重要インフラ組織におけるサイバーレジリエンスの強化

世界は急速に進化しており、デジタルシステムと物理システムは常に融合しています。かつては重要インフラの運用を管理するためだけの独立したシステムが、今ではインターネットに接続し、機密情報を共有するようになっています。このように新たに融合した拡張型モノのインターネット（XIoT）は、国家保護から経済強化の維持、および市民の生活の向上まで無数の利益をもたらしています。重要インフラ機能は国家繁栄に不可欠ですが、サイバーセキュリティーへの影響は徐々にその利益を上回りつつあります。これまでとは異なり、世界中の公共政策立案者は、重要インフラに対する脅威と私たちの生活にどのような影響を及ぼすかについて認識し始めています。各国政府からの新たな指令や勧告は、脅威と潜在的な結果を明らかにするだけでなくサイバーセキュリティーへの行動も促しています。前例のない指令により、所有者や運用者はサイバーセキュリティーが重要産業における優先事項であることを認識するようになりました。このブログでは、重要インフラがなぜそれほど重要であるのか、保護するために開発されたサイバーセキュリティー規制と基準、そして重要インフラ組織がサイバーおよび運用の回復力を実現するための実行可能な手順について説明します。

目次

重要インフラとは何か、なぜ保護する必要があるのか？

CISAによると、重要インフラとは私たちの生活に必要な機能を提供する資産、システム、ネットワークのことです。CISAは、機能不全や安全保障、経済、国民の公衆衛生や安全に深刻な影響を及ぼすと考えられている16の重要インフラ部門を特定しました。重要インフラは現代社会のバックボーンであり、企業やサービスの効率的な運営を支えるだけでなく、地域の長期的な信頼と計画をも支えています。回復力と安全性の提供は、経済成長と投資を促進し、公共安全の保護に必要です。

重要な環境では、センシング、計算、制御、ネットワーキング、分析を組織化するサイバー・フィジカル・システム（CPS）が相互に接続されているため、私たちが依存する信頼性の高いシステムやオペレーションが実現されています。例えば、電力網へのサイバー攻撃は、交通システムの混乱、通信障害、医療施設の侵害につながる可能性があります。重要インフラの重要性は、国家主導のサイバー戦争やスパイ活動の主要な標的にもなっており、包括的に公共の安全を脅かし、最悪の場合には人命に関わる結果となる可能性があります。 国家は、重要システムに不正にアクセスすることにより、情報収集や、業務妨害、国家安全保障や公共安全に対する重大な脅威となるインフラ機能を停止させることが可能です。これらは、重要インフラの保護が極めて重要である理由のほんの一部に過ぎません。

次に、重要インフラに対するサイバー攻撃の実例とそれにより引き起こされた混乱について説明し、システムやデバイス保護のために必要である堅牢なサイバーセキュリティー対策について解説します。 ​ ​ 

重要インフラに対するサイバー攻撃の例

サイバー情勢が進化し続け、サイバー犯罪者の手口がさらに巧妙になるにつれて、非常に壊滅的な被害をもたらす新たな攻撃が出現しています。近年では重要インフラに対する以下の顕著な攻撃例が見られます： 

1. WannaCryサイバー攻撃

この壊滅的なランサムウェア攻撃は、当時広く使われていたWindows 7オペレーティングシステムのパッチ未適用のバージョンに存在する危険な脆弱性を悪用し、わずか数時間で150カ国、推定23万台のコンピューターを感染させました。さらに、数十の国民保健サービス（NHS）施設に影響を及ぼし始め、最終的には60を超えるNHS病院トラストに広がりました。攻撃中、影響を受けた病院トラストはデジタルシステムや医療機器から締め出され、患者や医療スタッフに大きな混乱をもたらしました。この混乱による多くの医療ネットワークへの影響は、スタッフが手作業に戻る、放射線サービスへの支障、外来患者の予約キャンセル、選択入院や日帰り手術の実施、緊急救急車の他院への迂回などが含まれます。

2. NotPetya 

史上最も高額となる破壊的なランサムウェア攻撃として広く知られているNotPetyaサイバー攻撃は、医療、エネルギー、運輸など複数の重要インフラ部門にわたる多国籍企業の業務を麻痺させました。被害額は推定100億米ドルに上り、サイバー犯罪者とサイバーセキュリティー専門家に多大な影響を与えました。このサイバーインシデントは、OTネットワークが業務にとって不可欠であり、産業オペレーションの安全性とセキュリティーを確保する上で非常に価値あるものという認識を引き起こしました。日和見的に連続したサイバー攻撃から、ダウンタイムに対する許容度が低い重要インフラ組織に対するより意図的で標的を絞った攻撃へのシフトは、脅威の状況を劇的に変化させました。この広範囲に及ぶ攻撃は、重要インフラ組織の広範囲に大混乱をもたらし、ITとOTの接続がもたらすセキュリティー脅威に関して警鐘を鳴らしました。

3. ウクライナの電力網攻撃

重要インフラネットワークもまた、地政学的紛争の標的となってきました。2015年と2016年、ウクライナは電力網に対する2度のサイバー攻撃を経験しました。これはロシアのハッカーによるもので、慎重に計画されたこれらの事件は、数十万人のウクライナ住民に広範な停電をもたらしました。これは、ネットワーク全体の可視性が低く、継続的なネットワーク監視が行われなかったため、侵害された配電会社はネットワークアクティビティの異常を検出できず、攻撃の発生を阻止することができませんでした。この事件は、世界中の送電網セキュリティーの先例となり、重要インフラへの攻撃が公共安全に及ぼす悪影響を浮き彫りにしました。サイバー脅威はもはやITシステム管理者やネットワークエンジニアだけの問題ではなく、サイバーセキュリティーは組織的な取り組みに対抗すべく、全社的な取り組みである必要があります。

4. コロニアル・パイプライン 

コロニアル・パイプラインの攻撃では、DarkSideと呼ばれるランサムウェアアズアサービスグループがパイプラインのITシステムを標的とし、一時的な操業停止に至りました。この災害は、消費者へ燃料不足とガス価格の上昇をもたらし、重要インフラの保護に対する信頼を失いました。また、この攻撃は漏洩した単一パスワードと古いVPNが侵害された結果として発生したもので、通常、サイバー犯罪者は最小限の労力で済むものです。幸いなことにこの種の攻撃は、基本的なCPSセキュリティーを導入することで容易に防ぐことが可能です。サイバー犯罪者がさらに巧妙になり、コロニアル・パイプラインのように重要インフラ組織がダウンタイムを許されないことを理解するにつれ、重要インフラサイバーセキュリティー戦略の強化を採用することは一層重要になりました。この事件を受けて、国土安全保障省運輸保安局（TSA）から、切望されていた運輸サイバーセキュリティー要件が発表されました。以下では、重要インフラのサイバー回復力を高めるためにTSAが設定した要件を取り上げます。

重要インフラのサイバーセキュリティー基準と規制

上記のようなサイバー攻撃や産業制御システム（ICS）の機密性の高さの結果、世界中の政府や規制機関は、重要インフラを保護するためにサイバーセキュリティー基準や規制を確立する必要性を認識しました。ここでは、米国政府と規制機関が定めた3つの関連規制とフレームワークを取り上げます：

1. パイプラインの所有者および運営者に対するTSAサイバーセキュリティー指令

TSAからは、鉄道、航空、パイプライン輸送に対するサイバーセキュリティー指令が発行されました。これらの指令は、米国の鉄道事業、空港・航空機事業者、重要なパイプラインのサイバーレジリエンスを高めるため、パフォーマンスベースの対策に重点を置いています。これら米国の輸送・交通などの重要インフラに対する持続的なサイバー脅威の結果として、TSAは、輸送事業者がサイバーセキュリティーの回復力を強化し、業務中断やインフラの劣化を防ぐために実施している、または実施する予定の対策策定を義務付ける緊急措置を講じています。

2. 重要インフラ保護（CIP）基準

CIP規格は北米電気信頼性公社（NERC）によって策定され、必須基準は、物理的セキュリ ティ、要員訓練、事故対応、システムセキュリティーに対応しています。この基準は、電力会社、発電所運営者、送電網運営者など、電力の発電、送電、配電に関わるすべての事業体に適用されます。この枠組みは、北米のバルク電気系統（BES）のセキュリティーを規制、実施、監視、管理するために設立されました。

3. CISAによるガイダンス 

CISAは、サイバー脅威情報の収集、分析、普及のために、情報共有分析機構（ISAO）を設立しました。ISAO は、「既存の情報共有組織、重要インフラの所有者・運営者、関連機関、その他官民の利害関係者と協力し、ISAOの設立と機能に関する一連の基準とガイドライン策定」のために設立された非政府組織です。ISAOを通じて、重要インフラ組織は、脅威インテリジェンス情報やベストプラクティスの共有、意識の向上、リスク軽減のための積極的なサイバーセキュリティー対策などの協力が可能です。ISAO以外においても、CISA は重要インフラ組織に対して、リスク管理、サイバー衛生、インシデント対応、脆弱性管理、継続的監視などの戦略策定に関するガイダンスも提供しています。 ​ 

