Cybersecurity Governance

ISO 27001は、情報Security 管理システム（ISMS）のベストプラクティスを説明する国際標準です。

ISO 27001の認定認証を取得することは、私たちの組織が情報セキュリティのベストプラクティスに従っていることを示し、情報セキュリティが国際的なベストプラクティスとビジネス目標に沿って管理されていることを独立した専門家が検証します。

Siemens スのCybersecurity Governance は、2017年11月にISO 27001の認証を受けています。

私たちは2023年11月以来、新しい規格ISO 27001:2022 に従って認証されています。

• 証明書をダウンロードする
• システム証明書についてもっと学びましょう

私たちは、Siemens スを保護するための堅牢なアーキテクチャを通じて、回復力のあるデータ主導型のCybersecurity を実現することに情熱を注いでいます。

これを達成するために、私たちはプロジェクトでCybersecurity 戦略を実装し、新しく創設されたエンタープライズアーキテクチャサービスを使用して、戦略目標をターゲットアーキテクチャにマッピングし、Cybersecurity 全体の実装努力を導きます。

このプロジェクトの主な目標は、自動化と効率化対策によるリソース利用の合理化、Siemens 全体のサイバーセキュリティリスクの可視性と透明性の強化、およびデータ主導の意思決定の活用による事後的かつ積極的なリスク軽減の強化です。

私たちのプロジェクトセットアップは、5つのワークストリームで構成されています。

• コンセプトとプロセス：

  私たちの目標は、シーメンス・Cybersecurity 内のアーキテクチャ・プロセスを説明して維持し、それがシーメンスの戦略やポートフォリオと確実に統合されるようにすることです。また、機能、アプリケーション、インプット、アウトプット、依存関係など、データ主導型のサイバーセキュリティアーキテクチャの構成要素についても説明します。

• Governance:

  私たちは、サイバーセキュリティリスクの自動識別と評価を可能にし、リスク軽減のための意思決定を支援し、ポリシーコンプライアンスを強化するために、サイバーセキュリティデータをどのように組み合わせることができるかを定義することを目指しています。

• 状況認識:

  私たちの目標は、EAプロジェクトの最前線に立ち、声を代弁し、ユーザーの期待に応え、エンドユーザーの日常業務を強化するための総合的なリスク態勢を提供することです。

• Security インテリジェンス:

  私たちは、意思決定を支援することにより、Siemens サイバーセキュリティリスクを自動的に特定して軽減する、AIに支えられたデータ主導のディシジョンポイントを実装することを目指しています。

• データ:

  Workstream Dataは、データの透明性を確立し、データの重複を防ぎ、チームにデータ戦略のガイダンスを提供することで、Cybersecurity がデータ主導型のアプローチを採用するのに役立ちます。

Cybersecurity ポリシー・フレームワークは、Siemens とその関連会社に適用されます。特に、特定のポリシー、基準、ベースラインに定められたサイバーセキュリティ要件が含まれています。

すべてのポリシーは、ISO 2700xやIEC 62443などの関連する業界標準に基づいています。他の重要な基準を確実に遵守するために、それらへの参照も管理されています。関連規格のリストには、例えばNIST 800-53、EBAのICTとセキュリティリスク管理に関するガイドラインなどが含まれます。

Siemens 製品、ソリューション、およびサービスには、ソフトウェアとIT関連のコンポーネントが大量に含まれています。これらは多くの場合、重要なインフラストラクチャのコンテキストで使用され、サイバー脅威にさらされやすくなります。規制や顧客固有のセキュリティ要件は増加しており、Siemens スが対処する必要があります。

競争力と信頼性を維持するために、シーメンスが販売する製品、ソリューション、サービスを通じて、お客様が安全な環境で施設を運営できるようにするために、シーメンス全体のPSSイニシアチブが設立されました。

