サイバーセキュリティおよびインフラセキュリティ庁(CISA)の使命は、米国のサイバーおよび物理的インフラに対するリスクを理解し、管理し、低減するための国家的取り組みを主導することである。これは広範かつ崇高な事業であるが、業界には残念ながら、実際に何が最も効果的であるかについての過去のデータや豊富な前例がない。
デール・ピーターソンは最近、CISA 2024-2026戦略計画について考察し、どのリスク削減の取り組みが測定可能でインパクトのあるものなのか、またサイバー・パフォーマンス目標(CPG)を実施することで重要インフラに対するサイバーリスクが削減されるのかと疑問を投げかけた。しかし、CISAの中核的な使命を考えると、私たちは次のように考えるべきだろう。これらのリスクを削減できるとして、「影響が確認されたインシデント」の閾値はいくらか、また、提案されている測定可能な目標のうち、どれが影響の重大性を低減するのか、その理由と方法は何か。
産業サイバーセキュリティに対する認識、活動、投資を主導する考え方は数多くある。連邦政府が、国家が依存する重要なサービスの防衛とセキュリティに向けた機運を高め続けているため、重要な部門全体の優先順位を特定することは簡単に思えるかもしれない。しかし、リーダーたちは、ギャップ分析を行う必要があるにもかかわらず、誤った二分法を作り出してしまう危険性がある。このブログでは、サイバーセキュリティに対する認識と行動を向上させるための研究開発の現状と課題について解説する。
OT 。
OT セキュリティ・コミュニティは、重要インフラ全体のリスクに対処するためには、現在のアプローチよりも粒度が細かく、目的意識の高いモデルが必要であることに同意しているようである。ONCDの国家サイバーセキュリティ戦略の根底にある取り組みが、特に「ターゲットが豊富でリソースに乏しい」組織のコストを削減するための共有サービスの開発であるならば、OT 、現在進行中の連邦規制の調和に向けた取り組みの範囲外とはみなされず、主要な焦点となるべきである。
重要インフラのサイバーセキュリティは、干し草の山に針を刺すような大問題である。今日、重要部門全体で使用されている産業資産や技術の国勢調査、リスク管理のための構成上の不測の事態、現実的な連鎖的影響や様々な特性や属性を持つ事業体に対する放射性降下物の分析に関する全体的な認識について、理解が不足している。
我々は、運用上重要な部品の国家在庫をよりよく理解し、重要インフラを保護するための手段ベースではなく効果ベースのアプローチに基づいてそれらを防御する方法を理解し、サプライチェーン攻撃とその影響の深刻さを軽減するための積極的な対策を講じる必要がある。
セクター危機管理機関の能力構築
CISAのCTAスローガンが「シールド・アップ!」となったとき、業界は広く、既存の基準、フレームワーク、ベスト・プラクティスを遵守するためにどこにコストを投じればよいのかわからない企業リーダーの頭を回転させるための必死の訴えで応えた。セクター・リスク管理機関(SRMAs)は、連邦政府間のハーモナイゼーションのギャップを埋めることができない場合、16の重要なセクターを横断する能力構築の取り組みに乗り出した。
完璧な世界であれば、各重要インフラ部門について、各 SRMA 内または CISA の主要な技術連絡窓口として、連邦レベルで専任のサイバーセキュリティ専門家が存在するはずである。このような現実の代わりに、サイバーセキュリティの研究開発は、OT/ICS のサプライチェーン全体(サプライヤのセキュリティ管理、企業のコンテンツ管理、開発環境、製品とサービス、上流のサプライチェーン、運用OT 、下流のサプライチェーン)を、ベースラインとして CISA CPG に沿って捉えるべきである。
重要インフラのサイバーセキュリティという複雑な問題に対する文脈づけがなければ、2つの悪い結果を招く危険がある。第一に、コンプライアンスに基づくサイバーセキュリティのコストが増大し、中小企業が高額で杓子定規なサイバーセキュリティ規制を満たす余裕がなくなることである。第二に、複数のセクターにまたがる指定されたリスクの集中に対して、管理されたサイバーセキュリティ・サービスを提供する責任を政府が負うことになる。
CISA とすべての SRMA は、資産所有者が所有できるサイバーセキュリティとリスク管理のレベル と、政府が合理的に補助・補強できるレベルを明確にする必要がある。SRMA は、資産所有者レベルで必要な能力とリスク低減策を指定する際に、指定され必要とされるツールのベンダ中立的評価を継続・強化すべきである。
CISAサイバー・フィジカル研究開発のギャップ
連邦政府のサイバーセキュリティの研究開発には、OT と ICS に関する全体的かつ国家的な理解が欠けている。評価指標は、影響と結果の評価によって推進されるべきであり、評価と環境固有のコンテキストを提供する。そこで、CISAのレジリエント投資計画・開発ワーキンググループの出番である。彼らのホワイトペーパー「重要インフラの回復力のための研究開発ニーズと戦略的行動」は、2023年3月に発表されたにもかかわらず、広範な連邦規制の議論ではほとんど無視されている。
この報告書では、「重要インフラの回復力に関する連邦政府の研究成果は、多くの場合、セクター別であったり、分野別に断片的であったりするため、これらの取り組みが横断的でシステミックなリスクをどのように軽減しうるかについて、全体像を把握することが困難である」と詳述している。報告書の行動項目のうち、3つの主要なギャップが特定され、多くの具体的なニーズと行動項目が概説されている。OT 短期的なサイバーセキュリティ規制のために、最も重要なギャップとニーズは以下の通りである:
ギャップ1:サイバー・フィジカル・インフラ・システムに依存するクリティカル・サービスの結果とリスク低減の決定要因の統合的分析。
- 必要性地域から国家規模まで、重要なサービスに対する相互接続されたサイバーフィジカルインフラのリスクを体系的に理解すること。
- 必要性インフラの強靭化介入策の有効性を測定するための共通の定義、基準、指標。
ギャップ 2:レジリエンスに関する知識を地域・地方レベルでの効果的な行動につなげるための、サイバー 物理インフラ研究へのユーザー参加
- 規制制度がサイバーフィジカルインフラのレジリエンス強化をどのように制約するか、あるいは可能にするかを実証的に調査する。
- 効果的なインフラ・ガバナンスと適応能力のための制度的条件を特定する。
前へ、そして上へ
一方、重要インフラの回復力をベースライン化することは、CISAの2024-2026年戦略の主要目標のひとつである。包括的な国家サイバーセキュリティ戦略には、3つの重点分野がある。即座の脅威への対処、地形の硬化、規模に応じたセキュリティの推進である。そして、CPGの相乗的な目標は、サイバーセキュリティの標準と管理をサイバーセキュリティの成果にマッピングすることである。このようなすべての目標と視点を考慮すると、これらの研究開発の優先順位を無視したり、棚上げにして埃をかぶったりすることはできない。
現実は矛盾しているというよりも混乱しており、業界の専門家たちはサイバーフィジカルシステムの攻撃対象領域管理の基本に立ち返ることを余儀なくされている。すなわち、最も重要なシステムに対処し、ハード化するための王冠のようなインパクト分析、適切なセグメンテーションによる防御可能なアーキテクチャの構築、ハード化できないシステムに対する脆弱性管理である。未来に焦点が当てられているにもかかわらず、産業界が今日、これらの基本を全面的にどの程度適用しているのか、実際のところは示されていない。もちろん、自分がどこにいるのかわからなければ、どこに向かっているのかもわからない。
