Tenable ブログ
ブログ通知を受信する
IT/OT コンバージェンス: 今こそ行動する時
大統領の諮問委員会、重要インフラ保護を向上させるための推奨事項を提示
米国の重要インフラに対する脅威は高まっています。情報技術 (IT) システムと運用技術 (OT) システムのセキュリティ保護と融合は、国家安全保障を確保するために必要な重要事項です。OT システムへの攻撃は、市民生活を脅かし、物理的な機器に損害を与えます。また、攻撃が成功すると OT 機器がサポートする重要なプロセスが長期間の稼働停止に追い込まれる可能性があります。
重要インフラの IT、ICS、および OT に対するサイバー攻撃は、世界的に増加しています。最近では以下のセキュリティインシデントが注目を集めました。
- ウクライナの送電網 (2015 年、2016 年)
- コロニアルパイプライン (2021 年)
- フロリダ州オールズマー市浄水場 (2021 年)
2021 年 11 月 17 日に公開された Gartner® のレポート「2022 年の予測: サイバーフィジカルシステムのセキュリティ対策 - 注目の重要インフラ (Predicts 2022: Cyber Physical Systems Security - Critical Infrastructure in Focus)」によると「重要インフラの組織に対する攻撃が劇的に増加しています。攻撃の数は、2013 年の 10 件未満から、2020 年の約 400 件に増加しています (3,900% 増)」
このような現実を背景に、大統領の国家安全保障電気通信諮問委員会 (NSTAC) は、IT ネットワーク接続から発生する脅威から融合された OT システムを保護するための主要な課題を調査し、これらの脅威に対する OT セキュリティ対策を強化するための新たなアプローチを明確にした報告書をまとめました。筆者は、この報告書を作成した NSTAC 小委員会の議長を務めました。
NSTAC は、政府機関、政策立案者、統合環境の IT/OT を有する重要インフラの所有者や運用者、OEM メーカー、クラウドサービスプロバイダー、インテグレーター、サイバーセキュリティベンダーを含む対象分野の専門家から 30 件以上の報告を要請して受領しました。
IT/OT サイバーセキュリティが優先されていない
調査結果をまとめた本報告書では、IT と OT の融合は新しいものではなく、これらのシステムを保護するための技術と知識があるにもかかわらず、国家がこれらの相互接続されたシステムを保護することをまだ優先していないことが指摘されています。
また、報告では、多くの組織では、IT/OT 相互接続やサプライチェーンの依存関係など、OT 環境に対する完全な可視性を欠いていることが指摘されています。さらに、セキュリティ上の調整を行う際に、OT と IT のサイロ化が悪影響を及ぼしていることが分かりました。さらに、公共・民間部門で OT システムを取得して調達する際に、サイバーセキュリティに関する要件がほとんどないため問題が悪化してることが明らかになりました。
政府主導の重要インフラ保護対策
本報告書には公共・民間部門の融合環境の IT/OT システムのセキュリティを向上させるための 15 の推奨事項が記載されています。また、米国政府が所有し、運用する OT システムのサイバーセキュリティ態勢を直ちに改善するためにバイデン大統領が実施できる 3 つの推奨事項が明示されています。これらは、民間部門の重要インフラ保護対策のモデルともなります。
- まず、サイバーセキュリティ・インフラストラクチャセキュリティ庁) (CISA) は、行政の文民部門と機関が、責任範囲内のすべての OT デバイス、ソフトウェア、システム、資産のリアルタイムの継続的なインベントリを維持し、他のシステムとの相互接続性について説明することを要求する拘束力のある運用指令を発行する必要があります。連邦政府機関は、OT デバイスとインフラが大々的に相互接続されている状況を明確に理解することにより、リスクに基づいて IT、OT、およびサイバーセキュリティリソースの優先順位を付けることができます。
- 第 2 に、CISA は OT 製品およびサービスの調達に関するガイダンスを作成し、サプライチェーンのリスク管理を含む、統合環境の IT/OT をサポートする製品およびサービスにリスク情報に基づいたサイバーセキュリティ対策を含めることを要求する必要があります。次に、CISA は連邦政府一般調達局 (GSA) と協力して、連邦政府の調達手段にリスク情報に基づいたサイバーセキュリティ対策を含めるよう要求する必要があります。
- 最後に、NSC (国家安全保障会議)、CISA、および国家サイバーセキュリティ・インフラセキュリティ局長のオフィス(Office of the National Cybersecurity Director) は、相互運用性があり、テクノロジーやベンダーに依存しない情報共有メカニズムの開発と実装を優先し、米国重要インフラ保護に関与する権限のある利害関係者間で、機密の集団防衛情報をリアルタイムで共有できるようにする必要があります。
重要インフラに対するサイバー攻撃は現実の問題です。しかし、私たちは、無力ではありません。私たちには、セキュリティ態勢を大幅に改善するために必要な知識と能力があります。欠けているのは、この知識と技術を活用しようという決意です。今こそ切迫感を持って IT/OT コンバージェンスに対応し始める時です。NSTAC 報告書の推奨事項を実装することにより、政府および重要インフラの IT/OT セキュリティを改善し、民間部門に大きなプラスの影響をもたらすことができます。
関連記事
Cybersecurity Snapshot: Will AI Kill Us All? How Can You Boost Identity Security? Do You Use a Framework for Cloud Security?
June 2, 2023Check out a hair-raising warning from AI experts. Plus, find out why securing identities is getting harder than ever – and how to fix it. Also, how a cloud security framework can help you – a lot. In addition, check out nifty SaaS security tips. And much more!
Cybersecurity Snapshot: CSA Offers Guidance on How To Use ChatGPT Securely in Your Org
May 5, 2023Check out the Cloud Security Alliance’s white paper on ChatGPT for cyber pros. Plus, the White House’s latest efforts to promote responsible AI. Also, have you thought about vulnerability management for AI systems? In addition, the “godfather of AI” sounds the alarm on AI dangers. And much more!
Protecting Local Government Agencies with a Whole-of-State Cybersecurity Approach
May 2, 2023Facing frequent and aggressive cyberattacks, local governments often struggle to defend themselves due to a lack of tools and resources. But it doesn’t have to be this way. With a whole-of-state approach, local governments can pool resources and boost their defenses, reducing cyber risk via improved threat visibility, cyber hygiene and incident response. Read on to learn more about the benefits of a whole-of-state approach.
CVE-2023-34362: MOVEIt Transfer Critical Zero-Day Vulnerability Exploited in the Wild
June 2, 2023Discovery of a new zero-day vulnerability in MOVEit Transfer becomes the second zero-day disclosed in a managed file transfer solution in 2023, with reports suggesting that threat actors have stolen data from a number of organizations.
Cybersecurity Snapshot: Will AI Kill Us All? How Can You Boost Identity Security? Do You Use a Framework for Cloud Security?
June 2, 2023Check out a hair-raising warning from AI experts. Plus, find out why securing identities is getting harder than ever – and how to fix it. Also, how a cloud security framework can help you – a lot. In addition, check out nifty SaaS security tips. And much more!
Tenable Cyber Watch: OpenAI CEO Testifies Before Congress; Meet DarkBERT, New AI Trained on the Dark Web; and more
May 29, 2023This week’s edition of the Tenable Cyber Watch unpacks Sam Altman’s testimony before Congress on AI risks and regulations, and addresses the importance of cyberattack victims speaking up after an attack. Also covered: An introduction to DarkBERT, the only AI trained on the Dark Web.
- 政府機関