重要インフラストラクチャのサイバーセキュリティに対して CISA プログラムや新しいセキュリティ法がどのように役立つか (日本語)

サイバーセキュリティ・インフラストラクチャー庁 (CISA) と米国議会上院と下院が承認する重要な法律は、重要インフラ運用業者が業種を横断する可視性と強力な運用技術のセキュリティを追求することを強く推進しています。

およそ 6 カ月前、コロナウィルスの世界的感染により、突然リモートワークへの大規模な転換が急務となりました。以前はテレワークを許可することすら念頭になかった企業や産業も遅れまいと状況への適応を急いだのです。しかし、この大転換は、サイバーセキュリティ上に多くの問題を起こし、企業は脅威の分布やリスク環境の見直しを迫られました。重要インフラを所有する企業や機関、ヘルスケア、通信、防衛、エネルギーなどの業界では、リモートワークへの移行は特に懸念を含む課題でした。

例えば、この期間に薬品業界は COVID-19 の治療薬やワクチンの開発に全力をあげていました。COVID-19 は新型コロナウィルスによる疾患ですから、通常の状態に戻るにはなくてはならない開発です。しかし、その真っただ中にも、悪意のあるアクターや外部の脅威、犯罪組織などがこの業界に対して一段と活発なサイバー攻撃を実行したのです。ワクチンの開発、製造、流通に攻撃のリスクがあるということは国家としても重大なセキュリティリスクであり、経済的、社会的な危険もあるため、重要インフラのセキュリティの重要性と位置付けが明確になりました。

米国では、サイバーセキュリティ・インフラストラクチャー庁 (CISA) が連邦管轄下と重要インフラ内の IT システムを COVID-19 対策の一環として、悪意のあるアクターによるエクスプロイトから守るよう尽力しています。CISA は、この世界的感染以前にも、商業製造工場など、最重要インフラに接続された 産業制御システム (ICS) の安全確保に努力していました。7 月には ICS 戦略を発表し、ICS 事業者がサイバー脅威から自己防衛できるような技術力の提供と教育の推進を提唱しています。カギとなるのは、どの業界の事業者にも、基本的なサイバー衛生と脆弱性管理のプラクティスを活用するためのツールとリソースと専門技術が必要なことです。ICS 業界の面々を業種の垣根を越えて協働させ、政府機関とも協力させれば、セキュリティ状況には目に見える改善が見られるはずです。CISA はその計画の実行を先導しています。

しかし、サイバー衛生と脆弱性管理だけでは、今日の高度な脅威を完全に緩和することは不可能です。業種を跨った可視性と、全体的な OT セキュリティとコラボレーションがなければ脅威を管理することはできません。CISA は、現在、国家インフラストラクチャ保護計画を改訂しています。2013 年以来初の改訂になるこの改訂には、すべての最重要インフラ業種の公的ならびに民間のステークホルダーと政府の各階層の協力を得て準備が進められています。業種間のコラボレーションはこの改訂計画の基本をなす特徴になるでしょう。電力供給網のセキュリティの場合、供給会社は対抗せずに、互いに協力してセキュリティ対策に臨むべきです。医療品メーカーはベストプラクティスを共有して、COVID-19 ワクチンに関する情報と製造工場のセキュリティを維持するべきです。

CISA は、また、サイバーエセンシャルズ ツールキットシリーズで、サイバーセキュリティのベストプラクティスに関する資料をリリースしています。 最も最近のリリースである最も基本的な要素: 企業システムでは、ネットワーク上に存在するもの周知するという、最も基本的な作業を冒頭で説明しています。ハードウェアとソフトウェア両方を含む資産インベントリを作成することは、企業のセキュリティチームにとって最大重要事項です。何が存在しているのかがわからなければ、接続されている資産を有効に保護することは不可能ですから。

Tenable の OT セキュリティ副社長 Barak Perelman と共同で開催した 8 月のウェビナーでコメントしたように、重要インフラ業界のセキュリティ問題には、認識の不足からきているものもあり、どこから手をつけてよいかわからないという OT 事業者も多いようです。CISA の対策は、そのギャップを埋めるのに役立つでしょう。

