コンテンツにスキップ

イラスト:

カジノサイト 官民パートナーシップでサプライ チェーンのセキュリティに対処

ミーガン・ゲイツ著
2019 年 5 月 1 日

印刷問題:2019 年 5 月

米国土安全保障省 (DHS) は、2017 年 9 月に、カスペルスキーのすべての情報セキュリティ製品、ソリューション、およびサービスをすべての連邦政府省庁から削除するという拘束力のある運用指令を発行しました。 DHS が、あるメーカーのソフトウェアをすべて政府システムから削除する命令を出したのはこれが初めてでした。 

「この措置は、連邦情報システム上でカスペルスキー製品を使用することによってもたらされる情報セキュリティのリスクに基づいている」とDHSはこの指令に関する声明で述べた。 「カスペルスキーのウイルス対策製品とソリューションは、ソフトウェアがインストールされているコンピュータ上のファイルへの広範なアクセスと昇格された権限を提供し、悪意のあるサイバー攻撃者がこれらの情報システムを侵害するために悪用する可能性があります。」

DHS はまた、ロシア企業カスペルスキーとロシア諜報機関とのつながりを懸念してこの命令を出しました。

「ロシア政府が、単独で行動するかカスペルスキーと協力して行動するかにかかわらず、カスペルスキー製品によって提供されるアクセスを利用して連邦情報や情報システムを侵害するリスクは、米国の国家安全保障に直接関係します」とDHSは説明した。 

同省は連邦政府機関および各省庁に対し、システム上のすべてのカスペルスキー製品を特定するために 30 日間の猶予を与えた。政府機関は、通知から 60 日以内にそれらの製品の使用を中止および中止し、通知から 90 日以内にそれらの製品の使用を中止および削除する計画を作成する必要がありました。

この指令を受けて、連邦政府機関および部門内でのカスペルスキー製品の使用を禁止する米国国防権限法が 2017 年 12 月に制定されました。 

カスペルスキーは、ロシア諜報機関との関係疑惑を否定し、米国連邦裁判所で米国政府による自社製品の禁止にも異議を申し立てた。ワシントンDC巡回裁判所はカスペルスキーの訴訟を却下したが、CEOのユージン・カスペルスキーは声明で、同社は「世界中の顧客に最高のサイバーセキュリティソリューションを提供し、世界をサイバー脅威から救う」ことに今後も尽力すると述べた。

カスペルスキーの指令後、他社の製品は政府や民間企業に対して同様にセキュリティ上の脅威となる可能性があるとして厳しい監視の対象となっています。米国政府や日本政府なども、安全保障上の懸念を理由に、いずれも中国企業が製造したファーウェイ製品やZTE製品の使用に制限を設けている。 

この動きはまた、情報技術製品のサプライチェーンのセキュリティに対処する必要性に改めて焦点を当てています。このようなセキュリティが欠如していると、それらの製品をシステムにインストールするエンド ユーザーに大きなリスクが生じる可能性があります。

「従来、ほとんどの組織は、サプライ チェーンのハードウェアおよび物理的側面に焦点を当ててきました。偽造部品はないか、製造段階で侵害されていないか?」サイバーセキュリティプロバイダーである Lookout のシステムエンジニアリングディレクターである Tim LeMaster 氏は次のように述べています。 

しかし、ソフトウェアもサプライチェーンのリスクを引き起こすという認識が高まっており、ルマスター氏によると、顧客の多くは自社のシステムに対するこれらのリスクに対処することにますます懸念を抱いているという。 

中国が開発に多額の投資を行っている5G(次世代技術の接続に使用される第5世代無線ネットワーキング)の創設により、サプライチェーンのセキュリティに対するさらなる懸念が高まっている。  

2019年3月のRSAカンファレンスで講演したシンクタンク、サード・ウェイの国家安全保障プログラム副社長ミーケ・オヤン氏は、米国は独自の5G開発に長期的な投資も計画もしていないと述べた。 

「ネットワークの所有者が私たちの価値観を共有する国でない場合、ネットワークを流れる通信はどうなりますか?」彼女は尋ねた。 

脅威

2018 年、米国会計検査院 (GAO) は、米国連邦機関が IT システムを調達するために使用するサプライ チェーン (「製品を作成し、サプライヤーからエンド ユーザーまで製品を移動する組織、人材、活動、およびリソース」) を評価しました。

