ICSセキュリティのPoCにおいて考えるべき5つのこと

新技術を採用する前には概念実証(PoC)を実施すべきである。これには多くの理由があり、リスクを低減した状態でプロジェクトを開始できることや、選択したソリューションが自分たちのユースケースに相応しいという自信を内部で築けることなどが挙げられる。

しかしサイバーセキュリティのソリューションでPoCを成功させるには、プロジェクトマネジメント(別名、スコーピング、スケジュール管理、不可能なこととも言う)にかなり焦点を当てる必要があり、関係構築力、交渉力、忍耐力などのソフトスキルだけでは難しい。業界のベストプラクティスに従うこともいいだろう。

私はファイヤーウォール設置からネットワークモニタリング導入まで、いくつもの重大なインフラストラクチャーのPoCに携わってきた。そして、成功するPoCを計画する際に考えるべきことのうち、最も重要なことについてたびたび質問を受けた。この文を読んでいけば、私が最も重視していことがわかる。

サイバーセキュリティのソリューションでPoCを成功させるには、プロジェクトマネジメントにかなり焦点を当てる必要があり、関係構築力、交渉力、忍耐力などのソフトスキルだけでは難しい。

何故ICSセキュリティのPoCを行なうのか

前述の通り、PoCは技術プロジェクトの成功の見込みを向上させることができる。それは、PoCによって自らのニーズをより深く理解するのに役立つためということもある。ICSネットワークの可視化が重要なのか、あるいはどこに脆弱性があるかを知るのがより重要なのか。あるいは、それよりも悪意あるサイバー脅威からオペレーションを守ることだろうか。

PoCによって要件を具体化せざるを得なくなり、さらに経営陣の承認を得るためのプロジェクトの価値提案もやりやすくなる。また、PoCはIT部門やOT部門などを共通の目標に向けて結びつけることにも一役買ってくれる。さらに、提案されているソリューションがニーズを満たしてくれるかどうかを検証し、選択した技術が組織に相応しいものであるという自信を高めてくれる。

ICSセキュリティのPoCを計画する際に考慮すべき5つのこと

これで基本的なことは十分だ。おそらくあなたはPoCをスタートさせたいと思っていることだろう。そこで、PoCを計画する際に考慮すべきだと私が考える5つのことを以下に記す。

• プロブレムステートメントとユースケースを徹底的に知る – 典型的なPoCの成果物には、プロブレムステートメントやユースケース、プロジェクトのスコープと計画、成功の基準、評価(スコアリング)モデル、プロジェクトのスケジュールなどがある。

ユースケースや詳細なプロブレムステートメントは、プロジェクトやPoCを順調に進めるのに役立つ。プロブレムステートメントはニーズを大まかに定義する。ユースケースは問題の具体例を明らかにし、ソリューションになりそうなものがどのようにニーズつまりプロブレムステートメントを満たしてくれるかのあらましを示す。プロブレムステートメントや明確なユースケースが少なくとも1件存在していなければ、成功の基準の作成は場当たり的なものとなり、PoCが失敗する可能性が高くなってしまう。

• 客観的なメトリクスに焦点を置き、主観的なメトリクスを賢く使う – 特定の運用環境に相応しい客観的メトリクスを持つべきである。これは白黒はっきりしているものだ。ベンダーのソリューションはFireEyeのSIEMと統合されるのかされないのか。パッシブまたはアクティブなネットワークモニタリングを提供するのかしないのか。シーメンスのS7 ICSプロトコルをサポートするのかしないのか。

しかし私のPoC評価モデルのうち15%は主観的なメトリクスに関係する。例えばネットワークモニタリングのソリューションプロバイダーとPoCを実施した際には、私のチームはその企業の「文化」に基づいて成功の基準を選択した。もちろん、ベンダーは私たちの技術的要件を満たしている必要があったが、選択した企業が共に働きたいと思うような企業かどうかも私たちは確かめたかったのだ。とりわけ、予測していない課題を解決する必要が生じた場合や、将来的なイノベーションを通じて競争的であり続けることができるよう独創的な思考が必要な場合に。

