この記事は、TXOne NetworksのCEO、Terence Liuが執筆し、2024年2月28日にSDM Magazineに掲載されたものです。
2023年、運用制御技術(OT)および産業用制御システム(ICS)におけるサイバーセキュリティの課題は、これまでになく深刻なものとなりました。ランサムウェアは、時には新しいRaaS(Ransomware-as-a-Service)モデルを介して、ますます蔓延し、身代金も要求されることから頭痛の種となることも増えています。
企業の情報技術(IT)とOT環境の統合が進むにつれ、サプライチェーンの脆弱性やレガシーシステムの保護に関する複雑性などの領域で、克服すべき新たなサイバーセキュリティのハードルが明らかになっています。さらに、地政学的な緊張の高まりによって、国家が支援するハッカーや政治的な動機のある攻撃者が引き起こす攻撃が増加する可能性が高まっています。
このような傾向は、単なる規制遵守をはるかに超えたOT/ICSサイバーセキュリティ対策を目指す、グローバル企業の継続的な動きをさらに強化することに繋がります。業種や地域的市場によってばらつきはありますが、企業はガバナンス構造の見直し、チームと技術的能力の強化、高度な脅威検知・対応システムの採用、そしてサプライチェーンのリスク管理の厳格な監視を行うようになっています。
2024年後半は、企業や政府機関が業務の可用性、信頼性、セキュリティを保護しようと尽力し、DXが加速する中、このような分野でより緊密な連携とより積極的な行動が期待されます。
2024年の展望
ガバナンスの見直し
2023年には、特にOTおよびICSの分野で、サイバーセキュリティの状況が変革の時期を迎えました。各国政府は、重要インフラ分野のセキュリティを強化するために、法律や基準を改定しました。米国では現在、サイバーセキュリティに関する重要な規制上の取り組みが重要なインフラに対して強化されています。
ホワイトハウスは2023年3月に新しい国家サイバーセキュリティ戦略を発表しましたが、この戦略は、ITシステムとOTシステムの保護機能と復旧機能の構築に焦点を当てています。さらに、エネルギー分野では、いくつかの規制が更新または制定されました。これらの規制は、ゼロトラストアーキテクチャを用いて連邦政府のサイバーセキュリティを強化し、ITおよびOTインフラを近代化することにコミットしています。
また、企業内のOTサイバーセキュリティガバナンスも変化しました。従来の最高情報責任者、最高セキュリティ責任者、最高技術責任者(CIO、CSO、CTO)がOT/ICSサイバーセキュリティの意思決定において重要な役割を果たす一方で、最高経営責任者が関与する機会も増えています。専任チームが固有の課題に取り組み、リソースの統合や部門横断的な協力のための共有アプローチを選択する企業もあります。
能力の向上
OT/ICSセキュリティ予算は増加を続けており、重要なOT資産の保護とデータセキュリティは、引き続き最も優先順位の高い投資分野となっています。進化する脅威の状況と最近のインシデントの影響により、企業は、特にITとOTシステムの融合に関して、サイバーセキュリティの複雑さに苦心していると言われながらも、OT/ICSにおいては、サイバー脅威に対する防御メカニズムを積極的に強化するよう求められています。
たとえば、クラウドベースで頻繁にアップデートがある従来のIT保護メカニズムは、OTシステム、特に完全にオフラインであるか、外部ネットワークから隔離されているシステムにはシームレスに統合できないことがあります。その結果、OTシステムの保守とIT統合が依然として重要な懸念事項として残っているため、OTとICSの固有の要件と特性に合わせて構築されたアプローチが引き続き支持されています。
脅威の検知と対応技術の採用
予算配分が予想されるもう一つの分野は、技術インフラの回復力(レジリエンス)を強化するためのツールです。進化する脅威に対するOTのセキュリティポスチャとレジリエンス力を強化する革新的なアプローチが誕生し、その一つが運用中心のサイバーフィジカルシステム ディテクション&レスポンス(CPSDR)です。CPSDRでは、セキュリティ対策が機器の性能と連動しているため、通常稼働からの逸脱を早期に検知して抑制し、システムの不安定化を防ぐことができます。既知および未知の脅威から企業を保護し、システムの保護を中断することなく、予期せぬ変更によるダウンタイムを最小限に抑えます。
サプライチェーンの精査
サプライチェーンやその他の第三者に関連するサイバーセキュリティリスクは、世界中の企業が引き続き注目しています。一部の地域では、社内システムをより適切に管理し、サプライチェーンのリスクを積極的に低減できるように、よりリスクを意識した強靭なデジタルエコシステムの構築に明確に焦点を絞った規制が強化されています。たとえば、米国では、大統領令14028号で「サイバーセキュリティに関するサプライチェーンのリスク管理」に重点を置いており、米国国立標準技術研究所(NIST)の新たなガイダンスは、請負業者の技術インフラやサイバーセキュリティのコンプライアンスに影響をおよぼしています。
高まるリスク認識
工業生産、重要インフラ、その他の業界において急速に進化している脅威の状況は、世界中のさまざまな企業に積極的な行動を促しています。ランサムウェア、ITとOTの統合を悪用した脅威、政治的な動機を持った攻撃の可能性は増加傾向にあり、OT/ICS領域における脅威は、人の安全を脅かし、多大な経済的損失をもたらす可能性が特に高くなっています。このようなリスクに対するより深い理解と認識を反映して、今後数カ月から数年の間、世界中の企業や政府は、新たな課題に向けてサイバーセキュリティのガバナンス、専門知識、能力、および投資を調整し続けることになるでしょう。
世界中の産業が直面するサイバーセキュリティ問題に関する詳細については、TXOne Networksのレポート『IT/OTの統合化がもたらす危機:2023年のOT/ICSサイバーセキュリティ』をご覧ください。
