CISA’s Strategic Plan Is Ushering in a New Cybersecurity Era
2022/11/30 DarkReading — 連邦政府が改めて示しているのは、サイバー・セキュリティに対する従来のアプローチは、すなわち予防と境界防御のみを前提としたアプローチは、失敗に終わっているという認識である。この2年間だけでも、76% の組織がランサムウェアの攻撃を受け、66% が少なくとも1回のソフトウェア・サプライ・チェーン攻撃を経験している。いまの米国において、サイバー・セキュリティのベストプラクティスを刷新する連邦機関である Cybersecurity and Infrastructure Security Agency (CISA) は、今日のダイナミックな脅威の状況に耐えるための、抜本的な変革が必要であることを強調している。
CISA は、サイバーセキュリティと重要インフラの保護に関する、国家的なアプローチの強化を任務としており、”我が国が直面する多様で動的な課題” に対処するための、4つの目標を概説した戦略計画を発表している。CISA Strategic Plan 2023-25 は、4年前に設立された同機関にとって初めてのものである。この計画は詳細に触れるものではないが、従来の予防や検知のアプローチから、回復力への移行が顕著に表れている。
CISA の第一の目標は、連邦政府のシステムを強化し、サイバー攻撃に耐える能力を満たすことである。連邦機関が維持すべきミッションは、サイバー攻撃やインシデントに備えて、そこから迅速に回復できるようにすると同時に、サイバー攻撃やインシデントの最中と、その後において、継続性を維持することである。
この目標を、サイバー脅威を積極的に検知する能力 (目標 1.2) よりも優先していることが、今日の優先順位を物語っている。CISAは、侵害の防止と検知を第一に考えるのではなく、侵害が発生することを認めているのだ。それは微妙な表現かもしれないが、劇的な発想の転換を意味する。サイバー攻撃や侵害が避けられないものと認識することによってのみ、その影響を効果的に軽減できるのだ。
予防から顕著なシフト
ファイアウォール/境界防御・検知といった概念は、サイバー・セキュリティの現状を表している。基本的には、ドットコム時代から採用されているのと同じ戦略である。しかし、この 10年間で、ハイパー・コネクティビティとハイブリッド・ワークが標準となり、攻撃対象が劇的に拡大した。過去3年間に私たちが目撃した、一連のランサムウェア攻撃や侵入事件 (Colonial Pipeline/Kaseya/SolarWinds など) から得られた痛切な教訓は、悪意ある者を排除することだけに焦点を当てるという、従来のソリューションやサイバー・アプローチでは、もはや十分な保護ができないということだ。
CISA の計画を、2021年5月にバイデン政権が発表した Executive Order on Improving the Nation’s Cybersecurity (連邦政府機関はゼロトラスト・アーキテクチャを導入する必要がある) と合わせて考えれば、現在において、最も重要なインフラを保護するには、デジタル侵入を完全に防止するよりも、継続した運用や、事前のリスク緩和、レジリエンスの確保などが重要であることは明らかだ。 実際のところ、CISA の戦略計画では、回復力 (resilience) という言葉が 30回も繰り返されている。
回復力により攻撃に耐えることは、想定侵入/最小権限および、決して信用せず常に検証するという概念と並んで、ゼロトラストの中核的原則の1つである。現実に、ゼロトラストは、ハイパー・コネクテッド/マルチクラウドおよび、高度なサイバー攻撃者が絶えず戦略を変更するという、現在の環境と脅威の状況に対する合理的な対応策である。
そして、ゼロトラストのツールやテクノロジーは、最初の攻撃対象領域を縮小し、攻撃がもたらす大きな影響を抑制するよう設計されている。たとえば、1つの侵入が広大なサプライチェーンの障害へと発展するのを、防ぐことも可能になるのだ。
真の変革の推進
CISA の計画は心強いものである。ひとつは、進むべき道がゼロ・トラストだと、政府が信じていることが認識されたことである。また、連邦政府のセキュリティ担当者が、サイバー・スペースにおける国家の強靭性を強化することに、真剣に取り組んでいることを示すものでもある。
今後も重要インフラが、デジタル敵対者の最重要ターゲットであり続けることを、私たちは知っている。FBI によると、2021年には米国の重要インフラ 649団体がランサムウェア攻撃を受け、米国の全重要インフラ部門の 90%近くが、ランサムウェアの攻撃を成功させてしまった。
それでも、悪魔は細部に宿る。CISA の計画は大まかな仕様を提示しており、目標/基準/期限を設定する必要がある。また、説明責任を果たす必要もある。
CISA の計画が、その目標を達成するためには、政府と民間の関係者の協力が不可欠である。また、それらの目標を達成するためには、継続的な資金とリソースの確保が必要となる。十分な財政と人材がなければ、政府機関には目標達成のための行動力はおろか、説明責任を果たすこともできない。CISA の目標は賞賛に値するものであり、正しい方向への一歩だが、資金の優先順位の明確なアウトラインがなければ、このような目標や計画を実現することは保証できない。
今日の最も困難なサイバーの課題は、ここに集約される。デジタルな堀や壁を作ることで侵入を防ぐというコンセプトが幻想であることは、歴史が証明している。現代の組織は、民間企業であれ公的企業であれ、必ず侵入される。必要なのは、侵入の阻止/End-to-End の可視化/官民の協力に重点を置くことだ。さらに説明責任を果たし、国家の回復力を高めるために、ゼロ・トラストに向けた動きを加速させる必要がある。
脆弱性管理は重要だが、それよりも回復力を優先するという、新しい CISA の指針が発表されました。この1年の CISA を振り返ると、KEV (Known Exploited Vulnerabilities) カタログなどの、具体性のある方向の提示が目立ちます。文中の「サイバー攻撃や侵害が避けられないものと認識すべき」と、「デジタルな堀や壁を作ることで侵入を防ぐというコンセプトが幻想」という言葉が、すべてを言い表しているように思えます。
IoT OT Security News 
You must be logged in to post a comment.