Loading
ブログ | サイバーセキュリティ
Recent ActivityRecent Activity

産業分野における新しいサイバーセキュリティコンプライアンス要件

Share This:

LinkedInLinkedIn
XX
FacebookFacebook
PrintPrint
EmailEmail
Abstract photo of building facade with greek columns and clouds in sky

2021年のコロニアル・パイプラインのランサムウェア事件を受けて、国土安全保障省(DHS)は、重要なパイプラインの所有者と運営者がサイバーセキュリティインシデントを発見してから12時間以内に報告することを義務付けるセキュリティ指令¹を発行しました。その後、同様の規定がすべての重要インフラの所有者および運営者に拡張されました。コロニアル・パイプライン攻撃から1年も経たないうちに、超党派の法案がバイデン大統領によって署名されて成立しました。

2022年のCIRCIA (Cyber Incident Reporting for Critical Infrastructure Act: 重要インフラストラクチャー向けサイバーインシデント報告法)²は、米国における報告要件の新時代を示唆しました。現在、重要インフラ分野で事業を展開している企業は、自発的に侵害を報告することが推奨されるのではなく、侵害を報告する必要があります。

この報告義務の強化は世界的な傾向です。政府は、サイバー犯罪の慢性的な過少報告を是正するために、公共部門と民間部門の両方にサイバーセキュリティ事件、データ盗難、身代金の支払いを開示するよう強制しています。これは一般的であり、安全な運用を維持する上で残念ながら危険を伴います。

Silhouette of two male engineers in hard hats standing at electricity station, discussing critical infrastructure and how to protect it from hackers.

産業部門における一か八かの影響

以前は、インシデント報告の影響力は脅威アクターに非常に有利に働いていました。公開情報源から潜在的な被害者について知ることはできましたが、標的となった組織は風評被害、世間への暴露、その他の報復を恐れてサイバー攻撃や侵害情報の開示に消極的でした。

インシデントの過少報告により、リスク認識が不正確になることがよくあります。特に本番運用においては、リスクの影響を正確に理解するために、サイバーインシデントの速度、量、巧妙さに対する十分な可視性がまったくありません。また、インフラが複雑なため、産業界では新しいプロセスやテクノロジの導入がすでに遅れているため、インシデント報告の遅れにより、適切な保護を実装するために必要な時間が2倍または3倍になる可能性があります。

このデータがなければ、組織のリーダは知らず知らずのうちにインフラを脆弱なままにしており、これらのサービスに依存している何百万もの顧客や国民も脆弱な状態にしています。一方、議員らは政策策定にそれほど注力していない。ウクライナ戦争が示すように、さまざまな犯罪者であれ、国家の軍隊であれ、サイバーセキュリティの脅威アクターの活動を可視化することが重要です。

CIRCIAの目的は、より迅速かつ効果的にインシデントに対応するための防御側の装備を強化し、より優れたマクロ洞察と保護を開発するために、情報共有の強化をサポートすることです。また、この法律により、脅威研究者と一般の人々が、現在のサイバーセキュリティリスクの真の大きさをより深く理解できるようになります。
 

CIRCIAの新しい要件

CIRCIAは、米国連邦政府との契約を結んでいない企業を含む重要インフラの所有者および運営者に対し、指定された期限内にサイバーセキュリティインシデントと身代金の支払いをサイバーセキュリティ・インフラセキュリティ庁(CISA)に報告することを義務付けています。

この規制では、重要インフラを広範に定義しています。大統領政策指令213で定義されているように、このカテゴリには、エネルギー、防衛産業基盤、ダム、上下水道システム、化学産業、重要な製造、輸送、原子力施設を含む16部門が含まれます。

これは、この規則がすべてではないにしてもほとんどのOT事業者に適用され、その規定がそれらの業界の組織をサポートするサービスプロバイダにも適用される可能性があることを意味します。

規制 – 保護付き

議会は、「重大なサイバーインシデント」とは具体的に何を意味するのか、対象となる組織がそのようなインシデントが発生したと「合理的に信じる」ためには何が必要なのかを含め、新しいCIRCIA規制について議論を続けている。現在の法律では、対象となる企業は以下の報告を義務付けられています。

  • 影響を受けた組織がインシデントが発生したと合理的に信じてから72時間以内に重大なサイバーインシデントが発生した場合
  • すべての身代金の支払いは、支払いが行なわれてから24時間以内に行なわれます。

これらの報告義務はすでに署名されて法律として成立していますが、CISAによって最終決定されるまで発効しません。最終規則は遅くとも 2025年9月までに公表されなければなりませんが、CISAはその日より前に策定して公表することを選択する可能性があります。

この法律はCISAに執行権限を与えると同時に、サイバーインシデントや身代金の支払いについて報告する組織に重要な法的保護も提供します。さらに、インシデントを報告する人は、リアルタイムで攻撃を阻止し、サイバー犯罪者を裁くために、FBIと米国秘密情報局から多大な支援を受けることが期待できます。

