RSAC CISA ディレクターの Jen Easterly 氏によると、重要なインフラストラクチャを悩ませているランサムウェア攻撃の規模と範囲を大幅に削減する方法があります。それは、設計段階でソフトウェアを安全にすることです。
「ランサムウェアやサイバー攻撃を、驚くべき異常事態にするには、これが唯一の方法です」とイースターリー氏は、今週サンフランシスコで開催されたRSAカンファレンスの基調講演で述べた。「そして、それはテクノロジーの安全性をはるかに高めることです。」
米サイバーセキュリティ責任者:ソフトウェアメーカーは弁護士を利用してセキュリティ責任から逃れるべきではない
以前...
CISAの責任者であるクリス・クレブス氏の後を継いで以来、彼女はアメリカ政府の主要なサイバーセキュリティ機関での在任期間中ずっとこのことを訴え続けてきた。クレブス氏は、ワシントン・ポスト紙のスーパージャーナリスト、ジョセフ・メン氏が司会を務めた「ワールド・オン・ファイア」という適切なタイトルのセッションでイースターリー氏とともに壇上に上がった。
2人のCISA委員が指摘したように、私たちが対処してきた「ランサムウェアの脅威」により、デジタル世界は昨今火の海のように燃えているようだとイースタリー氏は語った。
1週間前、ユナイテッドヘルスのCEOアンドリュー・ウィッティ氏は、2月にチェンジ・ヘルスケアのIT侵害を起こした恐喝者に同社が2,200万ドルを支払ったことを米国上院議員らに認めた。
そして今週、おそらくRSAカンファレンスと時期を合わせて、連邦政府はLockBitの首謀者とみられるドミトリー・ユリエヴィッチ・ホロシェフを起訴し、制裁を科した。彼のランサムウェア関連組織は100以上の病院や医療関連企業を標的にしていたとされている。
組織から数十億ドル規模の金銭を脅迫するランサムウェア犯罪者に加え、中国のVolt Typhoonのような政府支援を受けたグループも存在します。イースタリー氏は、1月の議会証言で述べたように、このグループは「スパイ活動や知的財産権の侵害ではなく、台湾海峡で大規模な紛争が発生した場合に、混乱を招き破壊的な攻撃を仕掛けるために、我が国の重要インフラに侵入している」と述べました。
何十年もサイバーセキュリティの最低技術基準がなかったことをどう補うのでしょうか?
さらに、中国とロシアのサイバースパイが、米国政府関係者の電子メールアカウントを含むマイクロソフトのクラウドに侵入するという問題も続いている。
「サイバーセキュリティに関する技術的な最低基準が何十年も存在しなかった現状を、どう埋め合わせればいいのでしょうか? 国家の集団防衛のために、私たちが協力して取り組む必要があることを、エコシステム全体で認識する必要があります」とイースタリー氏は述べた。
連邦政府は技術調達の権限を行使し、プロバイダーに対し、より安全なソフトウェアの販売を促せると彼女は付け加えた。「そして率直に言って、これは技術を購入する誰もが活用すべき手段です。技術メーカーから入手する製品が可能な限り安全でセキュリティの高いものであるよう要求しましょう。」
イースターリー氏によると、水曜日のカンファレンスでは、60社以上のテクノロジー企業が、より安全な技術を開発するための誓約書に署名する予定だ。署名企業には、マイクロソフト、グーグル、AWS、IBM、パロアルトネットワークス、シスコなどが含まれると予想されている。
「気づきが始まっている…これで本当に顧客が離れていくだろう。なぜなら顧客は当社の製品に信頼を寄せていないからだ」とクレブス氏はベンダーの視点から語った。
クレブス氏は、セキュアソフトウェア誓約などのCISAの自主的な取り組みに加えて、テクノロジー製品をより安全にするために使用できる手段がさらに4つあると付け加えた。
- KEVの真実:CISAの脆弱性修正期限は民間セクターのパッチ適用に良い影響を与える
- バイデンの情報セキュリティ大統領令から3年が経ったが、私たちはまだすべての項目をチェックしようとしている
- CISA、数十年前のディレクトリトラバーサルバグを「もう終わり」と宣言
- 警察は2ヶ月の予告の後、ついに「LockBitの首謀者」の正体を暴いた
その一つは訴訟だと彼は言い、2020年のデジタル侵入をめぐってSECがSolarWindsと同社CISOのティム・ブラウンに対して起こした訴訟を指摘した。
「規制措置も必要です」とクレブス氏は述べ、現代のインターネットが登場する以前に、今日のサイバーセキュリティ慣行を精査するための監視機関を設立し、権限を与えようとしたことから生じる課題があると付け加えた。EPAが水道セクターサイバーセキュリティタスクフォースを設立し、重要インフラにおける「即時」の対策を推進しているのもそのためだ。規制当局は、何らかの変化や進化なしに、過去のルールをこのデジタル時代に適用することは困難だろう。
「そして最終的には、立法措置が最後の手段となります」とクレブス氏は述べた。「そこが、蛇口が小さくなる部分だと思います」
重要インフラのサイバーインシデント報告法 (CIRCIA) に基づき、重要インフラ事業者向けのサイバー攻撃報告ルールが近々施行される予定です。
「しかし、それ以上に、今会期では立法日があまり多くないこともあって、追加的な権限はあまりないと思う」とクレブス氏は述べ、米国の選挙年に触れ、AI法やサイバーレジリエンス法といった欧州連合の規制が、米国の技術セキュリティの向上に「連鎖的効果」をもたらす可能性があると付け加えた。®
