| Executive summary |
要旨 |
| The digitalization and connectedness of industrial environments is opening up business opportunities and enhancing operational efficiency. At the same time, it exposes organizations to cyberattacks that can offset these gains. |
ビジネス環境のデジタル化とコネクテッド化は、ビジネスチャンスを広げ、業務効率を向上させている。その一方で、このような利益を帳消しにするサイバー攻撃に組織がさらされる可能性もある。 |
| Today’s industrial environment consists of operational technologies (OT) which, according to some sources, are largely outdated.1 They have interoperability and connectivity limitations, and weak or no security management capabilities and procedures.2 |
今日の産業環境は運用技術(OT)で構成されているが、ある情報源によれば、その大部分は時代遅れである1。相互運用性と接続性に制約があり、セキュリティ管理能力と手順が弱いか、まったくない2。 |
| The increased convergence of OT with the traditional IT environment is leading to an increase in inherent vulnerabilities, which are doubling every year.3 |
OTと従来のIT環境との融合が進むにつれて、固有の脆弱性が増加しており、その数は毎年倍増している3。 |
| The OT environment is fundamental for ensuring the continuation of industrial operations that keep global economies and infrastructures running. To improve OT environment security, the World Economic Forum in collaboration with partners from the electricity, manufacturing, and oil and gas industries, has developed a list of guiding principles. Combined with a set of best practices, these aim to help cyber leaders ensure a cyber resilient OT environment for uninterrupted and efficient business operations. |
OT 環境は、世界経済とインフラを維持する産業運営の継続を確保するための基本である。OT環境のセキュリティを改善するため、世界経済フォーラムは、電力、製造、石油・ガス業界のパートナーとの協力のもと、指導原則のリストを作成した。ベストプラクティスと組み合わせることで、サイバーリーダーが、中断のない効率的なビジネス運営のために、サイバーレジリエンスに優れたOT環境を確保できるようにすることを目的としている。 |
| Principle 1: Perform comprehensive risk management of the OT environment. |
原則1:OT環境の包括的なリスクマネジメントを行う。 |
| Principle 2: Ensure OT engineers and operators of installations have responsibility for OT cybersecurity. |
原則 2: OT エンジニアと設備のオペレータが OT サイバーセキュリティに責任を持つようにする。 |
| Principle 3: Align with top organizational leadership, strategic planning teams and third parties to make security-by-design a reality. |
原則 3: セキュリティ・バイ・デザインを実現するために、組織のトップリーダー、戦略立案チーム、サードパーティと連携する。 |
| Principle 4: Make cybersecurity standards and best practices contractually enforceable on partners and vendors to build a cybersecure OT environment. |
原則 4:サイバーセキュリティの標準とベストプラクティスをパートナーやベンダーに契約上強制できるようにし、サイバーセキュアな OT 環境を構築する。 |
| Principle 5: Run joint tabletop exercises to ensure preparedness in case of an actual incident. |
原則 5: 実際のインシデントに備えて合同机上演習を実施する。 |
| These principles and best practices can help organizations safeguard, maintain and monitor their industrial OT environment as well as ensure business continuity. While many organizations may already have some measures in place to ensure a cyber resilient OT environment, shared guidance can help manage cyber risks at the ecosystem level to increase systemic resilience. |
これらの原則とベストプラクティスは、組織がビジネス継続性を確保するだけでなく、産業用 OT 環境を保護、維持、監視するのに役立つ。多くの組織は、サイバーレジリエンスに優れた OT 環境を確保するための対策をすでに講じているかもしれないが、ガイダンスを共有することで、エコシステム・レベルでのサイバーリスクマネジメントを支援し、システムレジリエンスを高めることができる。 |
| Introduction |
序文 |
| Why does OT cybersecurity matter? |
なぜ OT サイバーセキュリティが重要なのか? |
| The industrial infrastructure and operations landscapes are undergoing a profound transformation due to technological innovation. A growing convergence of information technology (IT) and operational technology (OT) is driven by the rapid adoption of cutting-edge technologies like big data, digital twins and the industrial internet of things (IIoT). These two domains are expected to become increasingly intricate and interconnected over time. This inexorable shift is exemplified, in part, by the projected IIoT market growth,4 which is expected to surge from approximately $85.5 billion in 2023 to nearly $169.6 billion by 2028. |
技術革新により、産業インフラとオペレーション環境は大きな変貌を遂げつつある。ビッグデータ、デジタル・ツイン、モノのインターネット(IIoT)などの最先端技術の急速な導入により、情報技術(IT)と運用技術(OT)の融合が進んでいる。これら2つの領域は、時間の経過とともにますます複雑になり、相互接続が進むと予想される。この避けられないシフトは、2023年の約855億ドルから2028年には約1696億ドルに急増すると予測されているIIoT市場の成長予測4が、その一端を例証している。 |
| What is the difference between IT and OT? |
ITとOTの違いは何か? |
| Information technology refers to technologies including computers and networks that store, process and transmit information, while operational technology encompasses industrial control systems (ICS) that operate, control and monitor industrial equipment and processes. |
情報技術とは、情報を保存、処理、伝送するコンピューターやネットワークなどの技術を指し、運用技術には、産業機器やプロセスを操作、制御、監視する産業用制御システム(ICS)が含まれる。 |
| The growing synergy between IT and OT, commonly referred to as IT/OT convergence, presents numerous opportunities for industrial organizations. These include remote control; real-time monitoring; enhanced visibility of machinery, plants and assets; simplification of anomaly detection; improved operational efficiency and productivity; and faster decision-making processes. |
一般にIT/OTコンバージェンスと呼ばれるITとOTの相乗効果の高まりは、産業組織に数多くの機会をもたらしている。これには、遠隔制御、リアルタイム監視、機械、プラント、資産の可視性の向上、異常検知の簡素化、業務効率と生産性の向上、意思決定プロセスの迅速化などが含まれる。 |
