オーストラリアは、集団的なサイバーセキュリティ規制の最前線にいる。地政学的な役割と紛争中のサイバー領域への近接性を考慮し、最近のいくつかのセキュリティ改革は、11の重要インフラ部門と22のカテゴリーの重要インフラ資産に対する期待を高めている。オーストラリアをはじめとする世界の多くの国々は、信頼と検証の向上を目標に、サイバーセキュリティの取り組みを強化し続けている。
米国では、Cybersecurity and Infrastructure Security Agency (CISA)が、セクター別のガイドラインを発行すると同時に、産業界との信頼関係を構築し、2022年重要インフラ向けサイバー事故報告法(CIRCIA)のルール策定プロセスなどに関する所有者や事業者の意見を強化している。欧州連合(EU)は、「重要インフラの物理的およびサイバー耐性の両方を強化するための最新かつ包括的な法的枠組み」を提供する2つの新たな義務化を進めている。
2023年9月現在、オーストラリア政府は、ほぼリアルタイムのサイバー脅威に対する認識を維持することを包括的な目標として、「国家的に重要なシステム」(部門を超えた相互依存関係や連鎖的な影響の可能性により)とみなされる企業の数を168に増やした。2022年、INCONTROLLER事件は、このようなシステムを標的にしたサイバー攻撃の潜在的リスクを浮き彫りにした。ありがたいことに、この攻撃は業務上のインシデントが発生する前に特定され、産業用で重大な影響を及ぼす業務向けに特別に設計されたサイバー・セキュリティソリューションに投資することの潜在的なメリットを示すことになった。
重要インフラと産業運営の安全確保
2021年と2022年に改正された2018年重要インフラ安全保障法(SOCI法)には、各セクター内の事業体に対する「積極的安全保障義務」が盛り込まれている。11のセクターは以下の通り:通信、金融サービスおよび市場、データの保存または処理、防衛産業、高等教育および研究、エネルギー(電力、エネルギー市場運営者、ガス、液体燃料)、食品および食料品、ヘルスケアおよび医療、宇宙技術、輸送(航空および海上資産を含む)、上下水道。
SOCI は、各企業に対して、重要インフラ資産を分類・登録し、サイバーセキュリティインシデント(実際 のもの、差し迫ったもの)、および実際に関連する影響(または関連する可能性が高い影響)の推定に関す る情報を通知・共有することを求めている。積極的セキュリティ義務に関する報告義務は、セクターや資産によって異なり、既存の規制やコンプライアンス対策では不十分と考えられる場合には、オーストラリア政府が決定する。
さらに、SOCIの更新は、2023年2月17日に施行された重要インフラリスク管理プログラム(CIRMP)規則への準拠を要求している。新しい法律や要求事項の影響や適用を評価する猶予期間が2023年8月17日に終了したため、企業は2024年8月18日までに継続的な規制への準拠を証明しなければならなくなった。
CIRMP規則では、取締役会が承認したリスク管理プログラムを義務付けており、サイバーおよび情報セキュリティのハザードに対して、オールハザード・セキュリティ・アプローチを採用しなければならない。具体的には、責任ある事業体は、まずすべての重要資産を以下のように見直さなければならない:
- 関連する影響」の重大なリスクがある各ハザードを特定する;
- ハザードによる重大なリスクを(合理的に実行可能な範囲で)最小化、軽減、または排除する;
- 文書に含まれる枠組みに従う(強制される)。
事業体は、以下の枠組みオプションのいずれかを採用し、維持することを選択できる:
- オーストラリア規格AS ISO/IEC 27001:2015
- オーストラリア信号局発行のエッセンシャルエイト成熟度モデル(レベル1)
- 米国国立標準技術研究所が発表した「重要インフラのサイバーセキュリティ向上のためのフレームワーク
- 米国エネルギー省が公表したサイバーセキュリティ能力成熟度モデル(レベル1)
- Australian Energy Market Operator Limited (ACN 072 010 327)が公表した2020 21 AESCSF Framework Core (セキュリティ・プロファイル1)
計画と枠組みの監督、およびインシデントレスポンス準備は、オーストラリア情報局(ASD)によって実施される。同局はまた、マンダリン紙が報じたように、「個人所有者が危険にさらされたり、コントロールされたりして、コントロールを回復できない場合」に、企業のシステムに直接干渉し、コントロールを確立する法的権限を確立し、維持している。
リスクマネジメントの範囲
