CISA-2024 活動レビュー:重要インフラの防衛と国内外での連携の推進

CISA’s 2024 Review Highlights Major Efforts in Cybersecurity Industry Collaboration

2024/12/27 InfoSecurity — 米国 CISA の 2024年の活動を総括すると、”成長と変革の年” であったと、Jen Easterly 長官は振り返る。先日に公開された CISA の 2024 Year in Review の中で Easterly が強調したのは、各種の業界や、州および地方自治体の当局者、そして、選挙関係者コミュニティといったパートナーの信頼を、獲得して維持するための協働に、重点的に取り組んできたことである。なお、2025年1月20日に退任予定の彼女にとって、今回の Year in Review は、最後のレポートとなる。彼女のコメントにある通り、2024 Year in Review で照会されるのは、CISA と業界パートナーとの連携を強化するための、数多くの進行中/新規のイニシアティブである。

CISA の 2024年の実績

2,131件のランサムウェアの事前通知を発行

業界パートナーとの連携強化の1つが、CISA の PRNI (Pre-Ransomware Notification Initiative) である。このイニシアティブが開始されたのは 2023年3月だが、本格的に始動したのは 2024年からだ。この年だけでも、 CISA から 2,131件のランサムウェアに関する事前通知が送られ、プログラム開始から発行された通知の総数は、合計で 3,368件となっている。

CISA は、「PRNI の通知の送信先は、数百の幼稚園から高校までの学区や、州/地方/部族/領土に関する政府機関、そして医療/病院などの重要インフラなどである」と述べている。

約 1,300件のサイバー防衛関連の警告/勧告/製品を発表

CISA が発表したものには、約 1,300件のサイバー防衛に関する警告/勧告/製品がある。その中には、JCDC (Joint Cyber Defense Collaborative) を通じて発表された、58件の共同署名によるサイバーセキュリティ勧告/共同製品が含まれている。

CIRCIA (Critical Infrastructure Act) を公表

CISA は、サイバー・インシデント報告の改善にも取り組んだ。彼らは、強化された自主的なサイバー・インシデント報告リソースを公開し、重要インフラに関するサイバー・インシデント報告法 (CIRCIA:Critical Infrastructure Act) の規制案 (NPRM:Notice of Proposed Rulemaking) を発表した。この規制案には、CIRCIA 規制プログラムを実施するための、CISA による提案が盛り込まれている。

攻撃面積が広く脆弱な分野におけるセキュリティ強化

また、標的面積が広くサイバー攻撃に対して脆弱な分野である、上下水道/医療/教育などのセクターにおけるサイバー・セキュリティの強化も行われた。この取り組みは、EPA (Environmental Protection Agency)/K-12 Community/HHS (Health and Human Services) との連携による、さまざまなイニシアティブへと発展していった。

その他にも、2024年の CISA は、他のイニシアティブを通じて、以下の成果を上げている:

  • 1200 台以上の脆弱なデバイスの緩和
  • 連邦政府機関を標的とする 12億6000万件の悪意の接続に対するブロック
  • 861件以上の脆弱性の修正
  • 427件の脆弱性に関するアドバイザリの作成
  • 845件の脆弱性に関する情報開示の調整
  • $400k 以上の省庁間資金を活用する、15カ国以上/150人以上の国際的な参加者が、45件以上の能力開発に貢献
Secure by Design

2023 年には Secure by Design プログラム も開始されている。この試みは、MFA (Multifactor Authentication) の利用拡大/脆弱性の低減/セキュリティ・パッチの導入拡大などを掲げるものだ。

この取り組みも 2024年に活動が拡大し、以下のような取り組みが実施された:

  • 250社のソフトウェア・メーカーに対して、企業向けソフトウェア製品とサービスを対象とする、自主的な誓約 Secure by Design Pledge への参加を促した。
  • ソフトウェア・メーカーにおける、自社製品のセキュリティ確保のロードマップとして、上記の誓約を推奨するよう、NSA/FBI および 14 カ国のパートナーに働きかけた。
  • 3つの基本原則を盛り込む、最新のガイドを発行した。この基本原則に取り込まれたのは、顧客のセキュリティ結果に対する責任、および、徹底した透明性と説明責任の受け入れ、経営陣による推進である。
  • 技術メーカーに対して、実行可能な推奨事項を提供し、また。メモリ・セーフに関するロードマップ採用の指針を提供した。
  • ソフトウェア購入者向けの Secure by Design ガイドを公開した。このガイドには、顧客がベンダーに質問できる事項が列挙されている。さらに、顧客である組織にとって、それぞれのセキュリティ要素が重要である理由を説明している。

