Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable ブログ

ブログ通知を受信する

IT/OT コンバージェンス: 今こそ行動する時

IT/OT コンバージェンス: 今こそ行動する時

大統領の諮問委員会、重要インフラ保護を向上させるための推奨事項を提示

米国の重要インフラに対する脅威は高まっています。情報技術 (IT) システムと運用技術 (OT) システムのセキュリティ保護と融合は、国家安全保障を確保するために必要な重要事項です。OT システムへの攻撃は、市民生活を脅かし、物理的な機器に損害を与えます。また、攻撃が成功すると OT 機器がサポートする重要なプロセスが長期間の稼働停止に追い込まれる可能性があります。

重要インフラの IT、ICS、および OT に対するサイバー攻撃は、世界的に増加しています。最近では以下のセキュリティインシデントが注目を集めました。

  • ウクライナの送電網 (2015 年、2016 年)
  • コロニアルパイプライン (2021 年)
  • フロリダ州オールズマー市浄水場 (2021 年)

2021 年 11 月 17 日に公開された Gartner® のレポート「2022 年の予測: サイバーフィジカルシステムのセキュリティ対策 - 注目の重要インフラ (Predicts 2022: Cyber Physical Systems Security - Critical Infrastructure in Focus)」によると「重要インフラの組織に対する攻撃が劇的に増加しています。攻撃の数は、2013 年の 10 件未満から、2020 年の約 400 件に増加しています (3,900% 増)」

このような現実を背景に、大統領の国家安全保障電気通信諮問委員会 (NSTAC) は、IT ネットワーク接続から発生する脅威から融合された OT システムを保護するための主要な課題を調査し、これらの脅威に対する OT セキュリティ対策を強化するための新たなアプローチを明確にした報告書をまとめました。筆者は、この報告書を作成した NSTAC 小委員会の議長を務めました。

NSTAC は、政府機関、政策立案者、統合環境の IT/OT を有する重要インフラの所有者や運用者、OEM メーカー、クラウドサービスプロバイダー、インテグレーター、サイバーセキュリティベンダーを含む対象分野の専門家から 30 件以上の報告を要請して受領しました。

IT/OT サイバーセキュリティが優先されていない

調査結果をまとめた本報告書では、IT と OT の融合は新しいものではなく、これらのシステムを保護するための技術と知識があるにもかかわらず、国家がこれらの相互接続されたシステムを保護することをまだ優先していないことが指摘されています。

また、報告では、多くの組織では、IT/OT 相互接続やサプライチェーンの依存関係など、OT 環境に対する完全な可視性を欠いていることが指摘されています。さらに、セキュリティ上の調整を行う際に、OT と IT のサイロ化が悪影響を及ぼしていることが分かりました。さらに、公共・民間部門で OT システムを取得して調達する際に、サイバーセキュリティに関する要件がほとんどないため問題が悪化してることが明らかになりました。

政府主導の重要インフラ保護対策

本報告書には公共・民間部門の融合環境の IT/OT システムのセキュリティを向上させるための 15 の推奨事項が記載されています。また、米国政府が所有し、運用する OT システムのサイバーセキュリティ態勢を直ちに改善するためにバイデン大統領が実施できる 3 つの推奨事項が明示されています。これらは、民間部門の重要インフラ保護対策のモデルともなります。

  • まず、サイバーセキュリティ・インフラストラクチャセキュリティ庁) (CISA) は、行政の文民部門と機関が、責任範囲内のすべての OT デバイス、ソフトウェア、システム、資産のリアルタイムの継続的なインベントリを維持し、他のシステムとの相互接続性について説明することを要求する拘束力のある運用指令を発行する必要があります。連邦政府機関は、OT デバイスとインフラが大々的に相互接続されている状況を明確に理解することにより、リスクに基づいて IT、OT、およびサイバーセキュリティリソースの優先順位を付けることができます。
  • 第 2 に、CISA は OT 製品およびサービスの調達に関するガイダンスを作成し、サプライチェーンのリスク管理を含む、統合環境の IT/OT をサポートする製品およびサービスにリスク情報に基づいたサイバーセキュリティ対策を含めることを要求する必要があります。次に、CISA は連邦政府一般調達局 (GSA) と協力して、連邦政府の調達手段にリスク情報に基づいたサイバーセキュリティ対策を含めるよう要求する必要があります。
  • 最後に、NSC (国家安全保障会議)、CISA、および国家サイバーセキュリティ・インフラセキュリティ局長のオフィス(Office of the National Cybersecurity Director) は、相互運用性があり、テクノロジーやベンダーに依存しない情報共有メカニズムの開発と実装を優先し、米国重要インフラ保護に関与する権限のある利害関係者間で、機密の集団防衛情報をリアルタイムで共有できるようにする必要があります。

