重要インフラ事業者はサイバー攻撃にどう備えるべき？ CISAがガイドラインを改訂：Cybersecurity Dive

CISAは重要インフラ事業者に対するサイバー攻撃が増加していることを踏まえ、ガイドラインを改訂した。その内容は？

[David Jones，Cybersecurity Dive]

　電気やガス、水道、空港などの重要インフラを運営する事業者を狙ったサイバー攻撃が増加している。

重要インフラ事業者を狙うサイバー攻撃、増加中

　米国サイバーセキュリティ・社会基盤安全保障庁（CISA）2023年3月21日、2022年10月に公表したサイバーセキュリティのパフォーマンス目標（cybersecurity performance goals：CPGs）を改訂したと発表した（注1）。

　重要インフラに関連する事業者の中にはITインフラに十分に投資することが難しい中小企業も含まれるため、サイバー攻撃の増加は頭の痛い問題だ。

　同ガイドラインは、米国内における重要インフラを運営する主要企業に対して、悪意のあるサイバー活動の増加に対処する能力を強化するための実践的なアドバイスを提供することを目的としている。

　改定された目標は、米国立標準技術研究所によって定められたサイバーセキュリティフレームワークにより沿った内容になった。

　2022年10月に発表された目標は、ITや運用技術の提供企業に対して、サイバーセキュリティの改善のための基準となる目標を提供するために発表された（注2）。

　今回改訂された目標には、フィッシング対策のための多要素認証実装に関する最新のガイダンスを含む重要な変更が含まれる（注3）。過去1年間、高度なソーシャル・エンジニアリング技術（注4）を使用した、重要インフラ事業者を標的とした悪質な攻撃が相次いでいる（注5）。

　CISAは他の連邦機関や国際パートナー、民間企業のメンバーを含むステークホルダーから幅広いフィードバックを受け取った。CISAの役員たちは悪意のある活動の増加がビジネスや米国人にどのような影響を与えているかを知るために、数カ月にわたって米国各地の地域社会のメンバーと面談した。

　国内で最も脆弱（ぜいじゃく）な人々や組織の中には（注6）、高度技術を持つサイバーセキュリティ企業を雇ったり、ITインフラをアップグレードするために数百万ドルを費やしたりすることの難しい地元企業や、小規模企業、市や郡の行政機関も含まれる。

（注1）Cross-Sector Cybersecurity Performance Goals（AMERICA’S CYBER DEFENSE AGENCY）
（注2）CISA releases long-awaited cybersecurity performance goals for critical infrastructure（Cybersecurity Dive）
（注3）CISA_CPG_REPORT（CISA）
（注4）ネットワーク侵入に必要なIDやパスワードなどの情報を、電話や盗み見などIT以外の方法で入手すること。

（注5）Threat actors lure phishing victims with phony salary bumps, bonuses（Cybersecurity Dive）
（注6）Cash-strapped Main Street organizations face global cyberthreats（Cybersecurity Dive）

（初出）CISA revises cybersecurity performance goals

原文へのリンク