OT サイバーセキュリティ対策の推奨事項を取り入れて米国政府のポリシーの成果を向上する

NSTAC による大統領への最新の報告書では、情報テクノロジーとオペレーショナルテクノロジーのコンバージェンスのセキュリティを確保するための新たな戦略の概要が説明されています。

過去 1 年間のサイバー脅威は、米国の重要な資産を守るにあたり政府機関が直面し続けるであろう課題を予告しています。 こうした脅威に対処するため、「バイデン政権は、国家安全保障電気通信諮問委員会 (NSTAC) による情報テクノロジーとオペレーショナルテクノロジー (IT/OT) のコンバージェンスに関する最新の大統領への報告書に記載された推奨事項の早急な実施に取り組むべきである」と Tenable は考えています。

報告書の主要な推奨事項は重要なものですが、NSTAC はこのほかにも、米国の OT インフラのセキュリティを確保するための 3 つのステップを追加で提示しています。 以下にその概要を説明します。

1.役割、責任、説明責任を明確化すること

NSTAC は研究を行ううちに、重要インフラに関わるコミュニティのメンバーの多くが、サイバーセキュリティ関連のインシデントや懸念事項に対応する際、米国連邦政府内の誰に協力を仰げばよいか分からず困惑しているということに気付きました。 ステークホルダーは、地方、州または連邦の行政機関、あるいはそのすべてに対して重複した内容の報告を要求され、しかも報告書の形式や提出期限がそれぞれ異なるという事実に直面しています。 この課題は、特に OT と産業用制御システム (ICS) で厄介な問題になっているようです。

NSTAC による推奨事項

• 国土安全保障省のサイバーセキュリティ社会基盤安全保障庁 (CISA)、Office of the National Cyber Director (ONCD)、国家安全保障会議 (NSC) に対し、重要インフラやその他のセクター全般にわたってステークホルダーを支援する行政機関のさまざまな部局について、それぞれの役割と責任を明確にすることを推奨する。 責任の所在を明確化することで、重要インフラの所有者や運用者は、より効果的にサイバーセキュリティインシデントに対応できるようになり、さらなるサポートが必要な場合の政府機関の問い合わせ先も分かるようになる。

2.重要インフラのサイバー規制を簡素化すること

現在、米国政府は連邦法と州法を寄せ集めることで、重要インフラのサイバーセキュリティリスクに対処しています。 こうした寄せ集めの法律では、重要インフラの OT システムの所有者や運用者に向けたサイバーセキュリティ要件が重複したり、さらには矛盾したりする状況が生み出されることもあります。 ONCD は現在、国家サイバーセキュリティ戦略の策定に取り組んでおり、これはサイバーセキュリティ規制の整合化を図る絶好の機会になります。

NSTAC による推奨事項

• ONCD に対し、CISA と連携して、同一セクター内に存在するOT 運用者向けの規則の矛盾について診断する、複数機関にまたがる調査を開始することを推奨する。 この取り組みの最終目標は、矛盾した要件同士をすり合わせる機会を見出し、重要インフラ事業者向けの規則をとりまく状況を簡略化することである。

3. インフラ投資および雇用法 (IIJA) による資金調達の機会を活用すること

NSTAC に詳しいこの分野の専門家によると、これまでの米国政府による OT サイバーセキュリティに対する財源は不十分で、IT 脅威の軽減のために割り当てられた予算と比較した場合、特に顕著であるようです。 しかし、幸いにも、政府による新たな資金援助は、OT サイバーセキュリティを推進できる機会を提供しています。

NSTAC による推奨事項

• 重要インフラの OT の所有者や運用者に対し、2021 年 11 月の IIJA に含まれる助成金や財政支援のプログラムの活用を推奨する。 この最新の法律によって、連邦、州、地方行政における IT とネットワークの最新化とセキュリティ確保、重要インフラと電力、ガス、水道の保護、公共事業者または民間事業者が重大なサイバー攻撃や侵害に対処して復旧する際のサポートに対して 20 億ドルが割り当てられている。

州および地方政府のためのサイバーセキュリティ助成プログラム (SLGCP) は、輸送、エネルギー、上下水道などに使用する車両への助成金や資金援助と同じように、OT サイバーセキュリティ防御の強化にすべて利用することができます。 この資金は、最近利用可能になりました。

新たな OT セキュリティポリシー

CISA によって最近リリースされた 全業種サイバーセキュリティパフォーマンス目標 では、特に OT セキュリティに重点が置かれており、米国が直面している、最も一般的で影響力のあるサイバーリスクへの対処に明確に狙いが定められています。 この CISA の資料は、OT サイバーセキュリティが見落とされがちであり、資源や人員も不足しがちであることに言及しています。 この資料で詳細に説明されている一連の一般的な IT とOT のサイバーセキュリティ対策は、この問題に対処できるようにするためのものであり、OT に特化したガイダンスも提供されています。

OT システムのサイバーセキュリティに重点を置くこの新しいポリシーは、非常に良い出発点になると Tenable は確信しています。 IT/OT コンバージェンスはこの先何年も、セキュリティ上の懸念であり続けるでしょう。しかし、企業がこれらの課題に対処するための計画を開始できるようになるのが早いほど、より早期にサイバー衛生の改善に着手し、米国内の重要インフラのセキュリティ確保に向けた取り組みが行えるようになります。

もっと詳しく

• 開催予定のウェビナーで NSTAC の報告書に関する専門家のインサイトをご覧になることができます。お早めにご登録ください!
• NSTAC による大統領への報告書はこちらから
• CISA の Cross-Sector Cybersecurity Performance Goals (全業種サイバーセキュリティパフォーマンス目標) の詳細はこちらから
• NSTAC の報告書の 3 つの政策の提言に関する当社のブログもご覧ください