CISA 国家重要機能ファクトシート 日本語抄訳

電気、交通、インターネット、その他数多くのサービスへのアクセスは、国家の社会的・経済的な福利にとって最も重要なものです。国家重要機能(NCF)が確保され重要インフラの基盤となっており現代社会のバックボーンを支えています。NCFとは、米国にとって極めて重要な政府および民間部門の機能であり、その混乱、腐敗、機能不全は、安全保障、国家経済安全保障、国民の健康や安全、またはそれら全てに衰弱をもたらします。

NATIONAL CRITICAL FUNCTIONS
https://www.cisa.gov/sites/default/files/publications/factsheet_national-critical-functions_508.pdf

CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY

サイバーセキュリティおよびインフラセキュリティ庁(CISA)は、国家リスク管理センター(NRMC)を通じて、政府および業界のパートナーと協力し、国家の重要インフラ全体のレジリエンスを向上させるために、対象を絞り、優先順位をつけ、戦略的にNCFに対するリスクを特定し管理しています。

NCFの概要

技術の進歩とハイパーコネクティビティにより、重要インフラの運用は改善され、国内の16の重要インフラ部門は、複雑に相互接続されたエコシステムへと変貌を遂げました。同時に、情報技術と運用技術の統合、サプライチェーンの複雑化により、敵対者が米国の経済競争力と国家安全保障を支える資産、システム、ネットワークの脆弱性を突くことができる新たなベクトルが生まれました。NCFの例としては、家庭や企業に電力を供給する発電、商品と人の輸送、携帯電話ネットワークのGPSデータへのアクセスなどがある。1つのNCFに障害が発生すると、産業や社会全体に連鎖的な影響を及ぼす可能性があります。
2019年4月30日、CISAは55のNCFのセットを発表しました。この取り組みは、政府や民間企業のパートナー、業界の専門家、その他の関係者と連携してCISAのNRMCが主導し、どの機能が非常に重要で、中断または妨害された場合、部門横断的な影響や全国的な劣化を引き起こす可能性があるかを特定するために行われました。一連のNCFは4つの分野に分類されています。

接続重要な通信やデータの送受信機能を実現する技術による接続(例:インターネット接続や衛星アクセスなど)
流通国内外のモノ、人、ユーティリティの移動を可能にする流通手段(例:配電、貨物輸送など)
管理国家安全保障と国民の健康・安全を確保するための管理プロセス
(例:危険物の管理、選挙の実施、国家非常事態など)
供給経済を支える材料、製品、サービスの供給(例:水、住宅)。

NCFフレームワーク クロスセクター・リスクマネジメント

NCFフレームワークは、リスクを管理する視点を、事業体レベル(資産や組織)から、事業体がどのように組み合わさってサービスや機能を提供しているかを理解することに転換するものです。このフレームワークは、各NCFに貢献する主要な資産、システム、ネットワークを理解するために、セクターの専門知識を取り入れます。
重要インフラの大部分は民間所有であるため、効果的なリスク管理は、サイバー、物理、技術、自然などの脅威の結果がNCFに及ぼすシステミックリスク像をできるだけ完全に理解するための民間セクターと政府間の情報共有とセクター間の協力に依存します。リスクを機能的なレンズを通して見ることで、重要インフラコミュニティは、サイバーと物理システム間、およびNCF間の重要な依存性と相互依存性がどこにあるかを特定することができる。例えば、電力網が停止すると、上下水道システムはきれいな水を供給できなくなり、天然ガスは熱を供給できなくなり、通信システムはバックアップのために機能しなくなる可能性があります。
電源が故障した場合 NCFフレームワークは、すでに特定されているリスクを管理するコミュニティの能力を向上させ、管理する必要のある新しいリスクのポケットを特定するための基盤となるものです。

重要インフラのリスクに対する理解を深める

NCF発表後の1年間で、NRMCは55のNCFそれぞれを定義し、その運用に関わるシステムや技術についての基本的な理解を構築した。NRMCは、NCFがどのように運用されているかについての理解を深め、各NCFに関連する利害関係者のコミュニティを分析することにより、NCFフレームワークの成熟を継続する。この理解は NCF リスクアーキテクチャの継続的開発に反映されます。
このアーキテクチャは技術的に可能な分析ツールで、各NCFをサブ機能と下位レベルの活動に分解し、CISAが国のインフラに対する運用リスクと戦略リスクの両方を迅速に評価、特定、査定できるようにする。NRMCは、パートナーや産業界との協力を通じて、以下の活動を通じてNCFリスク・アーキテクチャを開発します。

  1. NCF を機能的に分解し、寄与する機能要素を理解する
  2. アセットとサブファンクションとの関連付けを行う
  3. 資産に関連するデータソースを特定する
  4. NCFの定義を用い、NCFの下位機能をNCFの依存関係に定性的に結びつける
  5. NCFとNCFの相互依存性の方向性を分析する

さらに、NRMCはNCFのステークホルダーと協力して、優先的なリスクを特定し、重要インフラのリスクに対処するために政府と業界が行っている活動を整理するためのNCFリスクレジスターの開発を支援する予定です。
NCFリスクレジスターは静的なものではないことを理解することが重要です。新たなリスク、例えば選挙中の国民の信頼に対する偽情報や外国の影響力活動の影響、あるいはCOVID-19対応などが浮上した場合、CISAは政策、協議、プロセスの強化や追加分析を引き続き支援し、優先順位の見直しや新しい優先順位の特定、リスク管理イニシアティブの確立を行い、国家の安全を効果的に確保します。

NCFリソース

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