これらのサプライチェーンに対する脅威には、意図的に有害または偽造されたハードウェアまたはソフトウェアのインストールが含まれる可能性があります。重要な製品の製造または配布に失敗する。技術サービスの実行を悪意のあるまたは無資格のサービスプロバイダーに依存する。または、欠陥のあるコーディングなど、意図しない脆弱性を含む、またはそれらを抱えたハードウェアまたはソフトウェアをインストールする。

「これらの脅威は、敵対者によるシステムの制御の許可や、システム開発に必要な資材の入手可能性の減少など、さまざまな影響を与える可能性があります」と GAO は説明しました。 「これらの脅威は、サプライ チェーンの複数のポイントに存在する可能性のある脆弱性を悪用することによって導入される可能性があります。」

米国のシステムは外国で製造され、多くの場合複数のサプライチェーンを使用する IT 機器に大きく依存しているため、これは米国にとって主要な脅威分野でもあります。 

「その結果、政府機関は、取得したテクノロジーがどのように開発、統合、展開されるか、また、製品やサービスの完全性、セキュリティ、復元力、品質を確保するために使用されるプロセス、手順、慣行について、ほとんど可視化、理解、制御できない可能性があります。」

これは、これらのシステムが、中国、イラン、北朝鮮、ロシアなどの既知のサイバー脅威である外国によって操作されたり、損害を受けたりする大きなリスクをもたらします。

「これらのサイバー脅威国家、サイバー脅威国家と密接に関係するベンダーやサプライヤー、その他の悪意のある行為者によって生み出される脅威や脆弱性は、高度で検出が困難であるため、組織や連邦機関に重大なリスクをもたらす可能性がある」と GAO は説明した。 

たとえば、国民国家が米国政府のサプライチェーンに侵入し、デバイスにソフトウェアをインストールする可能性があります。国家はそのアクセスを利用して、デバイスが接続されているネットワークを制御したり、運用を妨害したり、他のシステムに対して攻撃を仕掛けたりする可能性があります。 

米国の国家安全保障に関連する 4 つの部門 (国防、エネルギー、国土安全保障、司法) はすべて、サプライチェーンの脆弱性によってもたらされるリスクを認識し、脅威に対処する戦略を採用しました。しかし、GAOは、サプライチェーンのセキュリティ全体に対処するにはさらなる努力が必要であると述べた。 

応答

GAO が報告書を発表した直後、DHS は国家リスク管理センターの設立を発表しました。 

「国家の脅威の再出現、私たちのハイパーコネクテッド環境、そして私たちの生存、そして民間セクターとの効果的かつ継続的な協力の必要性から生まれたリスク管理に対して、より戦略的なアプローチを採用することになる」と元DHS長官カースティエン・ニールセンは2018年7月の同省サイバーセキュリティサミットでの講演で語った。私たちの目標は、プロセスを簡素化し、サイバー脅威から防御するためのあらゆる政府活動への単一アクセス ポイントを提供することです。」

センターの最初の主要な取り組みの 1 つは、政府と業界を結集してサプライ チェーンのリスクに対処することです。 2018 年 11 月、同センターは情報通信技術 (ICT) サプライ チェーン リスク管理タスクフォースを立ち上げ、グローバルな ICT サプライ チェーンに対するリスクを特定して管理するためのコンセンサス推奨事項を作成しました。 

「今こそ、サプライチェーンを含むサイバーセキュリティ分野で、特に外国の敵対者から見られる戦略的リスクに対抗するためのさらなる努力が必要なときだ」と国家リスク管理センター所長でタスクフォース共同議長のボブ・コラスキー氏は言う。 「政府と業界が団結してこの脅威を真剣に受け止め、脅威に対処しリスクを軽減するためのソリューションを考案することが急務となっています。」

この特別委員会は、諜報機関のメンバーを含む民間部門と政府の代表者 60 人で構成されています。コラスキー氏は、情報技術産業評議会(ITI)の政策法務担当副社長ジョン・ミラー氏、およびUSTelecom Associationのサイバーセキュリティ担当上級副社長ロバート・メイヤー氏とともにこのタスクフォースの共同議長を務める。 

