OT/IT コンバージェンスを成功させるための組織変革の管理

このブログは、Ryan Dsouza と Nurani Parasuraman によって書かれた、Managing Organizational Transformation for Successful OT/IT Convergence を翻訳したものです。

はじめに

産業組織は、従来の物理世界（オペレーショナルテクノロジーまたは OT）とデジタルの世界（情報テクノロジーまたは IT）を統合しようとする中で、新たな課題に直面しています。私たちの経験では、デジタルソリューションを導入する際に組織の変更管理を優先する企業は、投資からより良い結果を得ることができます。産業用の IoT（ IIoT ） システムを構築する場合、OT 組織と IT 組織を結びつけるのは複雑なため、この傾向はさらに顕著になります。IIoT、インダストリー4.0、データ分析、機械学習 ( ML )、人工知能 ( AI )、クラウドプラットフォームなどのテクノロジーの進歩により、デジタル情報の世界では、物理的な運用環境を見て、理解し、影響を与えることが可能になっています。物理機器や IIoT デバイス (センサー、カメラ、ゲートウェイ、その他の機器) から収集されたデータを使用して、現実世界における問題を特定し、運用効率を向上させることができます。一方で、OT と IT の融合は、サイバーイベントに対して新たな道を開く可能性もあります。したがって、より速く、より費用対効果が高く、より持続的な方法で物事を行うことにはリスクが伴います。これは、人材、プロセス、テクノロジーなど、ビジネスのあらゆる側面にわたって適切な計画と実装を行うことで軽減できます。

このブログでは、組織変革の観点から OT/IT コンバージェンスにアプローチし、強固なサイバーセキュリティ対策によって増大するリスクを軽減する方法について、裏付けとなるガイダンスを提供します。

OT/IT コンバージェンスの課題

OT と IT は、優先順位、特性、運用慣行が異なるため、一般的には分かれているものです。OT はミッションクリティカルなシステムとライフクリティカルなシステムを扱います。OT の専門家は一般的に、稼働時間、信頼性、安定性、安全性に重点を置いています。彼らは通常、リスクを軽減するためにほとんどの機器がインターネットから分離されていたため、サイバーセキュリティを優先しませんでした。OT ネットワークは通常、タイムクリティカルで永続的に稼働するように設計されており、障害は致命的なものとなり、機械、安全性、環境に影響を及ぼす可能性があります。OT の変化はリスクの源泉として認識されています。そのため、ソフトウェアのパッチ適用やネットワークスキャンの実行には、より厳密な計画と影響評価が必要です。多くの OT システムは自律的で自己完結型で、多くの場合ベンダーに依存し、独自のソフトウェア上で動作します。組織的には、OTチームは通常、サイロ化され、自律的で、ローカル/ファクトリーのリーダーシップの下で運営されています。

一方、IT部門はビジネスクリティカルなシステムを扱います。IT プロフェッショナルは、機密性、完全性、可用性に重点を置く傾向があります。彼らは通常、アジャイル方法論を実践しており、OT チームに比べて変化に対してよりオープンです。IT セキュリティ担当者はサイバーセキュリティに精通しており、ネットワークを保護するためのプロセスを確立していますが、インダストリアルエンジニアリングのバックグラウンドはありません。IT ネットワークはダウンタイムを持続できます。障害は通常、データの損失を伴う、回復可能な一時的な中断です。IT システムは本質的に相互接続されており、自律性は限られており、標準のオペレーティングシステムを使用しています。ソフトウェアへのパッチ適用やネットワークスキャンの実行は、通常どおり業務と見なされます。組織的には、IT チームは通常、一元化された企業リーダーである CIO のもとで取りまとめられます。

OT チームと IT チームの間には非常に多くの違いがあり、その課題もあるため、それらをまとめる価値があるかどうか疑問に思う人もいるかもしれません。IDC は、高度なテクノロジーを運用環境に導入することによる潜在的な投資収益率が限界値を超え、企業は OT/IT の統合によってもたらされる変革の機会をもはや無視できないと予測しています。プロセスをデジタル化することで、産業企業は規制遵守を確保しながら、生産性を高め、より迅速な意思決定を行い、ボトルネックを積極的に取り除き、俊敏性を高め、無駄を減らすことができます。

OT/IT の統合を加速するための組織変革を管理するためのベストプラクティス

リーダーシップ

OT/IT の融合における真の課題となることが多い文化的な問題を克服するには、献身的で熱心な上級管理職が必要です。リーダーは、オープンな対話と信頼が奨励される協力的な文化を育むことができます。役割と責任を明確にし、チーム間の説明責任を確立することが重要です。「テクノロジー」は、運用と情報の両方の文脈で言及されていますが、これらは劇的に異なり、混乱を招く可能性があります。OT は、テクノロジーサービスプロバイダーである IT によって実現されるビジネス機能として捉えることができます。OT リーダーは、接続されたスマートな産業運営により、稼働時間、安全性、セキュリティ、信頼性を損なうことなく作業を簡素化できることに気付くことでメリットを得ることができます。同様に、IT リーダーは、OT 要件の独自性を理解していれば、IIoT のイノベーションを通じてビジネス価値を実証できます。

