シールドアップ」を研ぎ澄ます:CISAが重要インフラサイバーパフォーマンスの目標を提示し、意思決定、支出、行動の優先順位を決める

シールドアップ」を研ぎ澄ます:CISAが重要インフラサイバーパフォーマンスの目標を提示し、意思決定、支出、行動の優先順位を決める

今月、全米サイバーセキュリティ意識向上月間にちなみ、バイデン大統領は、連邦政府および国家全体で米国のサイバーセキュリティを強化するための、新たかつ永続的な取り組みを発表した。バイデン大統領は、コネクテッド・テクノロジーの中で、またテクノロジーに依存する重要インフラ部門全体でレジリエンスを構築する必要性を認識し、「私たちのコンピューター・システムやネットワークを破壊、破損、または情報を盗むことによって、彼ら(脅威行為者)は、電力網や燃料パイプライン、病院や警察、企業や学校、そして米国人が信頼し、毎日頼りにしている他の多くの重要なサービスに影響を与える可能性がある」と警告した。

その一環として、Cybersecurity and Infrastructure Security Agency(CISA)は、重要インフラ事業者がサイバーセキュリティの成熟度を測定し、改善するための非強制的ベンチマークガイダンスを発表した。分野横断的なサイバー・パフォーマンス目標(CPGs)は、特に運用技術と産業制御システムに言及し、リスク低減の価値が知られている重要インフラ全体に適用可能なサイバーセキュリティのベースライン実践の最小セットとして機能する。

CISAが説明するように、「これらの自主的なセクター横断的サイバーセキュリティ・パフォーマンス目標(CPGs)は、重要インフラのための基本的なサイバーセキュリティ対策の共通セットの確立を支援することを意図しており、特に中小規模の組織がサイバーセキュリティ対策を開始するのに役立つ。ベースラインは、達成可能で、持続可能で、網羅的であることを意図している。このブログでは、ガイドラインの概要、ガイドラインが解決する問題、そして組織でガイドラインを効果的に使用するためのアドバイスを提供します。

重要インフラのサイバーセキュリティ強化

インターネットやアクセス可能なネットワークへの重要資産の接続性、安全でないリモート接続、複雑でジャストインタイムのサプライチェーンなど、個人、チーム、企業、各部門は競合する優先事項に苦慮している。データ・セキュリティに重点を置くべきか?ネットワークセキュリティ?デバイスとエンドポイント?セキュリティは、クラウド導入や自動化プロジェクトの前なのか、最中なのか、それとも後なのか。目標を共有し、日常生活のあらゆる面でテクノロジーへの依存が認識されているにもかかわらず、課題や制約が既存のセキュリティフレームワーク、推奨事項、ベストプラクティスの活用を妨げることがある。

その出発点として、CISA CPGはNISTサイバーセキュリティ・フレームワーク(CSF)を実証的に実施する方法を提供する。CPGは、米国国立標準技術研究所(NIST)のサイバーセキュリティ・フレームワーク(CSF)を補完するもので、重要インフラの所有者や運用者がサイバーセキュリティの成熟度を測定し、改善することを可能にする。CPGは、既知のリスクや敵対的手法の可能性と影響を低減するための組織の活動を標準化して評価するものです。

CPGは、コントロールとプラクティスによって構成されており、関連するチェックリストによって、重要インフラの資産所有者とエンドユーザーが、C-Suite、IT、OT チームに共鳴するいくつかの異なる方法で、CPGに取り組み、評価することができるようになっている。スコープには、IT保護、OT 資産、全従業員、ポリシー、チームやリーダーのサブセットが含まれます。コストは、主観的なものではあるが、コントロール全体にランク付けすることができる。ビジネスへの影響度によって整理されたコントロールは、低から中、高へと優先順位をつけることができる。コントロールの適用や微調整の難易度という意味での複雑さも、低から中、高へと整理し、優先順位をつけることができる。

CISAのCPGが対象とする統制:

アカウント・セキュリティデバイス・セキュリティ
データ・セキュリティガバナンスとトレーニング
脆弱性管理サプライチェーン/サードパーティ
対応と回復その他

CPGは、貴重な資源、サービス、製品の供給と維持を担う重要な部門間で、資源、専門知識、出発点に大きな違いがあることを認識している。これらは、2023-2025年CISA戦略計画で概説された最優先事項と一致している:ソフトウェアとハードウェアがセキュリティを最優先して設計・構築される未来に向けて推進する。この未来では、技術製品は、セキュリティを優先し、デフォルトで強力な制御を保証し、悪用可能な脆弱性の蔓延を低減する方法で設計・開発されなければならない。

CISAの広範な戦略計画では、4つの主要目標と19の全体的な目標が示されており、これにはセキュリ ティ上の意思決定を導くための分野別基準・勧告の展開も含まれる。同計画では、「運用技術(OT )と産業制御システム(ICS)は、混乱がもたらす影響の高まりと、特定のセキュリティ管理を大規模に展開することに関連する課題のため、特に焦点を当てる必要がある独自のリスクをもたらす」と指摘している。Nozomi Networks 16の多様なセクターにわたる複雑でダイナミックなセキュリティ環境を調整する米国政府の努力を称賛する。

すべてのセクターでサイバーセキュリティのギャップが明らかになり、変更管理の方向性が見直され、産業サイバーセキュリティへの投資が拡大する中で、全体的なサイバーセキュリティのカバーが推進され続けている。CISA の CPG に概説されている管理策をカバーする重点的な投資は、主に 4 つのカテゴリーに分類される:

  • カテゴリー1 - ネットワークの可視性: ネットワーク・アクティビティがリアルタイムで監視されていない場合、資産のステータスはほとんど不明であり、脆弱性があろうとなかろうと、日々の機能に必要な可視性がなければ、これらの資産を保護することはできない。
  • カテゴリー2 - 脆弱性管理: 脆弱性がシステムの完全性と可用性に影響を与える度合いは、技術、展開、構成、環境によって異なる。
  • カテゴリー3 - サイバーThreat Intelligence:OT 、ICSを標的とする脅威 者は、ターゲットに混乱や損害を与えるような能力と脆弱性を完璧に調合しようとする。それは、日和見的であったり、高度に調整されたものであったり、あるいはその両方が混在したものであったりする。
  • カテゴリー4 - 状況認識の欠如:複数のベンダーのシステムや統合により、コンポーネントや接続は増え続けている。単に大量のデータを保有・保存しているだけでは、リスク軽減戦略には役立たない。

これら4つのカテゴリは、重要インフラ資産所有者のサイバーインシデントによる影響の深刻度を軽減する能力を評価するために考慮すべき弱点を明らかにしている。運用技術への影響の深刻さを軽減することに直接関係する上位5つのCPGプラクティスと関連する目標は以下の通りである:

  • 2.3 資産のインベントリ既知の資産、未知の資産(シャドー資産)、および管理されていない資産をより適切に識別し、新たな脆弱性をより迅速に検知して対応する。
  • 2.5 デバイス設定の文書化組織に対するサイバー攻撃をより効率的かつ効果的に管理、対応、回復し、サービスの継続性を維持する。
  • 4.2OT サイバーセキュリティのリーダーシップ: OT の資産を持つ組織内において、OT- 特定のサイバーセキュリティに責任を持ち、説明責任を負うリーダーは一人である。
  • 5.5 公共インターネットへのOT 接続を制限する:公衆インターネットに接続されたOT 資産を敵対者が悪用または妨害するリスクを低減する。
  • 8.1 ネットワークのセグメンテーションIT ネットワークを侵害した後、敵対者がOT ネットワークにアクセスする可能性を低減する。

サイバーセキュリティは微妙なバランスの上に成り立っている。成熟したサイバーセキュリティプログラムは、セキュリティ・ポリシーを実施し、セキュリティ情報を見直し、よりレジリエントなデジタル・ターゲットを構築するために、人材、ツール、プロセスに投資する。CGPは、資産所有者と組織がサイバーセキュリティのポリシー、実践、成熟度について考え、優先順位をつけるための出発点となる。