IT-OT分科会、国家安全保障の保護を提言
2024年2月27日
サイバー犯罪者や米国の敵対勢力が、サイバー攻撃を通じて物理的な世界にますます影響を与えようとしていることを考えると、ITとOT(運用技術)の融合によってもたらされるリスクを認識するだけでは不十分な極めて重要な局面を迎えています。重要インフラ部門の物理的プロセスに影響を与える可能性のあるバーチャル世界からの脅威を鈍らせるためには、統合されたネットワークセキュリティーの真の決断を下さなければなりません。
そのために、クラロティは米国大統領の国家安全保障電気通信諮問委員会(NSTAC)のIT-OT間の融合に関する分科会のメンバーとして参加し、サイバーフィジカルシステムのセキュリティー改善による国家安全保障、経済安全保障、公共安全に対するリスク軽減を意図した報告書作成に見識を提供することができました。
「大統領へのNSTAC報告書:情報技術と運用技術の融合」が発表されました。この最終報告書では、重要インフラ全体におけるサイバーセキュリティの広範な実装を妨げている決定的なギャップの特定、また、その責任を技術ではなく、これらのシステムを適切に保護するために必要なリソースの優先順位付けを怠っていることだとしています。
「これらのシステムを保護する基本的なサイバーセキュリティー基礎を実装する技術は、商業市場に存在します。重要インフラのセキュリティ要件を広く実施するための規模ではないものの、システムのセキュリティ確保を理解する人材も存在します」とレポートでは述べています。
厳しい予算決定とリソース配分
上下水道などの資産所有者は、過去24ヶ月の間に、公益事業がすべてのIT・OT資産を特定するのに苦労していることや、セキュリティー研修や連邦政府からの融資・助成金の必要性を技術支援と同等に位置づけていることを明らかにし、さらに、NSTAC分科会の報告書も同様のギャップを指摘し、政府機関の意思決定者が予算決定において困難に直面していることを警告しています。
OTは安全性と信頼性を優先させますが、これは時として、機密性、完全性、可用性を重視するITサイバーセキュリティーポリシーと、手順の優先順位とを対立させることがあります。OTとITの融合されたシステムは、ビジネスにおいて急速に標準化されつつあり(米国では重要インフラの80%が個人所有であるという報告もある)、リーダーたちは、コロニアルパイプライン事件のようなランサムウェアによるものまたは、世界中の公益事業やその他重要インフラを標的とする国家活動によるものどちらであっても、侵害に耐えうる回復力のあるシステムを構築しなければならなくなっています。
「これらのリスクは、ITとOTの融合を熟慮し、効率的に管理する重要性を高めています。政府と産業界は、社会福祉を支え、経済活性化に必要不可欠な製品とサービスを提供するために、このOTの危機状況をうまく切り抜けなければなりません」と報告書は指摘しています。
3つの可能なクイックウィン
NSTACの報告書は15の提言を取り上げていますが、そのうち3つはバイデン政権が比較的低リスクで即座に実施可能へ促しているものです。3つの詳細は下記の通りです:
1. 米国政府所有のOT資産管理
報告書は、サイバーセキュリティーインフラセキュリティー庁(CISA)から発行された拘束的運用指令(BOD)であり、それによると、民間部門や機関がOTデバイスにおけるリアルタイムで継続的なインベントリを維持し、他企業のITシステムとの連携関係を管理するように提言しています。BODでは、インベントリを年次予算プロセスの一部とすることを要求し、最終的には、統合されたネットワークにより形成される新たな接続を深く理解することを目的としています。さらに、進捗状況を確認するために、CISAからの年次報告も必要となるでしょう。
接続された資産を可視化することにより、より優れた脆弱性管理とパッチの優先順位付けが可能となり、かつてエアギャップにより遮蔽されていたシステムの危険な露出に光を当てることが可能です。 この指令は、2023年4月23日までにFCEBs機関(連邦民間行政機関)に対し手、(1)7日ごとにITおよびOTネットワークの資産インベントリを実施すること、(2)資産の脆弱性を列挙することを義務付けています。
2. OTに特化したサイバーセキュリティー調達文言を策定し、すべての調達にサイバーセキュリテ条項を含める
CISAは、OT製品および融合された環境をサポートする製品・サービスの調達文言に関するガイダンスを策定するよう要請されます。目的は、リスク情報に基づいた調達決定を行い、レガシーOT機器をより適切にロックダウンする方法を理解し、サプライチェーンのリスク管理を改善することです。CISAはまた、連邦政府の調達プロセスにおけるリスク情報に基づいたサイバーセキュリティー能力を要求するべく、一般調達庁と協力します。
3. リアルタイムの情報共有標準化
ここでの任務は、CISA、国家サイバーセキュリティー長官室、および国家安全保障会議が重要インフラ部門全体の利害関係者において機密扱いなく、新たな脅威情報を確実に伝えるためにベンダー中立の情報共有手段を開発することです。
政府OTの安全確保に向けた次のステップ
分科会によると、残りの勧告を具体化するために、さらなる省庁間の協力が必要であり、トピックとしては、物理的・仮想的なOT実証基盤の開発、OTのゼロトラスト・アーキテクチャに関するガイダンス、州・地方・部族・準州政府全体のOTサイバーセキュリティプロジェクトに対する資金提供、OTサイバーセキュリティー人材育成努力の分析、OTサイバーセキュリティー規制の合理化、OTを含む国際的なサイバーセキュリティー協力の確保などを中心に勧告が行われる見込みでです。
OTとITの融合により、すべての重要インフラ事業者は新たな方法でさらなるリスクを理解し、管理しなければなりません。NSTACの最終報告書は、公共安全と経済の安定に不可欠なOTプロセスの安全性と信頼性に対する潜在的な混乱を軽減するための具体的な開発のための一歩です。
◾️クラロティ公式製品ページ◾️