CISA Offering Free Cybersecurity Services to Non-Federal Critical Infrastructure Entities
2023/11/21 SecurityWeek — 米国の CISA 発表した新たなパイロット・プログラムは、サポートを必要とする重要インフラ事業体に対して、マネージド・サイバー・セキュリティ・サービスを提供するものだ。同機関は長年にわたり、連邦民間政府に対するマネージド・サービス・プロバイダーとして活動しており、標準化を実現するだけではなく、リスク低減とコスト削減を実現してきた。
そして、今回の発表で CISA は、サイバー・セキュリティのリスク低減を目指し、また、そのための支援を必要とする、連邦政府以外の重要インフラ組織に対しても、サイバー・セキュリティの専門知識とサポートを拡大することを明らかにした。
CISA は、「私たちが管理するサイバー・セキュリティ・サービスを、最も必要とする重要インフラ・コミュニティへ向けて拡大していく。それにより、このセグメントにおいて、進化する脅威環境への深い洞察が得られ、サイバー保護の共通基準が確立されていく。最も重要なものは、有害なサイバー・インシデントの頻度と影響を低減するための、費用対効果の高い方法である」と指摘している。
CISA が提供する商用シェアード・サービスが、重要インフラ事業体に提供されることになる。それに加えて、このパイロット・プログラムにより、CISA のサービス提供メカニズムのストレス・テストが実施され、このサイバー・セキュリティ・サービスを大規模に提供することの妥当性が証明される。
この展開の最初のステップとして、CISA のサービスは、医療/水道/教育機関に提供されているが、今年中に最大で 100の組織に対して、サービスを提供することが最終目標だという。
その一方で CISA は、重要インフラ・パートナーを対象とした会議や説明会を開催しており、そこで重要インフラ・パートナーのニーズと問題を理解しようとしている。さらに、CISA サービスに対する関心を評価し、よりスケーラブルなサポートを提供する方法を探っている。
CISA によると、脅威の進化と日常生活への大きな影響により、集団的なサイバー防衛の必要性が高まっているとのことだ。CISA のビジョンには、「支援を必要とする重要なインフラ事業体に対して、費用対効果と拡張性に優れた革新的なソリューションを提供する能力は、国家的なサイバー任務にとって不可欠である」と記されている。
このパイロット・プログラムの一環として、一連のサービスは無料で提供される。興味のある事業体は、各地域の CISA オフィスのセキュリティ・アドバイザーに連絡すべきである。
CISA と連邦政府の接点、そして、CISA と民間企業の接点を考える上で、KEV (Known Exploited Vulnerabilities) の運用が参考になると思います。この KEV は、連邦政府で悪用が確認された脆弱性のリストであり、その修正を命じるものですが、それがオープンにされることで、民間企業においてもエクスプロイト・リストとして、利用できるようになっています。おそらく、この KEV のようなかたちで、CISA のノウハウが民間に提供されるのだろうと推測しています。楽しみですね。
IoT OT Security News 
You must be logged in to post a comment.