サイバーフィジカルシステムセキュリティーが地方自治体にとって重要な理由とは?
2024年2月27日
国や地方など、あらゆるレベルの政府機関において、公共事業組織は日々、厳しい条件の下業務を遂行し、有権者に必要不可欠なサービスを提供しています。「より少ないリソースでより多くを行う」ことは、何十年にもわたるスローガンです。しかし、労働人口の減少と経済的圧力が相まって、この課題を増幅させています。地方自治体の雇用は、ほとんどの自治体においてパンデミック以前の水準を下回っています。また、地方税収が増加傾向にありましたが、過去2年間で税収は減少し、指導者たちはインフレや景気後退の可能性による経済的不確実性の課題に直面しています。
公共部門におけるDX: 機会とそのリスク
DXは、地方自治体にとってより良いサービスをより効率的に提供できる機会をもたらします。公共機関は長年にわたり、接続性を活用してサービスの改善、有権者との関わり、コスト削減を図ってきました。と同時に、2020年から続く世界的なパンデミックは、すでに進行中であったDXの取り組みを大きく加速させました。医療や教育などのサービスの管理と提供方法は、国民の需要に可能な限り応え続けるために、ほぼ一夜にして劇的に変化し、今ではもう後戻りはできません。
残念な現実として、DXと拡張型モノのインターネット(XIoT)の恩恵は、より大きなサイバーリスクと共にあるということです。サイバーフィジカルシステム(CPS)と基盤となるコネクテッドアセットは、必ずしも接続された環境でシームレスに共存するようには設計されていないため、新たに多くの攻撃が出現しています。
重要インフラの安全確保:地方自治体向けリソース
CISAは、地方自治体が重要インフラを保護し、サービスを提供する地域社会の回復力を確保するのに役立つ広範なリソースを提供しています。資料には、ベストプラクティスを紹介するケーススタディや地方自治体リーダー向けのディスカッションポイント、サイバーセキュリティープログラムの評価を開始するための手順や、地方自治体が利用可能な実践的サイバーセキュリティーアドバイザーリストなどが含まれています。
サイバーフィジカルシステムを攻撃や混乱から保護するためには、専用のサイバーセキュリティー技術も必要です。クラロティは、サイバーフィジカルシステムのセキュリティーに関する懸念に対応するべく、様々な地方自治体と協力しています。以下はその例です。
上下水道向けサイバーフィジカルシステム
大規模な上下水道会社がある一方で、上下水道の多くは国や自治体、町レベルで運営されているのは小規模な事業体です。この事業体の資産の所有者や運営者は、必然的に、基本的な運営上の優先事項や、インフラの維持管理、規制遵守、収益の確保に重点を置いており、サイバーセキュリティーの優先順位は「下の下」の項目であることが多いです。
クラロティは、何百マイルものパイプラインやポンプ場、浄水場、貯水・配水システムを含む20以上の物理的に分散した水道施設を持つ、米国を拠点とする水道事業者を支援しました。これらの水道事業者は、ITインフラをアップグレードし、ITセキュリティーアーキテクチャを近代化させ、パンデミックにおいてリモートワーカーをサポートするべく方向転換する中で、XIoT全体にわたる包括的なサイバーフィジカルセキュリティーが不可欠でした。200万人以上の人々に安全に水を供給し続けるために、これらの水道会社はクラロティプラットフォームを活用して、接続された資産や資産をリスクにさらす脆弱性、重要なプロセスの継続的なオペレーションを保証する改善戦略を特定しています。OT環境向けに構築されたクラロティの安全なリモートアクセス技術は、ユーザプロビジョニング*1 や、役割およびポリシーに基づくアクセスコントロール、アラート、潜在的に悪意のあるリモートセッションを監査、調査、終了する機能を提供します。
交通機関向けサイバーフィジカルシステム
公共交通機関、空港、鉄道、貨物施設を管理する政府機関では、XIoTを活用して業務の効率化を加速させます。クラロティは、ある鉄道高速輸送システムが、DXにより拡大した攻撃対象領域を軽減するのを支援しています。スイッチ、ファイアウォール、データダイオードへのパッシブな統合と、SIL規格*2 への準拠を維持しながら資産の即時可視化と継続的な脅威監視能力により、鉄道プロバイダーはセキュリティーを破壊することなくデジタル化を進めることが可能です。さらに、機器メーカーやその他のパートナーは、リモートでシームレスにシステムへアクセスし、機器へのサービスを実行することにより、セキュリティーチームはリモートセッションを細部まで制御することが実現します。
さらに、クラロティは空港運営会社へ、クラロティプラットフォームのコンポーネントを使用し、自動化された貨物輸送オペレーションと内部インフラストラクチャ両方の安全確保をサポートしています。稼働時間とパフォーマンスを監視するための自動化されたコンベヤーシステムのリアルタイムな可視性と、セキュリティーカメラ、火災検知システム、センサー、HVAC、電力システム間の接続の可視性により、問題がどこから来てどう広がっているのか、どのように軽減するのか、迅速に確認することが可能です。アセットプロファイリングは、脆弱性管理と予防保守を加速し、簡素化します。
