CISA の新たな役割:重要インフラのマッピングと攻撃に対する防御

CISA starts identifying targets most necessary to protect from hacking

2021/10/29 CyberScoop — 金曜日に、Cybersecurity and Infrastructure Security Agency (CISA) の Director である Jen Easterly は、ハッキングが生じた場合に、国家安全保障と経済的利益に深刻な影響を及ぼす可能性のある、米国の重要インフラをマッピングする作業を開始したと発表した。

このようなインフラにラベル付けを行うことは、米国議会の Cyberspace Solarium Commission の提案の対象であり、Systemically Important Critical Infrastructure (SICI) を特定することを推奨している。ここ数ヶ月、議員たちは SICI に関する法案を提出しているが、国土安全保障省の機関は法案の有無にかかわらず進めていると、Jen Easterly は述べている。

Center for Strategic and International Studies (CSIS) が主催するイベントで Easterly は、「この法案の成立の可否にかかわらず、このモデルについて、すでに検討している。いま、私たちは、重要なインフラが本来あるべき姿よりも、はるかに脆弱な状態にあると認識している。率直に言って、これが最も心配していることだ」と述べている。

CISA は、この取り組みを Primary Systemically Important Entities と呼んでいる。その基準は、CISA が重要インフラを調査する際に用いてきた、既存の方法に基づいており、リスク間の絡み合いについて検討するものだ。

Easterly は、「National Risk Management Center では、さまざまなアプローチを試作しており、システム的に重要な企業を特定するために、経済的中心性、ネットワーク的中心性、国家的重要機能における、論理的優位性に基づいて推進している」と述べている。

しかし、CISA が単独で行えることには限界がある。CISA は、議会を通さずにインフラの分類を始められるが、Cyberspace Solarium Commission の提案のもう一つの側面は、連邦政府による利益と負担を、ラベルを取得した企業に課すことだ。たとえば、必要な基本的セキュリティ基準への対応や、賠償責任に関する保護といったものを、法案で規定する必要がある。

下院国土安全保障委員会の共和党トップであるニューヨーク州選出のジョン・カトコ議員は、このような法案を提案しています。この法案では、重要インフラの所有者に対する負担を排除し、ラベル表示を開始して所有者と運営者に対するCISAサービスを優先することを提案しています。

House Homeland Security Committee の民主党議員は、John Katko の SICI 法案を支持する意向を示しているが、最近のマークアップ・セッションで委員会のリーダーが、この法案を見送ったことを、Katko は嘆いている。

この10月に、同委員会のサイバー・セキュリティ小委員会の委員長を務める、ニューヨーク州選出の Yvette Clarke 議員は、「Jen Easterly が SICI 法案で行っていることは、重要インフラへの絶え間ない攻撃に対処するための、強固なプロトコルを構築するために、私たちが集中して取り組むべき要素に集約されていると思う」と述べている。

CISA の理想的な予算

イースタリーは、CISA には、もっと大きな予算が必要だという Katko の主張に、Jen Easterly は同意している。現在、CISA の予算は $2 billion であるが、一部の政策立案者は増額を求めている。Katko は、CISA を $5 billion 規模の機関にする必要があるという。

Easterly は、「$5 billion 規模の機関になるかもしれない。CISA は極めて若い機関であり、改革を進めているため、その資金を吸収し、責任を持って効果的に執行する、すべてのプロセスを導入している。特に CISA では、州のサイバー・セキュリティ・コーディネーター、民間企業のサイバー・セキュリティ・アドバイザー、脆弱性管理/脅威調査/インシデント対応の専門家などの、重要な人材の雇用に資金を充てようとしている。現在、チーム構成の評価を行っているのは、個々の任務のようなものだ」と述べている。

インフラへの攻撃や防御に関しては、10月15日の「ランサムウェアと水道施設:米国における3件の SCADA Systems 侵害とは」や、10月11日の「Microsoft 警告:イランのハッカーが防衛産業にパスワード・スプレー攻撃」、10月4日の「カメレオンと呼ばれる新たな高度持続性脅威:日本を含む国々の重要インフラを狙っている」などが、最近のトピックとしてあります。カテゴリ Infrastructure もご利用ください。

%d bloggers like this: