サイバーセキュリティリスクの計算は、理論上は簡単に見えるかもしれません。一般的なITリスク計算式では、リスクは発生可能性と影響度の関数として表されます。しかし、CISOやSOCアナリストなら誰でも言うように、これらの値を正確に見積もるために必要なデータを収集するのは、決して簡単ではありません。まず、完全かつ正確な資産インベントリを保有している組織は少なく、これはつまり、未知のリスクを抱えている可能性が高いことを意味します。さらに、発生可能性を構成する2つの要素、つまり脆弱性と脅威がますます増大しているため、適切な対策を講じているかどうか、そして適切な対策を講じているかどうかを把握するのは困難です。
次に、重要インフラなどの高可用性産業環境に関連するサイバーセキュリティリスクを評価してみましょう。これらの環境は、物理プロセスを制御するために運用技術(OT)やモノのインターネット(IoT)資産に大きく依存しています。まずはITリスクの定式を捨てましょう。主にデータの整合性に関連する、影響度が低く頻度の高いイベントであれば問題ありませんが、OTサイバーセキュリティは、影響度が高く頻度の低いイベントに焦点を当てています。そうではなく、これらの複雑な環境の主要な側面を考慮した、多要素リスクアプローチが必要です。
この記事では、IT リスク管理と OT リスク管理の主な違いについて説明し、Nozomi Networks プラットフォームを使用して環境内で資産リスクの計算方法をカスタマイズし、リソースをどこに割り当てるべきかを理解し、その影響を伝える方法について説明します。
ITリスク評価とOTリスク評価
IT環境とOT環境におけるリスク評価方法の違いは、環境そのものの違いを反映しています。ここでは、特に注目すべき6つの点をご紹介します。
1.サイバーリスクとオペレーショナルリスク
おそらく最も大きな違いは、OTではサイバーリスクと運用リスクの両方、特にプロセスリスクを考慮する必要があることです。これは、サイバー脅威とは無関係の運用上の異常の方がはるかに一般的だからです。IT側では、企業のメールサーバーがダウンしても、ビジネスへの影響は最小限に抑えられます。従業員の中には、休息を喜ぶ人もいるかもしれません。しかし、運用環境で重要なサーバーがダウンすると、甚大なリスクが発生する可能性があります。Colonial Pipelineはその好例です。DarkSideハッカーがITネットワークからデータを人質に取った際、攻撃によって課金システムと会計システムがダウンし、多大な損失につながることは間違いありませんでした。しかし、同社がパイプラインを停止させた理由は、安全監視ツールにアクセスできなくなり、パイプライン自体が侵害されたかどうかを確認できなかったためです。これは明らかに同社にとって許容できない大きなリスクでした。
OTネットワーク内のあらゆるコンポーネントは、高度に分散された環境におけるより大きなプロセスの一部です。すべてが相互に接続され、相互に影響し合っています。
2.結果に基づく
OTにおけるリスク評価は、物理的な安全、環境への悪影響、業務の継続性といった結果に焦点を当てており、これらはすべて莫大な経済的影響を及ぼす可能性があります。郵便処理施設、食肉包装工場、貨物船、倉庫など、どこでリスク評価を行うにしても、OTでは常に最悪の事態を想定した計画を立てています。何千人もの人々に影響を与えるような、どんな壊滅的な事態が起こる可能性があるのでしょうか?
