サイト内の現在位置

Columbus Cybersecurity Conference 参加記

NECセキュリティブログ

2020年2月14日

はじめに

NEC サイバーセキュリティ戦略本部セキュリティ技術センターの中島です。
私は、1月中旬に米国東部を中心に開催されたいくつかのIT系カンファレンスに参加をしてきました。本ブログでは、1月16日にオハイオ州コロンバスで開催されたColumbus Cybersecurity Conferenceの内容をレポートします。

Columbus Cybersecurity Conference
new windowhttps://www.dataconnectors.com/events/columbus2020/

オハイオ州会議事堂。City of Columbusはオハイオ州の州都です。議事堂はダウンタウンの中心地に位置しており、周りには高層ビル等大きな建物が建っていました。

本カンファレンスは、セキュリティベンダによるセキュリティに関する動向の報告やセキュリティソリューションの紹介等のセッションと、CISA(*)によるキーノートセッションで構成されます。本ブログでは、CISAのキーノートセッションを紹介いたします。

  • Homeland Security Perspectives for Building Cyber Security Capacity, Capability, & Resilience
  • CISA - Cybersecurity & Infrastructure Security Agency
    CISAは、米国の重要インフラ施設等のセキュリティとレジリエンスの強化を先導する政府機関です。また、CISAは地方自治体や民間セクターとの協力体制の調整や、緊急時コミュニケーション構築等を実施、支援することも行っています。
会場入り口にあった本カンファレンスポスター

Homeland Security Perspectives for Building Cyber Security Capacity, Capability, & Resilience

CISAでCybersecurity Advisorを務めるFranco Cappa氏による本キーノートセッションでは、主にCISAの活動・取り組みについての紹介がありました。

CISAとは

CISAは、DHS(米国国土安全保障省)傘下にNPPD(National Protection and Programs Directorate)を再編・強化することを目的として2018年11月に設置されました。NPPDは、DHS傘下に設置されていた国家の安全と経済安全保障を強化する活動を行ってきた機関です。

National Protection and Programs Directorate
PDFhttps://www.cisa.gov/sites/default/files/publications/nppd-at-a-glance-bifold-02132018-508.pdf

重要インフラの定義とセキュリティ対策の現状

CISAは、下記の16セクターを米国の重要インフラと定義しています。

  • Chemical
  • Commercial Facilities
  • Communications
  • Critical Manufacturing
  • Dams
  • Defense Industrial Base
  • Emergency Services
  • Energy
  • Financial Services
  • Food and Agriculture
  • Government Facilities
  • Healthcare and Public Health
  • Information Technology
  • Nuclear Reactors, Materials, and Waste
  • Transportation Systems
  • Water and Wastewater Systems

CISAでは、これらの重要インフラが機能停止、もしくは破壊された場合、セキュリティ、経済安全保障、公衆衛生・安全が衰弱することになる、としています。

続いてセキュリティの現状についてまとめます。

  • 政府機関、民間セクターに関係なくセキュリティ人員が不足していることは、国家サイバーセキュリティ対策にとって大きな脅威となっている。
  • サイバー犯罪による被害額は、2015年は世界で3兆ドル/年であったが、2021年には世界で6兆ドル/年となると予想されている。
  • 重要インフラをターゲットとする脅威アクターは、国家主体のアクターである可能性が高く、非常に高い技術力を持っている。まずは、最終ターゲットの周辺の小さな組織等を初期ターゲットとし、その後最終ターゲットへ移行する手口がある。

CISAが提供するサービス

最後にCISAが提供するサービスの説明がありました。
CISAには、サイバー空間、物理空間、緊急通信等に対するアドバイザリサービスがあります。その中で、定期的なアセスメント実施の重要性について述べています。定期アセスメントはレジリエンスを高めるために不可欠であり、保護対象が不明では守ることができないこと、そして間違いに気付けなければ修正することができないことを述べていました。

将来に向けてよりセキュアでレジリエンスの高いインフラを構築するというCISAの目標を達成するための様々な方法として、米国の政府機関や重要インフラセクター向けに様々なサービスを有償/無償で提供していると紹介がありました。

紹介があった主なサービスは以下の通りです。

  • 組織の現状評価・対策プラン作成の際に利用できるガイドラインを提供
    セキュリティに限らず、災害時等のリスク評価や対策の計画立案に利用できるガイドラインを提供しています。これらのガイドラインは、Webサイトからダウンロード可能です。下記URLのProgram, Resources, and Tools You Can Useに各リンクが紹介されています。
    Homeland Security Starts With Hometown Security
    PDFhttps://www.cisa.gov/sites/default/files/publications/hometown-security-fact-sheet%2004022019-508.pdf
  • インシデントレスポンスサービス
    サイバーインシデントの発生時に、影響を受けた可能性のある組織を支援します。重要インフラ全体への影響の分析、法執行機関との協力による犯人調査、重大なサイバーインシデントに対する国の対応の調整を行います。また、サイバーセキュリティに関連する他の機関、民間を含む重要インフラの所有者、および運営者と緊密に連携して、より強力な団結とサイバーインシデントに対する国全体の対応を確実なものにします。
  • サイバーセキュリティアセスメントサービス
    アセスメントサービスはストラテジック(ハイレベル)からテクニカル(ローレベル)までのアセスメントがあり、以下はストラテジックからテクニカルな順にサービスを列挙しています。
    • Facilitated Cyber Security Evaluations
      インタビューベースのストラテジック寄りのアセスメント
      • Cyber Resilience Review
      • External Dependencies Management
      • Cyber Infrastructure Survey
    • National Cybersecurity Assessments and Technical Service (NCATS) Evaluations
      脆弱性を特定するためのスキャンやテスト等テクニカルよりのアセスメント
      • Cyber Security Evaluation Tool
      • Cyber Hygiene Service
      • Phising Campaign Assessment
      • Validated Architecture Design Review
      • Remote Penetration Testing
      • Risk and Vulnerability Assessment(aka “Pen” test)
  • トレーニング&エクササイズサービス
    • FedVTE(The Federal Virtual Training Environment)
      National Initiative for Cybersecurity Careers Studiesにてオンライントレーニングを提供します。主に、退役軍人、連邦・州・自治体政府等の従業員向けに無償で提供しています。
    • National Cyber Exercise and Planning Program(NCEPP)
      自治体や政府機関、公共・民間の重要インフラセクターの組織向けのサイバー演習と計画・活動を開発、検討、評価する演習プログラムです。
  • 情報共有サービス
    • CISA ML & Feeds
      CISAがメーリングリストやフィードを配信し解析レポート、速報、Tips、現在の活動等の情報を共有します。
    • Information Sharing and Analysis Centers (ISACs)
      政府と業界間の情報共有を促進する非営利のメンバ主導の組織です。
    • Automated Indicator Sharing(AIS)
      IOC情報を連邦政府やAISパートナー間でリアルタイムに共有する枠組みです。

最後にQ&Aでは、CISAがペンテストを実施してくれる対象は何か?(基本的に重要インフラセクターのみ実施と回答)といった質問が数多くあり、皆さんの関心の高さが伺えたキーノートセッションでした。

おわりに

本ブログでは、CISAによる米国の重要インフラへの取り組みについて紹介いたしました。政府機関の取り組みについて大変参考になりました。

執筆者プロフィール

中島 健児(なかしま けんじ)
セキュリティ技術センター リスクハンティングチーム

リスクハンティングチームにて、NECがお客様へ納品するシステム・製品へのリスクアセスメント/脆弱性検査/ペネトレーションテストを通じて、安全・安心なシステム構築を支援する業務に従事