2024 Year in Review において CISA は、「ソフトウェア・メーカーとテクノロジー・ユーザーの間において、意識を喚起し行動を促す取り組みを、2025年以降の取り組みとして継続的に拡大していく。また、教育のコミュニティのコースにおいて、コンピュータ・サイエンスとプログラム・コーディングを組み込む方法を模索し、Secure by Design を優先する人材を育成する。さらに、ソフトウェア・セキュリティに影響を与える経済的要因への理解を促し、脆弱性の根本原因への理解を高めるための、洞察力の底上げを推進していく」と述べた。

Cyber Storm 演習

2024年の CISA における、もう一つの重要な成果として挙げられるのは、Cyber Storm 演習である。この演習の目的は、海外の政府が関与すると推測される、悪意の活動が引き起こす重大なサイバー・インシデントに備えることにあり、そのために、政府や業界のパートナーを支援するものである。

2024年4月には、 3日間にわたる Cyber Storm IX が実施された。この演習で焦点が当てられたのは、食料/農業の重要インフラ分野に影響を及ぼすクラウド・ベースの脆弱性であり、国家によるサイバー・セキュリティ脅威が例題シナリオとして採用された。この演習には 2,200人以上の参加者が集まったが、その内訳は、35 の連邦政府機関および 13 の州と、12の重要インフラを代表する 100社以上の民間企業、11 の連携国で構成されている。

この取り組みは、CISA が米国の組織を支援するものであるが、APT (advanced persistent threat) への防御準備を整える方法の、ほんの一例に過ぎない。2024年における CISA 焦点は、主として中国の脅威アクターに向けられている。米国の公共/民間セクターに対する、最も活発で持続的なサイバー脅威は、中国由来の APT であると、米国政府は述べている。

選挙インフラのセキュリティ

2024年の CISA における、もう1つの重要な焦点は、11月の大統領選挙の安全確保であった。選挙インフラは、2017年より米国の重要インフラの一部となっており、セキュリティ/レジリエンスを確保する役割が、CISA に求められている。同局の業務には多くのセキュリティ手順が含まれるが、その具体的な内容として挙げられるのは、セキュリティ・トレーニングの提供/選挙に関わる組織のセキュリティ対策への支援/IT システムの監査などである。

選挙インフラのセキュリティ強化の一環として、2024年初頭に CISA が開設したのが、#Protect2024 ポータルである。この Web サイトは、同局が提供する選挙セキュリティ関連のガイダンス/公開情報などの、中心的なハブとなっている。

Easterly 長官をはじめとする、CISA のリーダーシップ・チームのメンバーたちは、2024年を通じてオンラインで積極的に情報発信を行い、選挙インフラの安全確保へと向けた CISA および米国政府の取り組みについて、広く伝え続けてきた。

#Protect2024 は、その開設から 235,000回以上の閲覧を記録している。このサイトでは、17件の新しいセキュリティ・ガイダンス製品が提供され、また、外国政府による選挙インフラへの攻撃に対する、CISA/FBI/ODNI (Office of the Director of National Intelligence) の共同声明6件が公開された。

2025年以降を見据えて

2023年10月29日に CISA が発表したのは、同局にとって初となる International Strategic Plan である。この戦略の目的は、重要インフラのセキュリティとレジリエンスを向上させるために、国際的な関係を深化させることにある。また、この戦略は、CISA の国際的な取り組みを 2026年までのスパンに集中させ、指針を提供するものになる。

CISA にとって、最も連携が必要だとされる分野の1つが、AI システムのセキュリティである。

2024年8月の時点において、CISA は Chief AI Officer の役職を設置し、11月の時点では、国家安全保障のための AI リスクテスト・タスクフォース (TRAINS:Testing Risks of AI for National Security) に参加している。その後に CISA は、「AI レッドチーム演習のための、ガイドライン/ベスト・プラクティス/コラボレーション・モデルについて、オーストラリア/カナダ/ニュージーランド/英国などの、国際パートナーとの提携を継続的に模索していく」と述べている。

退職の挨拶として Jen Easterly は、連携の強化について述べている。政府/産業/学術における国際的なパートナーは、情報共有と重要インフラの保護のための、適切な措置の実施において連携すべきだというのが、彼女の主張である。

彼女は、「新たなリーダーシップの下で、CISA が 2025 年にどのように進化し、使命を果たしていくのかを楽しみにしている。今後において、さらに激化すると予想される脅威に対応するために、私たちは強力で有能な基盤を築いてきた。その一方で、変化する地政学的および技術的な環境に適応するために、柔軟で革新的な思考を維持し、今後の数年間における新たな課題と機会に備えていく」と締め括っている。

この数年における CISAの は、とても上手く機能していたと感じます。個人的には、CISA KEV の推進と、 Secure by Design の展開が気に入っています。Jen Easterly が留任しても良いのではと思いますが、そうならないのが、米国の政権交代の仕組みです。よろしければ、リストをご参照ください。

2024/11/19:CISA 長官 Jen Easterly の退任:トランプ新政権の人事刷新
2024/12/24:トランプ 2.0 と CISA の確執を紐解く:何が継続されるのか?