CISA が政府機関のプロセスを通じて OT セキュリティ面で重要な進捗を見せる傍ら、議会も脅威について大きな関心を示しています。上院で現在審査中の米国エネルギー改革法案には、保護法、官民提携による電力網セキュリティ強化法、エネルギーサイバーセキュリティ法が含まれ、これらの領域のセキュリティの強化に大きな進歩をもたらすでしょう。議会でのその他の活動について、次にピックアップしてご紹介します。

• 保護法、これは Sens とLisa Murkowski 氏 (共和-アラスカ州) と Joe Manchin 氏 (民主 - 西バージニア州) が提案した法案で、エネルギー庁内に助成金プログラムを作り、農村地域の電気共同組合のサイバー防御態勢の改善を支援するものです。このような共同組合は、電気インフラの中でも最も脆弱と云える組織で、最も基本的に必要なサイバー改善のためのサポートが得られるようになります。この法律は、連邦エネルギー規制委員会 (FERC) に対しても、電気供給会社にサイバーセキュリティに投資しやすいように価格のインセンチブを利用するよう、指令します。
• 官民提携による電力供給網セキュリティの強化法は、Sens と上院議員 Cory Gardner 氏 (共和-コロラド州)、Michael Bennet 氏 (民主-コロラド州)、下院議員Jerry McNerney 氏 (民主-カリフォルニア州)、Bob Latta 氏 (共和-オハイオ州) が共同起案したもので、エネルギー庁に、リソースの不足している電気供給会社を対象にサイバーセキュリティ援助を官民提携を通じて提供する権限を与えるものです。援助の内容は、具体的に自己評価用のツールの提供、ベストプラクティスの共有、脅威評価の作業援助と研修などです。
• エネルギーサイバーセキュリティ法は、Sens と Maria Cantwell 氏 (民主-ワシントン州) と Martin Heinrich 氏 (民主-ニューメキシコ州) による発案で、エネルギー庁にエネルギー業種を対象として、野外のデバイスやサードパーティ制御システムのためのサイバーセキュリティアプリケーションとテクノロジーの開発を指令します。エネルギー庁が他の適切な連邦機関、国家研究所、業界のステークホルダーと協働することは、この法律の重要な要素です。


上述の活動に加えて、下院では現在、クリーンエコノミー職とイノベーション法案が審議されています。これには、電力供給網の近代化、スマートビルディング、スマート製造などのためのサイバーセキュリティ対策が盛り込まれています。また、サイバーセキュリティ調査と開発に関する条項がAmi Bera 氏 (民主-カリフォルニア州)と Randy Weber 氏 (共和-テキサス州) の起草により統合されており、エネルギー業種のサイバーセキュリティの改善に向けた、供給網の強靭さと脆弱性試験に関する重要な部分を含んでいます。

これらの政府機関による努力や議会上下院で審議中の法案は、国のエネルギーインフラのセキュリティの確保にとって重要で思慮深い方策です。しかし、イノベーションと改善をやめるのは誤りです。例えば、エネルギーサイバーセキュリティ規制は、エネルギー庁が CISA と緊密に連携して相互運用可能な情報を共有することを要件とすべきです。

米国エネルギー改革法とクリーンエコノミー職イノベーション法には、いくつかの重要なエネルギー業種のサイバーセキュリティ要素が含まれています。上院は、迅速に審議を進めて、法案の微調整と成立に向けて努力すべきです。

先月の討論で、Perelman が 15 年前、電力供給網の脅威は現実であることを説得して理解してもらわなければならなかったと言っていました。今日、上院は、OT インフラのセキュリティに向けて重要なステップを踏んでいます。私は、この重要な課題の解決に向けて、コントロールシステムのワーキンググループ (SCWG) の 業界共同議長として、同僚と政府のパートナーと手を組んで努力していくことを楽しみにしています。この役職を通じて、CSWG の戦略の発展に寄与し、産業と政府のステークホルダーと協力して、コラボレーション計画を実行し、業種や分野間の情報を共有して OT セキュリティを改善し、この先何年も有効な強い重要インフラ基盤の構築を目指すことにやりがいを感じます。

もっと詳しく

• ウェビナーを見る専門家のアドバイス - 知っておくべきこと : CISA/NSA Alert AA20-205A OT システム対象
• ブログを読む
• 米国サイバーセキュリティ庁 (CISA) からの警告 : パッチが適用されていない脆弱性が国外の脅威アクターにより引き続き狙われる
• 偶発的なコンバージェンスに対して意図的な産業セキュリティが必要な理由