| However, this newfound connectivity between OT devices and IT networks also expands the cyber risk landscape, introducing both intentional and unintentional cybersecurity threats. Traditionally, the OT environment remained “air-gapped,” meaning it was not connected to the internet, and external hardware and removable media (e.g. USB drives) were the primary cybersecurity concerns. As these two environments merge, cybersecurity breaches can infiltrate from IT to OT through means such as internet malware infection and unauthorized access via mobile devices. |
しかし、OT機器とITネットワーク間のこの新たな接続性は、意図的・非意図的なサイバーセキュリティ脅威を導入し、サイバーリスクの状況を拡大する。従来、OT環境は「エアギャップ」、つまりインターネットに接続されておらず、外部ハードウェアやリムーバブル・メディア(USBドライブなど)がサイバーセキュリティ上の主な懸念事項だった。これら2つの環境が融合するにつれ、サイバーセキュリティ侵害は、インターネット・マルウェア感染やモバイル・デバイス経由の不正アクセスなどの手段を通じて、ITからOTに侵入する可能性がある。 |
| Today, OT environments, in large part, rely on legacy technologies built to perform specific tasks and operating on specialized software and proprietary protocols. Often designed without cybersecurity in mind, many of these legacy systems have been produced by now-defunct manufacturers whose software updates are infrequent and difficult to implement, ultimately leaving them exposed to security threats. In fact, a recent study by Microsoft found that 75% of industrial control devices are unpatched and feature high-severity vulnerabilities.5 Other threat factors include improper network segmentation – which, according to Dragos, happens to be the case for 50% of organizations6 – or poor remote-access practices. |
今日、OT環境の大部分は、特定のタスクを実行するために構築され、特殊なソフトウェアや独自のプロトコルで動作するレガシー・テクノロジーに依存している。これらのレガシーシステムの多くは、サイバーセキュリティを考慮せずに設計されていることが多く、今はなきメーカーが製造したもので、ソフトウェアのアップデートは頻繁ではなく、実装も困難であるため、最終的にセキュリティの脅威にさらされている。実際、マイクロソフトによる最近の調査では、産業用制御機器の75%にパッチが適用されておらず、深刻度の高い脆弱性が存在することが判明している5。その他の脅威要因としては、不適切なネットワーク・セグメンテーション(ドラゴスによると、組織の50%でこの傾向が見られる6)、あるいは不十分なリモート・アクセス慣行が挙げられる。 |
| Malicious actors do not shy away from exploiting such vulnerabilities. A report by McKinsey shows that OT cyber events have increased by 140% from 2020 to 2021.7 Of those events, 35% sustained physical damage with an estimated impact of $140 million per incident.8 That said, it is important to note that not all industries are equally impacted by OT attacks. For instance, since 2021, 9 the manufacturing sector has been the most targeted, experiencing 61% of cyberattacks. The oil and gas (11%), transportation (10%) and utilities (10%) sectors have been next. |
悪意ある行為者は、このような脆弱性を悪用することをためらわない。マッキンゼーのレポートによると、OTのサイバーイベントは2020年から2021年にかけて140%増加している7。そのうち35%が物理的な被害を受け、1インシデントあたり1億4,000万ドルの影響があると推定されている8。例えば、2021年以降、製造業が最も標的とされ、61%のサイバー攻撃を受けている。次いで、石油・ガス(11%)、運輸(10%)、公益事業(10%)の各セクターが続いている。 |
| Organizations in the manufacturing, oil and gas, and electricity industries bore damages amounting to $2.8 million on average in 2021.10 In addition to financial losses (directly from the damage and from related downtime), data and intellectual property theft, and reputation damage, cybersecurity breaches in OT environments can have consequences such as: |
製造業、石油・ガス業、電力業界の組織は、2021年に平均280万ドルの損害を被った10。(損害や関連するダウンタイムによる直接的な)金銭的損失、データや知的財産の盗難、評判の低下に加え、OT環境におけるサイバーセキュリティ侵害は、以下のような結果をもたらす可能性がある: |
| – Damage to the environment. |
・環境への損害。 |
| – Exposure of people and personnel to dangerous conditions. Gartner predicts that by 2025, malicious actors will be able to weaponize the OT environment to cause harm or loss of life.11 |
・人々や人員を危険な状況にさらす。ガートナー社は、2025 年までに悪意のある行為者が OT 環境を武器化し、危害や人命の損失を引き起こすことができるようになると予測している11。 |
| – Reduced availability and quality of essential goods and services including energy, healthcare and transportation; this can trigger behaviours such as panic-buying and stockpiling by consumers. |
・エネルギー,医療,輸送を含む必要不可欠な商品やサービスの利用可能性や質の低下。これは,消費者によるパニック買いや備蓄といった行動を引き起こす可能性がある。 |
| – Legal and regulatory violations resulting in fines, lawsuits and regulatory scrutiny. |
・罰金,訴訟,規制当局の監視につながる法的・規制的違反。 |
| – Implications for national security and public safety, given that OT is a significant component of critical infrastructure, and any level of cybersecurity risk can be considered critical. |
・OT は重要インフラの重要な構成要素であり,どのレベルのサイバーセキュリティリスクも重要であると考えられることから,国家安全保障と公共の安全への影響。 |
| FIGURE 1 Cyber incidents in the oil and gas industry |
図 1 石油・ガス産業におけるサイバーインシデント |
 |
| What are the sources of risks? |
リスクの原因は何か? |
| Cybersecurity risks in the OT environment are amplified by several overarching issues that are not always technical in nature but depend on factors such as corporate culture and governance. These include: |
OT 環境におけるサイバーセキュリティリスクは、必ずしも技術的な性質のものではなく、企業文化やガバナンスなどの要因に依存するいくつかの包括的な問題によって増幅される。これらには以下が含まれる: |
| Lack of emphasis on cyber issues in operations and shortage of personnel for OT cybersecurity. |
運用におけるサイバー問題の重視の欠如と、OTサイバーセキュリティのための人材不足。 |
| Human error – research shows that 79% of OT experts consider human error to be the greatest risk for OT systems.12 Moreover, the current onboarding and training of OT personnel do not sufficiently ensure that they adopt appropriate policies and measures for OT cybersecurity. |
ヒューマンエラー - 調査によると、OT 専門家の 79%がヒューマンエラーを OT システムの最大のリスクと考えている12 。さらに、現在の OT 担当者の採用やトレーニングでは、OT サイバーセキュリティのための適切なポリシーや対策を採用することが十分に保証されていない。
|
| Unclear delineation of process ownership and prioritization of risks. |
プロセスの所有権の明確化とリスクの優先順位付けが不明確である。 |
