Tenable ブログ
ブログ通知を受信する
スマートシティにS.M.A.R.T.を導入する:拡大するアタックサーフェスに対処する方法
スマートシティのコンセプトは、デジタル変換というユビキタスな言葉と関連した時代を迎えました。地方自治体や国では、公衆安全、公共事業、インフラの保守などといった極めて重要なサービスの提供について、税務当局に大きく依存しています。最新のIP対応テクノロジーを使用した地方管轄区域、つまりスマートシティでは、サービスの提供を効率化することによって、居住者に対する追加の(強化された)サービスを提供するための収益を確保することができます。
スマートシティ:新しいサービス提供の機会であると同時に、新たな攻撃区分でもある
これは素晴らしい概念のように思えますが、さまざまなイニシアチブが運用可能な状態に近付きつつある中、すでに課題が持ち上がっています。それは、サイバー衛生の維持や情報セキュリティの整合性という、何にも増して重要な課題です。
基本的に、スマートシティーではデジタルトランスフォーメーションを展開する際に、情報セキュリティを実施項目に入れていません。地方のサービスがデジタル化されてアタックサーフェスが広がったことから、スマートシティーの導入に伴う不利益が、これによってもたらされるはずの利益を上回ってしまうおそれがあります。IT部門では、ユーザーに対してサービスの稼働時間を維持すること、そしてサービスのプロビジョニングの効率性向上につながるデータを収集し、分析することに重点を置いています。スマートシティーのイニシアチブと並行して取り組まなければならない新しいプロジェクトが加わったことから、地方のIT事業所におけるスマートシティーのデジタルトランスフォーメーションは、十分な浸透が見込まれません。IT部門が取り組まなければならないプロジェクトの一例として、クラウドコンピューティング戦略の導入、膨大な数のIoTデバイスの統合などがあります。
スマートシティのイニシアチブを管理するために必要になる膨大な量のデータを効率的に処理するために、クラウドコンピューティングに移行する地方自治体が増えています。その結果、サイバー攻撃のアタックサーフェスが、通常の地方のIT環境の境界を越えて広がっています。ごみ容器、街灯、パーキングメーターなどをスマートデバイスとして追加する場合、対処できないほどの新たなIoT統合の課題が出現するはずです。さらに、地方自治体が所有する公共施設でのITと運用・制御技術(OT)の統合は、ITの現在の能力では到底対処しきれない可能性があります。
この拡大するアタックサーフェスは、地域のIT部門にとって謎に包まれたものですか?いいえ。地域のサービスを混乱させ、検出されずにこれらのサービスのメリットを吸い上げたいブラックハットのハッカーにとってはおそらく謎ではありません。例えば、都市のユーティリティが、多くのIoTデバイスを利用して地域住民への電力や水の配給を管理しているとします。これらのIoTデバイスを操作して特定の住民に多かれ少なかれそのサービスを提供できることは、脅威のアクターにとっては大きな金銭的価値をもたらすものでしょう。そして、事実、この活動は、長期間にわたり検出されない可能性があり、強化された - そして調節された - サイバーエクスポージャー機能
スマートシティで拡大するアタックサーフェスに対処するには?
