Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable ブログ

ブログ通知を受信する

OT サイバーセキュリティ対策の推奨事項を取り入れて米国政府のポリシーの成果を向上する

OT サイバーセキュリティ対策の推奨事項を取り入れて米国政府のポリシーの成果を向上する

NSTAC による大統領への最新の報告書では、情報テクノロジーとオペレーショナルテクノロジーのコンバージェンスのセキュリティを確保するための新たな戦略の概要が説明されています。

過去 1 年間のサイバー脅威は、米国の重要な資産を守るにあたり政府機関が直面し続けるであろう課題を予告しています。 こうした脅威に対処するため、「バイデン政権は、国家安全保障電気通信諮問委員会 (NSTAC) による情報テクノロジーとオペレーショナルテクノロジー (IT/OT) のコンバージェンスに関する最新の大統領への報告書に記載された推奨事項の早急な実施に取り組むべきである」と Tenable は考えています。

報告書の主要な推奨事項は重要なものですが、NSTAC はこのほかにも、米国の OT インフラのセキュリティを確保するための 3 つのステップを追加で提示しています。 以下にその概要を説明します。

1.役割、責任、説明責任を明確化すること

NSTAC は研究を行ううちに、重要インフラに関わるコミュニティのメンバーの多くが、サイバーセキュリティ関連のインシデントや懸念事項に対応する際、米国連邦政府内の誰に協力を仰げばよいか分からず困惑しているということに気付きました。 ステークホルダーは、地方、州または連邦の行政機関、あるいはそのすべてに対して重複した内容の報告を要求され、しかも報告書の形式や提出期限がそれぞれ異なるという事実に直面しています。 この課題は、特に OT と産業用制御システム (ICS) で厄介な問題になっているようです。

NSTAC による推奨事項

  • 国土安全保障省のサイバーセキュリティ社会基盤安全保障庁 (CISA)、Office of the National Cyber Director (ONCD)、国家安全保障会議 (NSC) に対し、重要インフラやその他のセクター全般にわたってステークホルダーを支援する行政機関のさまざまな部局について、それぞれの役割と責任を明確にすることを推奨する。 責任の所在を明確化することで、重要インフラの所有者や運用者は、より効果的にサイバーセキュリティインシデントに対応できるようになり、さらなるサポートが必要な場合の政府機関の問い合わせ先も分かるようになる。

2.重要インフラのサイバー規制を簡素化すること

現在、米国政府は連邦法と州法を寄せ集めることで、重要インフラのサイバーセキュリティリスクに対処しています。 こうした寄せ集めの法律では、重要インフラの OT システムの所有者や運用者に向けたサイバーセキュリティ要件が重複したり、さらには矛盾したりする状況が生み出されることもあります。 ONCD は現在、国家サイバーセキュリティ戦略の策定に取り組んでおり、これはサイバーセキュリティ規制の整合化を図る絶好の機会になります。

NSTAC による推奨事項

  • ONCD に対し、CISA と連携して、同一セクター内に存在するOT 運用者向けの規則の矛盾について診断する、複数機関にまたがる調査を開始することを推奨する。 この取り組みの最終目標は、矛盾した要件同士をすり合わせる機会を見出し、重要インフラ事業者向けの規則をとりまく状況を簡略化することである。

3. インフラ投資および雇用法 (IIJA) による資金調達の機会を活用すること

NSTAC に詳しいこの分野の専門家によると、これまでの米国政府による OT サイバーセキュリティに対する財源は不十分で、IT 脅威の軽減のために割り当てられた予算と比較した場合、特に顕著であるようです。 しかし、幸いにも、政府による新たな資金援助は、OT サイバーセキュリティを推進できる機会を提供しています。

NSTAC による推奨事項

  • 重要インフラの OT の所有者や運用者に対し、2021 年 11 月の IIJA に含まれる助成金や財政支援のプログラムの活用を推奨する。 この最新の法律によって、連邦、州、地方行政における IT とネットワークの最新化とセキュリティ確保、重要インフラと電力、ガス、水道の保護、公共事業者または民間事業者が重大なサイバー攻撃や侵害に対処して復旧する際のサポートに対して 20 億ドルが割り当てられている。

