今年初め、ホワイトハウスは、わが国の重要インフラのサイバーセキュリティを強化することを目的としたICSサイバーセキュリティ・イニシアチブを立ち上げた。このイニシアティブは、米国の電力サブセクターのための100日間行動計画から始まり、最近では石油・ガスパイプラインにまで拡大している。
このスプリントは、非常に短い時間枠で実行された高い注文であったため、いくつかの進展にもかかわらず、多くの電力会社のサイバーセキュリティへの取り組みが、勧告によって生じた混乱のために停滞していることは驚くべきことではない。
ICSサイバーセキュリティ・イニシアティブの目標は、"電気事業者の産業用制御システムにサイバー可視化、検知、対応能力を提供する技術とシステムを発展させること "である。そのために何が必要かを議論しよう。
米国の電気事業者に対するDOEの100日間行動計画
米国DOEは4月、電力会社のICSサイバーセキュリティを向上させ、エネルギー部門のサプライチェーンを保護するためのイニシアチブを開始した。100日間のスプリントでは、ICSネットワーク内のサイバー可視化、検知、対応能力を提供する技術やシステムの公益事業部門への導入を迅速に進めることに重点が置かれた。
DOEは最近の進捗報告書の中で、米国の人口の3分の1弱にサービスを提供している約150の公益事業者が、重要インフラの可視化、検知、監視を強化するサイバーセキュリティ技術を導入しているか、導入を約束していると指摘した。これらの電力会社の多くは、Nozomi Networks の顧客であり、政府のサイバーセキュリティ勧告を上回っている。それでも、3億2,800万人以上の米国人にサービスを提供している電力会社が3,000社以上あり、他のセクターでは取り組みが始まったばかりであるため、なすべきことは大きい。
そのため、CESER、CISA、および国家安全保障局(NSA)のサイバー部門は、電力サブセクター向けのICS監視技術を評価するための一連の検討事項を作成した。これらはここに掲載されている。
これらの機関によれば
産業制御システム(ICS)サイバーセキュリティ・イニシアティブの最優先事項は、所有者とオペレータが検出、緩和、フォレンジック能力を強化することである。
DOEのガイダンスによれば
- 米国政府は、このイニシアチブの一環として、特定の技術やプロバイダーを選択、承認、推奨することはない。すべての事業体は、システムの可視性を向上させる技術を導入し、その成果を政府パートナーと共有することが奨励される。
- 政府は、可能な限りあらゆるICS監視技術と情報共有を統合するために、事業体およびその他の民間セクターの利害関係者と協力する意向である。
- 各企業は、自社に最適な技術やプロバイダーを評価し、選択しなければならない。
- 17の評価検討項目は推奨事項であり、要求事項ではない。各企業は、どの検討項目が自社の状況に当てはまるか、どの技術が自社のニーズに最も適しているかを判断すべきである。
Nozomi Networks ソリューションは、重要な運用ネットワーク特有の要件を満たすために構築されました。エコシステム内の他のテクノロジーとの深い製品統合を実現し、ICSシステムに関連する高精度で実用的なインテリジェンスを提供します。
セキュア・ファースト・シェア・レイター - 電気事業とその他の重要インフラの安全な未来への鍵
情報共有の是非は長年にわたって激しい議論の対象となってきた。そのため、100日間スプリントがキックオフされたとき、情報共有にまつわる提言が誤解され、過剰に盛り上がったのは驚くことではない。 情報共有はDOEの勧告の一部ではあるが、義務化されたものではなく、長い勧告のリストの中の一つである。
情報共有は、共有される情報と同じくらい良いものである。組織が他者とのデータ共有を開始する前に、取り組むべき重要な領域がいくつかある。
第一に、最終目標に集中することが重要である。それはサイバーセキュリティの向上であり、コンプライアンス・ボックスにチェックを入れることではない。規制遵守は通常、成熟したサイバーセキュリティプログラムの副産物であり、最終目標ではなく、低いハードルであるべきです。強固な防衛戦略によって、セキュリティの向上に基づいて意思決定が行われるようになる。
第二に、データの真のソース(通常はICS監視ツール)が死角を残さず、正確で、監視対象システムに関する実用的なインテリジェンスを提供できることを確認することが重要です。たった1つのツールの設定ミスが正確なデータの流れを汚染する可能性があるため、早い段階でデータの完全性を維持することで、後で信頼できるようになります。産業用制御システムには特有の課題があるため、監視ツールがタスクに対応しているかどうかを確認することが、信頼性の高いデータを生成するための鍵となる。この段階でのミスは、後で大規模に共有された場合に悪化する。
第三に、データを強化し、充実させることは、即座に価値を付加し、情報漏えいの結果を軽減するのに役立つことさえある。これは、緊急事態/対応計画における重要な考え方であり、指令が取り上げている、チームプレーが真に注目されるところである。ICSソリューションがサイロの中でアラートを上げることは、よく組織化された全社的なサイバーセキュリティ対応よりもインパクトが小さい。ソリューションは、データに詳細を追加したり、侵害に対する自動応答を編成したりするなど、異なるテクノロジーが異なる価値を付加する製品エコシステムと統合し、そこに参加する必要がある。これはチーム・スポーツである...システム間でデータをシグナリングし共有することで、防御者はより少ないコストでより多くのことを行うことができ、また後で共有するデータの忠実度を高めることができる。
スプリントからゴールまで - 国のエネルギー部門を守ることはチームスポーツである
わが国の電力会社やその他の重要なインフラストラクチャーの安全な未来に関しては、ICSコミュニティ全体が協力して、防衛を強化する効果的なソリューションを導入しなければなりません。成功には、透明性、明確性、そしてチームワークが必要です。行政府からプラント・エンジニア、そして彼らが信頼するテクノロジー・ベンダーに至るまで、チームをひとつにして問題を解決することが、最善の方法なのです。
100日スプリントと安全保障指令は正しい方向への一歩だが、馬より車を優先させることは避けなければならない。情報共有について議論する前に、まず基本的なことに取り組まなければ、共有に費やしたエネルギーは実を結ばない。
参考文献
- ICS/OT サイバーセキュリティ監視技術に関する考察、energy.gov
- ガートナー・ピア・インサイト
