オーストラリアの「重要インフラセキュリティ法(SOCI法)」は、責任ある事業体がサイバーリスクおよび運用リスクを管理する方法を一新した。同法は、高レベルな政策の整合性から、実証可能なリスク管理の実践に裏打ちされた、実証可能な運用レジリエンスへと重点を移している。
今回の改正により、オーストラリア政府は、重要インフラの所有者に対し、特にサイバーセキュリティおよび情報セキュリティの分野において、従来の静的な枠組みから脱却し、実践的かつ運用可能な管理体制へと移行することを一層強く求めている。
SOCI法の第2A部に基づき、責任ある事業者は、CIRMP(重要インフラリスク管理プログラム)を策定、維持し、これに準拠しなければなりません。この要件は、以下の分野を含むあらゆるセクターに適用されます:
|
|
|
これらの分野のほとんどにおいて、人材、プロセス、テクノロジーにまたがるリスク管理に対し、より成熟した、実証可能な、かつ継続的に改善されるアプローチを採用することが求められています。
2021年から2024年にかけて導入された改正により、以下の3つの重要な要件が強化されました:
- 明確に定義され、実施されているサイバーセキュリティおよび情報セキュリティ対策
- 静的な文書化ではなく、継続的なリスク評価と見直し
- 取締役会レベルでの監督と説明責任
規制当局は現在、組織に対し、監視、ログ記録、ガバナンス関連資料によって裏付けられた統制の有効性、およびその運用上の有効性を実証することを求めています。コンプライアンスはもはや単なる書類作成作業ではありません。それは、国家のレジリエンスに直結する、運用面および経営陣の責任なのです。
SOCI法とCIRMP
責任ある組織は、資産の重要度および脅威環境に見合ったCIRMPを策定・維持し、これを遵守しなければならない。CIRMPは単なる方針表明にとどまらず、現実の危険に対処するための実践的かつリスクベースの統制措置を具体化しなければならない。
CIRMPの要件に基づき、組織は以下を行う必要があります:
- 重要インフラ資産に重大な影響を及ぼす可能性のある危険要因を特定する
- これらの危険要因に起因する重大なリスクを最小限に抑えるか、あるいは排除する
- 脅威活動の変化を反映させるため、定期的に管理措置を見直し、更新する
- 規制上の保証および関与を裏付けるための記録および証拠を保持する
- 以下の4つの特定されたハザードベクトルにわたるリスクに対処する:
- サイバーおよび情報セキュリティ上のリスク
- 物理的セキュリティと自然災害
- 人的リスク
- サプライチェーン上のリスク
CIRMPは依然として原則に基づく枠組みであるものの、規制当局は運用面での成熟度を求めています。組織は、統制措置が実施され、監視され、継続的に改善されていることを示さなければなりません。文書化だけでは不十分です。ガバナンスによる監督、リスク評価プロセス、および技術的な実施メカニズムに関する証拠が求められます。
CIRMPにおけるサイバーリスクのCore
サイバーセキュリティおよび情報セキュリティ上の脅威は、重要インフラにとって最も重大かつ急速に変化しているリスクの一つである。CIRMPは、ランサムウェア、サプライチェーンへの侵害、およびOT環境を標的とした攻撃の頻度が上昇していることを踏まえ、レジリエンス計画の中核をなす要素としてサイバーリスクの重要性を強調している。
責任ある主体は、サイバー脅威が重要インフラ資産の可用性、完全性、または信頼性にどのような重大な影響を及ぼし得るかについて、明確に理解していることを示さなければならない。
これには、以下の事項を特定する能力が含まれます:
- データ、ファイル、およびソフトウェアが、IT、OT、およびICS環境にどのように流入し、移動するか
- IT、OT、およびサードパーティのネットワーク間に信頼境界が存在する場合
- マルウェアや不正アクセスが、どのように運用システムに侵入し、拡散する可能性があるか
- ベンダー、請負業者、あるいはポータブルメディアのいずれが、管理外のリスクをもたらすか
SOCI法の改正により、レガシーシステム、エアギャップネットワーク、および制約の多いOT環境であっても、サイバーリスクに関する義務の適用除外とはならないことが明確化されました。組織は、これらの環境への対策の導入を回避するのではなく、それぞれの環境に適した対策を講じる必要があります。
実際には、これには、以下のような、悪用されやすい侵入経路において、可視性と実効性のある制御が必要となります。具体的には:
- ファイルのアップロードとダウンロード
- 電子メールの添付ファイル
- 管理対象および非管理対象のエンドポイント
- リムーバブルメディア
- リモートアクセス経路
- ITとOTの融合領域
CIRMPに基づく効果的なサイバーリスク管理は、脅威が重要システムに到達する前にリスクを低減させる予防的対策にかかっています。これらの対策が意図したとおりに機能していることを実証するためには、ログ記録、監視、および証拠の生成が不可欠です。
CIRMPの危険度分類と実務的な管理措置の整合
CIRMPでは、組織に対し、4つのハザードベクトルにわたるリスクへの対応が求められています。各ベクトルについては、重要インフラ資産に対する重大なリスクを低減するための、実施可能かつ監査可能な管理措置が求められます。
ハザードベクトルには、以下のものが含まれます:
- サイバーセキュリティおよび情報セキュリティ
- 人事
- サプライチェーン
- 物理的セキュリティ
以下のセクションでは、これらのハザードカテゴリーが、重要インフラ環境における運用上のセキュリティ対策にどのように反映されるかについて概説する。
1. サイバーおよび情報セキュリティ上のリスク
CIRMPでは、組織に対し、重要インフラ資産の可用性、完全性、または信頼性を損なう可能性のある重大なサイバーリスクを最小限に抑えるための管理措置を講じることを求めています。一般的なサイバー脅威には、フィッシング、マルウェア、ランサムウェア、およびサービス拒否攻撃などが含まれます。
ファイルベースの脅威は、依然として最も一般的な初期侵入経路の一つです。組織は、ファイルのアップロード、ダウンロード、転送、およびIT環境とOT環境への持ち込みを確実に保護する必要があります。
OPSWAT MetaDefender 、ファイル経由の脅威がユーザーや重要システムに到達する前にこれを阻止するように設計されています。既存のインフラストラクチャに統合され、業務ワークフローを妨げることなく、アップロード、ダウンロード、電子メールの添付ファイル、およびファイル転送を検査します。
MetaDefender Core 、多層防御による検査を実現するため、以下の検出技術を含む複数の技術をCore :
- 30種類以上のマルウェア対策エンジンを搭載したMetascan™ マルチスキャン技術
- 署名ベース、ヒューリスティック、および機械学習ベースの検知
- AIを活用した、機械学習に基づく実行前のゼロデイ攻撃検知
- ファイルのレピュテーションとハッシュ解析
未知の脅威やゼロデイ脅威に対しては、Deep CDR™ テクノロジーがファイルの徹底的なサニタイズを行い、スクリプト、マクロ、ポリシー違反のコンテンツなどの埋め込まれた脅威を再帰的に除去します。その後、業務機能を維持したまま、安全かつ利用可能なファイルを再生成します。
Adaptive 分析により、制御された環境下での動作の観察が可能になります。Proactive DLP™ はファイルの内容を検査して機密情報を検出し、ファイルがユーザーやシステムに公開される前に、コンテンツの削除、黒塗り、透かし入れなどのポリシーに基づく措置を適用します。
その他の検査機能には、以下のものが含まれます:
- 正確なファイル形式の確認
- アーカイブの展開と再帰的スキャン
- File-based vulnerability assessment
- データ漏洩防止とコンテンツ検査
これらの機能は、以下の点を通じてCIRMPの目標を支援します:
- 単一の検知技術への依存度を低減する
- ゼロデイ攻撃の検知と防止
- 脅威検知におけるデューデリジェンスの検証可能な証拠の生成
2. 人的リスク
CIRMPの下では、人的リスクには、従業員、請負業者、下請業者、インターン、および重要インフラ資産へのアクセス権を持つその他の個人によって引き起こされるリスクが含まれます。組織は、誰が重要業務従事者に該当するか、その者がどのようなレベルのアクセス権を有しているか、そしてそのアクセス権が重大なリスクをもたらす可能性があるかどうかを評価しなければなりません。
リムーバブルメディアやポータブルデバイスは、特にエアギャップ方式やセグメント化されたネットワークにおいて、OT環境にマルウェアを持ち込む一般的な経路であり続けています。実効性のある対策が講じられなければ、これらの経路を通じて境界防御を迂回される恐れがあります。
MetaDefender およびMetaDefender Media 、メディアの入力ポイントおよび HMI(ヒューマン・マシン・インターフェース)層においてセキュリティ制御を実施するように設計されています。
MetaDefender Kiosk 、ファイルがセキュアな環境に取り込まれる前に、リムーバブルメディアのスキャンとクリーンアップをKiosk 。また、あらかじめ定義されたセキュリティポリシーを適用し、監査要件に対応するためのログを生成します。
MetaDefender Media Firewall 、OTセグメントを含むネットワーク間のデータ転送に対して、インライン検査とポリシーの適用Firewall 。これにより、不正なファイルや安全でないファイルが重要なシステムに侵入するのを防ぎます。
これらの制御装置は、以下の点においてCIRMPの人員保護要件を満たしています:
- 悪意ある、あるいは過失による内部関係者による不正行為のリスクを低減する
- OTネットワーク内におけるリムーバブルメディアの安全な取り扱いの徹底
- 未承認機器の使用制限
- 誰がいつファイルを追加したかについて、可視性を高める
3.Supply Chain
SOCI法は、CIRMPにおける重要なリスクカテゴリーとして、サプライチェーン上の危険を明示的に規定しています。責任ある事業者は、ベンダー、請負業者、OEM(相手先ブランド製造業者)、および第三者サービスプロバイダーによって生じるリスクに対処しなければなりません。
サプライチェーンにおけるリスクは、以下の要因によって生じることがあります:
- 重要なネットワークに接続するサードパーティのエンドポイント
- OT環境へのリモートアクセス経路
- 請負業者が現場に持ち込む携帯端末
- Software および保守作業
多くの重要インフラ事業者は、分散した拠点や地域拠点にまたがる資産の監視、診断、およびアップグレードを行うために、リモート接続に依存しています。適切な管理策が講じられていない場合、こうしたアクセス経路を通じて、エアギャップ方式や半接続型のOTネットワークを含む機密性の高い環境にサイバー脅威が侵入する恐れがあります。
OPSWAT MetaDefender MetaDefender Access™は、重要システムとサードパーティとのやり取りに伴うリスクを低減するように設計されています。
MetaDefender Drive 、一時的に使用されるノートPC、デスクトップPC、およびサーバーがセキュアな環境に接続する前に、ホストOSの外部でDrive および評価Drive 。マルウェアの検出、脆弱性の特定、デバイスの完全性の検証を行い、信頼できるシステムのみが管理されたネットワークやエアギャップネットワークへのアクセスを許可されるようにします。
MetaDefender OT Access 、OT(オペレーション技術)およびCPS(サイバーフィジカルシステム)環境向けに特別に設計された、安全なリモートアクセスソリューションOT Access 。きめ細かなアクセス制御とセッション管理ポリシーを適用しつつ、外部関係者や遠隔地の担当者に対する接続を管理します。
これらの機能は、以下の点を通じてCIRMPのサプライチェーンにおける危険物管理要件を満たしています:
- サードパーティの資産を通じて生じる干渉や障害から、重要なシステムを保護する
- 許可されたシステムおよび機能へのアクセスを制限する
- 重要インフラにおけるベンダーや請負業者とのやり取りに関する可視性を高める
4. 物理的セキュリティおよびネットワークのセグメンテーションに伴うリスク
物理的および環境的リスクは、CIRMPの中核をなす要素であり続けています。現代の重要インフラ環境においては、特にOTシステムがITネットワークとOTネットワーク間の制御されたデータフローに依存している場合、物理的セキュリティとサイバーリスクの関連性がますます高まっています。
多くの重要インフラ環境では、従来のエンドポイントセキュリティツールを導入できないレガシーなOTシステムが稼働しています。そのため、セキュリティ対策はネットワーク境界やデータ転送ポイントで実施する必要があります。
規制ガイダンスや業界標準では、機密性の高いOTネットワークを保護するために、データダイオードとも呼ばれる一方向ゲートウェイの使用が一般的に推奨されています。これらの対策により、データの流れを一方向にすることで、重要システムへの不正アクセス、コマンドインジェクション、またはデータの流出を防止します。