スマートシティでは、デジタルトランスフォーメーションの目標に沿ったS.M.A.R.T.による一連の情報セキュリティ目標を設定することで、こうしたサイバー攻撃のアタックサーフェス拡大に確実に対処できます。
固有 – スマートシティの各デジタル変換イニシアチブが、固有のサイバーエクスポージャーを必要とするか確認してください。例えば、スマートシティの目標がデジタル廃棄物処理システムの導入である場合、それらを管理するIoTデバイスとソフトウェアの両方を、必要に応じて、積極的および受動的にスキャンできるようにしてください。言い換えれば、「カバレッジを逸脱」しないでください。すなわち、存在する潜在的な脆弱性に対処することなしに、イニシアチブを実施できるようにしてください。
測定可能 – スマートシティイニシアチブの拡大に情報セキュリティ基準が適用されます。既知の脆弱性とその脅威レベルの報告を自動化するプロセスが整っていることを確認してください。また、この情報を明確かつ簡潔なダッシュボードレポートを介してエグゼクティブスイートで利用できるようにしてください。
達成可能性 – スマートシティのデジタル変換は大きな可能性を秘めていますが、脅威のアクターにも幅広い潜在的なターゲットを提供します。都市等では、イニシアチブをどのようにオンラインで行うかについて非常に慎重でなければなりません。アタックサーフェスは急速に拡大するため、対応する潜在的な責任を増大させることなく達成されるべきです。国民は時間の経過とともにその利益を享受することができますが、侵害があればすぐにリスクにさらされます。
合理的 – すべての都市がスマートシティのイニシアチブを1つ1つ実行するための時間やリソースを持つわけではありません。それはありえません。合理的な方法は、脅威のリスクが実装のペースよりも大きくならないよう保証することです。
時間固有 – デジタル時代の1年は、かつての5年に相当します。ムーアの法則はまだまだ有効で、デジタルの進歩は減速していません。しかし、地方自治体は、電力、水道、衛生設備、輸送などの最も基本的なレベルのサービスを提供する唯一第一のプロバイダーです。それは変わっていません。デジタル変換の時間枠でも、サービスを提供することからデジタル変換を完了させることに焦点を移さないでください。それはまさに脅威のアクターが望むものであり、その結果としての混乱で大衆の信頼が何年にもわたり損なわれる可能性があります。
関連記事
Cybersecurity Snapshot: CISA Warns Hospitals about Black Basta, as Tenable Study Finds Cloud-Related Breaches Pervasive
May 17, 2024Find out why healthcare organizations must beware of the Black Basta ransomware group. Meanwhile, a Tenable study found that 95% of surveyed organizations suffered a cloud-related breach, and offers insights for boosting cloud security. Plus, a Cloud Security Alliance report delves into how AI systems can create risky gaps in your cloud environment. And much more!
Cybersecurity Snapshot: New Guide Explains How To Assess if Software Is Secure by Design, While NIST Publishes GenAI Risk Framework
May 10, 2024Is the software your company wants to buy securely designed? A new guide outlines how you can find out. Meanwhile, a new NIST framework can help you assess your GenAI systems’ risks. Plus, a survey shows a big disconnect between AI usage (high) and AI governance (low). And MITRE’s breach post-mortem brims with insights and actionable tips. And much more!
Cybersecurity Snapshot: Attackers Pounce on Unpatched Vulns, DBIR Says, as Critical Infrastructure Orgs Benefit from CISA’s Alert Program
May 3, 2024Verizon’s DBIR found that hackers are having a field day exploiting vulnerabilities to gain initial access. Plus, a CISA program is helping critical infrastructure organizations prevent ransomware attacks. In addition, check out what Tenable’s got planned for RSA Conference 2024. And get the latest on the Change Healthcare breach. And much more!
Cybersecurity Snapshot: CISA Warns Hospitals about Black Basta, as Tenable Study Finds Cloud-Related Breaches Pervasive
May 17, 2024Find out why healthcare organizations must beware of the Black Basta ransomware group. Meanwhile, a Tenable study found that 95% of surveyed organizations suffered a cloud-related breach, and offers insights for boosting cloud security. Plus, a Cloud Security Alliance report delves into how AI systems can create risky gaps in your cloud environment. And much more!
Kinsing Malware Hides Itself as a Manual Page and Targets Cloud Servers
May 16, 2024Tenable Cloud Security Research Team has recently discovered that Kinsing malware, known for targeting Linux-based cloud infrastructures, exploits Apache Tomcat servers with new advanced stealth techniques. Explore our analysis and the indicators of compromise in this report.
Microsoft’s May 2024 Patch Tuesday Addresses 59 CVEs (CVE-2024-30051, CVE-2024-30040)
May 14, 2024Microsoft addresses 59 CVEs in its May 2024 Patch Tuesday release with one critical vulnerability and three zero-day vulnerabilities, two of which were exploited in the wild.
- Government