攻撃されて初めてサイバーリスクは優先事項になるのでしょうか？

サイバー脅威は、とりわけ鉱業や金属工業など資産集約型の産業で、驚くべき速さで進化、増大しています。

EYの最新の情報セキュリティサーベイ（GISS）の対象となったエネルギー・資源企業の大半が、昨年度に大規模なサイバーセキュリティ事故を経験しており、サイバー脅威は世界規模で急速に増大しています。

今日、すべての鉱業企業は当たり前のようにデジタル化されています。この相互接続性が高まる世界において、デジタル社会の全体像は広大であり、企業が所有または使用しているすべての資産は、ネットワーク上でそれぞれノードとして存在しています。

組織は、生産性向上、利益率改善、そして原価抑制目標を推進するために、テクノロジー、オートメーション、そして運用データへの依存を高めています。同時に、活動が行われるデジタル環境、そしてそれとの相互接触を理解し、保護するために、組織はかつてないほど苦労しています。

• 企業のテクノロジー環境は、オーダーメードで複雑なものとなっています。戦略的計画立案、予算編成、そして支援に責任を負う多数のチームをつなぎ、事業現場あるいはクラウド上にある、または第三者が所有、管理する多数のネットワークとインフラを包摂しています
• 「組織」の定義は困難です。組織のシステムにアクセスできる従業員、顧客、サプライヤーの所有するデバイス（ラップトップ、タブレット、スマートフォン、エッジ・コンピューティング・ソリューション、スマートセンサーなどなど）はますます増えており、こういったものがセキュリティの境界線をさらに曖昧化させています
• 情報技術（以下「IT」）間のつながりが増している一方、未熟な制御・運用技術（以下「OT」）環境によって、「攻撃対象領域」は広がっています。サイバー事故は、製造や加工、安全性やコスト効率を乱し、事業戦略と目標に直接的な影響を及ぼす可能性があります

サイバー事故には、悪意のものと、そうでないものがあります。提供サービスの中断や商業情報、個人情報、顧客情報などの大規模な侵害から、サイバー詐欺やランサムウェア（WannaCryやNotPetyaなど）、また戦略的標的に対する高度で執拗（しつよう）な脅威キャンペーンに至るまで多岐にわたります。

サイバー脅威の代償とは

2021年までに、全世界がサイバーセキュリティ侵害によって被る費用は、2015年の総額の2倍の6兆米ドルに達すると見込まれています。¹世界経済フォーラムは、大規模なサイバーセキュリティ侵害を今日の世界が直面する最も深刻な五つのリスクの一つに挙げています。²

以下に示すように、事業施設でサイバー攻撃が発生したり、事業資産に影響を与えたりした場合、重大なダメージが起こりえます。

サイバー脅威の景観は複雑で、ITとOTが射程内に入ります

歴史的に、OT環境は、現場から遠くの限られた外部ネットワークに接続した状態で孤立しており、ベンダーごとの特殊なプロトコルと専有技術を使用してきました。

このため、資産のオーナーは、しばしば「セキュリティ・バイ・オブスキュリティ（隠ぺいによるセキュリティ）」と呼ばれるアプローチをとってきました。しかしながら、このアプローチは、現代のOT環境ではもはや通用しません。現代のOT環境は高度に接続しており、徐々に、企業のIT環境でよく使用されるインフラやプロトコル、OSを利用するようになってきたからです。このような理由から、企業のITで利用される技術にまつわる脆弱性は、非常に重要なOTについてもあてはまる場合が多いのです。

また、OT環境を狙ったマルウェアの台頭によるさらなる脅威が迫っています。2015年12月、マルウェア（BlackEnergy、KillDisk）を利用した、OTと産業用制御システムを標的としたサイバー攻撃によって、ウクライナの送電網が絶たれました。これ以降、マルウェアは、より一般的な攻撃手段となり、勢力の広がりを見せています。

業務環境全体でつながる機器が増えてきたことも、脅威が広がる一因となっています。デジタルへの投資が拡大し、オートメーションシステムへの依存が高まり、長期的なコスト効率を目指したインフラのリモートモニタリングや全バリューチェーンでのリアルタイムに近い意思決定が広がる中で、さまざまな地理的環境をまたぎ何千というOT機器をつなげるのは、鉱業・金属工業企業ではもはや当たり前となっています。

