オーストラリア内務省(DHA)は、オーストラリアの重要インフラ保護に関連する政府と企業間の主なOT/IoT 安全保障協力イニシアチブについて、詳細な協議プロセスを継続した。
コンサルテーション・ペーパーは、より強力なコミュニケーション・アプローチと、利害関係者の明確な役割と責任の必要性を概説している。また、確固たる原則と要件に基づく枠組みも示している。このアプローチは、正しい方向への重要な一歩であるが、重要なインフラ産業には、まだ大きなセキュリティ上の課題が残されている。
本稿では、特に以下の分野における運用技術(OT )と産業制御システム(ICS)のサイバーセキュリティに焦点を当てる。
- エネルギー
- 食品と食料品
- 健康
- 輸送
- 水
我々は、攻撃的セキュリティの信頼できるアドバイザーとして活動してきた経験に基づき、これらのセクターに焦点を当てることにした。一般的に、既存のOT 、ICSネットワークおよびOT/ICS サイバーセキュリティスキルに関するサイバーセキュリティ成熟度は不釣り合いに低い。こうしたギャップを埋める解決策を見出さなければならないという大きなプレッシャーが残っている。
提案されているイニシアチブの中核は、積極的セキュリティ義務(PSO)、サイバーセキュリティ義務の強化、サイバー攻撃に対応する政府支援(介入)である。書類上では素晴らしいものに聞こえるが、実施時には慎重な注意を要する重要な課題がいくつもある:
- OT ネットワークにおけるサイバーセキュリティ・リスク管理への対応
- Threat intelligence OT /ICSのキャッチアップゲーム。
- セクターベースのサイバーセキュリティ成熟度フレームワーク
- サードパーティのリスク:OT/ICS自動化ベンダーと脆弱性管理
- OT/ICS サイバーセキュリティ専門家:真のスキル不足
サイバーセキュリティのリスク管理OT Networks
企業は、リスクを特定し理解する際に、オール・ハザード・アプローチをとる責任がある。
産業組織はリスク管理を理解している。彼らは長い産業事故の歴史から学び、日々高い安全性と効率で産業プロセスを運営している。しかし、サイバーセキュリティのリスク管理は、この分野では比較的新しいものであり、そのように扱われるべきである。
これまで、OT/ICS サイバーセキュリティの能力と予算は乏しかった。サイバーセキュリティは、持続可能で収益性の高いサイバーセキュリティ・リスクを効果的に管理するために使用される「相応の投資」であると考えられてきたため、不明確な点が多く、現場のマネージャーやネットワーク管理者に任されてきた。
一例として、OT/ICS 環境でリスク評価や侵入テストを実施するよう命じられたが、基本的なポートスキャンや高水準の定性的評価しか実施できなかったということがある。組織が安全性と可用性の懸念から、OT のライブ環境で侵入テストを実施したくないことは理解できるが、パッシブ・ディスカバリやモニタリングなど、他の選択肢を検討することもできる。
これだけでなく、前述の業界には、サイバーセキュリティインシデントのALE(年間損失予想)やSLE(単一損失予想)などのリスク指標を定量化するための適切な方法論がない。つまり、OT/ICS で事業を展開している多くの企業と同様に、サイバーリスクを評価するための既存データや信頼できるデータがないということである。これらの指標は、サイバーセキュリティのフレームワークの貴重な一部である。信頼できるデータを使用してリスク軽減のための投資決定を行い、効果的な戦略を適用することができます。
Threat Intelligence シェアリング -OT/ICS のキャッチアップゲーム
政府は、その独自の立場と資源を活用して、集約された脅威情報を共有すべきである。そのためには、あらゆる成熟度レベルの重要インフラ事業体と協力してその能力を高め、深刻な脅威に直面したときに事業体が適切に自らを守れるようにすることが必要である。
現在、オーストラリアのOT/ICS のサイバーセキュリティ専門家は、主に米国のサイバーセキュリティ・インフラ・セキュリティ局(CISA)に依存している。CISAは、勧告、脆弱性、脅威行為者に関するレポートなど、実用的なインテリジェンスを提供している。また、この分野を専門とするベンダーもリサーチで貢献している。
多くのリソースに支えられているITとは異なり、オーストラリア・サイバー・セキュリティ・センター(ACSC)のOT/ICSリソースがまだ限られていることも、米国のインテリジェンスに依存する一因となっている。不釣り合いなインテリジェンス支援のもう一つの例は、AusCERT 内の悪質な URL フィードである。OT/ICSに関しては、同等のフィードは利用できないか、または制限されている。
オーストラリア政府は、今後も政府機関やアライアンスを総動員してグローバルな脅威の状況を監視していくが、より重要なのは、事業者、ベンダー、研究者、そしてオーストラリア政府自身の間で、脅威を共有する協力的なコミュニティを形成することである。政府の広範なサイバー政策と戦略には、保証はなく、さまざまな優先事項が検討されている。従って、このような分野で事業を行っている事業者にお勧めしたいのは、サイバーセキュリティの脅威の状況を自分たちで把握することである。誤った安心感に陥り、政府の支援だけに頼ってはならない。
オーストラリア政府、OT/ICS サイバーセキュリティ、および/または情報共有コミュニティが、水道プラントを標的にした攻撃キャンペーンに気づいている。OT 自動化ベンダーの脆弱性を悪用する脅威行為者の具体的な意図を暴露する、侵害の指標などの強力なインテリジェンスがある。ここでの最大の課題の1つは、サイバーセキュリティの検出と対応能力は言うに及ばず、OT ネットワーク内で稼働しているデバイスの単純な可視性の欠如である。現実的に、このインテリジェンスを効果的に利用できる事業体がどれほどあるだろうか。
セクターベースのサイバーセキュリティ成熟度フレームワーク
少数の事業体は、成熟した能力を持ち、政府に必要なデータを自発的に提供し、その見返りとして実用的な集約情報を受け取ることができる。一部の事業体は成熟度スペクトルのもう一方の端に位置し、最初に独自の能力を構築する必要があるかもしれない。
重要インフラに含まれる産業は互いに大きく異なるため、このテーマは非常に重要である。
電力業界を除き、オーストラリアには業界特有のサイバーセキュリティの枠組みはあまりない。オーストラリア・エネルギー・マーケット・オペレーター(AEMO)は、オペレーターの自己評価を教育・促進し、協力と情報共有を可能にしている。我々は、NIST CSFと整合するAustralian Energy Sector Cyber Security Framework(AESCSF)に注目し、同様のアプローチの開発を奨励することを推奨する。これには、食品・食料品、運輸、水の分野で事業を行っている事業者が、自らの現状をよりよく理解できるようにするためのサイバー成熟度尺度を含めるべきである。
OT/ICS コミュニティが最近、公表されたICSのためのMITRE ATT&CKフレームワークを受け入れたことは注目に値する。この流れを続けよう!