4. 国家インフラ保護計画（NIPP） ​ ​ ​ 

米国国土安全保障省（DHS）によって策定されたNIPPは、国家の重要インフラ保護と回復力の先導を目的としています。国家インフラ保護計画では、重要インフラコミュニティにおける政府と民間部門がどのように協力してリスクを管理し、セキュリティーとその回復が達成可能か解説しています。NIPPは、重要インフラ保護のための協調的アプローチ戦略の枠組みを提供するものであり、組織へのリスク管理手法の採用奨励や、事故対応と復旧努力の指針の提示、セクター横断的な協調の必要性の強調、および新技術とベストプラクティスの活用による継続的改善の促進などが重要な部分です。この生きた文書は、脅威の状況の変化、技術の進歩、インシデントや新たな発見から得られた教訓を反映するため幾度も更新されます。重要インフラ保護の集団的アプローチとして、NIPPは国家の安全と回復力を確実にしています。 ​ ​ ​ 

運用回復力の実現

重要インフラのために設定された規制や基準に従うことは、組織がサイバーおよび運用上の回復力を実現するために役立ちます。しかし、ポリシーや基準が複雑な場合があるため、多くの組織がコンプライアンスを確保する難しさに直面しています。クラロティのようなCPSセキュリティープロバイダを活用することにより、組織は業界の規制やフレームワークによって概説された特定要件に対処することが可能です。さらに、クラロティソリューションは業界特有の規制フレームワークや基準に合わせて構築されており、重要なインフラ組織のニーズに合わせてカスタマイズされるため、複雑さを軽減することが可能です。クラロティを導入することで、重要インフラ組織は進化する脅威に対応し、これまで説明してきたような攻撃から確実に保護することが可能です：

1. 包括的な資産インベントリの維持：

クラロティは、組織のXIoT全体を包括的に可視化し、資産の特定、およびカタログ化することを可能にします。この資産インベントリは、リスク検出と軽減に不可欠であるだけでなく、コンプライアンス報告にも活用することが可能です。

2. 脆弱性とリスクの管理：

重要なインフラ組織のためのクラロティソリューションは、脆弱性を特定するプロセスを自動化し、リスクに基づいた優先順位付け、修復のための最適なアクションを提供します。明確な脆弱性とリスクの管理戦略は、多くのサイバーセキュリティー規制の脆弱性管理要件を満たしながら、組織のリスク態勢評価に役立ちます。 ​ 

3. セキュアなリモートアクセス（SRA）：

重要なインフラへのサイバー攻撃の例で述べたように、リモートアクセスは多くの環境で容易に悪用される攻撃のベクトルです。クラロティSRAは、内部ユーザーとサードパーティユーザーの両方にとって、効果的かつ効率的にリモートアクセスの複雑さと管理上の障壁排除を目的に構築されました。SRAにより企業は迅速かつ簡単に資産に接続し、トラブルシューティングや修理が可能です。 ​ ​ 

4. 脅威の検知：

高度な分析と異常検知により、クラロティソリューションは潜在的なサイバー脅威を特定し、リアルタイムのアラートを提供します。複数の検出エンジンが、産業用ネットワーク内のすべての資産、通信、プロセスを自動的にプロファイリングし、偽陽性を排除するための正当なトラフィックを特徴付ける行動ベースラインを生成します。これらの高度な機能により、セキュリティー担当者は新たな脅威を検出し、迅速に対応することが可能です。 ​ ​ 

ご存知のように、重要インフラは公共の安全、セキュリティー、そして社会全体の幸福にとって不可欠なものです。ダウンタイムを確保できない組織が身代金を支払うことを厭わないため、脅威者がこれらの重要システムを標的にするケースが増えています。組織がこうした脅威を防ぎ、回復力を実現する唯一の方法は、堅牢な重要インフラのサイバーセキュリティー戦略を確立することです。このために、組織独自の課題に対処し、業界固有の規制への準拠を実証するために支援するCPSセキュリティプロバイダとチームを組むことが可能です。上記の4つの機能は、クラロティがコンプライアンスへの取り組みを合理化し、規制要件を満たす複雑さを軽減しながら、重要なインフラ組織が運用の回復力実現を支援する方法の表面のみにすぎません。正確な資産インベントリ、強力な脆弱性とリスクの管理戦略、セキュアリモートアクセス、そして適切な脅威の検知方法により、重要インフラ組織は業界特有の課題に正面から取り組むことで、回復力を高めることが可能です。

◾️クラロティ公式製品ページ◾️

クラロティ　ニュースレタートップページに戻る