しかしながら、これらの機器のつながりの拡大、ひいては攻撃対象領域の拡大は、すなわち、鉱業・金属工業事業のリモート業務に関して物理的なセキュリティだけではもはや十分でないことを示しています。

さらには、従来つながれていなかった機器やインフラ（自動掘削、トラック、電車など）も、現在では統合されており、事業全体をよりよく統制できるようになっています。

このような一連の動きは、システムの複雑さや第三者リスクと相まって、サイバー攻撃で利用される「攻撃経路」をさらに拡大しているのです。

鉱業・金属工業組織にとって、バリューチェーン（例として、採鉱、加工または精製、在庫管理、出荷）全体の業務に欠陥を生じさせ、影響を与えるために使われる四つの主要な「攻撃経路」があります。これらの攻撃経路を利用するハッカーは、ネットワークアーキテクチャ、旧来の産業技術（レガシーテクノロジー）、基本アクセス制御・セキュリティ構成、メンテナンス・プロセス、リモートスタッフ、第三者アクセス、およびセキュリティ意識によく見られる多数の弱点を利用します。

したがって、サプライチェーン全体がいまリスクにさらされています。このリスクは、業務の中断を引き起こす可能性にとどまらず、健康や安全面における深刻な影響をもたらす場合があります（フェイルセーフシステムの停止あるいはオーバーライド、予期されるパラメータの外部で稼働するインフラや機器の物理的故障から生じる影響など）。これらのリスクが効果的に特定、追跡、監視されないならば、組織とその従業員は深刻な危険にさらされる可能性が高くなります。強力なセキュリティイベントモニタリングによるソリューションを実施している当社のクライアントの一部は、運用システムに対する新たな攻撃（これらの環境を攻撃する特殊な設計のコンピューターウイルスなど）が急速に増えているのを目の当たりにしています。

課題

脅威レベルの高まりによって、より強固な対応が急務となっています。当社の2017年 EYグローバル情報セキュリティサーベイ（GISS）で、エネルギー・資源組織の53％が過去12カ月間でサイバーセキュリティ対策の支出を増やしたことがわかりました。サイバーセキュリティの予算は増加していますが、リスク管理、とりわけミッションクリティカルなOTを効果的に管理するには十分ではありません。3鉱業・金属工業企業が相次ぎデジタル時代へと進出していく中、OTへの脅威の高まりという面で、現在の予算ではリスク管理に十分対応できない可能性があります。

また、その場しのぎのアプローチで対応したり、リスクや脆弱性への対応が遅すぎたりする鉱業・金属工業企業があまりにも多いのが現状です。このようなアプローチでは、企業は不必要に大きな脅威にさらされます。

サイバーセキュリティリスクへのエクスポージャーを管理する責任は、1名や2名の個人に任すことができない大きなものです。むしろ、広範な個々人の責任を取りまとめることによって、単一の一貫した、アクセス可能な脅威環境の概観を把握できるようにすべきです。

例えば、OTサイバーリスクに関しては、重要なサイバー管理とセキュリティ意識を確立するために責任を負い、助言を提供できる技術チーム、エンジニアリングチーム、メンテナンスチーム、プロセス制御チームが必要となるかもしれません。ただし、変更や優先事項を決定し、継続したOTサイバーリスク管理を持続していくためには、最高業務執行責任者あるいはサイト統括マネジャーといった総括的な責任を負うべきオーナーが必要です。

サイバー脅威の先を行く

鉱業・金属工業セクターでは、「人的要因」がサイバーレジリエンスやサイバー脅威に対する準備態勢をリスクにさらす重大な欠陥を解決するために、サイバーリスクに関する文化と意識に対する大胆な変更が必要です。「起こったならば」という仮定ではなく、「起こったとき」という発生することを前提とした考え方を受け入れたとき、この課題の緊急度はさらに増します。

組織は、優れたリスク管理原則を適用する必要があります。この原則は、まず、サイバーリスクなどの問題を事業リスクと同様に捉えるところから始まります。サイバー脅威の環境を理解することは、サイバー成熟度を改善するための変更において、土台となる極めて重要な第一歩となります。必要とされる大胆な変更に取り組むために、鉱業・金属工業企業は、自社のデジタルロードマップの一端を担う明確な計画とリスク管理計画を策定する必要があります。