| The IT/OT convergence has blurred process ownership, allowing for no clear delineation of responsibilities and obligations between the IT and OT teams. In addition, the two view their priorities differently. From the IT perspective, procedures for data security and privacy are crucial, whereas the OT team places primary focus on physical performance and safety of facilities and equipment. |
IT と OT の融合により、プロセスの所有権が曖昧になり、IT チームと OT チームの間で責任と義務が明確に区分されなくなっ ている。さらに、両者の優先順位の見方は異なっている。ITの観点からは、データセキュリティとプライバシーのための手続きが極めて重要であるのに対し、OTチームは施設や機器の物理的性能と安全性に主眼を置いている。 |
| Poor device/asset visibility and rapid introduction of new assets. |
デバイス/資産の可視性が低く、新しい資産を迅速に導入できない。 |
| While the creation and maintenance of an asset inventory in the OT environment is regarded as one of the top security controls, according to Dragos,13 as many as 80% of organizations lacked visibility of the OT environment in 2022. Organizations need to have an overview of the devices in their networks – for instance, whether these devices are obsolete or supported, their vulnerabilities and what they are connecting to – both in the IT and OT environments. Organizations should be able to investigate the systems and processes in each zone and provide recommended security controls. |
OT環境における資産目録の作成と保守は、最重要セキュリティ管理策の1つとみなされているが、ドラゴス13によると、2022年には80%もの組織がOT環境の可視性を欠いているという。組織は、IT環境とOT環境の両方において、ネットワーク内のデバイスの概要(例えば、これらのデバイスが旧式であるか、サポートされているか、脆弱性、何に接続しているかなど)を把握する必要がある。組織は、各ゾーンのシステムとプロセスを調査し、推奨されるセキュリ ティ対策を提供できるようにすべきである。 |
| Supply chain and third-party risk. |
サプライチェーンとサードパーティーのリスク |
| A study found that 40% of OT cybersecurity practitioners consider supply chain/third party access to the OT environment to be one of the top three cybersecurity risks.14 Whereas such concerns may be motivated by the weaker cybersecurity practices of third parties, OT cybersecurity can also be compromised by deliberate tampering of third-party hardware, software or firmware. This can happen during the manufacturing, distribution or maintenance processes. |
ある調査によると、OT サイバーセキュリティ担当者の 40%が、OT 環境へのサプライチェーン/サードパーティからのアクセスをサイバーセキュリティリスクの上位 3 つのうちの 1 つと考えていることがわかった14 。このような懸念は、サードパーティのサイバーセキュリティ対策が脆弱であることが動機となっている可能性があるが、OT サイバーセキュリティは、サードパーティのハードウェア、ソフトウェア、またはファームウェアの意図的な改ざんによっても損なわれる可能性がある。これは製造、流通、保守の過程で起こりうる。 |
| To ensure a strong cybersecurity posture across organizations and industries, robust cybersecurity measures must be developed and implemented to protect both IT and OT environments. |
組織や業界全体で強固なサイバーセキュリティ体制を確保するためには、ITとOTの両方の環境を保護するための強固なサイバーセキュリティ対策を開発し、実施する必要がある。 |
| What are the existing cybersecurity frameworks for the OT environment? |
OT環境に対する既存のサイバーセキュリティのフレームワークにはどのようなものがあるか? |
| Organizations are not starting from scratch when it comes to OT cybersecurity. In fact, a number of cybersecurity frameworks have already been developed for the OT environment. |
組織は、OTサイバーセキュリティに関してゼロから始めるわけではない。実際、OT環境向けのサイバーセキュリティ・フレームワークはすでに数多く開発されている。 |
| The International Electrotechnical Commission (IEC) 6244315 is an international series of standards that tackle cybersecurity for industrial automation and control systems. The National Institute of Standards and Technology (NIST) has released SP 800-82 16 – a guide on how to improve the security of OT systems; while the European Joint Research Centre has proposed a framework on Industrial Automation and Controls Systems (IACS) to share practices on IACS products’ cybersecurity certifications.17 |
国際電気標準会議(IEC)62443 15は、産業オートメーションと制御システムのサイバーセキュリティに取り組む国際標準シリーズである。国立標準技術研究所(NIST)は、OTシステムのセキュリティを改善する方法に関するガイドであるSP 800-82 16を発表した。一方、欧州共同研究センターは、IACS製品のサイバーセキュリティ認証に関するプラクティスを共有するために、産業用自動制御システム(IACS)に関するフレームワークを提案している。17。 |
| Other examples of cybersecurity frameworks applicable to the OT environment and beyond include the NIST Cybersecurity Framework18 as well as the Cybersecurity Capability Maturity Model (C2M2).19 Efforts have also been made at the local level to enhance OT cybersecurity. For instance, Saudi Arabia has developed the Operational Technology Cybersecurity Controls. Similarly, oil and gas companies on the Norwegian continental shelf follow guidelines such as NOG 104, NOG 110 and NOG 123, while in the US, the North American Electric Reliability Corporation’s Critical Infrastructure Protection (NERC CIP) and the American Petroleum Industry Pipeline Security standards are of relevance. |
OT 環境に適用可能なサイバーセキュリティフレームワークの他の例としては、NIST サイバーセキュリティフレームワーク18 やサイバーセキュリティ能力成熟度モデル(C2M2)19 がある。例えば、サウジアラビアは、オペレーショナル・テクノロジー・サイバーセキュリティ・コントロールを策定した。同様に、ノルウェー大陸棚の石油・ガス会社は、NOG 104、NOG 110、NOG 123 などのガイドラインに従っており、米国では、北米電気信頼性公社の重要インフラ保護(NERC CIP)や米国石油業界のパイプライン・セキュリティ標準が関連している。 |
| While numerous OT cybersecurity frameworks are available, many of those referenced here are extremely complicated and require a lot of effort to ensure effective implementation, particularly for third-party suppliers and vendors that may struggle to comply due to resource limitations – human or financial. This obligates industrial organizations to ensure that third parties are capable of applying and adhering to these frameworks and standards. |
数多くのOTサイバーセキュリティフレームワークが利用可能であるが、ここで言及されているものの多くは非常に複雑であり、効果的な実装を確保するためには多大な労力を必要とする。特にサードパーティであるサプライヤーやベンダーは、人的・金銭的なリソースの制約により、コンプライアンスに苦労する可能性がある。このため、産業組織は、サードパーティがこれらのフレームワークや標準を適用し、遵守できることを保証する義務がある。 |