この目的のために、PSS 拘束力のある要件と実装に関する推奨事項が用意されています。継続的な改善と継続的な学習は、成功するための基本的な前提条件です。

サイバーセキュリティの基本的側面について全従業員に共通の認識と理解を深め、サイバーセキュリティ関連の役割に特化した特別なトレーニングを提供することが極めて重要です。Siemens 最先端の製品、ソリューション、サービスに対するお客様の期待に応え、当社のサイバーセキュリティに対する意識を継続的に高め、従業員がバリューチェーン全体のあらゆる活動、段階、プロセスにおいてサイバーセキュリティについて考えることができるようにすることで、シーメンスの最先端の製品、ソリューション、サービスに対するお客様の期待に応え、そのような品質を提供できるようにするために、私たちはいくつかの活動を立ち上げました。例えば:

• サイバーセキュリティの一般的かつ重要なトピックに関する情報を全従業員に提供することを目的とした、必須のグローバル啓発キャンペーン。これらのトレーニングセッションはウェブベースで、バリアフリーで、多言語です。さらに、役割別のグループ向けに、「運転免許証」トレーニングを実施しています。このトレーニングは必須で、役割別のグループがSiemens IT/OTセキュリティガイドラインをすべて適用できるようにします。修了すると、参加者には2年間有効な証明書が授与されます。
• また、Siemens 全従業員を対象に、継続的に更新されるいくつかのトレーニングコースと学習機会を提供しています。これらには任意でアクセスできます。このトレーニングは、基本的な知識だけでなく、製品やソリューションのSecurity などの特定の専門分野も対象としています。
• 私たちは、継続的な学習が成功の鍵であると信じており、従業員を訓練し、最新情報を提供する新しい方法を常に模索しています。

常に概要を把握する：そのために、Siemens サイバーセキュリティデータとプロセスの全体像を示す「CyberMart」と呼ばれる社内のサイバーセキュリティプラットフォームを提供しています。

以下を提供することで、情報に基づいた的を絞ったビジネス上の意思決定を可能にします

• サイバーセキュリティ関連情報を処理する安全なアプリケーションのためのプラットフォーム
• サイバーセキュリティ関連データだけでなく、安全なデータプール
• セキュリティプロセス（資産保護、例外処理など）に関する満期とステータスの報告。

このプラットフォームの一部は、次のような情報を提供するサイバーセキュリティダッシュボードです サイバーセキュリティの運用状況と戦略的データポイントの概要。この情報は、Siemens 経営委員会とSiemens 監査役会への定期的な内部管理報告の基礎となります。

Siemens エンタープライズ・リスク・マネジメント（ERM）の一部であるCybersecurity・リスク・マネジメントの主な目標は、Siemens 自社のサイバーセキュリティ・リスクに関する透明性を確保し、許容できるレベルまで適切に管理できるようにすることです。
Siemens Cybersecurity リスク管理フレームワークは、国際規格（ISO/IEC 27005とISF IRAM2）に基づいており、運用から企業まで、あらゆるレベルを考慮し、確立されたERMのプロセスと役割も利用しています。
ERMレベルまでに報告および管理されているサイバーセキュリティリスクは、次のプロセスで特定され、それぞれのツールで管理されます。

• Cybersecurity リスク管理プロセス全般
• IT、文書、情報資産の資産分類と保護プロセス
• 製品、ソリューション、サービスの脅威とリスク分析
• Siemens サイバーセキュリティフレームワークから一時的に逸脱した場合の例外処理プロセス
• Cybersecurity サプライヤーリスク管理

Cybersecurity サプライヤーのリスク管理：

サイバーセキュリティリスクは、サプライチェーン全体で管理する必要があります。Siemens、水平および垂直のコンポーネント、製品、サービスを調達する際に、IT、OT、PSSを含めてこのトピックを総合的に検討しています。このため、サプライチェーンにおけるサイバーセキュリティレベルを向上させるための主な活動は次のとおりです。

