セキュリティ

 

オーストラリアの地理は広大で、この広大な茶色の土地の東西に点在する国家の重要インフラ資産の監視と監督に関して、独特の課題があります。したがって、オーストラリアの状況では、高度なドローン無人航空機 (UAV) 技術の台頭は、ゲームチェンジャーになる可能性があります。UAV の使用により、重要インフラの監視、維持、保護の方法が変化しました。UAV はコストを削減し、作業員の安全性を高め、アクセス性を向上させ、時間を節約します。ただし、現状では、インターネットに接続されたデバイスや、ソフトウェアの更新やデータのアップロードにインターネット接続を必要とするデバイスとして、サイバー攻撃に対して脆弱な UAV に関するサイバーセキュリティ規制や基準はオーストラリアにありません。これは、米国政府のサイバーセキュリティおよびインフラストラクチャセキュリティ庁 (CISA) によってしっかりと取り組まれている問題であり、同庁は、UAV サイバーセキュリティと重要インフラアプリケーションに特に関連するいくつかの重要なガイダンス (最新のものは 2024 年 1 月) を発表しました。オーストラリアの2018年重要インフラセキュリティ法（SOCI法）の大幅な改革が施行され、修正も進行中であり、国家的重要性のあるシステム（SoNS）の数も増え続けていることから、オーストラリア全土でUAVの使用に関連するサイバーセキュリティリスクに対処する明確な動機があります。国内の重要インフラ資産。さらに、オーストラリアでは、特に重要インフラの用途に関連して、規制やガイダンスを通じてUAVとそのサイバーセキュリティの完全性をどのように改善できるかを調査する必要があります。したがって、この論文では、次のことを目指します。

UAVとは何かを定義し、オーストラリアの重要インフラを監視するためにUAVがどのように使用されているか

「オーストラリアの職員や指導者は、RTB を使用して分類され、標的にされます。少なくとも、これにより、彼らの動きや活動が明らかになることで、セキュリティ リスクが生じます。ただし、次のセクションで示すように、セキュリティの脅威はより深刻です。ターゲットとなる個人の職務に関する RTB データは、それらの個人に関するより詳細な RTB データと相互参照されることもあります。これにより、ターゲットとなる個人とその組織は深刻なセキュリティ リスクにさらされます。」

「RTB データにより、外国や非国家主体は主要な職員や指導者の動きやオンライン活動を追跡できるだけでなく、ターゲットとなる個人やその組織に関する詳細な情報が、外国や非国家主体による影響、脅迫、ハッキングにさらされることになります。」

「RTB はセキュリティ上の脅威です。外国や非国家主体は、RTB を通じてオーストラリアの機密職員や指導者に関する機密情報にアクセスできます。オーストラリアのセキュリティに対する危険は深刻であり、対処する必要があります。」

ビクトリア州政府のリスク管理フレームワーク (VGRMF) は、共有リスクや州の重大なリスクなど、リスクを効果的に管理していることを示すために機関が満たす必要のある最低限のリスク管理要件を説明しています。機関の責任機関の役割と責任を概説しています。VGRMF は、ベスト プラクティスのリスク管理の国際的に認められた基礎を提供する ISO 31000:2018 リスク管理 - ガイドラインを採用しています。"

"「効果的なリスク管理は、情報に基づいた意思決定、目標の設定と達成、パフォーマンスの向上を可能にすることで、ビクトリア州公共サービスを保護し、その価値を生み出します。リスク管理は、機関の文化の不可欠な部分であり、ポリシー、システム、プロセスに反映される必要があります。これには、健全な財務管理と効率的なサービス提供を確保するための戦略的ビジネス プランニング、パフォーマンス管理、全体的なガバナンスが含まれます。

リスクは 1 つの機関のみに影響を及ぼす場合もあれば、複数の機関に影響を及ぼす場合もあります。機関は、リスク管理のために他の機関と連携するなど、適切なリスク管理戦略を検討して実装する必要があります。

公共部門がサービスの開発と提供に対してより洗練されたアプローチに移行するにつれて、財務リスクと非財務リスクの両方の管理に対する体系的なアプローチが重要になります。」