州および地方政府のためのサイバーセキュリティ助成プログラム (SLGCP) は、輸送、エネルギー、上下水道などに使用する車両への助成金や資金援助と同じように、OT サイバーセキュリティ防御の強化にすべて利用することができます。 この資金は、最近利用可能になりました。

新たな OT セキュリティポリシー

CISA によって最近リリースされた 全業種サイバーセキュリティパフォーマンス目標 では、特に OT セキュリティに重点が置かれており、米国が直面している、最も一般的で影響力のあるサイバーリスクへの対処に明確に狙いが定められています。 この CISA の資料は、OT サイバーセキュリティが見落とされがちであり、資源や人員も不足しがちであることに言及しています。 この資料で詳細に説明されている一連の一般的な IT とOT のサイバーセキュリティ対策は、この問題に対処できるようにするためのものであり、OT に特化したガイダンスも提供されています。

OT システムのサイバーセキュリティに重点を置くこの新しいポリシーは、非常に良い出発点になると Tenable は確信しています。 IT/OT コンバージェンスはこの先何年も、セキュリティ上の懸念であり続けるでしょう。しかし、企業がこれらの課題に対処するための計画を開始できるようになるのが早いほど、より早期にサイバー衛生の改善に着手し、米国内の重要インフラのセキュリティ確保に向けた取り組みが行えるようになります。

もっと詳しく

関連記事

最新のサイバー攻撃に対して脆弱ではありませんか?

下にメールアドレスをご記入ください。最新の情報が確認できる Cyber Exposure アラートがインボックスに送信されます。

tenable.io

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

tenable.io 購入

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Nessus Professional を無料で試す

7 日間無料

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

Nessus Professionalを購入する

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

複数年ライセンスをご購入いただくと割引が適用されます。拡張サポートを追加すると、24 時間x365 日、電話、コミュニティ、チャットサポートにアクセスできます。

ライセンスをお選びください

複数年ライセンスをご購入いただくと割引が適用されます。

サポートとトレーニングを追加

Tenable.io

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

Tenable.io を購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable.io Web Application Scanningを試す

Tenable.ioプラットフォームの一部として最新のアプリケーション用に設計された、最新のウエブアプリケーションのスキャンサービスの全機能にアクセス可能です。手作業による労力や重大なウエブアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

Tenable.io Web Application Scanningを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDN

3,578ドル

今すぐ購入する

Tenable.io Container Securityを試す

脆弱性管理プラットフォームに統合された唯一のコンテナセキュリティ製品の全機能にアクセス可能です。コンテナイメージの脆弱性、マルウェア、ポリシー違反を監視継続的インテグレーション/継続的デリバリー(CI / CD)システムと統合し、DevOps プラクティス、セキュリティ強化、および企業のポリシーコンプライアンスをサポートします。

Tenable.io Container Securityを購入する

Tenable.ioのContainer Securityは、ビルドプロセスと統合することにより、コンテナイメージのセキュリティ(脆弱性、マルウェア、ポリシー違反など)を可視化し、シームレスかつ安全なDevOpsプロセスを実現します。

Tenable Lumin を試用する

Tenable Lumin を使用して、Cyber Exposure を可視化および調査し、リスクの軽減を追跡し、競合他社に対してベンチマークしましょう。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

Tenable Lumin を購入する

Tenableの担当者にお問い合わせいただき、企業全体に対するインサイトを得て、サイバーリスクを管理する上で Lumin がいかに役立つかについて、Tenable の営業担当者までお問い合わせください。

Tenable.cs を試してみる

製品のすべての機能にアクセスして、クラウドインフラの設定ミスを検出、修正して、実行段階の脆弱性を表示できます。今すぐ無料トライアルにご登録ください。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

営業担当者に問い合わせて Tenable.cs

Tenable.cs Cloud Security について詳しくは営業担当者にお問い合わせください。クラウドアカウントのオンボーディングは簡単で、数分でクラウドの設定ミスと脆弱性が把握できます。

Nessus Expert を無料で試す

7 日間無料

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

すでに Nessus Professional をご使用ですか?
Nessus Expert にアップグレードすると、7 日間無料でご利用いただけます。

Nessus Expert を購入する

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

ライセンスをお選びください

キャンペーン価格が 2 月 28 日まで延長されました。
複数年ライセンスの場合、よりお求めやすい価格でご購入いただけます。

サポートとトレーニングを追加