IT/OT コンバージェンス: 今こそ行動する時

大統領の諮問委員会、重要インフラ保護を向上させるための推奨事項を提示

米国の重要インフラに対する脅威は高まっています。情報技術 (IT) システムと運用技術 (OT) システムのセキュリティ保護と融合は、国家安全保障を確保するために必要な重要事項です。OT システムへの攻撃は、市民生活を脅かし、物理的な機器に損害を与えます。また、攻撃が成功すると OT 機器がサポートする重要なプロセスが長期間の稼働停止に追い込まれる可能性があります。

重要インフラの IT、ICS、および OT に対するサイバー攻撃は、世界的に増加しています。最近では以下のセキュリティインシデントが注目を集めました。

• ウクライナの送電網 (2015 年、2016 年)
• コロニアルパイプライン (2021 年)
• フロリダ州オールズマー市浄水場 (2021 年)

2021 年 11 月 17 日に公開された Gartner® のレポート「2022 年の予測: サイバーフィジカルシステムのセキュリティ対策 - 注目の重要インフラ (Predicts 2022: Cyber Physical Systems Security - Critical Infrastructure in Focus)」によると「重要インフラの組織に対する攻撃が劇的に増加しています。攻撃の数は、2013 年の 10 件未満から、2020 年の約 400 件に増加しています (3,900% 増)」

このような現実を背景に、大統領の国家安全保障電気通信諮問委員会 (NSTAC) は、IT ネットワーク接続から発生する脅威から融合された OT システムを保護するための主要な課題を調査し、これらの脅威に対する OT セキュリティ対策を強化するための新たなアプローチを明確にした報告書をまとめました。筆者は、この報告書を作成した NSTAC 小委員会の議長を務めました。

NSTAC は、政府機関、政策立案者、統合環境の IT/OT を有する重要インフラの所有者や運用者、OEM メーカー、クラウドサービスプロバイダー、インテグレーター、サイバーセキュリティベンダーを含む対象分野の専門家から 30 件以上の報告を要請して受領しました。

IT/OT サイバーセキュリティが優先されていない

調査結果をまとめた本報告書では、IT と OT の融合は新しいものではなく、これらのシステムを保護するための技術と知識があるにもかかわらず、国家がこれらの相互接続されたシステムを保護することをまだ優先していないことが指摘されています。

また、報告では、多くの組織では、IT/OT 相互接続やサプライチェーンの依存関係など、OT 環境に対する完全な可視性を欠いていることが指摘されています。さらに、セキュリティ上の調整を行う際に、OT と IT のサイロ化が悪影響を及ぼしていることが分かりました。さらに、公共・民間部門で OT システムを取得して調達する際に、サイバーセキュリティに関する要件がほとんどないため問題が悪化してることが明らかになりました。

政府主導の重要インフラ保護対策

本報告書には公共・民間部門の融合環境の IT/OT システムのセキュリティを向上させるための 15 の推奨事項が記載されています。また、米国政府が所有し、運用する OT システムのサイバーセキュリティ態勢を直ちに改善するためにバイデン大統領が実施できる 3 つの推奨事項が明示されています。これらは、民間部門の重要インフラ保護対策のモデルともなります。

• まず、サイバーセキュリティ・インフラストラクチャセキュリティ庁) (CISA) は、行政の文民部門と機関が、責任範囲内のすべての OT デバイス、ソフトウェア、システム、資産のリアルタイムの継続的なインベントリを維持し、他のシステムとの相互接続性について説明することを要求する拘束力のある運用指令を発行する必要があります。連邦政府機関は、OT デバイスとインフラが大々的に相互接続されている状況を明確に理解することにより、リスクに基づいて IT、OT、およびサイバーセキュリティリソースの優先順位を付けることができます。

• 第 2 に、CISA は OT 製品およびサービスの調達に関するガイダンスを作成し、サプライチェーンのリスク管理を含む、統合環境の IT/OT をサポートする製品およびサービスにリスク情報に基づいたサイバーセキュリティ対策を含めることを要求する必要があります。次に、CISA は連邦政府一般調達局 (GSA) と協力して、連邦政府の調達手段にリスク情報に基づいたサイバーセキュリティ対策を含めるよう要求する必要があります。

• 最後に、NSC (国家安全保障会議)、CISA、および国家サイバーセキュリティ・インフラセキュリティ局長のオフィス（Office of the National Cybersecurity Director) は、相互運用性があり、テクノロジーやベンダーに依存しない情報共有メカニズムの開発と実装を優先し、米国重要インフラ保護に関与する権限のある利害関係者間で、機密の集団防衛情報をリアルタイムで共有できるようにする必要があります。

重要インフラに対するサイバー攻撃は現実の問題です。しかし、私たちは、無力ではありません。私たちには、セキュリティ態勢を大幅に改善するために必要な知識と能力があります。欠けているのは、この知識と技術を活用しようという決意です。今こそ切迫感を持って IT/OT コンバージェンスに対応し始める時です。NSTAC 報告書の推奨事項を実装することにより、政府および重要インフラの IT/OT セキュリティを改善し、民間部門に大きなプラスの影響をもたらすことができます。