重要インフラに対するサイバー攻撃は現実の問題です。しかし、私たちは、無力ではありません。私たちには、セキュリティ態勢を大幅に改善するために必要な知識と能力があります。欠けているのは、この知識と技術を活用しようという決意です。今こそ切迫感を持って IT/OT コンバージェンスに対応し始める時です。NSTAC 報告書の推奨事項を実装することにより、政府および重要インフラの IT/OT セキュリティを改善し、民間部門に大きなプラスの影響をもたらすことができます。

関連記事

最新のサイバー攻撃に対して脆弱ではありませんか?

下にメールアドレスをご記入ください。最新の情報が確認できる Cyber Exposure アラートがインボックスに送信されます。

tenable.io

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

tenable.io 購入

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Nessus Professional を無料で試す

7 日間無料

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

Nessus Professionalを購入する

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

複数年ライセンスをご購入いただくと割引が適用されます。拡張サポートを追加すると、24 時間x365 日、電話、コミュニティ、チャットサポートにアクセスできます。

ライセンスをお選びください

複数年ライセンスをご購入いただくと割引が適用されます。

サポートとトレーニングを追加

Tenable.io

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

Tenable.io を購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable.io Web Application Scanningを試す

Tenable.ioプラットフォームの一部として最新のアプリケーション用に設計された、最新のウエブアプリケーションのスキャンサービスの全機能にアクセス可能です。手作業による労力や重大なウエブアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

Tenable.io Web Application Scanningを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDN

3,578ドル

今すぐ購入する

Tenable.io Container Securityを試す

脆弱性管理プラットフォームに統合された唯一のコンテナセキュリティ製品の全機能にアクセス可能です。コンテナイメージの脆弱性、マルウェア、ポリシー違反を監視継続的インテグレーション/継続的デリバリー(CI / CD)システムと統合し、DevOps プラクティス、セキュリティ強化、および企業のポリシーコンプライアンスをサポートします。

Tenable.io Container Securityを購入する

Tenable.ioのContainer Securityは、ビルドプロセスと統合することにより、コンテナイメージのセキュリティ(脆弱性、マルウェア、ポリシー違反など)を可視化し、シームレスかつ安全なDevOpsプロセスを実現します。

Tenable Lumin を試用する

Tenable Lumin を使用して、Cyber Exposure を可視化および調査し、リスクの軽減を追跡し、競合他社に対してベンチマークしましょう。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

Tenable Lumin を購入する

Tenableの担当者にお問い合わせいただき、企業全体に対するインサイトを得て、サイバーリスクを管理する上で Lumin がいかに役立つかについて、Tenable の営業担当者までお問い合わせください。

Tenable.cs を試してみる

製品のすべての機能にアクセスして、クラウドインフラの設定ミスを検出、修正して、実行段階の脆弱性を表示できます。今すぐ無料トライアルにご登録ください。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

営業担当者に問い合わせて Tenable.cs

Tenable.cs Cloud Security について詳しくは営業担当者にお問い合わせください。クラウドアカウントのオンボーディングは簡単で、数分でクラウドの設定ミスと脆弱性が把握できます。

Nessus Expert を無料で試す

7 日間無料

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

すでに Nessus Professional をご使用ですか?
Nessus Expert にアップグレードすると、7 日間無料でご利用いただけます。

Nessus Expert を購入する

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

ライセンスをお選びください

プロモーション価格の有効期間が12月末日まで延長されました。
複数年ライセンスの場合、よりお求めやすい価格でご購入いただけます。

サポートとトレーニングを追加