最初のステップは、基本的なサイバー制御のベースラインを構築することです。戦略的かつ長期的なサイバー投資を優先するリスクベースのアプローチによってサポートされるこのベースラインは、組織の最大のサイバー脅威シナリオを想定しそれに合わせたものであるべきです。

鉱業・金属工業組織には、貴社の事業に大きな影響を与えうる以下の四つの主要なサイバー脅威が絶えず存在しています。

1. 企業ITとビジネス・アプリケーション：グローバルなITネットワーク、ITが管理するサービスプロバイダー、ERP、そしてエンドユーザーの生産性、データ保存、計算を可能にしている重要な事業所またはクラウドベースのソリューションにまつわる脅威。これらのシステムにおけるセキュリティ侵害は、往々にして、即時の対応とリカバリーを要する「優先度No.1」事故につながります
2. 財務および商品取引：JVパートナー、サプライヤー、政府機関、企業内または企業間、および商品の顧客に対する大量のキャッシュの支出（価値・数量両面で）は、鉱業産業に付き物です。CEO詐欺やCFO詐欺、AP詐欺、そしてスピアーフィッシングが台頭する中、サイバーによって実現される犯罪や支払い詐欺は現実の脅威です
3. 商業的に機密性の高いデータと個人データ：データ侵害に関する通知規定の強化と、オンライン上で急速に行われるメディア報道は、すべての企業が機密性の高い情報と個人データに対してより注意を払う必要があることを示しています。鉱業・金属工業セクターに関しては、このような情報は、しばしば、人事部内の個人情報、医療衛生、HSE（衛生・労働安全・環境）および請負業者管理システム、そして、上級職エンドユーザーのデバイスおよびクラウドベースのデータ・リポジトリにある商業的に機密性の高い情報と解釈することができます
4. 制御・運用技術（以下「OT」）：台頭するOTのサイバー脅威は日々進化を遂げており、資産集約型産業では、取締役会、役員会、規制機関から大きな注目を浴びています。まず議論されるのは、たいてい、事業の現場、加工工場、そして設備で稼働するミッションクリティカルなOTシステムで、その後に、統合業務、リモート・モニタリングおよびリモート制御、そして、生産の影響を受けやすい計画立案と意思決定のサポートを実現する主要なIT・OTネットワークおよびIT・OTシステムが続きます

これらを実現するために、組織は、ターゲットとするリスクプロファイルを達成するのに必要とされる、重要なサイバーコントロールの間隙、脅威、および行動の一貫した特定のためのサイバーセキュリティフレームワークを採用すべきです。当社は、採用されたフレームワークにかかわらず、目的に適した、「保護」と「反応」のバランスが取れた、かつ、組織の運用上の要件を満たすリスクベースのアプローチがとられるべきであると考えます。

以下は、強固なサイバー脅威アプローチです。

実際のリスクの特定：システムと企業全体に存在する重要な資産の地図を作製します

最も重要なものを優先：侵害が発生することを想定し、攻撃を特定し、保護し、検知し、攻撃に応答し、攻撃から回復するための制御とプロセスを改善します

パフォーマンスの統制とモニタリング：パフォーマンスと残存するリスクポジションを定期的に評価します

投資の最適化：予算がない場合は管理可能なリスクを受け入れます

経営成績の実現：セキュリティを全員の責任にします

取締役会について

サイバーセキュリティリスクが事業に与えるリスクに対し、取締役会は積極的な対応姿勢を強めつつあります。経営陣に対しては、サイバーセキュリティリスクの管理を可視化し、確実にする報告を作成し、指標を作り、洞察を生み出すよう要求が高まっています。

大部分の組織は、取締役会に何を報告すべきかを理解することに苦心しています。これは、戦略的な意思決定を知らせ、進捗状況について報告することを重視しがちであった従来の考え方を反映しています。そうではなく、取締役会では、最近の重要な決定によって生じた成果や、現在の管理環境のパフォーマンスを示す具体的かつ測定可能な複数の指標を合わせて報告すべきです。

最終的に、効果的な意思決定を実現するためには、サイバーセキュリティ報告の枠組みによって、組織の現在のサイバーリスクに対するエクスポージャーを明確かつ継続的に取締役会に提示できなければなりません。

このパラダイムシフトを促すために、取締役会は、リスクにフォーカスした考え方を採用し、経営陣に対する質問を変質させていくべきです。