取締役会は、全体的なリスク管理フレームワークの一環として、技術リスクを管理するために十分な優先順位とリソースを割り当て、監督を行う必要があります...」

「取締役会は、IT アウトソーシング契約に対する監督の役割を果たさなければならず、アウトソーシング ポリシーと手順の有効性を確保する責任があります...」

「上級管理職: ... 資本市場エンティティのリスク エクスポージャーに見合った堅牢で健全な技術リスク管理手順を承認および実装し、資本市場エンティティが IT 運用環境のセキュリティ、信頼性、回復力を実現できるように支援します。

テクノロジーリスク管理に関するガイドライン（ガイドライン）は、2007 年資本市場およびサービス法（CMSA）第 377 条に基づいて証券委員会（SC）によって発行されています。

1.02 1.03 1.04 デジタル革命により、接続性、利便性、イノベーションの新しい時代が到来しました。

その結果、近年、テクノロジーを活用して活動する資本市場エンティティが増えています。

テクノロジーの採用拡大に伴うリスクを検出して軽減する資本市場エンティティの能力をさらに強化するために、これらのガイドラインでは、資本市場エンティティにおけるテクノロジーリスクの管理に関する包括的な規制フレームワークを導入しています。

公共交通機関や鉄道におけるサイバーセキュリティ保護は、新しいものですが、懸念は高まっています。今日では、ほぼすべての製品にファームウェアまたはソフトウェアが組み込まれており、コンピューティング ツールの使用が保守スタッフから鉄道社長まで一般的になっているため、これは公共交通機関事業者 (PTO) が直面しなければならない数少ない部門横断的な課題の 1 つです。残念ながら、特に鉄道システムの通信、信号、処理などの物理的な操作の自動化に関するサイバーセキュリティに関しては、このような複雑な問題に対処できる適切な能力を持つ従業員はほとんどいません。したがって、PTO は次のようなジレンマに直面しています。IT/OT スペシャリストが、自動化製品の定義を含むすべての機能プロセス (マーケティングや調達など) の先頭に立つべきかどうか。特にこの分野における役割の定義は複雑な問題であり、後ほど取り上げ、IT、OT、その他のサイバーセキュリティの専門家が鉄道の保護にもたらすことができる具体的な貢献について説明します。とはいえ、必要に応じて、IT/OTの専門家が適切なプロセスを作成し、非常に技術的なトピックに介入する際に、機能上の同僚をサポートすることを強くお勧めします。また、これは、すべての従業員が受ける必要がある通常のトレーニングに加えて、これらの機能マネージャーがプロセス内のサイバーセキュリティの問題に対処するのに役立つガイドラインに頼る必要があることも意味します。

サンバースト危機は、情報技術 (IT) の問題や架空の敵のせいというよりも、戦略の失敗でした。戦略の問題を見落とすと、米国が現在直面している危機よりも大規模で頻繁な危機を招くことになります。米国政府と業界は、この戦略的な欠陥に対処するために「持続的な流れ」という考え方を取り入れ、効果的なサイバーセキュリティとは、スピード、バランス、集中的な行動であるということを強調する必要があります。公共部門と民間部門の両方が協力して、リスクを容赦なく優先順位付けし、クラウド内の基幹システムの防御力を高め、連邦政府のサイバーリスク管理をより自己適応的にする必要があります。」

信頼の話は古くからあるものの、サンバーストのサイバースパイ活動は、米国の集団的なサイバーセキュリティの弱さと、サイバー空間でのダイナミックな情報競争で競争するための現在の米国戦略の不十分さを思い起こさせる驚くべきものでした。より広範なサンバースト活動の一部である SolarWinds の侵害は甚大な影響を及ぼしましたが、サプライチェーン攻撃としては、過去 10 年間の他の 7 つのイベントで実証されているように、前例のないものではありません。」

「サンバーストは、クラウド コンピューティング セキュリティにとっても重大な瞬間でした。攻撃者は、Office 365 や Azure クラウド サービスをサポートするものを含む Microsoft の ID ソフトウェア製品を密かに調査し、多数の組織から電子メールやファイルを吸い上げることで、このキャンペーンで最も大きな被害をもたらしました。このキャンペーンは、大手クラウド サービス プロバイダーである Amazon、Microsoft、Google が基幹サービスに使用している既存の脅威モデルと、ユーザーがこれらの製品を管理および防御する容易さについて懸念を引き起こしています。クラウドの「共同責任」が機能するためには、クラウド プロバイダーはユーザーが実際に防御できるテクノロジを構築する必要があります。」

