重要インフラ保護の世界でコンプライアンスを維持することは、組織の競争力を高めることにつながりますが、それを実現するのは複雑です。しかし、その必要はありません。OPSWAT では、重要な OT 環境を保護することを目的とした、使いやすいサイバーセキュリティ・ソリューションの開発に 20 年を費やしており、サイバーセキュリティ・コンプライアンスを念頭に置いて開発を行ってきました。
このブログでは、この重要な規制を遵守するために考慮すべき5つの重要な概念を取り上げながら、北米の一括受電業界にとって不可欠な規制機関であるNERCのノイズを取り除くお手伝いをします。
NERC CIPとは?
NERCは、北米の一括受電システムの信頼性と安全性を確保する上で重要な役割を果たす非営利組織である。NERCは、電気系統の適切性、信頼性、完全性を促進することを目的として、電力網の運用と計画に関する基準を策定し、施行している。
具体的には、NERC CIP(重要インフラ保護)基準は、北米のバルク電力システムの運用に不可欠な資産とシステムを保護するために設計されている。
NERC準拠のための5つの主要概念
北米の一括受電業界にとって、NERC CIP基準に準拠し続けることは不可欠ですが、何から始めればよいのでしょうか。ここでは、NERC CIPに沿ったサイバーセキュリティ戦略を構築する際に考慮すべき5つの主要コンセプトを紹介します。
スキャニング・ステーション
重要なエリアに入るメディアを、使用前に簡単にスキャンできるように、すべての入口にスキャン・消毒ステーションを配備する。
物理デバイス管理
許可されたリムーバブル・メディア・デバイスを定期的に棚卸しし、目録を作成する。廃棄手順を含め、リムーバブルメディアデバイスのライフサイクルを監視・管理する。
Endpoint
エンドポイント保護ソリューションを導入し、重要なエンドポイントにマウントされる前に、リムーバブル・メディア・デバイス上の悪意のあるコンテンツをスキャンして検出する。
コンプライアンス・ネットワーク隔離
一方向セキュリティ・ゲートウェイUSG)またはデータ・ダイオードを導入することで、組織は情報の一方向の流れを維持し、外部ネットワークから重要インフラ・システムへの不正アクセスを防止することができます。これにより、重要な資産がサイバー脅威から確実に保護されます。
インシデント対応計画
サイバーセキュリティインシデントに直接対処するインシデント対応計画を策定し、定期的に更新する。
次のステップ
結局のところ、クリティカルな環境をセキュアに保つには、コンプライアンスはおろか、単一の保護形態だけでは十分ではありません。上記で詳述した5つのコンセプトは、一方向性のセキュリティ・ゲートウェイとデータ・ダイオード、および周辺機器とリムーバブル・メディア、一時的なサイバー資産のセキュリティという2つのカテゴリーに分けることができます。これらのソリューションを重ね合わせることで、組織が直面する全体的な攻撃面を縮小するだけでなく、NERC CIPのような重要な規制への準拠を維持する上でも大いに役立つ、深層防御型のサイバーセキュリティを実現することができます。
貴社のコンプライアンス・ニーズをOPSWAT がサポートいたします。詳細については、今すぐ専門家にご相談ください。