ビジネス目標から逆算して取り組む

産業用デジタルトランスフォーメーションイニシアチブの最終的な成功は、それがもたらすビジネス上のメリットにかかっています。マッキンゼー・グローバル・インスティテュートの調査によると、メーカーは IIoT データを活用することで、製品開発コストを最大 50% 削減し、運用コストを最大 25% 削減し、粗利益を最大 33% 増加させることができます。ただし、ビジネスはそれぞれ異なるため、ビジネス目標は異なります。すべての OT/IT コンバージェンスイニシアチブは、ビジネス目標に結び付ける必要があります。たとえば、計画外の機器が頻繁に停止する製造施設を考えてみましょう。機器の故障を防ぎ、コストのかかるダウンタイムを減らし、職場の安全を確保するためにタイムリーな対策を講じることができるため、OT オペレーターに機器の状態、状態、および性能を積極的に通知するセンサーを設置するデジタルイニシアチブは、画期的なものとなるでしょう。

信頼の構築

OT チームと IT チーム間の信頼関係を築くことは、コンバージェンスを成功させるために重要です。共通の目標に向かってチームを動員し、判断や報復の恐れなしにオープンなコミュニケーションとコラボレーションが奨励される安全な環境を確立することで、両チーム間の相乗効果を高めることができます。信頼を築き始める方法の1つは、使い慣れたツールやテクノロジーを使用して、重要ではないプロセスをデジタル化することを検討することです。IT 担当者は、デジタルツールがデータセットと実用的な洞察をどのように提供するかを実証できます。これにより、最終的には IT の OT チャンピオンを育てることができます。たとえば、二次センシングや計量などの日常的な製造作業は、デジタル化とデータ分析の価値を実証するための優れた出発点となります。KAMAX が IoT センサーを使用してオペレーターの時間をどのように削減したかをご覧ください。

リスク管理

ガートナーは、3年以内にサイバー犯罪者が OT 資産を兵器化する可能性があり、サイバーフィジカルシステムの侵害による財務的影響は2023年までに500億ドル以上に達すると予測しています。IT と OT の統合は、危険性のあるネットワークで使用するために構築されたシステムが、そうではなかったものと統合されるため、リスクが生じます。さらに、IT で機能する標準的なセキュリティソリューションを OT システムに直接適用することはできません。品質リスク、生産リスク、風評リスク、人員安全リスク、規制リスクの他に、OT の専門家を見つけるのが難しいため、OT スキルギャップの拡大は懸念事項です。デジタル変革の一環として、組織はスタッフトレーニング、プラントセキュリティ、ネットワークセキュリティ、ソフトウェアセキュリティ、職場の安全、システムの完全性、インシデント対応と復旧を含む包括的なサイバーセキュリティ計画を検討する必要があります。OT と IIoT のサイバーセキュリティリスクを評価するための7段階のアプローチについては、OT と IIoT のサイバーセキュリティリスクの評価で説明しています。

センター・オブ・エクセレンス ( COE ) アプローチ

OT/IT の有意義な統合には、集中的かつ組織的な取り組みが必要であり、COE はそれを促進できます。COE は、OT と IT 分野の専門家（ SME ）から成る学際的なチームです。彼らは変革の主体として行動し、ベストプラクティスを標準化して広め、反復可能なパターンを開発して実装を拡大し、ガバナンスを推進し、ソートリーダーシップを発揮することで、IIoT の導入を加速させます。COE は、3 ～ 5 人のメンバーから始めることができ、IT と OT の両方の面で相互トレーニングを受けており、必要に応じて規模を拡大できます。COE が成功するためには、経営幹部のスポンサーシップと自律的に行動する能力が必要です。COE は、大げさなアプローチではなく、段階的な改善に集中できます。優先順位付けフレームワークを使用して、測定可能な成功指標を使用して、低リスク、高価値、低労力のユースケースからパイロットユースケースを特定します。パイロットユースケースが導入され、ビジネス価値が実証された後も、このアクティビティは優先順位付けされたユースケースのパイプラインを実装するために周期的に継続されます。

ガバナンス

社内チームとベンダーの両方を対象とする、人、プロセス、テクノロジーにわたる強固なガバナンス戦略は、ビジネスの効率的な運営に役立ちます。人々の観点から見ると、十分に文書化されたポリシーとプロセス、測定可能な目標による役割の明確化、透明な意思決定の枠組みが不可欠です。プロセス的には、投資選定におけるビジネスケース主導のアプローチ、実証済みのプログラム管理方法論、財務規律、強固なリスクフレームワークが鍵となります。また、テクノロジーの観点からは、IIoT 導入のためのテクノロジーアーキテクチャのブループリント、メンテナンス、テレメトリ、インシデントレスポンス、ディザスタリカバリなどの運用機能のプレイブック/ランブック/ドリルと、所有権が割り当てられていることが重要です。

