米国の国家 OT サイバーセキュリティを強化するための 3 つの政策の提言

大統領諮問委員会の報告書では、政府資産の可視性、調達、および情報共有を改善して、運用技術 (OT) のサイバーセキュリティにおける慣行を強化するための戦略の概要が説明されています。

2022 年 8 月 23 日、米国国家安全保障電気通信諮問委員会 (NSTAC) は、私が作成に携わった大統領への報告書を承認しました。この報告書は、政府機関、政府関連機関、および産業インフラまたは重要インフラの情報技術 (IT) と運用技術 (OT) の融合から生じるセキュリティの課題に焦点を当てて説明しています。

この報告書では、米国が信頼性が高く、安全で回復力のある国内通信体制を維持するために、政府が直ちに実施可能な主要な推奨事項を 3 つ提案しています。

1. 連邦政府民間関係機関は OT 資産の棚卸しをすること

「サイバーセキュリティ・社会基盤安全保障庁 (CISA) は、拘束力のある運用指令 (BOD) を発行して、民間行政部門および関連機関に、各々の責任範囲内で、他のシステムとの相互接続性に対する理解を含む、すべての OT デバイス、ソフトウェア、システム、資産のリアルタイムで継続的なインベントリの作成と維持を行うよう指示する必要がある」(大統領への NSTAC 報告書草案、pp 1-2)

NSTAC が開催したブリーフィングとディスカッションにより、多くの組織が、IT システムと OT システムが統合された環境を含む完全な OT 環境に対する可視性を欠いていることが明らかになりました。BOD 要件に準拠すると、組織の可視性が向上し、連邦政府機関はサイバーセキュリティ予算の優先順位をリスクに基づいて判断し、最も重要な資産を保護できるようになります。

簡単に言えば、見えないものを守ることはできない、つまり、OT ネットワーク内のデバイスとデータの流れを可視化して理解することが不可欠であるということです。これまで、数え切れないほど「OT のサイバーセキュリティの問題はどのくらい深刻になっているのか?」という質問を受けてきましたが、私はいつも「わかりません」と答えています。これらのミッションクリティカルな環境を可視化することで、初めてサイバーセキュリティの問題の深刻さの理解や、深刻なリスクへの体系的な対処が可能となるからです。

CISA は、このお粗末な状態に対処するための措置をすでに講じています。2022 年 10 月 3 日、CISA は、拘束力のある運用指令 (BOD) 23-01 を発行しました。この指令では、連邦の民間関連部門および政府関連機関に対して、「政府機関の資産と脆弱性に対する可視性の向上に向けて、測定可能な形で改善を行う」ことを指示しています。これには、IT ネットワーク資産と OT ネットワーク資産の両方に適用することが明確に示されています。この指令を達成するには、主に 2 つのアクションを行う必要があります。連邦ネットワーク上にある資産の発見とその脆弱性の列挙です。

連邦政府の省庁や政府機関は、これらを明らかにすることで、日々進化するサイバーセキュリティの脅威から重要な IT および OT 資産の保護を行うための重要な一歩を踏み出すことができます。

2. 強化された OT 固有の「サイバーセキュリティ調達言語を開発すること

「CISA は、IT/OT 製品とサービスの調達言語の更新と強化に関するガイダンスを作成して、提供される製品とサービスにリスク情報に基づいたサイバーセキュリティ機能の追加を奨励すべきである。このようなガイダンスがあれば、変更するのが困難、または変更コストが高い後付けの OT デバイス向けのセキュリティ対策におけるベストプラクティスを理解するのにも役立つであろう」(NSTAC の大統領宛の報告書草案、p. 3)

