政府機関は新たなサイバーセキュリティガイドの中で、米国の電力会社はデータ漏洩を減らすために認証システムとアクセス制御に細心の注意を払うべきだと述べている。
米国国立標準技術研究所(NIST)によると、米国国土安全保障省の産業制御サイバーチームが2014年に対応したサイバーセキュリティインシデント全体の約5%は、脆弱な認証に関連するものだった。また、産業制御インシデントの4%はアクセス権限の乱用に関連していたとNISTは述べている。
火曜日にNISTの国家サイバーセキュリティセンターオブエクセレンス(NCCoE)が草案の形で発表した新しいサイバーセキュリティガイドは、単一のコンソールから施設やデバイスへのアクセスを制御する方法を示し、エネルギー会社がサイバーセキュリティのリスクを軽減できるようにすることに重点を置いています。
スクリーンショット 米国国立標準技術研究所の新しいガイドは、電力会社に対し、アクセス制御の強化を通じてサイバー攻撃を防ぐためのアドバイスを提供している。
「電力業界は新興技術を活用するために古くて時代遅れのインフラをアップグレードしているが、これは物理的攻撃やサイバーセキュリティ攻撃からの保護を必要とする、送電網に接続される技術、デバイス、システムの数が増えることも意味する」とガイドは述べている。
ガイドによると、問題の一因は、多くのエネルギー事業者が「多数の部門によって管理されている」分散型のIDおよびアクセス管理システムを導入していることにある。こうした分散型のアプローチは、問題や攻撃の原因を特定できず、「重要資産と非重要資産の両方に誰がアクセスできるかに関する全体的な追跡可能性と説明責任」が欠如する可能性がある。
この出版物では集中型のアクセス制御システムを推奨しており、NCCoE は公共事業体が使用できるサンプルシステムを開発しています。
NCCoEのディレクターであるドナ・ドッドソン氏は声明の中で、このガイドは、公共事業会社が「リスクを軽減し、アイデンティティとアクセス管理の効率性を高める」ことができるよう、ステップバイステップの手順を提供していると述べた。
306 ページの文書では、サイバー攻撃や人的ミスの機会を減らすことに重点を置いて、セキュリティ エンジニア向けに、市販の製品を使用して集中アクセス制御システムの 2 つのバージョンを設定する方法が示されています。
NCCoE のスタッフは、エネルギー分野のセキュリティ専門家と協力し、日常の業務に基づいたセキュリティ上の課題を説明するシナリオも作成しました。
このシナリオは、複数の物理的な変電所と、それらの変電所内の会社ネットワークに接続されたリモート端末装置にアクセスできる公益事業技術者を中心としています。彼女が退職する際には、権限を取り消す必要がありますが、集中型のID管理システムがなければ、日常的なイベントの管理に時間がかかる可能性があります。
NIST はガイド草案に対するコメントを求めています。
