このガイダンスには、CISAとワークショップを実施した3つの重要インフラ分野の具体的な例が含まれています。
この音声は自動生成されています。ご意見があればお知らせください。
米国、オーストラリア、カナダ、ドイツ、オランダ、ニュージーランドの政府機関は、水曜日、重要インフラ組織が運用技術(OT)の最新インベントリを維持するためのガイダンスを発表しました。
このガイダンス「OTサイバーセキュリティの基礎:所有者および運用者のための資産インベントリガイダンス」は、インベントリ作成に必要な手順、各項目に必要な詳細情報、資産を最適にグループ化する方法、ライフサイクルデータの追跡の重要性などを示しています。
サイバーセキュリティ・インフラセキュリティ庁(CISA)は、環境保護庁、国家安全保障局、FBI、オーストラリア信号局のオーストラリア・サイバーセキュリティセンター、カナダ・サイバーセキュリティセンター、ドイツ連邦情報セキュリティ局、オランダ国家サイバーセキュリティセンター、ニュージーランド国家サイバーセキュリティセンターと連携しました。
「これらのツールを使用することで、所有者や運用者は自分たちの環境内でどの資産を保護すべきかを特定し、それに応じて防御を構築することで、サイバーセキュリティインシデントが組織の使命やサービス継続性に与えるリスクを低減できます」と、各機関は文書内で述べています。
American Water、British Petroleum、Duke Energy、Southern California Edison などの重要インフラ企業が、ガイダンスの策定に協力しました。
資産管理は、最も重要なセキュリティ対策の一つであり、組織がどのようなツールを使用しているか、それらがどれだけ安全か、いつ脆弱な寿命末期に達するかを把握することができます。大規模かつ複雑なコンピュータネットワーク内では、システム管理者は資産インベントリを活用して、ソフトウェアパッチの適用などのセキュリティ対策を計画しています。
資産の可視性が低いこと—特に物理的に分散し、特注機器が多い重要インフラネットワークでは—は、サイバー攻撃の影響を悪化させる可能性があると専門家は指摘しています。
ガイダンスでは、資産インベントリ作成後にその有用性を高めるため、いくつかの手順を推奨しています。例えば、「最も重要なリスク」に基づいてセキュリティ対策の優先順位を付けること、資産の保守計画を見直すこと、予備部品の在庫を評価して「運用の信頼性を確保する」ことなどです。
最新情報をチェック。Cybersecurity Diveの無料デイリーニュースレターにご登録ください。
また、組織は、老朽化したシステムの交換コストと潜在的な障害のコストを比較し、設計段階からセキュアなシステムを調達し、インベントリを最新に保つために変更管理プロセスを活用すべきだとガイダンスは述べています。
31ページに及ぶ文書の大部分は4つの索引で構成されています。1つは資産インベントリに含めるべき項目をリストアップし、他の3つは石油・ガス、電力、水道といった特定のインフラ分野の企業がインベントリ内で資産をどのように整理できるかの例を示しています。CISAによれば、これらの例は2025年初頭にこれら3分野の14組織と実施した8回のバーチャルワーキングセッションに基づいているとのことです。
翻訳元: https://www.cybersecuritydive.com/news/ot-asset-inventory-guidance-cisa-international/757569/