表1 コグナイト(Cognite)社のプロフィール(敬称略)
※1 1ドル110円換算。
※2 ユニコーン企業:企業評価額が10億ドル (約1,100億円)※1以上のスタートアップ企業。同社は2021年の資金調達により評価額16億ドルとなった。
出所 各種資料より編集部が作成
OT企業のセキュリティ対策と現実
〔1〕可視化されていないデータ(資産)
「多くの企業は、OTに関するデータが静的に運用されている(古いデータのまま変更されず活用されている)ということに苦労しています」と、講演の冒頭、スーザン氏は語る。
そのため、セキュリティオペレーションセンター(SOC)で働く人々やコンプライアンス責任者、技術運用管理者などは、データを見て「現場で今何が起きているか」を、すぐに理解できない。
さらに、現場の資産(サーバやパソコンのほか、ネットワーク機器や周辺機器)に関する情報一覧や、ソフトウェアのSBOM(エスボム)注4を、リアルタイムで作成できないことで、様々な作業ロスが生じている。
一方で、セキュリティ運用の経験のない人たち(生産現場の人達や経営者)は、システムや機器の脆弱性が企業に及ぼす影響や、その改善策に対する価値を理解することに苦労しているという。
〔2〕OT企業が抱える課題:一元化されていないデータ仕様
データを操作するために、適切なフォーマットや関連付けをすることは、資産や時系列データとの不整合によって困難がある。このような問題を解決するために、データの構造化を行い、ワークフローを改善し、アプリケーションや製品をより簡単に、より速く、より効率的に使用できるようにすることが重要だ。
このとき、「データは使いやすいだけでなく、物理的な世界をデジタルで表現するのに適したものであることが必要で、それを企業全体で活用するには、リアルタイムかつ簡単・安全にアクセスできるようにすることが理想的」だと、スーザン氏は語る(図1参照)。
図1 産業界への働きかけ:大量のデータを簡単に利用可能に
出所 Susan Peterson-Sturm, “Inviting OT Security to the Digitalization Leadership Table”(Japan CIP Conference February 2022)をもとに日本語化
図2 セキュリティ部門は、デジタル導入はリスクが高いと見ている
出所 Susan Peterson-Sturm, “Inviting OT Security to the Digitalization Leadership Table”(Japan CIP Conference February 2022)をもとに日本語化
〔3〕セキュリティ部門は、IoT関連の多くのリスクに気づいている
セキュリティ部門では、多くの要件や要求に対応していかなければならない。そのため、IoTに関連する多くのリスクに気づいてはいるが、そのリスクの軽減について、事前に他部門(生産現場やOT部門など)と議論をする余裕がない(図2)。
しかし、スーザン氏は「改善の余地がある」という。そのためには、セキュリティ部門は、運用管理者や技術関係者へのセキュアな開発ライフサイクル注5に向けた正しい研修・教育も含めた、包括的なユーザーストーリー注6を作成し、生産現場やOT部門の目標をサポートしていかなければならないとする。
▼ 注1
DX:Digital Transformation、デジタルトランスフォーメーション。デジタル技術によって企業のビジネスモデルを変革すること。
▼ 注2
ICS:Industrial Control System、産業制御システム
▼ 注3
2022年3月17日(木)に開催された「第6回 重要インフラサイバーセキュリティコンファレンス&第3回 産業サイバーセキュリティコンファレンス」の閉幕特別講演と対談
▼ 注4
SBOM:Software Bill of Materials、ソフトウェア部品表。
▼ 注5
ライフサイクル:製品やサービスなどの検討開始から廃棄までの全過程。