ホワイトハウスは4月30日、国家安全保障に関する覚書-22(NSM-22)を発表した。この覚書は、国土安全保障省(DHS)に「米国のインフラを安全にするための政府全体の取り組み」を主導する権限を与え、サイバーセキュリティ・インフラ庁(CISA)に「セキュリティとレジリエンスのための国家コーディネーター」として活動するという新たな役割を課すものである。CISAはまた、「国家の最も重要な資産やシステムを狙う敵対者に対して、しばしば最初の防衛線となる」と認識されている重要インフラの民間所有者や運営者だけでなく、政府機関ともより密接に関与するよう、米国情報機関に指示している。
以下は、公的機関と民間企業の双方にとっての重要な要点である。
国家重要インフラ覚書の概要
NSM-22は、技術の進歩、脅威の進化、地政学的緊張の高まりを踏まえ、長い間更新の時期を迎えていた重要な政策文書の更新である。2013年にバラク・オバマ大統領が署名した「大統領政策指令21:重要インフラのセキュリティとレジリエンス」(PPD-21)に代わるものである。
大統領覚書と政策指令は、どちらも大統領行政命令(EOs)の一種であり、行政府内の各省庁のルール作りの優先順位を示すものである。そのため、メモランダムには、13の具体的な行動が与えられている各省庁そのものにのみ期限が適用される。他のEOと同様、NSM-22は他の政策や優先事項を受け入れる将来の政権によって覆される可能性がある。
2013年以降、世界は大きく変化している。中国のハッキング集団であるボルト・タイフーンは、将来の攻撃のためにアメリカの水道、エネルギー、通信ネットワークに根を張っている。
NSM-22 主要な権限と行動
PPD-21は、16の重要インフラセクターを定義し、各セクター内の活動を調整するための対応するセクター・リスク管理機関(SRMA)を創設した点で重要であった。また、これらのセクターを保護するための情報共有と協力に対する期待についても概説した。
この新しい覚書は、PPD-21で打ち出された基本方針をベースにしているが、いくつかの重要な点で、それをさらに発展させたものとなっている:
- この覚書では、運用技術(OT )や産業用制御システム(ICS)について特に言及していないが、ITやインターネットとの接続が進んでいるため、国家やその他の脅威主体からの脅威にさらされやすくなっていることを認めている。重要インフラに対するIT攻撃は、サイバー攻撃と物理的攻撃の両方として扱われなければならない。
- PPD-21から5年後の2018年に創設されたCISAは、重要インフラを保護し、回復力を構築するための努力を調整し、指揮する責任を負っている。これは、OT 、IoT BOD 23-01を確保するためにCISAがすでに実施している方針と一致している。
- 重要インフラのセキュリティと回復力に関する最低限の要件と効果的な説明責任メカニズムを確立する」ために、連邦規制機関に「既存の自主的な合意基準を活用する」よう指示することで、ルール作りの段階を設定する。
- CISAに対し、その混乱が国家安全保障、公衆衛生、安全に重大な影響を及ぼす可能性のある重要インフラに優先順位をつけるよう指示。具体的には、CISAはシステム上重要な事業体(SIE)の非公開リストを特定・管理し、リスク軽減のための情報や業務リソースを優先的に提供しなければならない。
- セクター別のリスク管理計画を発行し、セクター内およびCISAとの活動を調整するSRMAの役割をより明確に定義した。
重要インフラの所有者および運営者にとっての留意点
新たに指定されたSIE以外の重要インフラ企業は、直ちに影響を受ける可能性はない。しかし、NSM-22は、これらのセクターのオーナー・オペレーターに対する規制へと大きくシフトしている。自主基準から強制遵守への移行は、連邦規則策定では一般的なことである。DHSの中では、TSAがサイバーセキュリティ指令を出すことで規制監督を行う唯一の権限を持っており、その権限を使って空港、パイプライン、石油・ガス、鉄道に指令を出した。 今後1年半の間に、他の重要インフラ部門にも同様の指令が出されることが予想される。Nozomi Networks プラットフォームは、TSAセキュリティ指令の要件に沿った資産目録、脆弱性マッピング、継続的なセキュリティ監視を提供する。
規制上の理由ではなく、ビジネスのためにサイバーフィジカル防御を強化する
重要インフラの民間および公共/民間の運営者向けに、いくつかの新しい規則や規制が準備中であり、その一部は本覚書に関連する。NSM-22は、米国土安全保障省(DHS)が提案した、重要インフラの所有者および運営者に対するサイバーセキュリティ・インシデント報告の義務化に関する規則や、AI支援攻撃に対する重要インフラの安全確保に関する同省のガイドラインに続くものである。
新規制の影響を理解し、対策を講じ、重複する義務に準拠することは、コストと労力を要する。NSM-22の施行とアカウンタビリティのキックオフに伴い、組織は、可能な限り小さなインパクトで、安全に投資を行い、実行し、オペレーションに統合することを確実にしなければならないという大きなプレッシャーに直面することになる。守備側が不足する可能性があるのは、ほとんどの場合、リソースの不足によるものであり、より多くの説明責任やガイダンスが必要だからではない。注目すべきは、NSM-22が最前線にいる人々のための追加的なリソースについて言及していないことだ。その資金は、財布の紐を握っている議会から提供されるかもしれない。
結局のところ、重要インフラの所有者は、資産を保護し、運用の継続性を維持し、公的使命を果たすために、サイバー・フィジカル防御を強化しなければならない。そうしない場合の結果は規制的なものではなく、物理的、財政的、風評的なものである。
以下は、重要インフラ所有者を支援する2つの追加リソースである:
