官民連携時代のセキュリティリーダーシップと重要インフラ保護

重要インフラ保護とサイバーレジリエンスの向上--不可欠な「指標」

藤本大 (SecurityScorecard)

2024-09-09 07:00

重要インフラへの脅威とサイバーレジリエンスの必要性

 現代社会において「重要インフラ」は、国家の安全保障と経済的安定に欠かせない重要な要素です。ここには医療、輸送、金融、エネルギー、通信など、社会基盤を支えるために不可欠なシステムが含まれます。一方で、必然的にこれらのシステムがインターネットにつながり、サイバー攻撃の格好の標的になるにつれ、一度攻撃を受けてしまうと、医療サービスの中断や金融システムのまひ、交通ネットワークの機能停止、エネルギー供給の停止など、社会全体に深刻な影響を及ぼします。

 このように、サイバーセキュリティに対する脅威が増す中、重要インフラの防御力を強化し、サイバー攻撃を受けても速やかに回復できる「サイバーレジリエンス」の重要性が高まっています。サイバーレジリエンスとは、サイバー攻撃に対する耐性を高め、攻撃を受けた際に、迅速に回復できる能力を指します。この能力の向上は、単なる防御策ではなく、「予防」「対応」「回復」の全ての段階における体制の整備を意味します。特に官民が協力してサイバーリスクに対処し、サイバーレジリエンスを強化することで、国家の重要インフラの持続可能性が保証され、社会全体の安全が確保されます。

重要インフラ保護のための具体的な指標

 重要インフラを保護するためには、具体的な指標が必要となります。世界では米国が先行しています。例えば、米国の「重要インフラのためのサイバーインシデント報告法(CIRCIA)」は、重要インフラの所有者や運営者に対し、サイバーインシデントの迅速な報告を義務付けています。これは、サイバー攻撃へ速やかに対応し、影響を最小限に抑えるための重要な措置となります。また、ヘルスケア業界では、サプライチェーン全体のセキュリティを評価し、リスクのある部分を特定することが求められています。なぜなら、サプライチェーンの脆弱(ぜいじゃく)性は、システム全体のサイバーセキュリティにおける重大なリスク要因となり得るからです。

 サイバーの脅威が多様化・高度化する中で、リスクの集中を避けるための対策も必要です。少数の供給業者やシステムへ依存している企業や組織は、攻撃者にとって魅力的なターゲットとなる傾向にあり、対策が不十分だと、結果的に大規模な被害を受ける可能性があります。例えば、米国のJoe Biden大統領が署名した「CHIPS法」は、米国の半導体産業への依存を軽減し、サプライチェーンの強靭(きょうじん)性を向上させるためのものです。このような法的枠組みは、サプライチェーン全体のリスクを分散し、重要インフラの保護を強化するための大切なステップとなります。

複雑な脅威に対する対応策

 サイバー脅威は、国家から支援を受ける組織からランサムウェアグループ、ハクティビストまで多岐にわたり、その攻撃方法も多種多様です。これらの脅威に対しては、予防策だけでなく、攻撃が発生した際の迅速な対応が求められます。例えば、米国の運輸保安庁(TSA)は、筆者が所属するSecurityScorecardと提携し、米国内のパイプラインや鉄道、航空輸送システムのサイバーシステムの健全性を監視しています。このような官民連携の取り組みは、サイバーリスクの測定と報告を強化し、公共と民間の両方がサイバーレジリエンスを向上させるためのモデルとなっています。

 また、重要インフラのサイバーセキュリティ戦略には、各業界に特化した対策が求められます。医療業界では、ランサムウェア攻撃が主要な脅威であり、迅速な復旧が求められます。金融業界はサイバー攻撃の標的になりやすいため、脅威インテリジェンスの収集とリアルタイムなモニタリングが不可欠です。空港や輸送インフラにおける主要なシステム(例:飛行管理システム、予約システム、通信システムなど)は、サイバー攻撃に対して非常に脆弱なので、厳重なアクセス制御、強力な認証手段、システムの冗長化といった保護が必要とされます。通信業界では、広範なネットワークへの依存が攻撃のリスクを高めています。エネルギー業界では、国家規模でのサイバー攻撃が懸念されており、サイバーセキュリティの強化が急務です。このように業界ごとの特性に応じた戦略を策定し、実施することが必要不可欠です。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    ChatGPTに関連する詐欺が大幅に増加、パロアルトの調査結果に見るマルウェアの現状

  2. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  3. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  4. セキュリティ

    いま製造業がランサムウェアに狙われている!その被害の実態と実施すべき対策について知る

  5. セキュリティ

    ランサムウェア攻撃に狙われる医療機関、今すぐ実践すべきセキュリティ対策とは?

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]