進化するサイバー攻撃に備えるため、多くの企業は「自社のセキュリティ機能の成熟が必要」と認識しています。
本稿では、企業がサイバーセキュリティ機能を成熟させるために押さえておくべき重要事項について、解説します。
サイバーセキュリティが成熟していない企業が抱える課題
インシデント対応能力に対する過度な信頼
過去、危機的な状況に対処したことがある企業は、サイバーインシデントを管理する能力に自信過剰になる傾向がある。しかし、サイバー攻撃、特にランサムウェアは、一般的な事故や中断とは全く異なり、絶えず攻撃を進化させる脅威なので、成功体験からくる過度な信頼には注意が必要である。
不揃いな規制要件
サイバーセキュリティに関する規制が10年以上実施されてきた金融業界とは異なり、OTを扱う業界ではサイバーセキュリティに関する統一的な規制要件が定まっていない。地域的に規制要件が異なっていたり、そもそも規制が存在しなかったりする。
ITチームに対する過度な委任
長年にわたり、企業はサイバーセキュリティやその他の技術的リスク要因の対処をITチームに委任してきた。しかし、ひとたびOT領域でインシデントが発生すれば、サイバーセキュリティ、オペレーション、エンジニアリングなどの各領域で戦略的によく練られた対処が求められる。決して、ITチームに全任して何とかなる問題ではない。
事業影響に対する懐疑論
エンジニアリングに対する長年にわたる伝統を持つ企業にとって、産業分野の大規模事故(原油流出や爆発など)に対する安全対策を重視するあまり、デジタル分野のインシデントを含めた包括的な対応策を準備するためのリソースの投資をためらう傾向がある。
産業分野において、ランサムウェアを代表とするサイバー攻撃が急増するなか、企業は課題を乗り越え、真剣に自社のセキュリティ機能を高める必要性に気づくべきです。
(1)経営幹部によるサイバーセキュリティへのサポート
経営幹部は、業務継続を確保する責任を負うべきで、そのために必要なシステム・ツールを管理するためのサイバーセキュリティチームを任命する必要があります。これは安心・安全の操業が求められる産業分野に特にあてはまります。
(2)事前に下すべき決定
企業戦略に直結するような判断は、インシデント前にあらかじめ判断しておくべきです。国民生活の重要インフラとなっている場合は政府との調整が必要となることも考えられ、サイバーセキュリティチーム、技術チームだけでは判断できないこともあります。
(3)インシデント発生時の対処計画およびその訓練
詳細なインシデント発生時の対処計画を事前に策定し、それを訓練で検証しておくことが重要です。たとえ計画を策定しても、実際に訓練を行わないと問題が明らかにならないケースも多く見られます。現実のインシデントでは、訓練シナリオを超える可能性も高く、事前に多くの事態を想定して訓練を重ねることが重要です。
(4)組織としてインシデントに対処するための体制整備
インシデントからの復旧プロセスでは、多くの場合、ネットワークとオペレーションに関する高度なスキルを持つ担当者に依存しています。彼らは、独自の経験に基づき、優れたソリューションと回避策を導き出す貴重な存在です。ただ、サイバーセキュリティ業界のスキルへの需要の高まりに伴い、多くの企業が一部の個人だけに頼ることはできない、と気づき始めています。
大規模なランサムウェア攻撃に対応するため、組織内のすべてのメンバーが危機発生時の自分の役割とするべき対応を完全に理解しておく必要があります。各メンバーが役割と対応について理解を深めるために、テストや訓練を企画することを強く推奨します。
(5)経営陣への机上訓練
テーマが明確な机上訓練では、サイバー攻撃を受けた際に経営陣が的確に意思決定することがいかに重要か改めて理解されます。「組織の危機管理プロセスとサイバーインシデントをどのように適合し管理するか」を理解するとともに、経営陣、サイバーセキュリティチーム、技術チーム、ステークホルダーとのコミュニケーションの不備やニーズも明らかにできます。この訓練を通して改善事項が明確になれば、優先して対処すべきプロジェクトが整理できるかもしれません。
(6)綿密な計画の重要性
適切な専門家を交え、インシデント対応の計画立案と訓練を行ってください。専門家から訓練を受けたチームを社内に置くか、あるいは、リソースを確保できなければ専門企業のオンデマンド契約を考えてもよいかもしれません。
(7)サイバー保険への加入
サイバー保険はますます普及しており、一部の状況では必要とされていることも事実です。すべての潜在的な損害をカバーできるわけではありませんが、インシデント発生時の財務的な損失を軽減する手法としては有効です。
本稿は、KPMGインターナショナルのサイトで紹介している「Securing a hyperconnected world」のサマリーを4回に分けて紹介するものです。
全文は以下のリンクよりご覧いただけます。
全文はこちらから(英文)
Securing a hyperconnected world
重要インフラを標的としたサイバー攻撃への備え(全4回)
第1回:増大するランサムウェアの脅威
第2回:OTサイバーセキュリティ推進のための7つのポイント
第3回:脅威への対応
関連サービス
本レポートに関するKPMGのサービスを紹介します。