| No silver bullet exists for successful implementation of OT cybersecurity frameworks and standards. Most of the time, industry players must apply a wide range of frameworks and standards to cover distinct parts of their infrastructure, such as water pumps and utilities. |
OTサイバーセキュリティのフレームワークと標準の導入を成功させる特効薬は存在しない。ほとんどの場合、業界関係者は、水ポンプやユーティリティなど、インフラの明確な部分をカバーするために、幅広いフレームワークや標準を適用しなければならない。 |
| A lot of the above-mentioned frameworks are very focused on technical controls. Yet, OT governance, i.e. who is responsible for cybersecurity in OT and how it interlocks with IT, remains a challenge for many organizations. |
上記のフレームワークの多くは、技術的なコントロールに非常に重点を置いている。しかし、OTガバナンス、すなわち誰がOTのサイバーセキュリティに責任を持ち、ITとどのように連動させるかは、多くの組織にとって依然として課題である。 |
| 1. Guiding principles for cyber resilient OT environments |
1. サイバーレジリエンスOT環境のための指針 |
| The action group “Securing the OT environment” convening cyber leaders from the electricity, manufacturing and oil and gas industries around the topic of OT cybersecurity, has developed a set of five guiding principles to help industrial organizations address cyber risks and build resilience as the IT/OT convergence continues. |
OTサイバーセキュリティをテーマに、電力、製造、石油・ガス業界のサイバーリーダーを招集したアクショングループ「OT環境の確保」は、IT/OTの融合が進む中、産業組織がサイバーリスクに対処し、レジリエンスを構築するのに役立つ5つの指導原則を策定した。 |
| Principle 1: Perform comprehensive risk management of the OT environment |
原則 1:OT 環境の包括的なリスクマネジメントを実施する。 |
| Principle 2: Ensure OT engineers and operators of installations have responsibility for OT cybersecurity |
原則 2: OT エンジニアと設備のオペレータが OT サイバーセキュリティに責任を持つようにする。 |
| Principle 3: Align with top organizational leadership, strategic planning teams and third parties to make security-by-design a reality |
原則 3: セキュリティ・バイ・デザインを実現するために、組織のトップリーダー、戦略立案チーム、サードパーティと連携する。 |
| Principle 4: Make cybersecurity standards and best practices contractually enforceable on partners and vendors to build a cybersecure OT environment |
原則 4:サイバーセキュリティの標準とベストプラクティスをパートナーやベンダーに契約上強制できるようにし、サイバーセキュアな OT 環境を構築する。 |
| Principle 5: Run joint tabletop exercises to ensure preparedness in case of an actual incident |
原則 5: 実際のインシデントに備えて合同机上演習を実施する |
| 2. Actionable approaches to implementing OT cybersecurity principles |
2. OT サイバーセキュリティの原則を実施するための実行可能なアプローチ |
| To ensure the successful implementation of the identified OT cybersecurity principles, organizations must undertake a number of actions to translate theory into tangible institutional practice. |
識別された OT サイバーセキュリティの原則の実施を成功させるために、機構は、理論を具体的な制度的 実践に変換するための多くの行動を実施する必要がある。 |
| Principle 1: Perform comprehensive risk management of the OT environment |
原則 1:OT 環境の包括的なリスクマネジメントを実施する。 |
| To increase overall cybersecurity preparedness and reduce the potential and impact of cyberattacks, industrial organizations must take a comprehensive approach to risk management. This comprises risk assessment – identification of vulnerabilities and gaps that expose an organization to an attack, and of risks that could impede recovery and resilience – as well as mitigation and monitoring strategies. For risk management to be robust and complete, it is important that organizations: |
全体的なサイバーセキュリティへの備えを強化し、サイバー攻撃の可能性と影響を低減するために、産業組織はリスクマネジメントに包括的なアプローチを取らなければならない。これには、リスクアセスメント(組織が攻撃にさらされる脆弱性とギャップ、回復とレジリエンスを阻害する可能性のあるリスクの特定)、および低減とモニタリング戦略が含まれる。リスクマネジメントを強固で完全なものにするためには、組織は以下のことを行うことが重要である: |
| – Identify and classify assets on the basis on their criticality, value and sensitivity to the organization’s operations. – Create an inventory of the “crown jewels” |
・組織の業務に対する資産の重要性,価値,及び機密性に基づいて資産を識別し,分類する。- 王冠の宝石」のインベントリを作成する。 |
| – the highest-value assets in their OT environment which, if compromised, could have a major impact. Once the “crown jewels” have been identified, organizations should identify how they connect to the network, data flows, etc. |
・OT環境において最も価値の高い資産であり,漏洩した場合,大きな影響を及ぼす可能性のあるものである。王冠の宝石」が識別されたら,組織は,それらがネットワークにどのように接続されているか,データの流れなどを識別する必要がある。 |
| – Detect security vulnerabilities and threats across the mapped assets and OT environment; identify the consequences that could result if the vulnerabilities are exploited (e.g. in case of unauthorized access, data theft, equipment damage, injury and loss of life, harm to national security, etc.); and prioritize mitigation accordingly. |
・マッピングされた資産と OT 環境全体のセキュリティ脆弱性と脅威を検知し、脆弱 性が悪用された場合に生じ得る結果(不正アクセス、データ盗難、機器の損傷、人命損 害、国家安全保障への被害など)を特定し、それに応じて低減の優先順位を決定する。 |
| – Identify potential threats (including threat events, threat actors, etc.) that could target their OT environment. |
・OT 環境を標的とする可能性のある脅威(脅威事象、脅威行為者などを含む)を識別する。 |
| – Establish an OT cybersecurity strategy aligned with the overall cybersecurity strategy, outlining the prevention, detection and response capabilities. It should be reviewed, evaluated and updated regularly. Organizations should also consider developing guidelines to ensure effective adoption and implementation of the OT cybersecurity strategy. |
・全体的なサイバーセキュリティ戦略に沿った OT サイバーセキュリティ戦略を確立し,予防,検知,対応能力の概要を示す。これは定期的に見直し,評価し,更新する必要がある。組織は,OTサイバーセキュリティ戦略の効果的な採用と実施を確保するためのガイドラインの策定も検討すべきである。 |
