重要インフラのオペレーターは、敵対的なサイバー脅威環境と複雑なコンプライアンス環境に直面しています。産業用制御システムのすべてのオペレーターは、生産性ニーズに対応するために IT ネットワークも運用しています。電力網または化学プラントの監視制御およびデータ収集 (SCADA) システム オペレータは、他の企業と同様に、それをサポートするために電子メール、データベース、およびビジネス アプリケーションを必要としています。
攻撃面が大きい IT 環境は、IT システム自体が重要なインフラストラクチャではない場合でも、重要なインフラストラクチャを攻撃するための入り口になる可能性があります。セキュリティとコンプライアンスの失敗には、生命の安全、環境、または国家安全保障への影響が含まれる場合があります。これは、他のエンタープライズ IT システムとは異なるリスク管理の課題です。
ランサムウェアは、産業用制御システム (ICS) の問題ではなく、IT の問題と考えられており、重要なインフラストラクチャ オペレーターであるNorsk Hydro 、 ブラジルの電力会社 Electrobras、Copel 、およびReading Municipal Light DepartmentとLansing Board of Waterを攻撃するために使用されています。他の米国の公益事業の中でもライト。 Dragos と IBM X-Force は、2018 年から 2020 年の間に産業エンティティに対する 194 件のランサムウェア攻撃を特定しました。 これには、EKANS のような ICS 固有の株が含まれます。
IT と ICS の統合が進む環境に対するさまざまな脅威は、IT と ICS のセキュリティに対する複合的なアプローチの必要性を浮き彫りにしています。
Azure Defender for IoTは、オンプレミス、クラウド、およびハイブリッド ICS のセキュリティの基盤です。 Microsoft 365 のマルウェア対策機能に加えて、Advanced Threat Protection (ATP) と Microsoft Compliance Manager の統合により、標準ベースのコンプライアンスを管理、視覚化、およびレポートすることも基本となります。
複雑なコンプライアンス状況
ICS に対するサイバー脅威の状況がますます敵対的になり、公表されるにつれて、重要なインフラストラクチャ オペレーターのコンプライアンス責任も増加しています。米国とカナダでは、Bulk Electric System (BES) の参加者は、North American Electric Reliability Corporation Critical Infrastructure Protection Standards (NERC CIP) に準拠し、組織のセキュリティ ポリシーとベンチマークの基礎として NIST 800-53 を使用する必要があります。 米国国立標準技術研究所 (NIST) のサイバーセキュリティ フレームワークに準拠しています。また、ICS をIEC62443/ISA 99に合わせて設計している可能性もあります。多くの先進的な公益事業は、サービスとしてのインフラストラクチャ (IaaS)、サービスとしてのプラットフォーム (PaaS)、ゼロ トラスト アーキテクチャを備えた Microsoft 365 のようなサービスとしてのソフトウェア (SaaS) を通じて、クラウドの使用を増やしています。
NERC CIP 標準はオンプレミス システムを中心に作成されましたが、NERC は、登録エンティティによるBulk Electric System Cyber System Information (BCSI) 用のクラウドの使用に対してよりオープンになりました。これには、仮想化およびクラウド コンピューティング サービスに関する NERC の命令と、信頼性標準 CIP-011-3 の技術的根拠が含まれており、クラウド サービス プロバイダーのリスク評価について議論しています。このリスク評価には、クラウド サービス プロバイダーの継続的な標準ベースの評価が含まれます。
包括的かつ効率的なコンプライアンス
組織がワークロードをクラウドに移行すると、セキュリティ制御の一部に対する責任がクラウド サービス プロバイダーに移ります。
したがって、組織は残りのセキュリティ制御と、クラウド サービス プロバイダーが責任を負うセキュリティ制御をどのように管理するかを精査することにリソースを集中させることができます。
お客様が Office 365 を使用する場合、Microsoft は 1,021 個の NIST 800-53 コントロールの 79% を管理できるように支援するため、お客様は残りの 21% のコントロールの実装と維持に集中するだけで済みます。共有責任モデルを使用することで、これらの顧客リソースを利用してシステムをさらに保護できます。これらの機能を提供するためにオンプレミス インフラストラクチャを使用しているお客様は、1,021 のすべてのコントロールを実装して維持する必要があります。
包括的かつ効率的なコンプライアンスのためのツール
Microsoft コンプライアンス マネージャーは、Microsoft 365 コンプライアンス センターの機能です。これは、顧客の Microsoft 365 テナント、Microsoft のコンプライアンス プログラム、および顧客が完了したワークフローからのシグナルを使用して、規制および業界標準のテンプレートに対するコンプライアンスを管理および報告します。これらのテンプレートには、NERC CIP、NIST サイバーセキュリティ フレームワーク (CSF)、NIST 800-53、米国の化学施設をテロリストの攻撃から保護および保護する法 (HR 4007)、および世界中の 330 を超える標準ベースの評価が含まれます。他の標準に基づいたカスタム テンプレートを作成したり、独自のポリシーや制御セットにマッピングしたりすることもできます。
