- Column
- 実行性が問われる産業サイバーセキュリティ
OTセキュリティは「現場で起きてほしくないこと」を考えることから始まる
「重要インフラ&産業サイバーセキュリティコンファレンス」より、フォーティネットジャパン OTビジネス開発部 マネージャー 小泉 和也 氏
- 提供:
- フォーティネットジャパン
リスク緩和のためのOTセキュリティ戦略を用意
リスク低減を進めるためにフォーティネットは、「現状把握からリスクの正しい理解と計画、ソリューション導入、そして全拠点展開とサプライチェーンまでのOTセキュリティ戦略をワンストップで提供している」(小泉氏)という(図2)。
同戦略で最も特徴的なのは「リスクの正しい理解と計画だ」とし、小泉氏はこう説明する。
「どんな事業被害が起き得るか、その本質は現場が一番理解しているはずで、そこでの気づきが得られる形で進めるべきだ。事業被害を起こし得るリスク要因として、ネットワークセキュリティ技術だけでなく、組織・運用・技術・サプライチェーンの4つの柱のどこに、どんなリスク要因があり、どんな事業被害リスクが起きるかを理解したうえで、打ち手を考えていく」
この現状把握のプロセスは、経済産業省が示す『工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン』のチェックリストをベースにしている。同ガイドラインは、組織・運用・技術・サプライチェーンの観点で構成されており、「リスクの認識や説明責任の理由付けとしても非常に有効なツールとなっている」(小泉氏)
OTセキュリティ戦略に対応したサービスコンテンツも用意する。基礎から学ぶトレーニングや、実効性のある対策立案・実行のためのワークショップ、OTセキュリティの専門家が訪問する現状把握支援などだ(図3)。小泉氏は「いずれもOT領域に精通した専門家が考案した日本品質のサービスで、全プログラムはエンドユーザーにより実証されている」と胸を張る。
コンテンツの具体例として小泉氏は、次の2つを紹介する。
(1)OTセキュリティリスク認識トレーニング&ワークショップ :OTセキュリティの重要な考え方を習得し、実効性のある対策実施に向けて準備をするもの。Part1とPart2からなる。
Part1では、ビデオによる自主学習によりサイバーセキュリティの基礎を事前に学習する。Part2では、半日のワークショップを実施する。仮想の会社を設定し、現場で起こってほしくないリスクや、サイバー要因かどうか、そこで起こり得るリスクは会社の組織・運用・技術・サプライチェーンのどこにありそうか、最終的にどんな事業被害につながるのかなどを実際に分析する。
(2)「技術対策最適化のためのセキュリティ改善活動」コンサルティング :組織・運用・技術・サプライチェーンのさまざまなカテゴリーに対し、具体的な打ち手を検討していくプログラムである。伴走支援型で提供し「実際に顧客と一緒に、特に現場と一緒に会合を重ね、セキュリティを『自分事』として考えていただくことで、継続的な改善活動につなげることを目指している」(小泉氏)という。
フォーティネットは多様なセキュリティ対策製品を提供しており、リスクベースの導入ロードマップを用意している。技術導入を進める際も「OTセキュリティ対策の本質である『事業被害のリスクを低減するための導入』であるとの理解が必要だ。実効性のある対策を実現するためには重要なポイントだ」と小泉氏は強調する。
