政機関もセキュリティ アーキテクチャとリスク軽減に関するガイダンスを更新しています。

動的な規制環境と確立された業務が交錯する中、企業はどのようにすれば、ますます理論的になっていくモデルと実際に整合をはかっていけるのでしょう？

現在の製造業や産業分野では、「ベンダーの選択」という言葉は誤った呼び方のように感じることがあります。ベンダーの選択は、別のベンダーに完全に移行する現実的な選択肢がなくなる数十年前に行われていたのかもしれません。つまり、多くの組織は、既存のシステムを新しい規制、サイバーセキュリティ、またはビジネス要件に対応させる方法を見つけることしか現実的な選択肢がない状況に置かれています。

これは、EDR、脆弱性管理、Identity and Access Management、多要素認証、データ暗号化を扱う際に真の意味を持ちます。これらの項目はデジタル アセットに対する基本的な要件でしょう。しかし、シンプルさによって稼働率を実現する OT システムでは、多くの場合忌み嫌われています。

従来型のテクノロジーとセキュリティ上の負債を解決

従来のコンピューティングとインフラストラクチャは、多くの分散制御システム（DCS）と監視制御データ収集（SCADA）環境の基盤となっています。老朽化したベンダーとの関係性と同様、DCS にも SCADA にも、実際にはセキュリティ上の課題が山積しています。組織が DEC Alpha システムをサポートするために余剰の古いハードウェアを買い占める、あるいはベンダーが自己完結型の古い Active Directory ドメインで DCS をパッケージ化して提供するといったことは、珍しいことではありません。製造業や産業分野が、従来のセキュリティ脆弱性の影響を受けない最新のソリューションを必要としていることは明らかです。

これらの問題には明確な正解や不正解はありません。しかし、正解にはさまざまなバリエーションがあり、明らかに間違っている答えもあります。技術的な詳細にとらわれる前に、まずは戦略的なパラダイムを構築することをおすすめします。

次のように自問してみるのも有効です。

• 業務停止のリスクとサイバーリスクのチェンジ マネジメントのバランスは崩れていないか？
• 変化を最小限に抑えることに重点を置きすぎて、結果としてサイバー リスクを増大させていないか？
• 遵守すべき業界固有の規制は何か？

最初に行う技術的なチェック項目には、出発点として次のような質問を検討してみてください。

• サイバー イベント中に OT が隔絶されても機能し続けることは可能か？
• 物理的なアクセス要件を MFA の要素として使用できるか？
• デバイスが単一のシャーシに Purdue レベル 0 ～ 3 を組み込んでいる場合はどうなるのか？
• 同じハードウェア上の仮想ルーティングと転送（VRF）による仮想分離はセグメンテーションとして十分か？

難しいように見えるとしたら、それは実際に難しいことだからです。あらゆる状況に対処できる魔法のような解決策、ツール、フレームワークは存在しません。サイバーセキュリティ、オペレーショナル レジリエンス、コンプライアンス間のギャップの複雑さを理解して受け入れることが、製造業や産業界のユースケースに対する生産的なソリューション エンジニアリングの出発点なのです。

組織を前進させるために

まだ行っていない場合は、セキュリティについてチームと徹底的に話し合うことが重要です。手始めに、現在のサイバーセキュリティ戦略を振り返り、戦略的なビジネス成果に基づいて優先順位を設定し、組織のセキュリティ ロードマップをより効果的に策定するために、現在のサポートと必要なサポートのギャップ分析を行いましょう。

詳細の確認やお問い合わせについては、CISO Insights Hub をご覧ください。

-Google Cloud、CISO オフィス、シニア サイバーセキュリティ コンサルタント Nick Panos

-Mandiant Consulting、シニア プリンシパル セキュリティ コンサルタント Isser R.