事業継続リスク下におけるサイバーセキュリティの警戒態勢の維持
化学および機能性化学品業界が、どのようにサイバーセキュリティを強化しようとしているのかについて解説します。
化学および機能性化学品業界が、どのようにサイバーセキュリティを強化しようとしているのかについて解説します。
ハイライト
米国の化学企業のサイバーオペレーションはCOVID-19によりどのような影響を受けているのでしょうか?
世界中のビジネスリーダーやテクノロジーリーダーと同様に、化学企業の情報セキュリティ最高責任者(CISO)は、従業員の健康を維持しながら、情報技術(IT)および運用技術(OT)を保護するためのサイバーオペレーションを維持できるか危惧しています。
COVID-19がサプライチェーン全体に混乱をもたらしていることにより、化学関連組織の多くがキャッシュと運転資本の確保を進めています。しかし、セキュリティの維持が急務であるにもかかわらず、サイバー関連のプロジェクトは延期または中止されています。ソーシャル・ディスタンス措置の導入増加を受け、プラントのターンアラウンド(受注から発送までの過程)が削減または遅延していることから、企業の経営陣は効率化を重視してあらゆる検討を進めていますが、このことは潜在的にOTの展望において安全性とセキュリティのリスクを増大させる可能性があります。
さらに、高齢者はCOVID-19による合併症のリスクが高いと考えられています。平均して数十年間にわたる経験を有するプラントの作業員と豊富な業務知識を有するシニアエンジニアを抱えていることを踏まえると、COVID-19が化学プラントの運営に及ぼす潜在的な影響は高いと考えられます。
化学業界のITとOTに特有のサイバーセキュリティに関する懸念にはどのようなものがあるのでしょうか?
悪意のあるサイバー攻撃者はオペレーション能力が弱まるこの時期に便乗しようとするため、フィッシング攻撃件数の増加が予想されます。攻撃ベクトル(攻撃の経路)は通常、悪意のあるサイバー攻撃者がITとOTの両方に関与している従業員のアカウントを識別した時点で、企業のITを介して産業ゾーンに到達します。
一方、分散制御システム(DCS)、監視制御システム(SCADA)、プログラマブル論理制御装置(PLC)を含むプラントのシステムは、独自ベンダーのサポートに依拠していますが、そうしたサービスは慣習的にオンサイトまたはサプライヤーの拠点から提供されています。現在の外出禁止令およびソーシャル・ディスタンスの措置により、サプライヤーの担当者はリモートで作業する必要があり、「ホップ(転送・中継設備)」がさらに増えています。これにより、通常のメンテナンスから専門プロジェクト、そして特に重要なものとしてシステムのセキュリティおよびパッチに及ぶ、広範囲の活動が影響を受けています。
事業を守り、BCPを可能な限り強固にするために、化学企業が留意すべき検討事項は何でしょうか?
- 短期的には、BCPに基づき、予想よりも長い期間にわたり人員を削減した状態で経営を継続する必要性を検討する。また、現在は、混乱が長期化する可能性を考慮して、BCPの更新を開始し、複数の混乱が同時に発生した場合のシナリオに沿ってBCPのストレステストを行う時期でもあることに留意する。
- OT組織のリモートアクセスの取決めと手順の見直しを含む、予定しているセキュリティの見直しの前倒し(外部からプラント内の環境にリモートアクセスできる者に向けたセキュリティのクイックウィンを要求すること)と、戦術的に実施可能なOTの強化の検討を実施する。
- セキュリティオペレーションが強固で、IT・OT両方のレイヤーに対応できるかどうかについての検討を実施するとともに、可能な場合、ネットワークにおける「不正を探知する」組織の能力を向上させる。
- パッチ実施の遅延や、そうした遅延によって引き起こされる可能性のある脆弱性に関するOTのリスクをレビューし、適切な統制が整備されていることを確認する(例:安全計装システム(SIS)が他のネットワークから引き続き独立していることを確認すること)。
- 施設(特にプラント側のVPN)を点検し、安全性を担保するためのリモート侵入テスト活動を計画および実施する(現在、これには継続的な変更と拡張が必要であるものの、管理、方針の変更および継続的な監視のためのリソースがないという懸念がある)。
- 経営効率性のレビュー:「頭のなかにある知識」を紙に落とすという重要な文書化と、プラントの手順を簡素化する可能性の検討に焦点を当てた、BCP/災害復旧レビューを実施する。
- BCPまたはOPS文書のレビュー、プロセスレビュー、ツールセットのリスクの改善等クイックウィンで防御を強化する方法を評価する。組織全体でベストプラクティスを共有し、増大するリスクの同時発生に対応するのに役立つ適切なリソースを提供できるよう取り組む。
これらの留意事項を念頭に置き、定期的なサイバー危機に対する準備のレビューを確実に実施することで、化学関連組織は、プラントの安全性と機密性を維持しながら、将来再び利用できる多くの新しい効果的な働き方を開発することができるでしょう。