この記事は、TXOne NetworksのCEO、Terence Liuが執筆し、2024年2月29日にManufacturing.netに掲載されたものです。
目次
- 現在のOT/ICS規制の不均衡は業界全体のリスクを高めています。
- 変更の義務づけと促進
- 透明性の向上とコンプライアンスの強化
- 進化する脅威への備え
- TXOne製品情報
- おすすめ記事
- 連邦エネルギー規制委員会(FERC)は、エネルギー業界におけるサプライチェーンリスクをより適切に把握できるように、信頼性基準 CIP-003-9(サイバーセキュリティ – セキュリティマネジメントの制御)を承認しました。この新たな基準では、悪意のある通信が発生した場合にベンダーのリモートアクセスを特定して無効にする方法が示されており、電気系統のサイバーシステムとベンダーの間の相互作用をさらに可視化できるよう制御手法を拡大するものです。
- 運輸保安庁は昨年、サイバーセキュリティ指令を更新しました。特に、サイバーレジリエンスを強化するためのパフォーマンスベースの対策を中心に更新されました。
- 環境保護局(EPA)の新しいサイバーセキュリティファクトシートは、飲料水と廃水システムに関するサイバーセキュリティの強化に焦点を当て、ツールと資金調達の機会の両方を網羅しています。
さらに、米国政府は義務化にとどまらず、主要なインフラ事業者に新たなサイバーセキュリティ規制や基準を導入する際にインセンティブを与えています。FERCは、公共事業会社が先進的なサイバーセキュリティ技術に投資することを奨励しており、国土安全保障省((DHS)の州および地方サイバーセキュリティ助成金プログラム(SLCGP)もそのアプローチの一例です。「このプログラムは、資金が最も必要とされる場所、つまり地方公共団体に配分されるように設計されています。州と準州は、連邦政府からSLCGPの資金を受け取るためにその州行政機関(SAA)を使用し、その州の法および手続きに従って地方自治体に資金を配分します。」
透明性の向上とコンプライアンスの強化
インシデント、その影響、および管理策に関する詳細な情報を提供することは、より安全でレジリエントなデジタル環境を促進するために不可欠です。米国は、ここ最近、サイバー脅威に対する透明性、説明責任、および準備態勢を強化するために重要な措置を講じています。
たとえば、米国の重要インフラに関するサイバーインシデント報告法(CIRCIA)は、国家のサイバーセキュリティのレジリエンスを強化することを目的としています。この法律により、サイバーセキュリティ社会基盤安全保障庁(CISA)は、インシデント報告やランサムウェアの支払いに関する規制の実施、より迅速にリソースを配備した被害者の支援、業種横断的な傾向の分析、さらなる攻撃を回避するために重要な情報を共有する権限の付与、などが行えるようになっています。
CISAは、この法律について次のように話しています。「サイバーインシデントに関する情報が迅速に共有されれば、CISAはこれらの情報を活用して支援を行い、他の企業が同様のインシデントの被害に遭わないように警告を発することができます。この情報はまた、国土防衛の取り組みを支援できる傾向をつかむためにも重要です。」
同様に、新たに導入された米国証券取引委員会(SEC)の規制では、投資家がより良い情報に基づいた意思決定を行えるようにすることを目的として、上場企業に対し、自社が直面しているサイバーセキュリティリスクに関する包括的な情報を開示することを義務付けています。そこで定められた新たな要件には、企業はインシデントの発見から4営業日以内に、インシデントの特性と影響、さらに企業の対応策、サイバーセキュリティ管理ポリシーについて詳細に説明しなければならない、とあります。また、サイバーセキュリティに関するリスクの監督における企業の取締役会の役割についても、開示内容に含める必要があります。
進化する脅威への備え
北米以外の市場でも活発な動きが見られます。2024年10月までに施行予定の欧州連合(EU)全体のネットワークおよび情報システム(NIS)2指令は、化学、エネルギー、食品、製造、宇宙、廃水など幅広い分野の事業体にサイバーセキュリティの指針を拡大しています。