3.相互に関連するリスク
OTネットワークのあらゆるコンポーネントは、高度に分散された環境における大規模なプロセスの一部です。すべてが相互に接続され、相互に影響を及ぼします。データセンターであれば、他のすべてのサーバーを再起動しても影響はないでしょう。OTでは、マシンに問題が発生した場合、そのマシンが何に依存し、何がそのマシンに依存しているかを即座に把握する必要があります。そこから、緊急停止はどのような結果をもたらすでしょうか?石油精製所では、誰かが緊急停止ボタンを押した場合、数百万ドルもの損失が瞬時に発生し、サイトを復旧させるのに数ヶ月かかることになります。
4.脆弱性のみ vs. 多次元
IT分野におけるデバイスリスクは脆弱性のみに基づいており、パッチ適用によってリスクを実質的に排除できます。一方、OT分野においてはリスクは多層構造になっており、パッチ適用は次回のメンテナンス期間まで延期しなければならない場合が多く、そもそもパッチが存在するかどうかも問題です。パッチ適用はOTリスク管理の万能薬ではないため、他の要素も考慮する必要があります。
5.スコアとトレンド
特に工場や責任者レベルでは、OTのステークホルダーは数値的なリスクスコアをほとんど必要としません。お客様からはよく、「数値は必要ありません。上司に見せるのは、リスクが時間の経過とともに減少していることを示すグラフ、つまりサイバープログラムが機能していることを示す線の下降線だけです」と言われます。OTリスクにはリヒタースケールというものがないので、リスクスコア5.1が地域や工場間で同じ意味を持つわけではありません。
6.リスク許容度が高い
産業分野のダウンタイムは避けるべき問題であるため、安全上の問題以外では、産業界のステークホルダーはリスクに対する許容度がはるかに高いといえます。例えば、デバイスがTelnetに公開されているものの、Purdue Level 2ではその上下にファイアウォールが設置されており、そのポートでは何も通信できないとします。これはOTシステムの性質上、よくあるシナリオです。資産所有者は、デバイスがTelnetに公開されているために発せられるアラートをミュートする(または少なくともアラートルールで脆弱性リスクを軽減する)ことを選択するかもしれません。一方、ITアナリストはアラートを確認し、すぐにデバイスにパッチを適用したいと考えるでしょう。しかし、これは不可能であり、また必要もありません。
OTリスクの計算
あらゆるリスク評価は、事業影響分析を実施し、最も重要な資産を特定し、その保護の優先順位を決定することから始まります。産業環境では、資産リスクだけでなく、最も重要なプロセスを特定し、それらをどのように保護するかも考慮する必要があるため、リスク評価はより複雑になります。鉄鉱石を炉に運ぶ工場内のコンベアベルトは、本社ビルから倉庫に郵便物を運ぶコンベアベルトよりもリスクが高いです。同じ技術やプロトコルを使用しているかもしれませんが、リスクレベルは大きく異なります。
いくつかのベンダーは、資産リスクの理解に役立つ計算式リスクスコアを提供しています。概念実証(POC)では魅力的に見えるかもしれませんが、日々のリスクの監視と軽減にどれほど役立つのでしょうか?組織のリスク計算方法を反映していない場合、おそらく無視されてしまうでしょう。
Nozomi Networksプラットフォームは、各資産にリスクスコアを割り当て、セキュリティ対策の優先順位付け、最も重要なリスクへの対応、そして潜在的な脅威を効果的に軽減するための適切な対策の実行を支援します。資産リスクは、脆弱性リスク、アラートリスク、通信リスク、デバイスリスク、資産の重要度、そして代替制御の5つの要素に基づいて算出されます。スコアはそのままご利用いただくことも、各変数の重み付けを完全にカスタマイズして、組織のリスク割り当て方法を正確に反映させることもできます。
こうしたすべての背景を踏まえても、個々の資産のリスクスコアはほとんど価値を提供しません。適切なリスク管理を行うには、リスクスコアの経時的な変化を理解する必要があります。
セキュリティ管理がリスクに及ぼす影響を時間の経過とともに確認
OT資産リスクを確認する際には、ゾーン、サイト、ベンダーなど、あらゆる分類基準で資産リスクが最も高いものを一目で把握できる必要があります。さらに、詳細に分析し、リスク要因と対策を理解できるようにする必要があります。個々のリスクスコアが、資産が属するサイトまたはゾーンの上位レベルのリスクスコア、ひいては企業全体のリスクスコアにどのように寄与しているかを把握することも重要です。こうしたすべての情報を踏まえても、個々の資産リスクスコアから得られる価値はほとんどありません。適切なリスク管理を行うには、リスクスコアの経時的な変化を把握する必要があります。
Nozomi Networksのリスクダッシュボードには、ゾーン、サイト、その他選択したカテゴリーごとに現在のリスクスコアが表示されます。リスクが悪化している場合は、詳細を掘り下げて、適切な対策を追加する必要がある理由と箇所を特定できます。安全でないプロトコルをロックダウンしたり、セグメンテーションを強化したりする必要があるかもしれません。どのような対策を講じるにせよ、リスクスコアは、お客様独自のリスク想定に基づき、対策が及ぼした影響度を反映します。例えば、グローバルで70から52に低下した場合、投資を正当化する確かなROI(投資対効果)が得られます。
OTリスクを定量化してサイバーセキュリティ資金を確保する
OTサイバーリスクの計算には多くの未知数と根拠のない推測が伴うことを考えると、労力に見合う価値がないと結論付ける人もいるかもしれません。しかし、実際には価値があります。あらゆるレベルで評価と優先順位付けを支援する標準的(かつカスタマイズ可能な)計算式を適用することで、サイバーリスクを経営幹部、取締役、その他のリスクオーナーが理解できるビジネスリスクの用語に翻訳できます。許容可能なリスクレベルについては依然として議論が必要になるかもしれませんが、組織のサイバー成熟度向上のための適切な予算確保を求める訴えは、はるかに聞き入れられる可能性が高くなります。
Nozomi Networks
April 23, 2025
April 23, 2025
- カテゴリ:
- Nozomi Networks
- OTセキュリティ
