米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、サイバー脆弱性と脅威の評価方法を全面的に見直す方針です。リスクが急増する環境下でより実効性を高めるため、優先すべき脆弱性とそうでないものを明確に区別する取り組みを進めると、長官代行のニック・アンダーセン氏が火曜日に述べました。
水曜日に公表される予定の拘束的運用指令(Binding Operational Directive)には、こうした新たな考え方が盛り込まれます。連邦機関に対して脆弱性への対処方法を変えるよう指示し、重要なものを優先させる一方で、優先度の低いものは後回しにすることを求める内容となっています。また、CISAは重要インフラ事業者との協議を深め、各事業者がサイバー脅威への対応をどのように優先順位付けしているかを詳細に把握する計画です。
「重要性が相対的に低いシステムや、重要インフラの中でも優先度が下がる要素があると認めることを、私たちは恐れてはいけません」と、アンダーセン長官代行はサイバーセキュリティ企業AxoniusがワシントンD.C.で主催したイベントで語りました。
そうした判断を行わなければ、人員が逼迫したCISAは国民に対して、「なぜ相当期間にわたって通信インフラが使えないのか、なぜ安全な飲料水が確保できないのか、なぜ日常生活に不可欠なものが手に入らないのか」を説明しなければならなくなると、アンダーセン氏は警告しました。
今回の拘束的運用指令では、パッチ適用の期限を短縮すべきかどうか、また短縮するならどの程度にすべきかについても取り上げられます。さらに連邦機関に対し、脆弱性管理プロトコル全体の見直しを指示する内容も含まれると、アンダーセン氏は説明しました。
この指令の最大のポイントは、「パッチがリリースされたら、できる限り早く適用せよ」という旧来の手法からCISAが脱却しようとしていることだと、アンダーセン氏は述べました。
「各脆弱性に伴うリスクに、より真剣に目を向けることを求めています」と同氏は付け加えました。「その脆弱性はインターネットに接続された資産に関わるものか、既知の悪用済み脆弱性(KEV)と関連しているか、そして悪用が自動化可能かどうか——こうした点を問うていく必要があります」
「精度の高いアプローチ」への転換
CISAにはすでに脆弱性の優先順位付けを行うための仕組みがいくつか存在していますが、アンダーセン氏は現状では十分に機能していないことを示唆しました。
例えば、サイバーセキュリティインシデントが壊滅的な影響をもたらし得る事業者を指定するセクション9プロトコルについて、同氏は十分な効果を発揮できていなかった事例として挙げました。これまでCISAは、セクション9の指定を受けた事業者に対して詳細な追跡調査を行うことなく、実質的にその指定を「お墨付き」として与えてきたにすぎないと、アンダーセン氏は述べました。
CISAには、「あなたの組織でこの特定の機能が重要インフラを支えている。その機能を支える具体的な資産について話し合い、それらの資産に対して測定可能なレベルのレジリエンスをどう実現するかを一緒に考えましょう」と事業者に伝えられる能力が必要だと、アンダーセン氏は強調しました。
これまで「大局的なインテリジェンスの対話」にとどまっていたものを、「より精度の高いレベルまで掘り下げる」必要があると、アンダーセン氏は述べました。例えば、特定の銀行の大口決済システムが堅牢であることを優先して確認すべきであり、サイバー攻撃後に一つの支店が業務継続できるかどうかを心配している場合ではないとしました。
CISAは最近、政府機関の一時閉鎖と大規模な人員削減によって制約を受けていましたが、アンダーセン氏はスタッフ不足への対応策を講じていると説明しました。同機関は300人以上を新規採用する計画で、そのうち180人については今月末までに採用を完了する見通しだと述べました。
採用の第一弾は、インフラセキュリティ、緊急通信、および各地域の州サイバーセキュリティコーディネーターを担う人材の補充に重点を置く予定です。
すでに業務を開始した新入職員もいると、アンダーセン氏は述べました。
翻訳元: https://therecord.media/cisa-to-transform-how-it-assesses-cyber-vulns-risks
