エネルギー会社が8カ月で準備完了

米国の大手企業が、IT資産とOT資産を単一の標準に統合するという大胆なビジョンを掲げ、ロックウェル･オートメーション傘下のVerveにアプローチしました。当時、OT資産にCISコントロールを大規模に適用することは、OT資産の整合性を損なう懸念から、議論の的となっていました。

同社は、石炭、ガス、風力、水力発電に加え、送配電網を含む運用資産を抱え、広範かつ多様な攻撃対象領域に直面していました。

また、従業員システム、課金プラットフォーム、顧客データを含む広大なITフットプリントを管理していました。これらはすべて、NERC CIP (North American Electric Reliability Corporation Critical Infrastructure Protection: 北米電力信頼度協議会の重要なインフラストラクチャ保護)およびPII (Personal Identifiable Information: 個人識別用情報)保護を含む、それぞれ異なる規制要件の対象となっていました。

経営陣は、脅威の状況が拡大していることを認識していました。彼らは、明確かつ野心的な目標を掲げ、断片的で事後対応的なサイバー戦略から脱却しようと努めました。それは、1年以内にすべてのコンピューティング資産において、測定可能なサイバーセキュリティ成熟度を確立することでした。

数万点に及ぶ資産への運用を可能にするため、拡張性と実用性に優れたフレームワークとパートナが必要でした。同社は、その指針となるフレームワークとして、CIS Critical Security Controls (CIS CSC)を選択しました。

導入した評価ツール

ロックウェル･オートメーション傘下のVerveによる自動資産インベントリは、OTネットワーク全体にわたって同社のIPアドレスを安全にスキャンし、フィンガープリントを取得しました。エンドポイントマネージャは、Windows、Unix、Linux資産、組み込み資産ファームウェア、その他の構成情報に関する1,000件以上の情報を収集しました。

ロックウェル･オートメーションはまた、資産インベントリのデータを使用して、収集したソフトウェアとファームウェアのパッシブアセスメントを実施し、OTシステムに悪影響を与えることなく評価を行ないました。

修復ロードマップの策定

基盤が構築されると、ロックウェル･オートメーションはパッシブ脆弱性評価、ネットワークセグメンテーションのレビュー、そして120を超えるCISサブコントロールに対する詳細なギャップ分析を実施しました。

その後、ロックウェル･オートメーションはエネルギー会社と協力し、修復ロードマップを策定しました。ロードマップでは、リスクと運用上の実現可能性に基づいてアクションの優先順位付けを行ないました。修復活動には、ソフトウェアの削除、パッチの適用、パスワードポリシーの適用、セグメンテーション、そして技術的にコンプライアンスが達成できない場合の補完的コントロールなどが含まれていました。

コンプライアンス監視による統合レポート作成

長期的な成功を維持するために、同社はすべての資産と管理体制にわたるレポートを統合するコンプライアンス監視システムを導入し、新しい手順とセキュリティ要素について担当者をトレーニングしました。これにより、OTセキュリティチームは監視を維持し、ネットワークに導入されるすべての新規資産が今後もコンプライアンスを維持できることを確認できました。