OTセキュリティは「現場で起きてほしくないこと」を考えることから始まる

　「『能動的サイバー防御』が政府が2022年（令和4年）に決定した『国家安全保障戦略』に盛り込まれた。さらに『サイバー安全保障』というキーワードも一般化しつつある。サイバーセキュリティが国にとっても企業にとっても大きな課題となっている」−−。フォーティネットジャパン OTビジネス開発部 マネージャーの小泉 和也 氏は、こう指摘する（写真1）。

写真1：フォーティネットジャパン OTビジネス開発部 マネージャーの小泉 和也 氏

　企業のセキュリティ対策を促進するために政府は、各企業の対策レベルを評価する「サプライチェーン強化に向けたセキュリティ対策評価制度」を検討している。同制度は企業のセキュリティ対策を3〜5つの星で評価する制度で、政府調達や補助金支給の要件とすることも検討されている。

　併せて、インシデントの報告義務化も議論されている。すなわち重要インフラ事業者は、実効性の高いセキュリティ対策と同時に、平時および有事の双方で説明責任も果たす必要がある。

工場目標のKPIなどから事業被害リスク（ビジネスリスク）を具体的に考える

　では具体的に、どのような対策を打てば良いのか。それを考える際に小泉氏は「そもそも『現場で起こってほしくないこと』は何かから考える始めること」を提案する。そこでは「SEQCD（Safety：安全、Environment：環境、Quality：品質、Cost：コスト、Delivery：納期）といった工場目標のKPI（Key Performance Indicator：重要業績評価指標）などをイメージすると考えやすい」（同）という。

　例えば、SafetyまたはHealth（健康）では事故による人身災害や健康被害が、Environmentでは有害物質の流出や大気・水質・土壌などの環境汚染、Qualityなら不適合品の出荷や品質へのクレーム、それによる製品回収やリコールなどが思い浮かぶ。これらを自社の事業に当てはめ「起きてほしくないこと」を考える。

　従来のセキュリティ対策では、情報漏洩やシステム停止などIT（Information Technology：情報技術）システムの被害想定と、その対策に比重が置かれていた。しかしOT（Operational Technology：制御・運用技術）システムでは、「工場やプラントといった物理的な設備と密接に連携しているため、サイバー攻撃が物理的な被害につながる可能性を考慮する必要がある」と小泉氏は強調する。

　そこでの事業被害リスクは、「ITシステムよりも、はるかに深刻になり、最悪の場合、人命に関わる。それを未然に防ぐには、セキュリティの脅威とビジネスリスクとなる『本当に起きてほしくない』ことを紐づける必要がある」（小泉氏）

　対策を進めるための手法として小泉氏は、米アイダホ国立研究所が開発した重要インフラ防護のためのセキュリティ対策検討手法「CCE（Consequence-driven Cyber-informed Engineering）」を挙げる。Consequence-drivenとは結果駆動型を意味し、「起きてほしくない事象」を起点に、その事象を引き起こす可能性のある脅威や脆弱性を分析し、対策を検討する。

　CCEは4つのフェーズから成り立っている（図1）。まず「Consequence Prioritization」すなわち「起きてほしくないこと」に優先順位を付ける。次にサイバー要因に絞り込み、事業者にとって最もクリティカルな事象から、それを引き起こすシステムあるいはプロセス、さらには人間系を含めた業務プロセスの現状を把握する。そこから影響が大きなイベントのシナリオを作成し、最後に起こり得るリスクの緩和策を考案する。

図1：「CCE（Consequence-driven Cyber-informed Engineering）」の4つのフェーズ