セキュリティー・インテリジェンス
それはあなたにも関係するリスクです:製造業とユーティリティー企業のインターネット(IoT)リスクを管理する
2018-04-06
カテゴリー セキュリティー・インテリジェンス
記事をシェアする:
製造業、エネルギー事業、およびユーティリティー事業で活動する企業は、人々の日々の生活に欠かすことができない重要インフラを保護する責任があります。これらの企業は、消費者および政府の期待に応えるために、より効果的かつ効率的に事業を運営しなければならなりません。消費者や政府からの期待値を満たすため、企業は Internet of Things(IoT)などの新しいテクノロジーを採り入れています。
IoTデバイスは非常に幅広い目的で使用されており、企業はこれらのデバイスが相互接続された環境での事業活動を急速に展開しつつあります。彼らは、それらを使用して運用データを収集し、運用技術のパフォーマンスを監視し、エッジでプロセスを制御し、消費者の使用状況とパフォーマンスを取得します。このため、製造業やエネルギー産業における IoT の活用は、今後数年でさらに増加すると見込まれています。ガートナーは、2020 年までに 260 億以上のデバイスが接続されるだろうと予測してます。しかし、この急速な IoT デバイスの増加はつまり、比例してリスクが増加するとも言えるわけです。
◆ ”脅威”のインターネット:”モノ”のインターネットを安全に
オックスフォード・エコノミクスと協力して、新しい IBM Institute for Business Value(IBV)報告書「脅威のインターネット:産業と企業のためのインターネットの安全確保」を発表しました。この報告書は、IoT 技術を事業所や工場に導入することによって発生するサイバーセキュリティー・リスクから、どうやって組織を守るのか、その方法を理解することを目的としています。
また、IoTサイバー・インシデントの識別、保護、対応、および復旧に必要な機能を決定するための共通ベースラインとして、国立標準技術研究所(NIST)サイバー・セキュリティー・フレームワークを活用しました。
オックスフォード・エコノミクスは、工場や制御系に IoT 技術を導入している、あるいは導入中の 20 カ国 700 人の幹部をインタビューしました。インタビュー対象者は、セキュリティーの監督責任者、産業用制御システム(ICS)使用者や監督管理者、データ収集(SCADA)業務を実施している担当者です。合計で、エネルギーおよびユーティリティー部門の120人の幹部が調査に参加しました。電力事業から77人、水道事業から43人でした。
オックスフォード・エコノミクスは、最も一般的なタイプの IoT サイバー・セキュリティー・インシデントを観察し、重要な業務オペレーションに最も大きな影響を与える可能性のあるものを彼らビジネス・リーダー達と、共有しました。また、サイバー・セキュリティー対策の主要な推進要因を明らかにするとともに、支出と IoT 導入がどう関連しているかについても明らかにしました。
◆ エネルギー、環境、公共部門について、レポートはどう言っているでしょうか
IBM の報告書の中では、IoT のリスクを管理する上で、多くの組織が未成熟のレベルであると強調されています。主な理由の 1 つは、この業界内で絶えず変化する脅威にまつわるリスクを管理するために、効果的なセキュリティー・プログラムを開発する十分な知識を持つセキュリティー専門家が不足していることです。例えば、エネルギーやユーティリティー産業の企業は、テロリストや伝統的なサイバー犯罪者のターゲットとみなされています。 2017 年の情報セキュリティー・フォーラム報告書「産業制御システム:物理環境を制御するシステムのセキュリティーを確保する」では、”今日の近代的な相互接続された世界では、産業用制御システムのセキュリティーが不十分だと、次のようなことが潜在的な影響として発生しやすくなります。それはつまり、人命が危機に瀕したり、コストが増大したり、企業の評判を悪化させたり、ということです。”と述べています。
これらの既知のリスクにもかかわらず、IBVの報告書には、今もなお脆弱な企業がどのような状況にあるのかを指摘しています。組織がサービスを提供する方法を変えるため何十億ドルも投資するにしたがって、企業はセキュリティーとも同機をとる必要があります。
この研究では、リスクに対して脆弱な企業は、IT予算の平均 7% を IT インフラの新しいIoT技術の維持に投資し、IoT技術をセキュア(リスクから守る)にするための投資は IT 予算のわずか1% でしかないと報告されています。これが、リスクに対して脆弱な環境を、政府がよりコントロールしさまざまな対策を義務付けている理由です。新しい規制によって革新と進歩のスピードや能力を低下させるかもしれませんが、すべての新しいエネルギーおよびユーティリティー・ソリューションには、致命的な結末を避けるため、確実にセキュリティーを組み込むことが重要です。
◆ IoT セキュリティーのギャップに対処する
IBV レポートは、これらの業界のセキュリティー・ギャップを詳述し、また、この業界を専門とするセキュリティー・ソリューション・ベンダーがどのようなセキュリティー・ソリューションを検討すべきかについて、鋭い洞察を提供しています。この調査は、セキュリティー戦略を確立するためのベースラインとして活用いただければ良い参考資料となるでしょうし、各企業や組織は信頼できるセキュリティー・サービス・パートナーと協力して、脅威の増大に対応して重要な業務を保護するためのロードマップを作成してください。
脅威のインターネット(Internet of Threats)レポートのエグゼクティブ・サマリーはこちら
この記事は下記ブログの抄訳です。
大規模言語モデル(LLM)の隠れたリスク:催眠術をかけられたAIの実状
この記事は英語版 Security Intelligenceブログ「Unmasking hypnotized AI: The hidden risks of large language models」(2023年8月8 […]
IBM Security Trusteer Rapport (ラポート)のダウンロードおよび購入を騙る不審サイトにご注意ください
架空の団体から贈与金を受け取れる等のフィッシング・メールが届き、メール本文に記載されたリンクをクリックすると不正サイトへ誘導され、金銭を安全に受け取るためと称して IBM Security Trusteer Rappor […]
ゼロトラスト・セキュリティーの実現に向けたSASE導入ポイント
1. はじめに Tokyo2020に向けて一部の企業がリモートワークを推進してきましたが、2020年初頭からCOVID-19の流行によりテレワークのニーズが急速に高まったのは記憶に新しいと思います。 またそ […]