いかなる分野でも、パフォーマンスや結果を業界の基準に照らして評価することが一般的なベストプラクティスとされています。
そのような比較結果を元に、諸処の調整やビジネス上の決断を行うことができます。産業制御システム(ICS)の場合、利用できるデータが限られ、要求される範囲あるいは深度のデータが入手できないため、セキュリティベンチマーキングの実施は困難です。
一部の情報は、政府機関、コンサルティング会社、セキュリティベンダー、カンファレンスなどを通じて入手できます。プラント関係のネットワーク、エンドポイント、制御システムに携わるアーキテクトやオペレーションエンジニアリングスタッフは、残念ながら現在のトレンドを常に把握できるわけではありません。また、トレンドが日々の業務にどのように関係するかわからない場合もあります。
そのために知っておくべき組織として、SANS Institute があります。SANS Institute は、サイバーセキュリティに関する世界的な共同研究と教育を専門的に行う米国の大手組織です。この組織は、主に米国の IT セキュリティ問題を扱う目的で数年前に設立されました。その後グローバルな情報収集と専門家による審査が行われるようになり、世界各国の 50 名以上のアドバイザーが参加するコンソーシアムとして成長しました。
2010 年の Stuxnet の出現後に SANS は ICS に特化した取り組みを開始し、ICS/SCADA の専門家向けにプラント環境におけるサイバーセキュリティのトレーニングを提供し始めました。また、産業サイバーセキュリティプロフェッショナル認定や、セキュリティに関する年次調査を実施して世界の産業組織に開示しています。調査結果は報告書としてウェブキャストで公開されています。
Tripwire と Belden は、今年の報告書作成を支援しています。両社の専門家が、調査結果と現場の見解をまとめ、今年の報告書の要点をウェビナーで公開しています。
Tim Erlin、Jeff Lund、Katherine Brocklehurst の 3 人が、最も一般的な ICS サイバーセキュリティリスクに対し 20% の労力で 80% の事業利益を得る方法について説明しています。是非ご覧ください。
主な内容は次の通りです。
SANS の調査結果の利点は、ICS に特化し定量的であることです。また、サイバーセキュリティの課題や対策に関する経時的な変化を特定しています。調査報告書には、特定のセクターに特化したアドバイスが盛り込まれており、御社のサイバーセキュリティプログラムの評価に役立てることができます。
こちらで登録 を行うと、ウェビナーとレポートにアクセスできます。