Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

重要インフラストラクチャのサイバーセキュリティ : CISA プログラムやセキュリティ法がどのように役立つか

サイバーセキュリティ・インフラストラクチャー庁 (CISA) と米国議会上院と下院が承認する重要な法律は、重要インフラ運用業者が業種を横断する可視性と強力な運用技術のセキュリティを追求することを強く推進しています。

およそ 6 カ月前、コロナウィルスの世界的感染により、突然リモートワークへの大規模な転換が急務となりました。以前はテレワークを許可することすら念頭になかった企業や産業も遅れまいと状況への適応を急いだのです。しかし、この大転換は、サイバーセキュリティ上に多くの問題を起こし、企業は脅威の分布やリスク環境の見直しを迫られました。重要インフラを所有する企業や機関、ヘルスケア、通信、防衛、エネルギーなどの業界では、リモートワークへの移行は特に懸念を含む課題でした。

例えば、この期間に薬品業界は COVID-19 の治療薬やワクチンの開発に全力をあげていました。COVID-19 は新型コロナウィルスによる疾患ですから、通常の状態に戻るにはなくてはならない開発です。しかし、その真っただ中にも、悪意のあるアクターや外部の脅威、犯罪組織などがこの業界に対して一段と活発なサイバー攻撃を実行したのです。ワクチンの開発、製造、流通に攻撃のリスクがあるということは国家としても重大なセキュリティリスクであり、経済的、社会的な危険もあるため、重要インフラのセキュリティの重要性と位置付けが明確になりました。

米国では、サイバーセキュリティ・インフラストラクチャー庁 (CISA) が連邦管轄下と重要インフラ内の IT システムを COVID-19 対策の一環として、悪意のあるアクターによるエクスプロイトから守るよう尽力しています。CISA は、この世界的感染以前にも、商業製造工場など、最重要インフラに接続された 産業制御システム (ICS) の安全確保に努力していました。7 月には ICS 戦略を発表し、ICS 事業者がサイバー脅威から自己防衛できるような技術力の提供と教育の推進を提唱しています。カギとなるのは、どの業界の事業者にも、基本的なサイバー衛生と脆弱性管理のプラクティスを活用するためのツールとリソースと専門技術が必要なことです。ICS 業界の面々を業種の垣根を越えて協働させ、政府機関とも協力させれば、セキュリティ状況には目に見える改善が見られるはずです。CISA はその計画の実行を先導しています。

しかし、サイバー衛生と脆弱性管理だけでは、今日の高度な脅威を完全に緩和することは不可能です。業種を跨った可視性と、全体的な OT セキュリティとコラボレーションがなければ脅威を管理することはできません。CISA は、現在、国家インフラストラクチャ保護計画を改訂しています。2013 年以来初の改訂になるこの改訂には、すべての最重要インフラ業種の公的ならびに民間のステークホルダーと政府の各階層の協力を得て準備が進められています。業種間のコラボレーションはこの改訂計画の基本をなす特徴になるでしょう。電力供給網のセキュリティの場合、供給会社は対抗せずに、互いに協力してセキュリティ対策に臨むべきです。医療品メーカーはベストプラクティスを共有して、COVID-19 ワクチンに関する情報と製造工場のセキュリティを維持するべきです。

CISA は、また、サイバーエセンシャルズ ツールキットシリーズで、サイバーセキュリティのベストプラクティスに関する資料をリリースしています。 最も最近のリリースである最も基本的な要素: 企業システムでは、ネットワーク上に存在するもの周知するという、最も基本的な作業を冒頭で説明しています。ハードウェアとソフトウェア両方を含む資産インベントリを作成することは、企業のセキュリティチームにとって最大重要事項です。何が存在しているのかがわからなければ、接続されている資産を有効に保護することは不可能ですから。

Tenable の OT セキュリティ副社長 Barak Perelman と共同で開催した 8 月のウェビナーでコメントしたように、重要インフラ業界のセキュリティ問題には、認識の不足からきているものもあり、どこから手をつけてよいかわからないという OT 事業者も多いようです。CISA の対策は、そのギャップを埋めるのに役立つでしょう。

CISA が政府機関のプロセスを通じて OT セキュリティ面で重要な進捗を見せる傍ら、議会も脅威について大きな関心を示しています。上院で現在審査中の米国エネルギー改革法案には、保護法、官民提携による電力網セキュリティ強化法、エネルギーサイバーセキュリティ法が含まれ、これらの領域のセキュリティの強化に大きな進歩をもたらすでしょう。議会でのその他の活動について、次にピックアップしてご紹介します。

  • 保護法、これは Sens とLisa Murkowski 氏 (共和-アラスカ州) と Joe Manchin 氏 (民主 - 西バージニア州) が提案した法案で、エネルギー庁内に助成金プログラムを作り、農村地域の電気共同組合のサイバー防御態勢の改善を支援するものです。このような共同組合は、電気インフラの中でも最も脆弱と云える組織で、最も基本的に必要なサイバー改善のためのサポートが得られるようになります。この法律は、連邦エネルギー規制委員会 (FERC) に対しても、電気供給会社にサイバーセキュリティに投資しやすいように価格のインセンチブを利用するよう、指令します。
  • 官民提携による電力供給網セキュリティの強化法は、Sens と上院議員 Cory Gardner 氏 (共和-コロラド州)、Michael Bennet 氏 (民主-コロラド州)、下院議員Jerry McNerney 氏 (民主-カリフォルニア州)、Bob Latta 氏 (共和-オハイオ州) が共同起案したもので、エネルギー庁に、リソースの不足している電気供給会社を対象にサイバーセキュリティ援助を官民提携を通じて提供する権限を与えるものです。援助の内容は、具体的に自己評価用のツールの提供、ベストプラクティスの共有、脅威評価の作業援助と研修などです。
  • エネルギーサイバーセキュリティ法は、Sens と Maria Cantwell 氏 (民主-ワシントン州) と Martin Heinrich 氏 (民主-ニューメキシコ州) による発案で、エネルギー庁にエネルギー業種を対象として、野外のデバイスやサードパーティ制御システムのためのサイバーセキュリティアプリケーションとテクノロジーの開発を指令します。エネルギー庁が他の適切な連邦機関、国家研究所、業界のステークホルダーと協働することは、この法律の重要な要素です。