DHS通信部門調整評議会の議長でもあるメイヤー氏は、タスクフォースの代表者の範囲は、サプライチェーンのセキュリティに関して真の進歩を生み出すための広範な議論が行われることを意味すると述べています。

「サプライチェーンが攻撃の主要なベクトルであるという認識を踏まえると、特にその背後にある国民国家を考慮すると、リスクを軽減するための調整された戦略と計画を立てることが非常に緊急に求められています。」と彼は付け加えた。

2年間の憲章を持つこのタスクフォースは、2018年11月に設立された後、最初の会議を開催した。タスクフォースは軌道に乗るために、サプライチェーンのセキュリティに対処するための政府と民間部門の両方の取り組みの目録を作成し、以前の取り組みとの重複を防止した。 

12 月と 1 月の米国政府の部分閉鎖によりデータベースへの取り組みが遅れたが、メイヤー氏は、タスクフォースは在庫の両方のセグメントを 2019 年 3 月に完了する予定で順調に進んでいると述べた。

タスクフォースはこの目録を使用して、春に発表した4つの初期作業ストリームに分割した今後の作業を通知する予定です。 

1 つのワークストリームは、政府と業界の間でサプライ チェーンのリスク情報を双方向に共有するための共通フレームワークの開発に専念しています。 DHS はすでに、政府と業界の間で連絡を取るためのさまざまな情報共有チャネルを整備しているため、タスクフォースはサプライ チェーンの脆弱性に関する共有におけるギャップを特定する予定です。

「民間企業は、自社のサプライチェーンに置くものにリスクがあるかどうか、あるいは自らのリスクを理解しているかどうかを常に評価しています。そして、自らリスクを負っているので、私たちはなぜそのような決定が下されるのかを理解したいと考えています。そうすることで、他の企業も同様の決定を下したいと考えているかもしれないというメッセージを広めることができるのです」とコラスキー氏は付け加えた。

別のワークストリームは、ICT 供給品、製品、サービスを脅威に基づいて評価するためのプロセスと基準を特定することに焦点を当てています。このワークストリームにより、組織は基準が何なのか、サプライチェーン監視の次元がどのようなものになるのかを理解できるようになるとメイヤー氏は述べています。 

脅威の基準はテクノロジーを評価する当事者に基づくことが多いため、このワークストリームの割り当ては少し困難になります。

「買収の役割を担う人は、サプライ チェーンの観点から関心のあるパラメータ セットを 1 つ持っている可能性があります。それがエンド ユーザーであれば、別のパラメータを持っている可能性があります」と Mayer 氏は言います。 「見方が変わります。」 

2 番目のワークストリームが基準に関して特定した情報は、市場セグメントの特定と基準の評価、適格な入札者とメーカーのリストの確立など、3 番目のワークストリームに情報を提供するのに役立つ可能性があります。理想的には、このワークストリームは、ホワイトリストの入札者としての資格を得るためにどのような基準を満たす必要があるかを企業に知らせることになります。

4 番目のワークストリームは、元の製造元または認定販売者からの ICT の購入を奨励するための政策推奨事項を作成することに焦点を当てています。コンセンサスは、「認可されていない販売者から機器を購入するのではなく、正規の製造元または認可された再販業者から機器を購入した場合、セキュリティ プロトコルが採用、実装、検証されている可能性が高くなります」ということです、とメイヤー氏は言います。 

企業や代理店にこの購入パターンを採用してもらうために、ワークストリームでは、ユーザーが「適切なサイバー サプライ チェーン リスク管理に基づいて」意思決定を行うのにどのようなインセンティブが役立つかを検討する予定だと同氏は付け加えた。 

特別委員会はこの春に数回会合を開き、この夏からその進捗状況について一般に情報を公開する予定だとメイヤー氏は語った。また、タスクフォースが進化するにつれて、引き続きその作業範囲を検討し、ワークストリームの割り当てに対処する予定です。

「我々が目にするのは、新たな取り組みを方程式に加えて、その範囲が進化する継続的なプロセスであると思います」と彼は付け加えた。 「ここには、実用的で実際に変化をもたらす製品を作りたいという願望があります。」

ワークストリームに加えて、タスクフォースは、2018年の米国連邦調達法によって設立されたサプライチェーンセキュリティ評議会とも連携します。 

評議会は連邦政府に焦点を当てており、情報技術、通信サービス、および連邦政府が購入するその他のサービスから生じる可能性のあるセキュリティリスクを軽減する任務を負っています。 