• サプライチェーンにおけるサイバーセキュリティリスクに関する透明性
• サードパーティのサプライヤー評価方法論に裏付けられた体系的なリスク管理慣行、サプライヤーへの契約上のサイバーセキュリティ要件のためのそれぞれのツールとテンプレート
• 第二原則「デジタルサプライチェーン全体にわたる責任」を推進する信託憲章や、さまざまな専門家コミュニティへの積極的な参加
• さまざまなターゲットグループやユースケースを対象とした定期的なトレーニングと啓発キャンペーン

情報Security インシデントとは何ですか？

情報Security インシデントとは、その分類（ISO27001およびNIST 800-61 rev2に基づく）による情報の機密性、完全性、または可用性を直接的または間接的に侵害することと定義されます。インシデントの例には以下が含まれますが、これらに限定されません。

1. システムまたはそのデータへの不正アクセスの試みに成功しました
2. サービスの中断または拒否
3. データの処理または保存のためのシステムの不正使用
4. 所有者の認識、指示、または同意なしに、システムハードウェア、ファームウェア、またはソフトウェアの特性を変更する

インシデント対応

私たちはサイバーSecurity インシデントの詳細な分析を行っています。これを達成するために、私たちは事業責任者、社内外のインシデント報告者や利害関係者と連携して対応活動を調整し、是正タスクの適切な封じ込めと開始を確実にします。さらに、インシデントプロジェクトマネージャーを用意して、重大で複雑なインシデントの組織とコミュニケーションの側面をサポートします。

インシデント処理プロセス

• 検出します

  情報の機密保持、完全性、および/または可用性の侵害。

• 応答します

  攻撃を分析し、対策を開始します。

• 是正します

  内容：悪意のある行為を制限する、軽減する：さらなる被害を防ぐ、修復：修正して再発を防ぐ

• 回復します

  影響を受けたシステムの完全性を低下しない運用状態に戻します。

Security 脅威により、業界は行動を起こさなければなりません。

バリューチェーン全体を操作できるサイバー犯罪者による攻撃は、多くの場合、生産停止だけでなく、イメージに大きな損害を与えます。運用技術（OT）を可能な限り最善の方法で保護するには、資産のリスクについて透明性を高める必要があります。これにより、サイバーセキュリティの脅威が重大な損害を引き起こす前に特定して排除することができます。私たちはお客様の製造プロセスのサイバーセキュリティを強化します。私たちの総合的なアプローチは、不正行為者に悪用される前に、手続き上のセキュリティギャップと技術的な脆弱性を特定するように設計されています。

さらに詳しい情報

AIはシーメンスのサイバーセキュリティへの取り組みにおいて重要な役割を果たします。ネットワークやシステム内の異常を検出することで、セキュリティの脅威を動的に特定して対抗します。セキュリティ違反に対するこの即時措置は、潜在的な危害を減らすのに役立ちます。

さらに、AIは日常的なタスクを自動化することで、サイバーセキュリティ手順の有効性を高めます。この自動化により、セキュリティチームはより複雑で差し迫った問題に集中できます。さらに、AIはユーザーの行動分析に基づいてセキュリティプロトコルをカスタマイズし、Siemens 内の各部門の正確なセキュリティ戦略を促進します。

利点はあるものの、AIはサイバー攻撃者のツールにもなり、悪意のある行為を複雑にする可能性があることに注意することが重要です。これらの攻撃者は、AIを利用して攻撃を自動化したり、従来のセキュリティシステムを回避したり、検出を逃れるために人間の行動をシミュレートしたりする可能性があります。

それでも、Siemens この複雑なシナリオに十分に備えています。私たちは、AIを安全かつ責任を持って適用するために、厳格なセキュリティプロトコルを確立しました。私たちの将来を見据えたアプローチは、システムの完全性を維持し、潜在的なリスクから私たちを守るのに役立ち、サイバーセキュリティ業務においてAIの利点を活用することを可能にします。

Siemens AIから得られるメリットは、リスクを決定的に上回ります。綿密な実装と継続的な監視を通じて、これらのリスクを最小限に抑え、AIのメリットを拡大しています。その結果、AIは、セキュリティの脅威を防ぐ能力を大幅に強化する非常に貴重な手段として浮上しています。