日本の経済産業省(METI)が発行した日本の経営者向け「サイバーセキュリティ経営ガイドライン Ver.3.0」では、企業の規模を問わず、「経営者は担当役員(CISOなど)に対し、サイバーセキュリティ対策を実施するよう指示すべきである」と示されています。また、アラブ首長国連邦では、ドバイサイバーセキュリティ戦略が更新され、リスクに対する積極的な保護対策を統合し、ドバイのデジタルエコシステムやスマートシティ構想に対応するように、技術インフラへの投資を促進しています。
世界各国の重要インフラを支える企業は、2024年以降、保護目標と運用継続性を維持する必要性のバランスを取りながら、OT/ICSサイバーセキュリティを強化すべく、新たに追加される要件や規制への対応が迫られます。幸いなことに、多国籍企業のコンプライアンスの負担を軽減するため、規制の簡素化に関心が集まっており、各国が国際基準に沿って連携しようとしています。
実際、企業は単なる規制遵守にとどまらず、ガバナンス構造やチーム能力の強化、高度なサイバーフィジカルシステムの脅威の検知と対応(CPSDR)の展開、サプライチェーンのリスク管理の強化などを同時に進める必要があります。DXが加速し、脅威の状況が進化する中、企業と政府は緊密に連携して重要インフラの可用性、信頼性、セキュリティを守る必要があります。
TXOne Networksの最新レポート「IT/OTの統合化がもたらす危機:2023年のOT/ICSサイバーセキュリティ」のダウンロードはこちら
IT/OTの統合化がもたらす危機:OT/ICSサイバーセキュリティレポート 2023
OT/ICSサイバーセキュリティレポートでは、TXOne NetworksがFrost&Sullivanと協力して2023年に収集したデータを分析し、現代の産業用制御システム(ICS)とオペレーショナルテクノロジー(OT)を取り巻く脅威動向の変化についてまとめています。
TXOne製品情報
セキュリティ検査
対象端末や資産へソフトウェアをインストールすることなく、デバイス検索で迅速に資産の完全性を確保。エアギャップ(オフライン)環境への攻撃防御とサプライチェーンセキュリティの向上を可能にします。
詳しくはこちら >
エンドポイント保護
TXOne産業用グレードの産業用制御システム(ICS)に特化したエンドポイントプロテクションの導入により、ICS環境下の各種設定を維持したまま安全を確保します。
詳しくはこちら >
ネットワーク防御
OT 環境に特化したネットワーク セグメンテーションにより、サイバー攻撃の影響を最小限に抑えます。仮想パッチ技術により、パッチが適用されていないレガシー端末の脆弱性を保護します。
詳しくはこちら >
CPS保護プラットフォーム
CPS保護プラットフォームは、この現実世界の情報と運用上のコンテキストを融合させることにより、より多くのセキュリティに関する知見を生み出し、未知の脅威と戦い、OT環境全体のセキュリティ態勢をより可視化することを可能とします。
重要インフラ業界のサイバーセキュリティ課題は常に変化しています。TXOneはお客様のサイバーセキュリティに関する課題について最適なOTセキュリティソリューションが提供できるよう、いつでもお手伝いさせていただきます。お問い合わせ内容を確認後、担当者より迅速にご連絡致しますので、お気軽にお問合わせください。
おすすめ記事
2024年前半レビュー:重要インフラ業界の主なOTセキュリティ課題と戦略的対応
2024年半期レビューとして、TXOne Networksの脅威リサーチチームが、重要インフラ業界におけるランサムウェアの攻撃手法について分析したことで見えてきた課題とその戦略的対策方法について説明します。
重要インフラサービスが、サイバー脅威に向けて今何を備えるべきか
このホワイトペーパーでは、人々の健康と生活にとって重要なインフラストラクチャにおける各業界を取り上げ、サイバーセキュリティによる障害が発生した場合に何が起こるか、またその防護方法について説明しています。
タグ