| Principle 2: Ensure OT engineers and operators of installations have responsibility for OT cybersecurity |
原則 2:OT 技術者と設備のオペレータが OT サイバーセキュリティの責任を持つようにする。 |
| Research shows that 95% of organizations20 will place the responsibility for OT cybersecurity under the Chief Information Security Officer (CISO) in the next 12 months. However, considering that cybersecurity is a shared responsibility, the IT team alone cannot have full control of OT cybersecurity; all stakeholders, at all levels of organizational management, need to do their part. |
調査によると、95% の組織20 が、今後 12 カ月以内に OT サイバーセキュリティの責任を最高情報セキュリティ責任者(CISO)の下に置くとしている。しかし、サイバーセキュリティが共有責任であることを考慮すると、IT チームだけで OT サイバーセキュリティを完全に掌握することはできない。 |
| This makes it imperative that roles and responsibilities be clearly defined and properly communicated with IT/OT personnel. That said, OT teams do not necessarily have the awareness or knowhow to properly inspect and secure OT networks. In order to share responsibility for OT cybersecurity, OT personnel across industrial organizations need to understand: |
このため、役割と責任を明確に定義し、IT/OT 担当者と適切なコミュニケーションを図ることが不可欠である。とはいえ、OT チームは必ずしも OT ネットワークを適切に検査し、セキュリティを確保するための意識やノウハウを持っているわけではない。OTサイバーセキュリティの責任を共有するためには、産業組織全体のOT担当者が理解する必要がある: |
| – When, how and why a security breach might occur in the OT environment. Communications on security awareness should be carried out continuously for all OT personnel. |
・OT環境でセキュリティ侵害がいつ,どのように,なぜ発生するのかを理解する必要がある。すべての OT 担当者に対して,セキュリティ意識に関するコミュニケーションを継続的に実施する必要がある。 |
| – Who to contact in case of a security breach or suspicious activity, that is, who to get help from and who to collaborate with for support.Different threat detection technologies used by IT and OT could detect threats in the OT environment. Therefore, cooperation and communication between the IT and OT departments is essential to ensure that all staff have clearly and precisely defined roles and responsibilities for working together on incident response in OT. |
・セキュリティ侵害や不審な活動が発生した場合に誰に連絡すべきか、つまり、誰から支援を受け、誰と協力して支援を受けるべきか。IT部門とOT部門で使用する脅威検知技術が異なれば、OT環境の脅威を検知できる可能性がある。したがって、IT部門とOT部門の間の協力とコミュニケーションは、すべてのスタッフがOTにおけるインシデント対応に協力するための役割と責任を明確かつ正確に定義するために不可欠である。
|
| – The vulnerabilities and risks (including inherited risks) that each connected device in the OT environment brings. |
・OT環境の各接続機器がもたらす脆弱性とリスク(継承されたリスクを含む)。 |
| Principle 3: Align with top organizational leadership, strategic planning teams and third parties to make security-by-design a reality |
原則 3: セキュリティ・バイ・デザインを実現するために、組織のトップリーダ、戦略立案チーム、サードパーティと連携する。 |
| Most of the existing OT was not designed with cybersecurity in mind. Security-by-design is a process rather than a one-time “bolt-on” effort and as such should go beyond integration of security during the design and development phase of a product/ service. To enforce a security-by-design approach in the OT environment, organizations should: |
既存の OT のほとんどは、サイバーセキュリティを念頭に置いて設計されていない。セキュリティ・バイ・デザインは、一回限りの「ボルトオン」の取り組みではなく、プロセスであるため、製品・サービスの設計・開発段階におけるセキュリティの統合を超えるものでなければならない。OT 環境においてセキュリティ・バイ・デザインのアプローチを実施するために、 組織は次のことを行うべきである: |
| – Raise cybersecurity issues and risks to corporate management to ensure that critical OT systems are safeguarded from potential risks and vulnerabilities from the outset by: |
・重要な OT システムを潜在的なリスクや脆弱性から当初から確実に保護するために、サイバーセキュリティ の問題やリスクを経営陣に提起する: |
| – – Organizing executive briefings to highlight the impact of OT cyber risks on business operations, finances and reputation. |
・OT のサイバーリスクが事業運営,財務,評判に与える影響を強調するために,経営幹部向けの説明会を開催する。 |
| – – Developing and presenting risk assessments to communicate the interplay between OT cybersecurity breaches, operational downtime and compliance penalties. |
・OT サイバーセキュリティ違反,運用ダウンタイム,コンプライアンス上の罰則の相互関係をコミュニケーショ ンするためのリスクアセスメントを作成し,提示する。 |
| – Sharing case studies illustrating real-world examples of cybersecurity incidents in the OT environment and the consequences experienced by organizations that were caught off-guard. |
・OT 環境におけるサイバーセキュリティインシデントの実例と,不意を突かれた組織が経験した結 果を示すケーススタディを共有する。 |
| – Encouraging the integration of OT cybersecurity into the overall business strategy to ensure competitive advantage by demonstrating commitment to protecting critical OT infrastructure. It can ultimately help foster overall resilience across industry ecosystems.– The role of the Security Operations Centre (SOC), CISO team, etc. OT personnel should also build a relationship with the SOC and CISO teams to ensure transfer of knowledge on security architecture and policies, including on the prevention, detection, analysis and response to cybersecurity incidents. Among the OT personnel, a “Cyber Champion” should be appointed in each facility who can help with cyber issues during crises. |
・重要な OT インフラの保護へのコミットメントを示すことで,競争上の優位性を確保するために,OT サイバーセキュリティを全体的なビジネス戦略に統合することを奨励する。これは,最終的には,業界のエコシステム全体にわたるレジリエンスの育成に役立つ。・セキュリティ・オペレーションセンター(SOC),CISO チームなどの役割 OT 担当者は,SOC や CISO チームとも関係を構築し,サイバーセキュリティインシデントの予防,検知,分析,対応など,セキュリティアーキテクチャーやポリシーに関する知識の伝達を確実に行うべきである。OT担当者の中で,各施設に「サイバー・チャンピオン」を任命し,危機発生時にサイバー問題を支援できるようにする。 |
| Principle 4: Make cybersecurity standards and best practices contractually enforceable on partners and vendors to build a cybersecure OT environment |