成功の測定

主要業績評価指標（ KPI ）は重要なナビゲーションツールとして機能し、組織が戦略的目標の達成という観点からどの程度業績を上げているかを理解し、方向性を修正する機会をタイムリーに提供するのに役立ちます。ほとんどの場合、1 つの KPI ではパフォーマンスの詳細が分かりません。たとえば、機器の可用性を向上させることが目的の場合、稼働時間を追跡するだけでは不十分です。また、システムがオフラインになる回数も測定する必要があります。さらに、KPI の設定方法と測定方法について、組織内でコンセンサスを構築することも同様に重要です。理想的には、変換前の KPI とのデータ駆動型の比較を可能にするために、現在の状態をベースラインにするのが理想的です。

トレーニングと教育

従業員の流暢さとイノベーションに焦点を当てた継続的な学習に投資することで、デジタルトランスフォーメーションに対する認識が高まります。IIoT の自動化が OT 担当者の仕事にとって脅威となるような誤解は払拭されなければなりません。たとえば、IIoT によって予知保全が可能になったとしても、実際のメンテナンスを行うには依然として人員配置が必要です。OT 担当者は、接続された工場からのデータをどのように解釈し、それに基づいて行動するかについてのトレーニングを受ける必要があります。IT 担当者は、日常的な IT プラクティスが必ずしも OT に当てはまるとは限らないことを理解するためのトレーニングを受ける必要があります。OT スキルのギャップと高齢化する労働力を克服するには、教室での指導を補足するものとして、見習いスタイルの学習や仕事のローテーションを増やすことが考えられます。米国エネルギー省の国家サイバー・インフォームド・エンジニアリング戦略では、OT チームでサイバー・セキュリティの文化を構築する方法について役立つガイダンスを提供しています。

産業用制御システム (ICS) /OT サイバーセキュリティの所有権

OT と IT の融合により、IT と OT の区別は薄れ続け、相互接続システムの攻撃対象領域は拡大し続けています。ネットワークセキュリティに関する IT のスキルがあれば、防御の第一線として IT 部門が OT を保護する責任を負うことを推奨します。これは、両チームのそれぞれの知的力、ノウハウ、経験を組み合わせて、段階的なアプローチで慎重に行う必要があります。IT チームは、OT ネットワークとシステム、Purdue モデルの固有の要件、および NIST、ISA/IEC 62443、NERC CIP、MITRE ATT&CK for ICS などの標準を理解する必要があります。さらに、セキュリティに関する深い専門知識を持ち、カスタマーサクセスが実証されているパートナーと協力して、導入を加速させることをおすすめします。

まとめ

産業デジタルトランスフォーメーションのための OT/IT コンバージェンスの導入を成功させるには、テクノロジーの統合だけではないため、組織の変革を戦略的に管理する必要があります。OT チームと IT チームは優先順位が異なる傾向がありますが、組織の共通の目標に向かって推進し、これらの目標から逆方向にデジタルイニシアチブの優先順位を付け、信頼を築くことで、それらをまとめることができます。

参考サイト

• IoT レンズ – AWS Well-Architected フレームワーク
• Securing Internet of Things (IoT) with AWS
• インダストリアル IoT
• スマートマニュファクチャリング
• 製造 OT 向けのセキュリティの ベストプラクティス
• AWS IoT でゼロトラスト IoT ソリューションを実装する方法
• 産業用 IoT ソリューションの 10 のセキュリティゴールデンルール
• Building an industrial Internet of Things (IIoT) digital transformation strategy

著者

	Ryan Dsouza は AWS の産業用 IoT のプリンシパルソリューションアーキテクトです。ニューヨーク市を拠点とする Ryan は、AWS の幅広い機能を活用して、より安全でスケーラブルで革新的なソリューションを設計、開発、運用し、測定可能なビジネス成果を実現できるようお客様を支援しています。ライアンは、さまざまな業界でデジタルプラットフォーム、スマートマニュファクチャリング、エネルギー管理、建築および産業オートメーション、OT/IT コンバージェンス、IIoT セキュリティで25年以上の経験があります。AWS に入社する前は、アクセンチュア、シーメンス、ゼネラル・エレクトリック、IBM、AECOM に勤務し、デジタルトランスフォーメーションの取り組みで顧客にサービスを提供していました。
	Nurani Parasuraman は AWS のカスタマーソリューションチームの一員です。彼は、人、プロセス、テクノロジー全体にわたる基本的な移行から大規模なクラウドへの移行を推進することで、企業の成功とクラウド導入による大きな利益の実現を支援することに情熱を注いでいます。AWS に入社する前は、複数の上級管理職を歴任し、金融サービス、小売、通信、メディア、製造などのさまざまな業界でテクノロジーの提供と変革を主導していました。彼は財務の MBA と機械工学の理学士号を取得しています。

このブログは、ソリューションアーキテクトの井上昌幸が翻訳しました。