個人も、チームも、企業も、そしてセクターも、競合する優先順位と格闘している:インターネットやアクセス可能なネットワークへの重要資産の接続性、安全でないリモート接続、複雑でジャストインタイムのサプライ・チェーンなど、例を挙げればきりがない。データ・セキュリティに重点を置くべきか?ネットワークセキュリティ?デバイスとエンドポイント?セキュリティは、クラウド導入や自動化プロジェクトの前なのか、最中なのか、それとも後なのか。目標を共有し、日常生活のあらゆる面でテクノロジーへの依存が認識されているにもかかわらず、課題や制約が既存のセキュリティフレームワーク、推奨事項、ベストプラクティスの活用を妨げている。
悪用可能な脆弱性の数が増加し、潜在的な攻撃パターンが多数存在することから、重要インフラに共通する3つの問題も明らかになった:
- 高度に洗練された、多くの場合国家レベルの攻撃の脅威が迫っているため、脅威の探索に焦点が絞られ、調査する価値のある他の指標が犠牲になっている。
- ITセキュリティの原則は、セグメンテーションとコンテキストによって優先順位付けが行われるOT セキュリティ要件に完全にマッピングされるわけではない。
- 企業やセキュリティ・リーダーは、セキュリティ・インシデントや入手可能なインテリジェンスに対応し続け、その深刻度を抑える能力を構築することはしない。
オール・ハザード・リスク・マネジメントのカテゴリー
OT 、情報技術(IT)に対するリスク評価で最も大きな違いは、許容範囲である。リスク許容度の定量化は、システムのライフサイクル、利用可能なパッチ、許容可能なシステムのダウンタイム、メンテナンスの順序などに基づいて、大きく異なって見える。脅威行為者がサイバースペースで使用する戦術、技術、手順は、脆弱性を悪用して特権をエスカレートさせ、システムを標的に大混乱を引き起こす方法を見つけるかもしれないし、見つけられないかもしれない。
したがって、リスク許容度は、組織が必要とするセキュリティ・コンポーネントをマッピングし、それらのコンポーネントが既存の標準、規制、提案、ベスト・プラクティスのさまざまな部分をどのように満たしているかを理解しようとする一方で、コンプライアンス体制が必要なものとして適切なものを測定することを期待するというサイクルである。
セキュリティ・リーダーとチームは地図を作成しなければならない:
- セキュリティプログラム、リスク所有権、可視性のギャップの状況。
- 既存の管理・緩和手段、資源、能力。
- サードパーティ製品の開発環境とサプライヤーのセキュリティ管理。
- エンタープライズ・コンテンツ管理、データ・セキュリティ、PII。
- 運用製品およびサービス、ハードウェア、ソフトウェア、IoT 、クラウド提供など。
- サプライチェーンの川上と川下。
- 運用技術とサイバーフィジカル・セキュリティ。
- セキュリティ製品の数々。
あらゆるセクターがサイバーセキュリティのギャップを明らかにし、変更管理を方向転換し、全体的なサイバーセキュリティの適用を推進し続ける中、産業用サイバーセキュリティへの投資は拡大している。OT への重点的な投資は、主に4つのカテゴリーに分類される:
- カテゴリー1 - ネットワークの可視性:ネットワーク・アクティビティがリアルタイムで監視されていない場合、資産のステータスはほとんど不明であり、脆弱性があろうとなかろうと、日々の機能に必要な可視性が なければ、これらの資産を保護することはできない。
- カテゴリー2 - 脆弱性管理:脆弱性がシステムの完全性と可用性に影響を与える度合いは、技術、展開、構成、環境によって異なります。
- カテゴリー3 - サイバー Threat Intelligence:OT 、ICSを標的とする脅威者は、ターゲットに混乱や損害を与えるような能力と脆弱性を完璧に調合しようとする。それらは、日和見的であったり、高度に調整されたものであったり、あるいはその両方が混在したものであったりし、監視ツールの適切な調整によって警告を発することができる。
- カテゴリー4 - 状況認識の獲得:複数のベンダーのシステムや統合により、コンポーネントや接続は増え続けている。ネットワークの可視化、脆弱性管理、コンテキスト駆動型サイバーthreat intelligence を組み合わせることで、関連性を高める必要がある。
チームは、自動化と手作業による調査のバランスをとる必要がある。プレッシャーのかかるセキュリティ・チームにとって、反復的で時間のかかる低レベルのタスクを自動化することは不可欠です。この自動化を、アナリストが影響度が高く、一刻を争うインシデントを調査するために必要なリアルタイムのデータとコンテキストと組み合わせることができるツールであれば、なおさらです!
