ウクライナにおけるサイバー戦争の活発化に伴い、米国政府機関と重要インフラのサイバー対応に関する議論が再び活発化しました。Trellix Cyber Readiness Reportは、高度なサイバー防衛技術と実践の適応、官民パートナーシップの認識、特に最近ではかつて伝統的にCIP (critical infrastructure provider, 重要インフラプロバイダー)と考えられている公的企業と民間企業全体において国家政府が持つリーダーシップの役割について調査を実施し、詳細に報告しています。
注目すべきは、この報告書の調査で、米国政府機関の回答者は、国家のサイバーセキュリティの改善に関する米国大統領令(EO 14028)が求める5つのソリューションのうち4つの実装において、地域(州および地方)政府および民間企業の重要インフラ同業者をリードしていることが明らかになったことです。
米国政府がこの(あるいは他の)技術分野で民間企業をリードすることに驚く人もいるかもしれませんが、米国国土安全保障省のCISA(Cybersecurity and Critical Infrastructure Security Agency )が今日広く定義しているように、この数十年間、サイバーセキュリティのみならず情報技術への投資が不十分だったセクターがCIPに含まれているという認識を持つことが重要です。
このブログでは、従来から他の CIPに遅れをとっていた石油・ガス業界のレポートに焦点を当てます。昨年、米国とヨーロッパにおいてサイバー攻撃の被害が拡大したことについてご紹介します。この攻撃は、重要インフラストラクチャのカテゴリー全体におけるサイバーセキュリティ強化の必要性について、世論を喚起しました。
サイバーディフェンス導入の現状
石油・ガスセクターの調査回答者のうち、多要素認証(MFA)を導入完了しているとした回答者はわずか25%でした。米国のCIP全体の37%、米国政府機関の47%と比較すると、その差は歴然としています。
EDR-XDRを部門にとって極めて重要、または非常に重要なサイバーセキュリティの優先事項としていたのはセクターの回答者の85%です。クラウドサイバーセキュリティの近代化(83%)、ゼロトラスト(80%)、MFA(78%)、ソフトウェアのサプライチェーン管理のポリシーとプロセス(73%)が続きました。
米国の全調査回答者の35%が、EDR-XDRソリューションを開発、実装、デプロイを完了していると回答しており、これは米国のCIPと同レベルですが、米国政府機関(38%)には及ばない結果となっています。
クラウドサイバーセキュリティのモダナイゼーションにおいて、完全にデプロイしていると回答したセクターの回答者は43%で、これは米国のCIP(41%)ではほぼ普通で、米国政府機関(29%)を大幅に上回ります。
しかし、ゼロトラストの機能を完全にデプロイしている回答者はわずか20%で、これは米国CIPの同業他社(29%)や米国政府機関の同業の組織(40%)に大きく遅れをとっています。
セクターの回答者83%が、クラウドサイバーセキュリティのモダナイゼーション(80%)、ゼロトラスト(73%)、MFA(58%)よりも、EDR-XDRの実装が非常に困難である、または難しいテクノロジーであると評価しています。
この分野の新しいサイバーセキュリティソリューションの導入においては、社内のスタッフリソースの不足が大きな障壁となっているようで、回答者の55%がこれを重要な課題として挙げています。次いで、入札・応札プロセス(48%)、投資の必要性を認識するリーダーの不足(43%)、信頼できるベンダーパートナーの不足(35%)、予算不足(30%)、導入の専門知識の不足(28%)となっています。
ソフトウェアサプライチェーンのリスク管理
石油・ガス業界の回答者のうち、この分野で適切なソフトウェアサプライチェーンリスク管理プロセスおよびポリシーを完全に導入していると回答したのはわずか35%でした。83%は、これらの対策はEDR-XDRソリューションの導入に次ぐ技術的課題であると述べています。回答者の75%は、サイバーセキュリティソフトウェア製品そのものがどこでどのように開発されたかについては、長いこと、ほぼ監視してこなかったということを認めています。
業界の回答者の73%は、米国連邦政府が政府機関内でソフトウェアのサイバーセキュリティ基準の向上を要求すれば、それがソフトウェア業界全体の基準を引き上げる役割を果たすと考えています。業界セクターの回答者の95%は、ソフトウェア開発のためのサイバーセキュリティの標準は政府によって義務付けられるべきであると考えています。
しかし、回答者の53%は、ソフトウェア開発のためのより高いサイバーセキュリティ基準に関する政府の提案は、実施するには複雑すぎる可能性があると考えています。また、45%が政府のタイムラインを遵守することは困難であると考え、40%が導入コストを懸念しています。
COVID-19 影響と遺産
石油・ガス業界の回答者の80%は、パンデミック時に企業リソースへのリモートアクセスを確保する必要性が、サイバーセキュリティ態勢を維持する上でより重要な問題になったと報告しています。この業界の回答者は、ハイブリッド型リモートワーク環境の将来についてほぼ同じ意見を持っており、38%は永久に続くと考え、33%は過ぎ去ると考え、30%はハイブリッドモデルが長期的にどの程度組織に貢献するかを見守る立場を取っています。
米国サイバーセキュリティ安全委員会
石油・ガスセクターの回答者の95%が、米国国家運輸安全委員会と同様の米国サイバーセキュリティ安全委員会の設立に価値を見いだしました。しかし、セクターの回答者の68%は、サイバーセキュリティ安全委員会は米国政府のインフラのみに焦点を当てるべきであると考えています。33%だけが、サイバーセキュリティ安全委員会は、米国連邦政府内だけでなく、米国連邦政府外の公共および民間のインフラにも焦点を当てるべきであると考えています。
米国政府との連携
石油・ガスの回答者の90%は、ランサムウェアなどのサイバー脅威を協力して克服するという観点から、米国政府と各セクターの組織とのパートナーシップのレベルに関して、改善の余地があると述べています。
業界の回答者の75%は、組織がサイバーインシデントに対応する方法について、実際の一貫性がないと考えており、45%はベストプラクティスに関する連邦政府のガイダンスの改善を望んでいます。
43%はサイバーセキュリティに対する連邦政府の資金援助の改善を支持し、38%は影響を受けた組織、政府パートナー、業界関係者間での攻撃データの共有を促進するために、インシデント通知と法的保護を組み合わせることに賛成しています。
35%はサイバー犯罪の加害者に対する処罰の強化、33パーセントは、攻撃進行中のサイバーインシデント管理に関する協力の強化、25%は、攻撃検知後の調査に関する協力体制強化に賛成しています。米国連邦政府の規制強化を求める声は、わずか15%でした。
回答者の95パーセントが、米国政府が各セクターの組織と共有するサイバー脅威データには改善の余地があると回答しています。
回答者の約3分の2(60%)は、政府から得られる最も貴重な脅威情報の中に、使用されているサイバー攻撃ベクトルに関するデータが含まれていると述べています。