2009 年、私が国土安全保障省 (現在は CISA の一部) で Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) のディレクターを務めていたとき、DHS、エネルギー省 (DOE)、システム管理者、監査、ネットワーク、セキュリティ (SANS) などが構成するコミュニティが、協力して調達言語ガイダンスを作成しました。このガイダンスが役立ち、資産所有者は、サイバーセキュリティ対策を後から行うのではなく、製品やプロジェクトを進めている間に組み込みやすくなりました。共通役務庁 (GSA) と CISA は、この調達言語を共同で調整して、とりわけ連邦調達部門にふさわしいものにする必要があります。さらに、このガイダンスは、民間関係部門の所有者や運用者が自社の OT システムの買収にサイバーセキュリティ機能を追加することを奨励するためのモデルとしても役立ちます。政府と民間部門の両方の調達手段にサイバーセキュリティを追加することで、重要インフラのシステムのレジリエンスが大幅に向上します。

3. 特定の技術に依拠しない、標準化されてリアルタイムで相互運用可能な情報共有を実施すること

「国家安全保障会議 (NSC)、CISA、Office of the National Cybersecurity Director (ONCD) は、機密性の高い集団防衛情報を、米国の基幹インフラの安全保障に関与している承認されたステークホルダーが共有できるように、特定の技術やベンダーに依拠しない、リアルタイムで相互運用可能な情報共有メカニズムの開発と実装を優先して行う必要がある。この際、人為的な障壁を打破して、米国連邦政府内および連邦政府と他の主要な部門間利害関係者との間の両方で『CUI (機密情報以外の重要情報)』を共有することが望ましい」(大統領宛の NSTAC 報告書草案、p. 4)

従来のサイロ化されたアプローチを打破し、機関の間でのコラボレーションを促進して安全なエコシステムを確保するには、ONCD と NSC がリーダーシップを発揮することが不可欠です。

機関をまたがるコラボレーションは、機密情報の保護方法が機関ごとに異なるため困難になりますです。たとえば、DOE、CISA、運輸保安庁 (TSA) はそれぞれ、異なるアクセス要件や分類法やプロトコルを備えた独自の機密情報プラットフォームを使用しています。しかし、サイバー攻撃は多くの場合、複数の重要インフラセクターを標的にするので、これらのプラットフォームが相互かつ安全に通信して、業界や各セクターのリスク管理機関の壁を越えて、適切な情報を適切な人物に適切なタイミングで提供できるような環境を構築することが不可欠となります。また、より広範な重要インフラのエコシステムからのサイバー脅威と脆弱性に関する情報を活用するため、これらのプラットフォームが基本的に標準化されており、特定の技術に依拠していない状態であることも重要です。

そして、これらのシステムは自動化され、リアルタイムで動作する必要があります。セキュリティで保護された電子メールのリンクを介して、侵害の兆候を示す PDF を共有するだけでは、もはや不十分です。攻撃者はマシンレベルの速さで複数の産業セクターを侵害する技術を持っています。ですから、その素早い攻撃を防げる体制を作る必要があります。

より強固なセキュリティが必要

NSTAC の目標は、政府と重要インフラのネットワークを保護するために連邦レベルで実行可能な措置について大統領に提案することです。ただし、報告書に含まれる推奨事項の多くは、米国連邦政府だけに当てはまるわけではありません。州・地方・部族・地域 (SLTT) の政府、その他の外国政府、および商業セクターのインフラ所有者と運用者にも適用できます。すべての利害関係者がより強力なサイバー防衛態勢を備えることで、より広範なインフラエコシステムにもメリットが生じます。Tenable は、政府および業界の顧客やパートナーと協力してこれらの推奨事項を実装し、重要インフラの保護に努めています。

もっと詳しく

• NSTAC 報告書
• 関連するブログ記事
  • IT/OT コンバージェンス: 今こそ行動する時
  • 重要インフラのサイバーセキュリティ強化に向けて CISO、規制当局、ベンダー、市民ができること
  • Tenable で連邦政府機関における CISA の拘束力のある運用指令 23-01 の要件を満たすには
• 関連するホワイトペーパー: 落とし穴に注意 ! IT/OT アラインメントへのロードマップ