Cybersecurity and Infrastructure Security Agency (CISA: 公認情報システム監査人)は、重要インフラをアメリカ社会の基盤である必須システムおよびサービスとして定義しています。これらは我が国にとって極めて重要であり、もし機能不全に陥ったり破壊されたりすれば、国民の健康、安全、経済安全保障に悲惨な結果をもたらすことになります。
国土安全保障省(DHS)によると、私たちの重要インフラには、高速道路、連結橋やトンネル、鉄道、水や電気などの公共事業、食料供給、医療インフラ、建物、関連サービスなどが含まれます。私たちの経済的生存と日常生活は、これらの重要なシステムに依存しています。
CISAは、米国のサイバーセキュリティと重要インフラの脆弱性を軽減するために設立され、企業、コミュニティ、政府と協力して、主要部門の防衛力を強化し、サイバーおよび物理的な脅威に対する耐性を高めることを目的としています。
我国の重要インフラの安全確保にスポットライトを当てる
2021年前半、バイデン大統領は、特に重要インフラ産業における我が国のサイバーセキュリティ態勢の改善と近代化を目的とした大統領令に署名しました。
公共部門と民間部門の両方が、驚くほど高度で悪質なサイバー活動に直面しており、フィッシングのような複雑ではない攻撃も大幅に増加しています。
この大統領令に関するホワイトハウスのファクトシートには、次のように書かれています。「国内の重要インフラの多くは民間企業によって所有・運営されており、それらの民間企業はサイバーセキュリティ投資に関して独自の判断を下しています。我々は、民間企業が連邦政府に倣って、将来の事故を最小限に抑えることを目標に、サイバーセキュリティ投資を増強・調整するための野心的な措置を取ることを奨励します。」
この大統領令が我が国の重要インフラのサイバーセキュリティを強化する方法には、以下のようなものがあります。
- プロバイダに対して、政府のネットワークに影響を与える可能性のある侵害情報を共有することを義務付ける。
- サイバーセキュリティ安全審査委員会を設立し、サイバーインシデントを分析し、改善のための具体的な提案を行なう。
- サイバーインシデント対応のための標準化されたプレイブックを作成し、連邦政府各部門が脅威を特定し緩和するための統一されたステップを踏むことができるようにする。また、このプレイブックは、民間企業にも対応策の雛形を提供する。
重要インフラのサイバーセキュリティ保護へのステップ
アナリスト企業であるARC Advisory Groupは、最近、重要なOTシステムを保護するための要件について検討しました。彼らのその後の報告書には、産業界の企業に対する次のような中核的な提言が含まれています。
- OTのサイバーセキュリティ戦略を見直し、基本的な部分がカバーされていることを確認し、高度な攻撃にも対応できる組織であることを確信してください。例えば、設置ベースの倉庫管理はどれくらいの頻度で評価されていますか? どのような検出、緩和、バックアップ/リカバリのシステムが設計されていますか?
- 全従業員に対してサイバー・アウェアネス・トレーニングが実施されていますか? コントローラやデバイスのレベルで、どのような物理的または製品的なセキュリティ対策が実施されていますか?
- デジタルトランスフォーメーションの取り組みに、モノのインターネット(IoT)の機器、クラウドサービス、リモートワーカー、サプライチェーン、およびサードパーティのシステムに関連するリスクを低減するために、最初から適切なセキュリティが含まれていることを確認します。サイバーセキュリティの専門知識のギャップを埋めるために、サードパーティの採用を検討します。サイバーセキュリティの人材は、世界的に不足していることで知られています。効果的なインフラのセキュリティソリューションを迅速かつ正確に導入することが不可欠ですが、このような専門知識を持つコンサルティング会社が専門知識を提供することで、膨大な無駄な労力とコストを削減することができます。
重要インフラ産業におけるサイバーセキュリティの格差は解消されなければならず、多くの官民組織が緊急にこれらの問題に取り組まなければなりません。
利用可能になる助成金
2021年11月に議会は超党派で1兆ドルのインフラ法案を可決しました。インフラ法案の一部では、CISA、環境保護庁(EPA)、連邦緊急事態管理庁(FEMA)に数十億ドルの資金が提供される予定です。すべての資金は、州政府や地方自治体レベルも含め、国の重要インフラサービスを保護するためのサービスや補助金として使用される予定です。
例えば、電力網や上下水道システムがランサムウェアやその他のサイバー攻撃に対する防御を強化することを支援する規定があります。また、脆弱性評価、マルウェア分析、脅威の検出など、承認されたサイバーセキュリティ計画の提出に必要なステップを支援します。
助成金を受けるには、サイバー攻撃を検知し対応するための技術的能力とプロトコルを詳述したサイバーセキュリティ計画をDHSに提出し、審査を受ける必要があります。この計画には、一定の基準値を満たすことが要求されます。(詳細は、発表され次第お知らせします)。ロックウェル・オートメーションのサイバーセキュリティ評価および計画プロトコルは、効果的なサイバーセキュリティのためのNISTフレームワーク(Identify、Protect、Detect、Respond、Recoverのカテゴリ)に基づいており、論理的に開始する方法となるでしょう。
重要インフラのサイバーセキュリティ: 市民の責任
明らかに、政府と民間企業の両方が、重要インフラの運用におけるサイバーセキュリティのリスクを低減する時期に来ています。唯一の障害は、行動を遅らせることです。
ロックウェル・オートメーションは、インフラ投資・雇用法(Infrastructure Investment and Jobs Act)による助成金支給の実現に向けて、重要インフラ産業の支援に取り組んでいます。申請準備のための手順については、こちらをご覧ください。