原則4:サイバーセキュリティの標準とベストプラクティスをパートナーやベンダーに対して契約により強制力を持たせ、サイバーセキュリティのOT環境を構築する。 |
| Third-party suppliers and vendors differ in the way they approach cybersecurity. Nevertheless, they have to guarantee the security of their product or service and take responsibility for what is delivered. To build a secure OT environment and ensure successful collaboration with and enforcement of security standards by partners and vendors, industrial organizations should: |
サードパーティであるサプライヤーやベンダーは、サイバーセキュリティへの取り組み方が異なる。とはいえ、これらのサプライヤやベンダーは、自社の製品やサービスのセキュリティを保証し、提供されるものに対して責任を負わなければならない。安全な OT 環境を構築し、パートナーやベンダーとの協業とセキュリティ標準の実施を成功させるために、産業組織は以下を行うべきである: |
| – Conduct thorough due diligence of both IT and OT cybersecurity posture before collaborating with any third-party vendors and suppliers. The assessment should cover how a cyberattack against a third-party vendor or supplier could impact operations. |
・サードパーティのベンダーやサプライヤと協業する前に,IT と OT の両方のサイバーセキュリティ態勢について徹底的なデューデリジェンスを実施する。この評価では,サードパーティのベンダーやサプライヤに対するサイバー攻撃が業務にどのような影響を及ぼす可能性があるかを網羅する。 |
| – Classify and categorize third parties according to their level and type of risk (compliance, financial, reputation, etc.) before they can access facilities, network and confidential information. |
・サードパーティが施設、ネットワーク、機密情報にアクセスできるようにする前に、サードパーティをリスクのレベルや種類(コンプライアンス、財務、評判など)に応じて分類・分類する。 |
| – Incorporate a list of baseline security requirements for third-party vendors and suppliers with access to facilities, network and confidential information within the security framework mentioned in principle 1. These security requirements should be met before formalization of collaboration. Examples of security requirements include: |
・施設、ネットワーク、機密情報にアクセスするサードパーティベンダーとサプラ イヤーについて、原則1で述べたセキュリティフレームワークの中に、基本的なセ キュリティ要件のリストを組み込む。これらのセキュリティ要件は、協働を正式に開始する前に満たすべきである。セキュリティ要件の例としては、以下が挙げられる: |
| – – Implementation of security levels (SL) 3 and 4 of IEC 62443. |
・IEC 62443のセキュリティレベル(SL)3及び4の実施。 |
| – – Application of advanced cybersecurity standards for OT software development. |
・OT ソフトウエア開発における先進的なサイバーセキュリティ標準の適用。 |
| – – Demonstration of proven hands-on expertise in handling cybersecurity events. |
・サイバーセキュリティ事象に対処するための実践的な専門知識が実証されていること。 |
| – Include OT cybersecurity requirements in contracts. OT cybersecurity requirements should cover areas such as secure remote access, use of removable media devices to transfer files, terms and conditions for data protection and processing of sensitive information shared between the organization and the third party, accident/incident notification and reporting, etc. |
・契約に OT サイバーセキュリティ要件を含める。OT サイバーセキュリティ要件は,安全なリモートアクセス,ファイル転送のためのリムーバブルメディアデバイスの使用,組織とサードパーティ間で共有される機密情報のデータ保護と処理に関する条件,事故/インシデントの通知と報告などの分野をカバーすべきである。 |
| – Continuously audit vendor and supplier security performance to ensure they are adhering to previously agreed security controls. |
・ベンダーやサプライヤーのセキュリティパフォーマンスを継続的に監査し,事前に合意したセキュリティ管理が遵守されていることを確認する。 |
| – In case the security controls are not observed, organizations should develop an exit strategy that includes proper oversight over the termination of collaboration with the vendor, return of assets, etc. |
・セキュリティ管理が守られない場合、組織は、ベンダーとの協力関係の終了、資産の返却などに関する適切な監視を含む出口戦略を策定する必要がある。
|
| Principle 5: Run joint tabletop exercises to ensure preparedness in case of an actual incident |
原則5:実際のインシデントに備えて合同机上演習を実施する。 |
| A tabletop exercise cannot always perfectly replicate every aspect of a real-life scenario or incident response situation. To ensure maximum preparedness and amplify its benefits, the tabletop exercise should include key personnel and should have clearly defined and achievable objectives. Organizations should therefore: |
机上演習では、実際のシナリオやインシデント対応状況のあらゆる側面を完全に再現できるとは限らない。最大限の備えを確保し、その効果を増幅させるために、卓上演習には主要な要員を参加させ、明確に定義された達成可能な目標を設定すべきである。したがって、組織は次のことを行うべきである: |
| – Use security scenarios based on real events, and leverage and adapt existing crisis management procedures to the cyber context. |
・実際の事象に基づいたセキュリティ・シナリオを使用し,既存の危機管理手順を活用し,サイバーの状況に適応させる。 |
| – Engage the correct stakeholders that go beyond IT and OT personnel. Exercises should include the emergency preparedness group, executive leadership and management, technical staff, third parties, legal counsel as well as psychologists who can evaluate the responses and actions taken by the security incident response team (SIRT). |
- IT担当者やOT担当者だけでなく、適切な利害関係者を参加させる。演習には、セキュリティ・インシデント対応チーム(SIRT)の対応と行動を評価できる心理学者だけでなく、緊急事態準備グループ、経営幹部、技術スタッフ、サードパーティ、法律顧問も参加させる。 |
| – Clarify the representation of OT cyber competence in incident response to ensure preparedness when a threat event occurs and explore whether operations can be run in the OT environment without the IT. |
・脅威事象が発生したときの備えを確保するために,インシデント対応における OT のサイバー能力の代表を明確にし,IT なしで OT 環境での運用が可能かどうかを検討する。 |
| – Include OT sites across multiple geographies and consider the legal aspects that may arise. |
・複数の地域にまたがる OT サイトを含め,発生する可能性のある法的側面を検討する。 |
| – Identify weaknesses/gaps in the incident response and include lessons learned in the post-drill analysis reports. |
・インシデント対応の弱点/ギャップを特定し,訓練後の分析レポートに教訓を盛り込む。 |
| – Produce and continuously update the executives’ playbook with lessons learned from such exercises. |
・このような訓練から得られた教訓を盛り込んだ幹部用プレイブックを作成し,継続的に更新する。 |
| 3. Monitoring the implementation of OT cybersecurity principles |
3. OT サイバーセキュリティ原則の実施を監視する。 |
| Implementation of OT cybersecurity principles alone is not enough. Tracking their progress and continuous assessment of impact is key in order to ensure effectiveness of the principles and that organizations are adapting to the new processes. To successfully monitor the implementation of OT cybersecurity principles, organizations should: |
OT サイバーセキュリティ原則の実施だけでは十分ではない。原則の有効性を確認し、組織が新しいプロセスに適応していることを確認するためには、その進捗状況を追跡し、影響を継続的に評価することが重要である。OT サイバーセキュリティ原則の実施をうまく監視するために、組織は次のことを行うべきである: |
| – Perform regular audits to monitor compliance with the OT cybersecurity principles, including assessments of critical third parties with access to the OT environment. |
・OT 環境にアクセスする重要なサードパーティの評価を含め,OT サイバーセキュリティ原則への準拠を監視するために定期的な監査を実施する。 |
| – Conduct real-time monitoring to discover, identify and assess devices and vulnerabilities within the OT environment. The “now, next and never” approach can help organizations assess vulnerabilities. Gathered information should be kept in a register and reviewed periodically. |
・OT 環境内のデバイスと脆弱性を発見,識別,評価するためのリアルタイム・モニタリングを実施する。今,次,決して」というアプローチは,組織が脆弱性を評価するのに役立つ。収集した情報は登録簿に保管し,定期的にレビューする。 |
| – Develop a strategic roadmap and process for reporting to the corporate board about progress on OT cybersecurity. |
・OT サイバーセキュリティの進捗状況を取締役会に報告するための戦略的ロードマップとプロセスを策定する。 |
| – Send data (e.g. IDS data) regularly to the security operations centre (SOC) to ensure timely detection, investigation and response to security incidents. |
- セキュリティ・オペレーション・センター(SOC)にデータ(検知データなど)を定期的に送信し、セキュリティ・インシデントのタイムリーな検知、調査、対応を確実に行う。 |
| Additional measures: |
追加の対策 |
| – Conduct physical walk-throughs and inspections of OT sites. |
・OT サイトの物理的なウォークスルーと検査を実施する。 |
| – Review and define job and role descriptions to ensure cybersecurity roles and responsibilities for OT personnel. |
・OT 要員のサイバーセキュリティ上の役割と責任を確保するために,職務と役割の説明を見直し,定義する。 |
| – Perform periodic benchmarking to assess maturity on OT cybersecurity principles. |
・定期的にベンチマークを実施し,OT サイバーセキュリティ原則の成熟度を評価する。 |
| – Ensure tabletop exercises are a recurrent activity to monitor progress on incident response. |
・机上演習を定期的に実施し,インシデント対応の進捗状況を監視する。 |
| – Carry out threat hunting in OT and proactively seek indicators of potential compromise. |
・OT における脅威の探索を実施し,潜在的な侵害の指標を積極的に探索する。 |
| 4. Enabling innovation in OT |
4. OT におけるイノベーションを可能にする |
| Discussions on cybersecurity in OT would not be complete without acknowledging the role of innovation across industries. Research from 2023 shows that 45% of industrial manufacturing organizations have started pilots on generative AI.21 Strides towards the employment of new technologies are also being made in the automotive and energy sectors where 68% and 64% of organizations, respectively, have started exploring the potential of generative AI.22 |
OT におけるサイバーセキュリティの議論は、業界全体のイノベーションの役割を認識することなしには完結しない。2023年の調査によると、製造業の45%の組織が生成的AIのパイロット試験を開始している21。また、自動車業界とエネルギー業界でも新技術の採用に向けて前進しており、それぞれ68%と64%の組織が生成的AIの可能性の探求を開始している22。 |
| In addition to AI and machine learning, industry players are also using several emerging technologies including: |
AIや機械学習に加えて、業界各社は以下のような新たなテクノロジーも利用している: |
| – Cloud computing |
・クラウド・コンピューティング |
| – Edge computing |
・エッジ・コンピューティング |
| – Internet of things (IoT) |
・モノのインターネット(IoT) |
| – Secure remote-access software |
・セキュアなリモート・アクセス・ソフトウェア |
| – 5G |
・5G |
| While selecting the technology may be simple, implementing it seamlessly in existing operational environments while ensuring minimal disruption and maximum cybersecurity is a complex task that requires careful planning and rigorous risk assessment. |
技術を選択するのは簡単かもしれないが、混乱を最小限に抑え、サイバーセキュリティを最大限に確保しながら、既存の運用環境にシームレスに導入するのは、慎重な計画と厳密なリスクアセスメントを必要とする複雑な作業である。 |
| In broad terms, new technologies allow for: |
大まかに言えば、新技術は以下を可能にする: |
| – Automation of decision-making processes. |
・意思決定プロセスの自動化 |
| – Enhanced secure access practices, including for third parties. |
・サードパーティを含む安全なアクセス方法の強化。 |
| – Increased situational awareness fostered by improved visibility of assets, vulnerabilities and threats. – Improved threat hunting, threat intelligence and incident response. |
・資産,脆弱性,脅威の可視性向上による状況認識の改善 - 脅威調査,脅威インテリジェンス,インシデント対応の改善 |
| – Better compliance with regulatory measures. |
・規制措置へのコンプライアンスの向上 |
| – Greater access to production data. However, the deployment and use of new technologies in OT environments also comes at a cybersecurity cost. Often, new devices incorporate cybersecurity vulnerabilities that are not necessarily managed prior to their launch on the market. By introducing additional entry points for cyber threats, these new technologies expand the attack surface. Other cybersecurity challenges can arise from the use of inaccurate or flawed datasets to train algorithms and machine learning models. |
・本番データへのアクセスの向上 しかし,OT環境における新技術の導入と使用には,サイバーセキュリティのコストもかかる。多くの場合,新しいデバイスにはサイバーセキュリティの脆弱性が含まれており,それらは市場に投入される前に必ずしも管理されていない。サイバー脅威の新たな入り口を導入することで,これらの新技術は攻撃対象領域を拡大する。その他のサイバーセキュリティ上の課題は,アルゴリズムや機械学習モデルの訓練に不正確または欠陥のあるデータセットを使用することから生じる可能性がある。 |
| To address these cybersecurity challenges, companies must review and adopt proper governance measures considering that existing cybersecurity controls and standards may not be applicable to the use of new technologies in OT. |
これらのサイバーセキュリティの課題に対処するために、企業は、既存のサイバーセキュリティ管理および標準がOTにおける新技術の使用に適用できない可能性があることを考慮し、適切なガバナンス対策を見直し、採用しなければならない。 |
| Finally, the introduction of new technologies needs a skilled talent pool that possesses an understanding of both traditional OT systems and sophisticated new digital solutions. |
最後に、新技術の序文には、従来のOTシステムと洗練された新しいデジタルソリューションの両方を理解する熟練した人材が必要である。 |
| Other measures that can help organizations address some of the cybersecurity issues arising from the adoption of new technologies in OT include: |
組織が OT における新技術の採用から生じるサイバーセキュリティ上の問題のいくつかに対処するのに役立つその他の対策には、次のようなものがある: |
| – Developing a clear change management programme. |
・明確な変更管理プログラムを策定する。 |
| – Introducing network segmentation. |
・ネットワーク・セグメンテーションを導入する。 |
| – Implementing layered security controls to mitigate vulnerabilities. |
・脆弱性を軽減するために,階層的なセキュリティ管理を導入する。 |
| – Having accessible and updated documentation featuring cybersecurity best practices. |
・サイバーセキュリティのベストプラクティスを記載した,アクセス可能で最新の文書を用意する。 |
| The introduction of new security models such as zero trust is becoming increasingly relevant in the context of both old and new cybersecurity threats in OT. Research from 2022 shows that 88% of OT cybersecurity leaders in the US have already taken some steps to adopt zero trust.23 While the intent to deploy zero trust in OT may exist, successful implementation remains somewhat of a challenge due to a lack of internal knowledge, conflicting direction from leadership and lack of resources. |
ゼロトラストのような新しいセキュリティモデルの序文は、OTにおける新旧両方のサイバーセキュリティ脅威の文脈で、ますます適切になってきている。2022 年の調査によると、米国の OT サイバーセキュリティリーダーの 88%が、ゼロトラストを採用するための何らかの措置をすでに講じている23 。OT にゼロトラストを導入する意図は存在するかもしれないが、社内の知識不足、リーダーシップからの相反する指示、リソースの不足のために、導入の成功はやや困難なままである。 |
| In certain instances, implementation of zero trust in OT may require organizations to replace legacy technologies. Such an approach can prove expensive and disruptive. However, organizations can also deploy zero trust in such a way that no upgrades to existing technologies are needed. |
場合によっては、OT におけるゼロトラストを実施するために、組織はレガシーテクノロジを置き換える必要が あるかもしれない。このようなアプローチは、高価で破壊的であることがわかる。しかし、組織は、既存技術のアップグレードを必要としない方法でゼロトラストを導入することもできる。 |
| To allow for effective application of zero trust across OT environments, organizations need to: |
OT 環境全体でゼロトラストを効果的に適用できるようにするために、組織は以下を行う必要がある: |
| – Have good awareness of the overall security model and define zero trust practices in OT environments. |
・全体的なセキュリティモデルについて十分な認識を持ち,OT環境におけるゼロトラストの実践を定義する。 |
| – Secure top management approval and sponsorship. |
・トップマネジメントの承認とスポンサーシップを確保する。 |
| – Establish a clearly defined zero trust strategy and roadmap. |
・明確に定義されたゼロトラスト戦略とロードマップを確立する。 |
| – Decide on reasonable zones of zero trust deployment as opposed to total zero trust deployment. |
・全面的なゼロトラスト展開とは対照的に,合理的なゼロトラスト展開ゾーンを決定する。 |
| – Be careful about vendor selection and question the “silver bullet” of the product offering. |
・ベンダーの選択には注意し、製品提供の「銀の弾丸」を疑うこと。
|
| Conclusion |
結論 |
| Digitalization is transforming industrial environments in this era of IT/OT convergence. While the new business opportunities are clear, the threat of cyber risk expanding from connected environments and products is growing. Cyber incidents in the industrial ecosystem can have catastrophic economic, safety and environmental consequences. |
IT/OT融合の時代において、デジタル化は産業環境を変革している。新たなビジネスチャンスは明らかだが、接続された環境や製品から拡大するサイバーリスクの脅威は増大している。産業エコシステムにおけるサイバーインシデントは、経済、安全、環境に壊滅的な結果をもたらす可能性がある。 |
| With the industrial environment representing the bulk of operations in critical infrastructure organizations, ensuring a secure and cyber resilient OT environment is of paramount importance. Cyber leaders must adapt to the transforming industry as environments become more interconnected, digital and automated. |
産業環境は重要インフラ組織におけるオペレーションの大部分を代表するため、安全でサイバーレジリエンスに優れたOT環境を確保することが最も重要である。サイバーリーダーは、環境がより相互接続され、デジタル化され、自動化されるにつれて変化する産業に適応しなければならない。 |
| To improve OT environment security, the World Economic Forum in collaboration with partners from the electricity, manufacturing, and oil and gas industries, has developed a list of guiding principles. The adoption of these principles in the OT environment is imperative to cope with cybersecurity risks and enable the longer-term benefits of the digitalization of the OT environment. |
OT環境のセキュリティを改善するために、世界経済フォーラムは、電力、製造、石油・ガス業界のパートナーと協力して、指導原則のリストを作成した。OT環境においてこれらの原則を採用することは、サイバーセキュリティリスクに対処し、OT環境のデジタル化による長期的なメリットを可能にするために不可欠である。 |
| This should not be a plug-and-play exercise. It must be complemented with work in areas already embedded into the industry culture such as safety, and with significant investment in skills and in the workforce. Given the complex ecosystem, close collaboration and commitment from all public and private stakeholders across the industry is essential to ensure cyber resilience in the OT environment. |
これは、プラグ・アンド・プレイであってはならない。安全性など、すでに業界文化に組み込まれている分野での取り組みや、スキルや労働力への多大な投資によって補完されなければならない。複雑なエコシステムを考えると、OT 環境のサイバーレジリエンスを確保するためには、業界全体の官民すべての利害関係者の緊密な協力とコミットメントが不可欠である。 |
Recent Comments