1. 包括的な監査を実施する
そこにあると知らないものを保護することはできません。実行されている全デバイス、アプリケーション、そしてレガシーシステムを含む環境の全貌を、組織は把握できているでしょうか。まず、環境全体の包括的な監査を実施して、デバイス、アプリケーション、そしてシステムを特定しましょう。さらに、それらがどのように構造化され接続されているかを把握します。システムはセグメント化されていますか?マシンが感染した場合、製造装置や他の運用技術に危険は及びませんか?すでにアップデートせずパッチを受け取らなくなったレガシーシステムはありませんか?保護されていないシステムへのリモートアクセスはありますか?変更すべき非アクティブなユーザーアカウントまたは権限はありますか?環境全体を可視化することで、どのような保護を実施したらよいか適切な判断を下すことができます。
2. サードパーティのパートナーを調べる
自社の環境だけでなく、サプライチェーンパートナーとその挙動にも目を向けてください。サードパーティパートナーへの自動接続を確認しサイバーセキュリティポリシーについて問い合わせます。例として、米国におけるSolarWinds攻撃では、信頼できるサプライチェーンパートナーとその顧客ベースに拡散してしまい、18,000以上の組織に影響を及ぼしました。
3. クラウドを検討する
製造業においては、クラウドは他の業界ほど普及していませんが、組織のどこかでクラウドサービスを利用している場合は、適切に管理されていることを確認しましょう。クラウド上の会社のデータは、ユーザーの動作を制御していますか?オンプレミスシステムと同じ基準でクラウドを保護していますか?バックアップが悪意をもって削除されてしまうことから保護されていますか?
4. ロードマップの作成
組織の環境、パートナーの環境、そしてクラウドについて完全に把握できたら、ロードマップを作成します。特定したギャップ、脆弱性、および潜在リスクを視野に入れて、実行するアクションを緻密に計画し所有権を割り当てます。適切なリソースがあることを確認し、進捗状況を追跡して結果を測定します。NISTサイバーセキュリティフレームワークやサイバーセキュリティ成熟度モデル認定などの業界フレームワークを活用することで、順守すべきセキュリティ成熟度フレームワークが明確になります。後者は防衛産業向けに開発されたものですが、どのセクターにも適用できます。
5.経営層とのコミュニケーション
組織のサイバーセキュリティプログラムで最も重要な要素はおそらく、経営層とのコミュニケーションであるかもしれません。製造業においては、直面するリスクを組織のリーダーが把握できていない場合があります。つまり、今日のサイバーセキュリティの脅威への準備ができていないだけだとも言えるでしょう。サイバーセキュリティの専門家は、リスクのレベル、攻撃が組織や顧客そして財務にどのように影響するかという点について、効果的に説明することが重要です。このことは、経営層のサポートのもと、サイバーセキュリティの実践を強化できるリソースを得るためには重要です。
6.維持
一旦サイバーセキュリティの基礎が整ったら、次は制御のレベルを長期にわたってどのように維持すべきかを検討します。組織は、24時間年中無休でのカバレッジを維持するためのリソースを社内に持っていない場合があります。ここで役に立つのはマネージドセキュリティサービスプロバイダー(MSSP)のような信頼できるパートナーに頼ることです。専任のハイスキルなセキュリティチームが味方となって、24時間体制でのカバレッジや、脅威への迅速な対応を維持することができます。MSSPは、必要に応じて環境を監査するための事前作業、およびロードマップのマッピングや実装を支援します。そうして目標をより早く達成できるようにすることもできるのです。