CIRCIAを超えて

CISAのCIRCIAは氷山の一角です。CISAに史上初の執行権限を与える4など、いくつかの点で画期的ではありますが、これは米国およびその他の国で新たに提案されているいくつかのサイバーセキュリティインシデント報告規則のうちの1つにすぎません。脅威が増大するにつれ、情報開示とサイバーリスク軽減に関するさらなる規則を制定するよう規制当局への圧力が高まることが予想されます。

例えば、証券取引委員会(SEC)5は、上場企業に対し、重大なサイバーインシデントの性質と範囲を開示し、それが企業運営に及ぼす影響を報告することを義務付けることを提案しています。連邦通信委員会(FCC)6および運輸保安局(TSA)[iv]も開示要件を提案または公表しています。

EUでは、セキュリティネットワークおよび情報システムに関する指令8が、他の多くの規制9とともに、重要インフラプロバイダーに違反を報告することを義務付けています。地球規模で、国連は個人データ保護とサイバーレジリエンスに焦点を当てた国際条約10の条件について議論しています。
 

どのように備えるか

ロックウェル・オートメーションのOTサイバーセキュリティ・コンサルティング・サービスのシニア・グローバル・マネージャであるカミル・カルマリは、OT事業者は「この進化し続ける脅威の状況において危機がより頻繁に発生する状況に加え、規制の監視を強化することに今から備える必要があります」と、説明しました。

カルマリはまず、リアルタイムの脅威検出、ネットワークのセグメンテーション、エンドポイントセキュリティ、パッチ管理、IDとアクセスの管理、インシデント対応計画または運用復旧に向けた関連プログラムなどの要素を含む、継続的なサイバーセキュリティプログラムの一部として適切な防御機能を導入することをお奨めします。生産回復に向けたプログラム。これらの機能は通常、コンプライアンスレポートに必要な文書を提供します。

OT事業者は、CISAのWebサイトにあるセキュリティ・インシデント・レポートのテンプレートについてもよく理解しておく必要があります。この簡単なフォームはここから入手できます。

法執行機関との強力な関係を構築することは、OT事業者が必要な場合に政府の援助を迅速に利用できるようにすることにも役立ちます。

 

1https://www.dhs.gov/news/2021/05/27/dhs-announces-new-cybersecurity-requirements-critical-pipeline-ownersand-operators
2https://www.congress.gov/bill/117th-congress/house-bill/2471/text
3https://obamawhitehouse.archives.gov/the-press-o􀅨ce/2013/02/12/presidential-policy-directive-criticalinfrastructure-security-and-resil
4https://federalnewsnetwork.com/cybersecurity/2022/03/from-partner-to-regulatory-enforcer-cisa-takes-oncomplex-cyber-incident-reporting-mandate/
5https://www.sec.gov/news/press-release/2022-39
6https://www.fcc.gov/document/chair-rosenworcel-circulates-new-data-breach-reporting-requirements
7https://www.dhs.gov/news/2021/12/02/dhs-announces-new-cybersecurity-requirements-surface-transportationowners-and
8https://digital-strategy.ec.europa.eu/en/policies/nis2-directive#:~:text=The%20Directive%20on%20security%20of,them%20to%20be%20appropriately%20equipped.
9https://www.enisa.europa.eu/topics/incident-reporting
10https://unric.org/en/a-un-treaty-on-cybercrime-en-route/

公開 2023年2月21日

トピック: サイバーセキュリティ

カミル・カルマリ
カミル・カルマリ
Global Commercial Manager, Cybersecurity, ロックウェル・オートメーション
カミル・カルマリは、ロックウェル・オートメーション Global Services 組織のGlobal Commercial Managerを務めています。産業IoTおよび製造技術分野における部門横断的なチームリーダーシップ、営業管理、人材開発、エグゼクティブコンサルティングにおいて15年以上の経験を有しています。
購読申込

最新ニュースと情報をお受け取りになるには、ロックウェル・オートメーションのメールマガジンの購読申込をお願いいたします。

購読申込
お客様へのご提案
Loading
  1. Chevron LeftChevron Left ロックウェル・オートメーションのホーム
  2. Chevron LeftChevron Left 企業情...
  3. Chevron LeftChevron Left ニュース
  4. Chevron LeftChevron Left ブログ
  5. Chevron LeftChevron Left 新しい産業用サイバーセキュリティ要件
本サイトのコンテンツは、人による確認や編集が行われず、人工知能(AI)によって翻訳されています。コンテンツには誤りや不正確な情報が含まれる場合があり、いかなる保証もなく「そのままの状態」で提供されます。 公式な文章は、コンテンツの英語版です。
を続行するには、クッキーの設定を更新してください.
この機能には、お客様の利便性を向上させるためにクッキーが必要です。これらのクッキーを許可するように設定を更新してください:
  • ソーシャルメディア・クッキー
  • 機能性クッキー
  • パフォーマンスクッキー
  • マーケティングクッキー
  • 全てのクッキー
いつでも設定を更新することができます。詳しくは{0}をご覧ください プライバシーポリシー
CloseClose