上述の活動に加えて、下院では現在、クリーンエコノミー職とイノベーション法案が審議されています。これには、電力供給網の近代化、スマートビルディング、スマート製造などのためのサイバーセキュリティ対策が盛り込まれています。また、サイバーセキュリティ調査と開発に関する条項がAmi Bera 氏 (民主-カリフォルニア州)と Randy Weber 氏 (共和-テキサス州) の起草により統合されており、エネルギー業種のサイバーセキュリティの改善に向けた、供給網の強靭さと脆弱性試験に関する重要な部分を含んでいます。

これらの政府機関による努力や議会上下院で審議中の法案は、国のエネルギーインフラのセキュリティの確保にとって重要で思慮深い方策です。しかし、イノベーションと改善をやめるのは誤りです。例えば、エネルギーサイバーセキュリティ規制は、エネルギー庁が CISA と緊密に連携して相互運用可能な情報を共有することを要件とすべきです。

米国エネルギー改革法とクリーンエコノミー職イノベーション法には、いくつかの重要なエネルギー業種のサイバーセキュリティ要素が含まれています。上院は、迅速に審議を進めて、法案の微調整と成立に向けて努力すべきです。

先月の討論で、Perelman が 15 年前、電力供給網の脅威は現実であることを説得して理解してもらわなければならなかったと言っていました。今日、上院は、OT インフラのセキュリティに向けて重要なステップを踏んでいます。私は、この重要な課題の解決に向けて、コントロールシステムのワーキンググループ (SCWG) の 業界共同議長として、同僚と政府のパートナーと手を組んで努力していくことを楽しみにしています。この役職を通じて、CSWG の戦略の発展に寄与し、産業と政府のステークホルダーと協力して、コラボレーション計画を実行し、業種や分野間の情報を共有して OT セキュリティを改善し、この先何年も有効な強い重要インフラ基盤の構築を目指すことにやりがいを感じます。

もっと詳しく

Tenable のブログにご登録ください。最新の投稿にアクセスできます。

登録する
無料でお試し 今すぐ購入

Tenable.ioを試す

30 日間無料

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 今すぐサインアップしてください。

Tenable.ioを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入
無料でお試し 今すぐ購入

Nessus Professionalを無料で試す

7日間無料

Nessus®は、最も包括的な脆弱性スキャナです。Nessus Professionalは脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様がITチームに専念できるようにサポートします。

Nessus Professionalを購入する

Nessus®は、最も包括的な脆弱性スキャナです。Nessus Professionalは脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様がITチームに専念できるようにサポートします。

複数年ライセンスをご購入いただくと割引が適用されます。 拡張サポートでは 24 時間x365 日、電話、コミュニティ、チャットサポートのアクセスが追加されます。 詳細はこちらから

無料でお試し 今すぐ購入

Tenable.io Web Application Scanningを試す

30 日間無料

Tenable.ioプラットフォームの一部として最新のアプリケーション用に設計された、最新のWebアプリケーションのスキャンサービスの全機能にアクセス可能です。手作業による労力や重大なWebアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable.io Web Application Scanningを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDNs

3,578ドル

今すぐ購入

無料でお試しになれます。 セールスにご連絡ください。

Tenable.io Container Securityを試す

30 日間無料

脆弱性管理プラットフォームに統合された唯一のコンテナセキュリティ製品の全機能にアクセス可能です。コンテナイメージの脆弱性、マルウェア、ポリシー違反を監視継続的インテグレーション/継続的デリバリー(CI / CD)システムと統合し、DevOpsプラクティス、セキュリティ強化、および企業のポリシーコンプライアンスをサポート

Tenable.io Container Securityを購入する

Tenable.ioのContainer Securityは、ビルドプロセスと統合することにより、コンテナイメージのセキュリティ(脆弱性、マルウェア、ポリシー違反など)を可視化し、シームレスかつ安全なDevOpsプロセスを実現します。

Tenable.scのデモを入手する

以下のフォームに連絡先をご記入ください。営業担当者からデモのスケジュールについてご連絡いたします。短いコメントもご記入いただけます(255文字まで)。アスタリスク(*)マークの付いた欄は必須です。

無料でお試しになれます。 セールスにご連絡ください。

Tenable Luminを試す

30 日間無料

Tenable Luminを使用して、Cyber Exposureを可視化および調査し、リスクの軽減を追跡し、競合他社に対してベンチマークしましょう。

Tenable Luminを購入する

Tenableの担当者にお問い合わせいただき、組織全体に対するインサイトを得て、サイバーリスクを管理する上でLuminがいかに役立つかについて、Tenableの営業担当者までお問い合わせください。

Tenable.ot のデモを予約する

組織の OT セキュリティニーズのために。
不要なリスクを削減します。