企業文化を見極めるための客観的なメトリクスは存在するだろうか。そんなわけはない。関係はその企業の担当者との交流の上に構築され、時とともに発展する。さらに、この概念は選択プロセスにおいてかなり重要な基準となる。

常時モニタリングの市場は比較的歴史が浅く、今後数年で相当な変化を経験することだろう。そうした場合、同様の価値観を共有し、成長と変化の年月を私とともに取り組んでくれることに誠実な関心を示す企業とともに働くことが必要であることは私にとって明らかだった。

• スコープクリープの対応 – スコープクリープはどれだけ阻止しようとしても発生する。私のアドバイスは、それを予期し、備え、どのように対応するかを早期に決定しておくべきだということだ。ベンダーと仕事をしていると、新しいアイデアや思いつきが生まれることがある。そしてそれがベストソリューションの定義に役立つということが起こり得る。それは良いスコープクリープである。あるいは、アイデアがプロブレムステートメントからそれてしまい、望ましくないスコープクリープとなることもある。そのケースが取り入れるべきものか除外すべきものなのかを判断するメカニズムを、PoCのフレームワーク内に持っておくべきである。
• テスト環境 – 石油やガス、電気や水道などの重大なインフラストラクチャー事業では、本番環境でPoCを行うことは稀である。そのため、プロジェクトの成功はテスト環境がどれだけ本番環境に近いかによって決まる。テスト環境が本番環境と同一の構成とファームウェアを持つ、同一のインフラストラクチャーを利用するようにすべきである。
• 経営陣の承認 – PoCの計画はチャンピオンを特定することから始まる。チャンピオンとは、問題や、運用している環境や条件を深く理解している人のことだ。この人物は適切な利害関係者/スポンサーとチームメンバーを手に入れることで、プロジェクトを前進させるのに重大な役割を果たす。チャンピオンは障害を取り除き、締切に間に合わせるように迅速に仕事をする必要もある。

だがプロジェクトが経営陣主導(トップダウン)となるにせよ、現場の従業員主導(ボトムアップ)となるにせよ、経営陣の承認の獲得はプロセスにおける決定的な一歩であることは間違いない。経営陣はスポンサーと考えるべきだ。この人物はプロブレムステートメントへのソリューションの発見にしっかりと取り組む必要があり、選択したソリューションのための資金を割り当てたり予算を立てたりすることを積極的に行う必要がある。

プロジェクトがボトムアップ型である場合、いくらかの余分な仕事が必要となる。プロジェクトやプロブレムステートメント、提案したソリューションの承認を得るには、経営陣の支持を得る忍耐力が求められるが、それなくしてはPoCは水の泡となってしまう。

Nozomi Networksでは現在100以上の概念実証(PoC)が進行中で、過去の経験によれば、そのほとんどすべてが本番デプロイメントへと速やかに移行することだろう。オペレーションの可視化とリアルタイムOTサイバーセキュリティPoCの経験が豊富であれば、組織のチャンピオンとなれることは間違いなしである。

自組織のためにICSセキュリティのPoCをやりたいと思ったら、Nozomi Networks のチームがお手伝い可能だ。こちらの連絡先に問い合わせされたい。

元記事：https://www.nozominetworks.com/blog/5-things-to-consider-for-your-ics-security-proof-of-concept/

Nozomi Networks社は産業サイバーセキュリティのリーダー企業である。同社はサイバーリスクを管理し産業オペレーションのレジリエンスを高めるための、リアルタイム可視化におけるベストソリューションを提供している。このソリューションだけで、サイバーセキュリティの改善、オペレーションの信頼性向上、IT/OTの容易なインテグレーションが可能になる。AIを革新的に使用することにより世界中の大規模な産業施設のSee and Secure™ができるようになる。今日Nozomi Networksは、重要インフラ、エネルギー、製造、鉱業、交通、公益事業等の分野で25万台以上のデバイスを支えており、ますます増大するOTネットワークに対するサイバーリスクへの対応を可能にしている。 www.nozominetworks.com.