電気事業向けサイバーフィジカルシステム
送電システムから消費者に電力を運ぶ電力会社の配電システムは、地方自治体ごとに規制されており、これらのシステムの多くはもはやエアギャップ*3 されていません。ITネットワークへの接続やインターネットへの直接接続は、悪用可能な脆弱性をもたらします。米国政府説明責任局(GAO)は、配電システムに対するサイバー攻撃の潜在的な影響規模は局地的なものである可能性が高く、標的となる配電システムによっては、停電が国家的な影響を及ぼす可能性があると警告しています。これらの機関は、DXがもたらすリスクを軽減するために注意する必要があります。
クラロティは、世界中のさまざまな規制環境における大規模配電システムでの成功事例を持っており、クラロティプラットフォームは脆弱性を修復するための資産特定に使用され、規制要件の監視と遵守にも有用です。 さらに、クラロティの専用リモートアクセスソリューションは、あらゆるOT環境のニーズを満たしていない悪意のあるアクティビティが発生した際、リモート接続監視からシャットダウンする監査機能やリアルタイム機能が欠けている従来のVPNに取って代わるものです。
ヘルスケア向けサイバーフィジカルシステム
公立病院は、地域社会で重要な役割を果たしており、医療モノのインターネット(IoMT)の台頭により、効率と患者体験を向上させる十分な機会が生まれています。実際、医療機器への支出は、研究にもよりますが、年平均成長率(CAGR)で15%〜30%増加しています。しかし、病院内の相当数のIoMTやその他のIoT機器には既知の脆弱性があります。医療機器のサイバーセキュリティーは非常に重要であるため、医療機関にとってXIoT全体の物理的サイバーリスクを包括的に軽減することが重要です。
医療に対するサイバー脅威が高まる中、合同委員会はメディケアメディケイドサービスセンター(CMS)から、医療機器のサイバーセキュリティーに関する監査を開始するよう指示されています。多くの医療提供組織 (HDO) は、深い領域の専門知識と専用テクノロジーを活用して、拡大する XIoTデバイスの世界を保護する真の統合アプローチとして、Medigate by Clarotyを選択しています。 例として、DXにおけるリーダーシップを取っている大規模な公立病院は、資産とサイバーセキュリティーのリスク管理における統合されたデータ主導型のアプローチとして、Medigate by Clarotyに注目しました。 この病院は、医療機器への脆弱性の関連付けを即座に有効にし、修復ワークフローを契機として、臨床工学 (CE) ワークフローを改善し、サイバーフィジカルセキュリティーを強化すると同時に、既存の機器有効活用による投資収益率を実証し、支出削減を実現しました。
教育向けサイバーフィジカルシステム
パンデミック以来、公立学校では遠隔学習への移行が重視されてきましたが、対面式の授業がほぼ再開された今、生徒や教師、スタッフにとって安全で健康的かつ快適な環境を維持することが最も重要です。
オンライン学習プラットフォームと同様に、ビル管理システム(BMS)(火災報知器システム、HVAC、セキュリティーカメラ、物理的アクセス制御など)も近年急速にDXを遂げ、機能向上からエネルギー消費削減、コスト効率化を目的に、スマートかつ接続されたシステムへとシフトしています。あらゆる形式のDXと同様に、以前は孤立していたBMS資産をインターネットや学校の内部ネットワークに接続することにより、さらなるサイバーリスクが発生します。BMSは、セキュリティーチームがより伝統的に標的とされてきた資産の保護に集中しているため、防衛境界の潜在的な弱点として見過ごされがちです。しかし、攻撃者は現在、BMSがオペレーションにとって重要であるだけでなく、他の安全なインフラへの経路でもあり、したがって非常に価値があると理解しています。クラロティのソリューションポートフォリオは、接続された資産の高度な可視性、効率的な脆弱性管理、環境内の他のデバイスやシステムからのセグメンテーションを含むベストプラクティスと機能により、公立学校システムにおけるBMSのリスク軽減を支援します。
クラロティで重要なサービスを保護
DXが減速する兆しはありません。重要インフラが私たちの社会を形成し続けるにつれ、その接続性は脆弱性増加につながります。国や地方自治体は、市民の健康、安全、福祉維持のシステムを保護するために、適切なCPSセキュリティーツールと戦略を備える必要があります。クラロティのようなCPSセキュリティーベンダーを利用することにより、州や地方自治体はサイバー脅威から独自の環境を保護する専用ツールを活用し、自信を持って接続可能な新戦略と協調的アプローチを獲得することが可能となります。
*1 ユーザプロビジョニング:ユーザの権限や認証情報を別システムと同期・管理するID管理のこと。
*2 SIL規格:安全度水準(Safety Integrity Level)の略。システムの安全性能を示す尺度のこと。安全基準が厳しい医療機器を始め、多くの電気・電子システムの安全性評価に使用される。
*3 エアギャップ:IT分野において、機器やシステムをインターネット上から完全に隔絶させるセキュリティ対策のこと。
◾️クラロティ公式製品ページ◾️