コンプライアンス マネージャーの評価テンプレートごとに、規制要件を満たすために「何をすべきか」に関する簡単なガイダンスが得られます。この点に関して、クラウド サービス プロバイダーとしての Microsoft の責任と、お客様の責任である管理について理解することができます。さらに、お客様の責任であるコントロールごとに、これらのコントロール要件を満たすために実行する必要があるアクションを分類します。これらのアクションは、手続き、文書化、または技術的なものです。
技術的なアクションについては、Microsoft のセキュリティ、コンプライアンス、ID、または管理ソリューションを使用して技術的なアクションを実装およびテストする方法について、段階的なガイダンスを取得します。この詳細な情報を使用して、業界や地域ごとの規制に対するコンプライアンスを効率的に実装、テスト、実証できます。この情報は、Microsoft 365 のセキュリティおよびコンプライアンス ソリューションから最大限のメリットを引き出すのにも役立ちます。コンプライアンス マネージャー内で評価を作成すると、コンプライアンス マネージャーで技術的なアクションを実装およびテストするために使用できるソリューションを簡単に理解できるようになります。
カスタム評価機能を使用して、コンプライアンス マネージャーの評価テンプレートを “拡張” し、Microsoft 365 以外の資産に対するコンプライアンスを追跡することもできます。この機能により、コンプライアンス マネージャーは、すべての資産にわたってコンプライアンスを追跡および管理するのに役立ちます。
さまざまなライセンス レベルで使用できるさまざまなテンプレート セットがあります。
Microsoft は、標準が変更されたときに評価テンプレートを更新し、この責任からお客様を解放します。変更が顧客に通知され、評価を更新するオプションが提供されます。
コンプライアンス マネージャーは、次のものを追跡、レポート、視覚化します。
- Microsoft が管理するコントロール:これらは、Microsoft が実装を担当する Microsoft クラウド サービスのコントロールです。
- お客様の管理:これらは、お客様の組織によって実装および管理される管理であり、「顧客管理の管理」と呼ばれることもあります。
- 共有コントロール:これらは、組織と Microsoft の両方が実装の責任を共有するコントロールです。
評価には、ユーザーが個々の統制ステータスにドリルダウンして証拠を表示できる視覚化が提供されます。効果の高い改善アクションが提案されます。
コンプライアンス マネージャーは、共有クラウド セキュリティおよびコンプライアンス責任モデルの一部として、Microsoft と顧客が管理するコントロールの両方をカバーします。自動化されたワークフローとエビデンス リポジトリは、顧客が管理および共有するコントロールのために提供されます。
利害関係者を割り当てることができます。手順が記載された自動メッセージとアップロード リンクがスケジュールに従って提供され、必要なコンプライアンス活動、レポート ステータス、および証拠のアップロードを思い出させることができます。これにより、監査人やベンチマーク コンプライアンス プログラムに対応するための効率的で防御可能なシステムが提供されます。
重要なインフラストラクチャ オペレーターのコンプライアンスを可能にするコントロールの多くは、標準全体で共通であるため、コントロールを一度実装すると、複数の標準にわたってコンプライアンスが可能になります。
次のような規格間でコントロールをマッピングします。
| NIST CSF カテゴリ | NIST CSF サブカテゴリ | NIST 800-53 Rev. 4 コントロール | ISO27001管理 | NERC CIP コントロール |
| アクセス制御 (PR.AC): 資産および関連施設へのアクセスは、許可されたユーザー、プロセス、またはデバイス、および許可されたアクティビティおよびトランザクションに限定されます。 | PR.AC-1: ID と資格情報は、承認されたデバイスとユーザーに対して管理されます。 | NIST SP 800-53 Rev. 4 AC-2、IA ファミリ | ISO/IEC 27001:2013 A.9.2.1、A.9.2.2、A.9.2.4、A.9.3.1、A.9.4.2、A.9.4.3 | CIP-004-6 – アクセス管理プログラム、パート 4 および 5 |
この標準間のクロスウォークは、コンプライアンス マネージャーの一部であり、顧客の評価全体に自動的に入力されます。
新しい標準制度への準拠をベンチマークし、報告するための労力のレベルは劇的に削減されます。
IT と ICS の融合は、重要なインフラストラクチャ オペレーターにとって継続的な傾向です。攻撃の方法論、表面、攻撃者が交差して、最も重要なリソースを危険にさらしています。システムの可用性を保護するために、監査可能な方法でコンプライアンス体制を効率的に満たす必要があります。マイクロソフトは、IT および ICS 環境全体の管理を支援するために、上記のさまざまなツールを提供しています。
もっと詳しく知る
Microsoft Compliance Managerの詳細と、それがコンプライアンスの簡素化とリスクの軽減にどのように役立つかをご覧ください。
Microsoft セキュリティ ソリューションの詳細については、当社の Web サイトをご覧ください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
Comments