シンガポールは、サイバーセキュリティ戦略を修正して、オペレーショナルテクノロジー(OT)への取り組みを強化し、OT業界セクターに必要なスキルセットと技術的能力に関するガイダンスを含む新しいコンピテンシーフレームワークを提供している。改訂された国家サイバーセキュリティロードマップは、全体的なサイバーセキュリティ態勢の強化と国際的なサイバー協力の促進も目指している。
シンガポールのサイバーセキュリティ庁(CSA)によると、2021年のサイバーセキュリティ戦略は、シンガポールの重要情報インフラストラクチャー(CII)やそのほかのデジタルインフラストラクチャーを保護する取り組みを拡大するものでもあるという。CSAは、CIIオペレーターと協力して、サイバー攻撃が物理的および経済的リスクをもたらす可能性があるOTシステムのサイバーセキュリティを強化していく、と述べている。
CSAの定義では、OTシステムには、産業用制御システム、ビル管理システム、交通信号制御システムなどが含まれる。そして、これらのシステムは、鉄道システムの制御のように、「システムの物理的な状態」を監視したり、変更したりする機能を備える。
「多くのOTシステムは歴史的にスタンドアロンで存在し、インターネットや外部ネットワークに接続しないように設計されてきた。しかし、自動化の拡大やデータの収集および分析の容易化のために、新しいデジタルソリューションがOTシステムに導入されたことで、かつては比較的『安全』でエアギャップされていた運用環境に、新たなサイバーセキュリティリスクがもたらされた」(CSA)
企業がそのようなリスクに対処するためには、OTのサイバーセキュリティの管理に必要なプロセスと構造、スキルについて、ガイダンスを得られるフレームワークが必要である、とCSAは指摘した。
「OT Cybersecurity Competency Framework」(OTサイバーセキュリティコンピテンシーフレームワーク)と呼ばれるこのフレームワークでは、OT業界セクターで必要とされるサイバーセキュリティスキルと技術的能力が「より細かく分類」されており、利用者はそれらを参照することができる、とCSAは述べている。CSAによると、このフレームワークの狙いは、OTサイバーセキュリティトレーニングの既存のギャップを埋めることにあるという。これまで、CIIセクターなどのOTシステムの所有者は、SkillsFuture Singaporeなどが共同開発した「Skills Framework for ICT」のガイダンスを利用して、スキルのギャップを特定し、トレーニング計画を立てていた。
Mercer Singaporeと共同で開発された新しいOTセキュリティフレームワークは、さまざまな職務とそれに伴う技術スキル、必要なコアコンピテンシーのロードマップを提供する。CSAによると、OTシステムの所有者もITシステムの所有者も、リファレンスガイドを参照して、適切なトレーニングを提供し、従業員のキャリアの進捗状況を示すことができるという。また、トレーニングプロバイダーは、新しいOTセキュリティフレームワークを使用して、現地のトレーニングニーズのサポートに必要な技術的能力や認定資格を特定することが可能だという。
さらに、CSA Academyは、組織がビジネス要件に基づいてOTセキュリティフレームワークを採用できるように支援するため、ロードショーの開催も予定している。
OTのサイバーセキュリティへの取り組みの強化は、先週発表されたシンガポールの最新のサイバーセキュリティ戦略に沿ったものだ。この戦略では、デジタルの脅威により積極的に対処して、国家のサイバーセキュリティ体制を強化し、サイバーセキュリティに関する国際的な規範や基準を推進する取り組みが詳細に説明されている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。