内部ネットワークとインターネットの間のセキュリティ仲介役として機能する、インターネットに面した「エッジ」デバイスを標的とする悪意のあるアクターが観察されています。「エッジデバイス」という用語には、ファイアウォール、ルーター、仮想プライベートネットワーク (VPN) ゲートウェイ、モノのインターネット (IoT) デバイス、インターネットに面したサーバー、インターネットに面した運用技術システムなどのシステムが含まれます。エッジデバイスは、基本的に、企業ネットワークへのインターネット接続されたドアであり、データの出入りが行われます。

エッジデバイスの主な機能には、データトラフィックの管理、セキュリティポリシーの適用、ネットワーク境界を越えたシームレスな通信の確保などがあります。これらのネットワーク境界を保護できないことは、ドアを開いたままにすることと同じであり、悪意のあるアクターが機密データにアクセスし、操作を妨害し、さらなる悪用を開始することを招きます。

悪意のあるアクターは、ネットワークエッジデバイスを介してアクセスするためにさまざまな手法を使用します。新たに公開された脆弱性を迅速に悪用することは、今や標準的な手法です。熟練したアクターと未熟なアクターの両方が、インターネットにアクセス可能なネットワークに対して偵察を行い、脆弱なデバイスを特定して悪用します。

多要素認証 (MFA) が有効になっていない場合、悪意のある攻撃者は盗んだ認証情報を使用したり、脆弱な認証情報やデフォルトの認証情報を悪用したりして、エッジ デバイスを通じて企業ネットワークにアクセスします。有効な認証情報を使用すると、悪意のある攻撃者はステルス性を維持できます。これは、他の環境寄生型手法と組み合わせると、防御側が悪意のあるアクティビティを検出するのが困難になります。」

IT 攻撃は、CSO、CISO、リスク管理担当者が眠れなくなる原因のほんの一部にすぎません。IT サイバー攻撃はニュースになることが多いですが、潜在的にもっと危険なのは、運用技術 (OT) のサイバー攻撃と障害です。後者は爆発、破壊、負傷、死亡を引き起こす可能性があるだけでなく、OT を保護する方法も原因となります。

OT は物理的なプロセスを監視および制御します。OT を自動化すると、手動操作よりも効率的で信頼性が高く、記録がより適切に保持され、毎日複数の休憩を取る必要がなくなり、労働問題も発生しません。適切にプログラムされていれば、人間が犯すようなミスをせず、メンテナンスを支援し、危険を警告して軽減することができます。

ただし、ハッカーがセキュリティを回避してシステムを「乗っ取る」ことができれば、OT が保護するプロセス自体が非常に危険になる可能性があります。一部の OT サイバー攻撃は偶発的な OT の問題に偽装されているため、この状況はさらに悪化します。複数の事例で、「想像力の欠如」により、セキュリティ チームがサイバー攻撃を無害な障害と誤診しています。

これらの「誤診」の一因は、OT のネットワーク保護担当者が OT の動作、通信、脆弱性、および OT を安全に保護する方法を十分に理解していないことです。

残念ながら、この理解不足は危険です。

このホワイト ペーパーでは、次の点について説明します。

• OT とは何か

• OT と IT

• OT 固有の脆弱性

• OT を保護する際の IT のハードル

• OT 保護チームの構築に関する推奨事項このホワイト ペーパーの目的は、CSO、CISO、リスク マネージャーが OT のサイバーと安全性の問題を認識し、OT の運用を危険にさらすことなく IT と OT の保護を最大限に高められるように支援することです。」

人、情報、物理的資産への危害や侵害のリスクを最小限に抑える物理的セキュリティ対策を実施する」 「機関には、人、情報、資産 (リソース) が侵害を含む危害から保護されるようにする責任があります。このポリシーにより、機関は、機関のリソースに対する物理的セキュリティ リスクを最小限に抑えるために必要な手順を踏むと同時に、機関が施設の計画、選択、設計、変更に保護セキュリティ要件を組み込むことが保証されます。」

「物理的資産は、機関にとって価値のある有形のアイテムであり、不正なアクセス、使用、または削除を防ぎながら、操作性とアクセス性を確保するために保護が必要です。