CISA Updates Infrastructure Resilience Planning Framework
2022/11/23 SecurityWeek — 今週に米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Infrastructure Resilience Planning Framework (IRPF) に対して、新しいツールとガイダンスを追加することを発表した。2021年に初版がリリースされた IRPF (PDF) は、進化する脅威に直面する SLTT (State/Local/Tribal/Territorial) 団体を対象とし、重要インフラの安全性と回復力を計画に含めようとするものだ。なお、IRPF は、あらゆる組織の回復力を改善する計画に、利用することが可能である。
このフレームワークの目的と役割は、インフラの回復力から地域社会が得る利益について、理解を深めコミュニケーションを図る点にある。具体的に言うと、脅威と危険からの影響の特定および、進化する脅威と危険に対する関連組織の準備、重要インフラの安全性と回復力を計画/投資の意思決定への組み込み、そして、破壊から迅速な回復にとって有用なものとなる。
CISA の説明によると、更新された IRPF には、重要インフラ識別のためのデータセット・ガイドという形で、それらを識別するための新しいツールが含まれているという。
CISA は、「このデータセットは、HIFLD (Homeland Infrastructure Foundation-Level Data) などを含む、いくつかの GIS サイトを通じて、重要インフラ資産に関する一般公開の地理空間情報システム (GIS) を見つける方法と、その場所に関するガイダンスをユーザーに提供する」と説明している。
今回、更新された IRPF は、計画の策定時に多様な意見を取り入れる際の、課題に関するガイダンスも提供している。このガイダンスでは、多様な意見や利益確実に考慮されるようにするための、適切なステークホルダーの招集方法についても説明されている。
CISA の National Drought Resilience Partnershipは、更新されたフレームワークの一部として、干ばつの危険に関する概要と、インフラシステムへの影響の例、干ばつリスクの評価/軽減に利用できる連邦政府のリソースなどのガイドを含む、干ばつ回復力に関する情報を提供している。
IRPF には、回復力の概念の改訂も含まれている。CISA の Methodology for Assessing Regional Infrastructure Resilience を取り入れることで、地域社会のインフラシステムに対する計画者の適切な理解に役立つ、分析手法の詳細を提供している。
CISA の Infrastructure Security Director である David Mussington は、「IRPF の更新に反映されているのは、将来の脅威や危険への対処方法を計画立案者が適切に理解し、事故への対応と復旧に備えるのに役立つ項目だ。業界や省庁間のパートナーとの協力的なアプローチにより、CISA は IRPF を改善できた。これは、SLTT 計画コミュニティのリスク低減と回復力の強化に役立つ」と述べている。
CISA には、IRPF (Infrastructure Resilience Planning Framework) というものがあるのですね。最近の KEV (Known Exploited Vulnerabilities) や、SSVC (Stakeholder-Specific Vulnerability Categorization) などの動きを見ていると、IT セキュリティの組織だと勘違いしそうになりますが、CISA の “I” は、Infrastructure の ”I” なのだと、再認識する IRPF 関連の発表です。よろしければ、2022年1月3日の「安全なスマートシティ:IoT のインフラとリスクの関係を整理する」なども、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.