MetaDefender 、ハードウェアベースの一方向データ転送を実現します。逆方向のトラフィックを物理的に遮断することで、セグメント化された環境におけるネットワーク経由のインバウンド攻撃のリスクを排除します。
DMZ(非武装地帯)アーキテクチャ内に展開し、多層的なファイアウォール制御と組み合わせることで、このアプローチは以下の機能を実現します:
- ITネットワークとOTネットワーク間のマルウェア拡散リスクの低減
- 重要システムへの不正なリモートアクセスからの保護
- 事業継続性の確保
- CIRMPの原則に沿った、実証可能なリスクを考慮したネットワーク設計
トラストゾーン間のデータ移動を制御することで、組織は可用性と安全性が極めて重要な環境において、物理的およびサイバー面のレジリエンスを強化することができます。
規制遵守から事業継続性まで
オーストラリアのSOCI法およびCIRMPは、規制当局の期待において明確な転換点を示しています。責任ある事業者は、意図を文書化するだけでは不十分であり、リスク管理措置が実際に実施され、継続的に改善されていることを実証しなければなりません。
規制当局は、組織に対し、以下の点について管理措置が適切であることを示すことを求めています:
- 資産の重要度および脅威プロファイルに見合った
- 業務ワークフローに組み込まれている
- ログ記録、監視、およびガバナンスによる監督によって支えられています
- 業界や規制当局の厳しい監視に耐えうる
CIRMPは、単なる静的なコンプライアンスの枠組みではありません。サイバー、人材、サプライチェーン、物理的リスクといったあらゆる側面において、予防的かつ強制力があり、監査可能な管理措置が求められます。
こうした期待に応える上で、予防的なセキュリティ対策は極めて重要な役割を果たします。セキュリティ対策は、一般的な侵入経路において、IT、OT、ICSの境界を越えて、またサードパーティとの連携経路においても機能しなければなりません。さらに、ガバナンス、保証、および規制当局との対応を支えるために必要な可視性と証拠を提供する必要があります。
OPSWAT重要インフラ保護に注力していることは、オーストラリアのSOCI法が求める運用面および規制面の要件を直接的に支援するものです。CIRMPに基づき強制力のある技術的対策を実施することで、コンプライアンス体制と実環境におけるレジリエンスの両方が強化されます。
重要インフラ環境において、予防的なセキュリティ対策は必須です。これは、可用性、安全性、そして社会の信頼を維持するための基盤となります。CIRMP戦略を、確実に実施可能な予防的対策とどのように整合させるかについては、OPSWAT 専門家にご相談ください。
よくある質問
CIRMPの目的は何ですか?
CIRMPは、オーストラリアのSOCI法に基づく責任主体に対し、重要インフラ資産に重大な影響を及ぼす可能性のあるリスクを特定、評価、および管理することを義務付けています。これにより、組織がサイバー、人材、サプライチェーン、および物理的危険といった各分野において、状況に応じた適切な管理措置を講じることを確保します。
CIRMPはOT環境にも適用されますか?
はい。CIRMPの義務は、IT環境とOT環境の両方に適用されます。レガシーシステムやエアギャップ方式のシステムも例外ではありません。組織は、制約の多いOTシステムの現実に合わせて、管理措置を適応させる必要があります。
重要インフラにとって、どのような種類のサイバー脅威が最も重大な問題となるのでしょうか?
一般的なサイバー脅威には、ランサムウェア、フィッシング、ファイル経由のマルウェア、サプライチェーンへの侵害、および不正なリモートアクセスなどが挙げられます。ファイル転送、リムーバブルメディア、およびサードパーティとの接続は、頻繁に攻撃の侵入経路となります。
組織は、CIRMPのサイバーセキュリティ要件への準拠をどのように証明すればよいでしょうか?
組織は、統制措置が実施され、かつ有効であることを示さなければならない。これには、ログの維持、活動の監視、技術的なポリシーの徹底、および文書化されたガバナンス上の監督・レビュープロセスの整備が含まれる。
なぜSOCI法では予防的なセキュリティ対策が重視されているのでしょうか?
SOCI法は、重要インフラ資産に対する重大なリスクを最小限に抑えることを重視しています。予防的対策により、サイバー脅威、内部者リスク、またはサプライチェーン上のリスクが重要システムに及ぶ可能性を低減し、業務の継続性と規制上の保証を支えます。