サードパーティのリスクOT/ICS 自動化ベンダーと脆弱性管理
政府は、オーストラリアの重要システムが深刻化する脅威環境に直面しており、サプライチェーンのセキュリティ、制御システム、運用技術における脆弱性に対処する必要があるとの見解を示した。
事業者との最初の会話では、OT ネットワークの脆弱性発見とパッチ適用を重要なビジネス要件として議論 するのが一般的である。これは伝統的なITのアプローチを反映しており、OT 環境に対する理解不足を示唆している。
このような業界で活動する組織は、ネットワークやオペレーションの可視化など、その環境に適して実行可能な他のアプローチで、より優れた初期リスク削減を達成することができる。コスト効率に優れ、運用への影響も少ない。
OT パッチ管理プログラムを作成するには、それなりの課題がある。これには、パッチの進化の遅れ、分離されたリモート環境での展開、放置されメンテナンスされていないソフトウェアやハードウェア、脆弱性の開示、パッチの信頼性、アップタイム要件の欠如などが含まれる1。
IT部門の脆弱性特定・公表プログラムは、バグ報奨金プログラムを通じてクラウドソーシングされ、主要製品のセキュリティ体制を繰り返し改善してきた。このプロセスは時間とともに成熟してきた。ベンダーへの通知からパッチのリリースまでは、数週間から数カ月で完了するが、OT 、現在ではより長い時間枠を持つベンダーの状況については、同じことは言えない。
OT/ICS サイバーセキュリティ専門家:真のスキル不足
この論文に欠けている重要な要素は、スキル不足である。これはITサイバーセキュリティの分野ではすでに問題になっているが、特にOT 。
CISOとセキュリティ・オペレーション・センター(SOC)はITでは一般的だが、OT/ICSネットワークでは見られない。この論文とサイバー・イニシアチブを活用することで、政府は、従業員のトレーニングの重要性、役割の設定、優先的なアクションの提案に関する教育を提供することができる。
OT-サイバーセキュリティに特化したトレーニングコースは5,000ドルから10,000ドルで提供されており、政府は専門家がより多くアクセスできるように、容易に促進したり、補助金を出したりすることができる。
ACSC2 は現在、 重要インフラ産業におけるサイバーセキュリティ成熟度の向上を支援するためのリソースが限られている。このような業界向けに新たなリソースを創出する投資は、コンプライアンスを支援し、意識を高め、スキルギャップを埋める出発点となる。また、このような特殊な役割を担う適切なスキルを持つ人材の育成に投資するよう、民間セクターの業界を後押しすることにもなる。
過去2年半の間、私たちはオーストラリアの産業組織とだけ仕事をしてきました。何百もの導入と概念実証を経て、私たちは、資産、通信、ネットワーク・トポロジーが不明で、ビジネス・オーナーシップが欠如しているOT/ICS ネットワークを数多く見てきました。また、OT/ICS の専門家がネットワークとその動作を詳細に知っている例も数多く見てきました。このような専門家は、サイバーセキュリティのスキルセットを向上させる絶好の候補者です。
OT/IoT サイバーセキュリティの鍵はコラボレーションにある。
官民が共通の目標に向かって協力し、重要インフラと主権を保護するギャップを埋めるだけでなく、イノベーションを継続し、運用の信頼性を高め、サイバーセキュリティ能力を進化させることが、これまで以上に重要になっている。
オーストラリア政府は、規制の策定とサイバーセキュリティ能力への投資により、正しい方向に進んでいると確信している。しかし、重要インフラの現状をめぐる重要な検討事項と課題を整理した。
これは出発点に過ぎない。今、私たちは政府に対し、さまざまな重要インフラ部門をより深く理解し、私たちが克服すべき課題を確実に理解するよう求めています。革新的なサイバーセキュリティソリューションを生み出すために私たちがどのように協力しているか、さらにお知りになりたい方は、以下までご連絡ください。 ご連絡ください。.
このブログの原文は インテリジェントCIO APAC.このブログは、「国家的に重要な重要インフラとシステムの保護」と題されたレポートを参照しています。 レポート全文.しかし、全文をお読みになりたくない場合は、以下の3つのスライドで要約をご覧ください。 こちら.
参考文献
- 「米国国土安全保障省、2008年12月。
- 「重要インフラ」オーストラリア・サイバー・セキュリティ・センター。
