背景

business-discussions-2males-laptop-2

重大インフラ保護 (CIP) は、社会に不可欠なサービスのバックボーンを形成するシステム、ネットワーク、資産を保護する手段から構成されています。 重要な物理インフラとしては、道路、橋梁、空港、通信施設、発電所などがあります。 情報ベースのインフラは他のインフラの基盤となるもので、コンピュータとネットワークから構成されています。特に、SCADA (supervisory control and data acquisition) システムは、相互接続をベースに、重要な機能の間で情報の交換と分析を行います。 このようなシステムとしては、銀行のオンラインシステム、送電システム、医療サービス、政府の緊急サービス、航空管制システムなどがあります。

大半の国では、民間企業が重要な情報インフラを所有し、運営しています。新たな脅威が次々に発生し、脅威の阻止に必要な技術革新も速いため、法整備が追い付きません。 インターネットの世界は変化が激しく、短時間で世界中に広がっていきます。このような状況に対応するには、柔軟なソリューションが必要になります。

マカフィーにおける重要性

自然災害、サイバー攻撃などにより、物理的なインフラや情報ベースのインフラが壊滅的な打撃を受けた場合、市民生活、企業や政府の活動に甚大な損害を及ぼします。 重要な情報システムとネットワークの保護はグローバルな課題です。 今日の情報インフラは基本的に他のシステムと接続し、相互運用が行われています。 グローバルな情報インフラを保護するには、効果的な国際戦略とソリューションが不可欠です。

マカフィーでは、接続された世界をより安全にすることに注力しています。 一人だけでは、あるいは 1 つ製品、1 つの組織だけではサイバー攻撃に立ち向かうことはできません。特に、重要インフラに対する攻撃は毎日のように発生し、その背後には国家や国際的な犯罪組織が存在します。 マカフィーはこれまで、医療機関、政府機関、金融機関などの重要インフラに対して強固なセキュリティ対策を提供してきました。 また、通信、エネルギーなどの分野にも特化したサービスを提供しています。 マカフィーは、インターネットの脅威から顧客を保護することに専念しています。その一環として、顧客や見込み客が依存している公共環境に目を向け、提言等を行っています。

政策に対する提言

自発的なアプローチの維持

各国の政府は、民間企業が大半を所有する重要インフラの保護に高い関心を持っています。 このような環境では、民間企業が主導的役割を担うべきだと考えています。 政府は、重要インフラの保護で自発的なイノベーションを継続できるように仕組み作りを行うべきです。 重要インフラの保護においては、規制と義務の強化は逆効果になります。

  • 規制により脅威を自社で阻止するように規定されていたら、攻撃者は亀裂から簡単に侵入してくる可能性があります。
  • 政府が技術的な義務を課した場合、その結果はセキュリティではなく、むしろコンプライアンスに近くなる可能性があります。 サイバー セキュリティなどの領域では規制が非常に難しく、規制によるメリットを上回る結果が発生する可能性もあります。

NIST フレームワークでの自主的な官民パートナーシップのようなアプローチは、規制強化よりも効果的でした。 このアプローチが成功したのは、政策立案者と民間企業が重要インフラのセキュリティ向上に必要な要件を定義したためです。 プロセスは非公開でないため、NIST は民間企業の意見を聞き、主要な利害関係者との信頼関係を構築しました。厳格な規制ではなく、自発的なコラボレーションに基づく柔軟なフレームワークが生まれました。 コラボレーションにより、安全性や信頼性を損なうことなく、検証済みの統合ソリューションをより迅速に配布することができます。 政策立案者は、期待された成果を実現するために、NIST フレームワークの事例を念頭に置くべきです。

 

セキュリティバイデザインのインセンティブ

政策立案者は、新しい CI 環境に対してセキュリティバイデザインの採用を奨励するべきです。 開発プロセスの早い段階でインフラにセキュリティを組み込むことで、プロアクティブな対応が可能になります。これは、事後にパッチの適用、システムの更新や変更を行う従来型のアプローチよりも優れています。

  • 実行中のシステム、ネットワーク、デバイスにセキュリティ機能を追加しても、非効率な作業になるだけでなく、脆弱性が残ってしまうこともあります。また、更新前にシステムをオフラインにする必要があるため、消費電力の点では経済的な方法ではありません。
  • 製造業は、ネットワークに接続可能なデバイスの設計段階でセキュリティを検討しておく必要があります。また、本番環境で最初に実行した後は、製品のアップグレードやパッチの適用を安全に行うメカニズムを追加する必要があります。

 

サイバーセキュリティ機能に対する投資

マカフィーは、サイバーセキュリティの最前線にいる企業として、組織の効率的な運営に必要な投資がいかに難しいかを認識しています。 多くの場合、サイバーセキュリティへの投資は、新製品、販売、マーケティングへの投資よりも遅れがちです。 重要インフラを見ると、所有と運営は民間企業が担当し、そのセキュリティは国が関与しています。ことを考えると、政策立案者は、サイバーセキュリティの能力向上を推進するため、次のような追加のインセンティブを実施するべきです。

  • 税制優遇措置: 実証済みのセキュリティ技術の減価償却スケジュールや税額控除など、サイバーセキュリティに対する投資を促進する税制優遇措置。
  • 保険制度の見直し: 政府は、バックストップ プログラムの提供により、保険市場を強化できます。 議会は、サイバー攻撃を含むように TRIPRA (Terrorism Reinsurance Program Reauthorization Act) の適用範囲を再検討すべきです。
  • 情報共有のただ乗り問題を解決した場合のインセンティブ: 脅威インテリジェンスの「ただ乗り」問題が公共機構や民間企業の情報共有でも問題になっています。このような阻害要因を見逃してはなりません。 どの組織も脅威情報を利用にメリットがありますが、「ただ乗り」問題の解消に対する適切な体制やインセンティブが導入されていない限り、情報提供による特設的なメリットはありません。
  • 脅威データの分類解除: ただ乗り問題を解決するためにも、政府は、民間企業と共有する脅威データの質と量を改善する必要があります。 政府は、機密扱いを解除する脅威データ カテゴリを増やし、民間企業と積極的に共有する必要があります。 政府機関は、最も重要で潜在的な価値が高い脅威データの一部またはクラスへのアクセスを可能にするため、資格のある企業の担当者にさらに多くのセキュリティ クリアランスを発行する必要があります。