評議会は、サプライ チェーンに対する脅威と脆弱性を評価するための基準を作成し、サプライ チェーンに対するリスクに関するガイダンスを発行し、それらのリスクに対処する方法に関するガイダンスを発行する責任を負います。

評議会はサプライチェーンリスクに関して民間部門から意見を得る必要があり、コラスキー氏は、タスクフォースがその対話の主な場になるだろうと述べている。 

全体として、メイヤー氏は、こうした話し合いが行われ、そのプロセスに民間セクターが審議会を通じて参加することが重要であると述べています。 

「国土安全保障省が産業界に来て、国家安全保障上の重要な考慮事項を改善するために産業界と提携したいと言うのは、私たちの耳には音楽です」とメイヤー氏は付け加えた。 「それが私たちが政府との官民パートナーシップの協力において見たいことなのです。」 

そして、このパートナーシップは、サプライチェーンの安全性に対処し、米国が民間および公的機関の買収プロセスを進めるための道筋を確実に確保するために重要です。 RSAのオヤン氏との会見で、サイバー準備研究所のマネージング・ディレクター、キルステン・トッド氏は、米国にとってこの問題に取り組むことが極めて重要であると述べた。

「私たちは、中国が私たちに定めた環境にいるような立場にはなりたくないのです」と彼女は語った。  

ミーガン・ゲイツはの上級編集者ですセキュリティ管理。彼女に連絡するには、[email protected]、Twitter で彼女をフォローしてください:.

_______

5G とは何ですか?

5G と呼ばれる第 5 世代のワイヤレス ネットワーキング テクノロジーは、接続性のメリットが増大するため、ユーザーの働き方や生活の仕方を変えると予測されています。

Verizon のファクトシートによると、「違いを定量化する 1 つの方法は、ダウンロード速度の観点からです。」 「5G は、4G で可能な速度の約 20 倍の速度を実現します。」

この強化されたデータ転送速度により、車両、産業用モノのインターネット、スマート シティ ネットワークなど、より多くのテクノロジーが相互に接続できるようになります。ただし、最初の 5G ネットワークは、2020 年まで米国全土で利用可能になる予定ではありません。WIREDの「」。」それは、今からそれまでの間にテクノロジーに大規模な投資が行われた場合に限ります。

「2020 年までに全国的な 5G という目標を達成するには、政府はより多くの無線周波数を通信事業者に開放する必要があります。通信事業者はインフラを迅速に拡張する必要があります。そしてハードウェア メーカーは 5G の波に乗る準備ができた新世代のデバイスを作成する必要があります。」有線説明しました。 

_______

特別委員会のメンバーは誰ですか?

米国土安全保障省国家リスク管理センターは、2018 年 11 月に情報通信技術 (ICT) サプライ チェーン リスク管理タスクフォースを設立しました。

この特別委員会には、政府および業界全体の代表者が含まれています:

  • アクセンチュア
  • AT&T
  • BSA
  • センチュリーリンク
  • チャーターコミュニケーションズ
  • シスコ システム
  • コムキャスト
  • コックス
  • CTIA
  • サイバーレックス
  • サイバーセキュリティ連合
  • ククステラ
  • デル
  • FBI
  • 連邦通信委員会
  • ファイアアイ
  • 一般的なダイナミクス情報技術
  • 一般調達局
  • HP
  • IBM
  • イコネクティブ
  • IT-ISAC
  • 情報技術産業評議会
  • インテル
  • Interos ソリューション
  • マイクロソフト
  • NASA
  • 国家安全保障局
  • 全米放送協会
  • NCTA
  • NTCA
  • NTT
  • 通貨監督庁
  • パロアルト ネットワーク
  • 先駆者
  • サムスン
  • スプリント
  • 脅威スケッチ
  • TIAT-モバイル
  • USテレコム
  • 米国商務省
  • 米国国防総省
  • 米国エネルギー省
  • 米国国土安全保障省、CISA
  • 米国国土安全保障省、最高調達責任者のオフィス
  • 米国司法省
  • 米国財務省
  • 米国原子力規制委員会
  • 米国国家情報長官室
  • 米国社会保障局
  • ベライゾン ワイヤレス
arrow_upward