ゼロトラスト博士のブログ

  • ゼロトラスト
  • セキュアブラウジング
  • セキュリティニュース
2021.06.29

重要インフラはランサムウェア等サイバー攻撃にゼロトラストで対処せよ

重要インフラに対してサイバー防御能力の向上を指示する米国規制当局

米国国土安全保障省(DHS)傘下の運輸保安局(TSA)はこのほど、パイプライン部門に対してサイバーセキュリティに関する必須対応事項を指示しました。この発表は、コロニアル・パイプラインへのランサムウェア攻撃により、同社のパイプラインが11日間停止し、東海岸での燃料不足につながったことを受けたものです。同社は身代金として400万ドルを攻撃グループに支払いましたが、受け取った復号鍵がしっかり機能しなかったために、復旧のほとんどが自社バックアップシステムから行われ、時間を要したと言われています。

今回の事件で、重要インフラがこの種の攻撃に対して脆弱であること、また民間企業への攻撃が重要システムのサービス提供能力に大きな影響を与えることが浮き彫りになりました。

このDHSからの新たな指令により、パイプライン部門は、原子力発電所や大規模電力会社など、サイバーセキュリティガイドラインを遵守しなければならない業界の一つとなりました。なお、米国議会では、サイバーセキュリティ対策義務化の対象をより広範な重要インフラ産業に拡大しようとしましたが、商工会議所が強く反対したことから、計画は失敗に終わりました。とはいえ、重要インフラへの攻撃が増加していることから、各業界の規制当局が追加のサイバーセキュリティ対策を課しても不思議ではありません。

空港のセキュリティといえばTSAは有名です。パイプラインは、燃料、ガス、化学物質などの輸送手段の一つです。パイプラインはもともと運輸省が管轄していましたが、2002年にTSAが設立されてからは、パイプラインのセキュリティに関する業務はTSAに移管されていました。

米国重要インフラの最大のサイバーセキュリティ課題は、サイバーセキュリティ全体を所管する中央組織がないことです。エネルギー省は大規模電気事業者のサイバー規制を、DHSは化学工場の規制を、原子力規制委員会(NRC)は原子力発電所の規制を行っています。その結果、化学物質を輸送するパイプラインという1つのインフラに対して、化学施設の部分はDHS、パイプラインに対してはTSAが規定する異なるサイバーセキュリティ規則に従う義務があるということです。

規制当局がパイプライン企業に新たなサイバー対策を指示

2021年5月28日、TSAはセキュリティ指令Pipeline-2021-01を発行しました。
新しい規制の概要は以下の通りです。

・企業は、24時間365日対応可能なサイバーセキュリティコーディネーターを設置しなければならない。

・サイバーセキュリティインシデントは、CISA(Cybersecurity and Infrastructure Security Agency)に
 報告しなければならない。

・企業は、自社のサイバーセキュリティ対策を見直し、対策が不十分な箇所を特定しなければならない。

・サイバーリスクへの対応策を策定すること。

・結果を30日以内にTSAとCISAに報告すること。

当局規制の遵守だけでなく、ゼロトラストアプローチで本質的なリスクに備えよう

規制当局の指令通りにコーディネーターを設置し、手続きを進めることはコンプライアンス上当然ですが、より本質的に重要なのは、サイバーインフラを保護するために講じるリスク低減策です。

ランサムウェアは、重要インフラに対する攻撃手段として、ますます一般的になっています。ランサムウェアの攻撃の90%以上は、電子メールや感染したWebサイトによって配信されているため、最も重要な対策の1つは、リモート・ブラウザ・アイソレーション(RBI)を使用して、このような攻撃から組織を保護することです。RBIでは、Webサイトはクラウド上の隔離されたコンテナ内の仮想ブラウザで開かれ、ユーザーのデバイス上ではコード(良いものも悪いものも)は実行されません。安全なレンダリングデータのみがユーザーの通常のブラウザに送信され、ユーザーは実際のWebサイトと同じようにそのローカルブラウザを操作します。また、Ericom社のRBIソリューションは、電子メールの添付ファイルをユーザーが開く前に、マクロなどのアクティブな要素をファイル無害化(CDR)で除去し、ランサムウェア等への感染リスクを取り除きます。また、フィッシングの疑いがあるサイトは、ユーザーが認証情報を入力できないように、自動的に「読み取り専用」モードで開くことができます。

RBIは、サイバーセキュリティにおけるゼロトラストアプローチ全体の一部です。ゼロトラストは、多くの「ゼロデイ」エクスプロイトから保護する唯一の方法です。ゼロトラストでは、すべてのユーザー、ネットワーク内外のすべてのトラフィックが潜在的に危険であると想定し、潜在的な危険を阻止または最小化するための措置を講じます。ウェブアクセスの全てが危険だという前提に立って脅威の侵入をシャットアウトするRBIは、対処すべき脅威の絶対量を大幅に削減することで、その後のゼロトラストアプローチを進めるのに大いに貢献するはずです。


ブログ編集者のプロフィール

入社以来一貫して外資のITベンダーを担当。
アシストに技術者として新卒入社したが、5年目で
プロダクトマーケティングにジョブチェンジして以来18年以上従事。
Ericom社製品を2011年の立ち上げから一貫して担当。
難解なテクノロジーをわかりやすい言葉で伝えるのが得意。
サイバーセキュリティの啓蒙と普及に情熱を持って取り組む。

関連している記事

  • ゼロトラスト
  • セキュリティニュース
2021.07.20

経営者にゼロトラストを理解してもらうには

経営者層に、サイバー攻撃被害のリスクとゼロトラストの必要性を理解してもらうには、どのような進め方が良いのか?企業が意識すべき重要なポイントと合わせてご紹介します。

  • ゼロトラスト
  • セキュリティニュース
2021.06.08

従業員トレーニングの徹底はゼロトラストか

FBI職員が機密情報を持ち帰って逮捕される事件が発生。2ヶ月に一度のトレーニング徹底でも発生した機密漏洩にゼロトラストができることとは?

  • ゼロトラスト
  • セキュリティニュース
2021.06.07

DarkSideランサムウェア VS ゼロトラスト

DarkSideランサムウェアによって米主要パイプラインが停止。ゼロトラストなら守れたか?

ページの先頭へ戻る