Google Cloudがサイバーフィジカルシステムのレジリエンスを高める10の指標を解説 最初にすべきことは？：脅威を未然に防ぐための先行指標とは

Google Cloudはホワイトハウスの新しいレポートの分析に基づいて、サイバーフィジカルシステムを改善するための10の主要な指標を紹介するブログエントリを公開した。

[＠IT]

　Google Cloudは2024年10月31日（米国時間）、ホワイトハウスのPCAST（大統領科学技術諮問委員会）が公開した新しいレポートの分析に基づいて、サイバーフィジカルシステムを改善するための10の主要な指標を紹介するブログエントリを公開した。

先行指標の重要性

　セキュリティとレジリエンスの取り組みの成功を評価する際、組織は成果を測定するために、「後追い指標」（lagging indicators）に頼ることが多い。これらの指標を用いることで、過去のパフォーマンスに関する重要な分析ができるが、将来のインシデントの防止や、積極的な改善につながることはほとんどない。

　一方、「先行指標」（leading indicators）は予測や実践できる対策に基づいており、これに従うことで、潜在的なリスクや脆弱（ぜいじゃく）性が悪用される前に特定しやすくなる。組織はセキュリティとレジリエンスに対してより積極的なアプローチを採用し、脅威を効果的に予測して軽減できるようになる。

　先行指標への移行を望むセキュリティリーダーやビジネスリーダーは、サイバーフィジカルレジリエンスと重要インフラの強化に関する最近のPCASTの報告書を確認すべきだ。この報告書には、組織が今すぐに分析を開始できる先行指標を特定する方法について、詳細な指針が示されている。

PCASTレポートで示された10の先行指標

　組織がサイバーフィジカルレジリエンスを向上するには、PCASTレポートで提示された10の「先行指標」を検討する必要がある。以下ではこれらの指標を紹介する。

1．ハードリスタートのリカバリー時間

　これは、システムをゼロから再構築するのに要する時間だ。これは、再起動時に循環依存を取り除く能力、破壊的なシャットダウンや攻撃からバックアップを保護する能力、そしてソフトウェアやデータをサービスに復元できるかどうかの評価指標となる。

• 最初にすべきこと：重要なシステムのハードリスタートに必要な全てのハードウェア、ソフトウェア、設定を管理、記録することから始める。その後、少規模な範囲でレジリエンステストを開始し、学んだ教訓を取り入れながら段階的に拡大していく

2．サイバーフィジカルモジュラリティ

　これは、物理コンポーネントとデジタルコンポーネントが相互接続され、相互依存が最小限に抑えられ、明確に定義されたモジュールに編成されたシステム設計のことを指す。これにより、システム全体の単一障害点発生後の平均運用能力を評価できる。

• 最初にすべきこと：サイバーフィジカルシステムの依存関係を含む視覚的表現（図など）を作成し、構成要素や接続関係を明確に示す

3．インターネットの遮断、通信のレジリエンス

　これは、対策すべき重要な障害の内の一つだ。サービスの劣化や、インターネット接続の中断に対する事業継続性の評価などに影響を及ぼす。

• 最初にすべきこと：組織がインターネット接続に依存している重要な部分をマッピングすることから始める。これがレジリエンス計画の基盤となる

4．マニュアル制御

　これは、インターネットに接続されたOT（Operational Technology）におけるフェイルオーバー計画において重要な役割を果たす。

　ビジネスおよびセキュリティリーダーは、自動制御ができない場合に備えて、「最低限の運用を維持するためのローカルマニュアル制御のレベルはどの程度か」「マニュアル制御はどのくらいの頻度で実施されているか」などの質問に答えられるようにする。

• 最初にすべきこと：マニュアル操作の重要なシステムを監査し、自動化への依存度をマッピングし、マニュアル操作による代替の可能性がある場所を特定する

5．制御プレッシャー指標（Control-pressure index）

　これは、単一のコントロールに依存するセキュリティやレジリエンスの重要な目標（単一コントロールが失敗した場合に、システム全体がリスクにさらされる可能性があるレベル）を正確に評価するためのものだ。これにより、多層防御が適用されている範囲を測定することが可能になる。

• 最初にすべきこと：機密データ保護などの重要なセキュリティやレジリエンスの目標を選び、その目標の達成に寄与する組織内の全てのコントロールをリストアップすることから始める

6．ソフトウェア再現性

　これは、NIST（米国国立標準技術研究所）のSSDF（Secure Software Development Framework）要件に準拠し、ソフトウェア部品表（SBOM）やソフトウェアサプライチェーンの完全性を保証するためのセキュリティフレームワーク（SLSA）の開示などを用いて、特定のシステムでソフトウェアが繰り返し継続的に構築および配布できる範囲を評価することで達成できる。

• 最初にすべきこと：現状のソフトウェア開発プロセスを評価し、ソースコード管理やビルド自動化など、再現性を改善できる領域を特定することから始める

7．予防保全レベル（Preventative maintenance levels）

　これは、システム運用全体のコストに占める、アップグレード、セキュリティパッチ、技術的負債の削減、その他の予防保守に充てられる割合を表す。

• 最初にすべきこと：組織内で定期的なメンテナンスが必要な全ての重要な設備やシステムの各種データリストを作成することから始める

8．インベントリの完全性

　これは、IT、OT、サプライチェーンを含む組織の業務の全範囲を、検証され管理されたインベントリまたは資産台帳にカプセル化することを指す。

• 最初にすべきこと：組織内で誰が資産台帳を管理する責任を負うべきかを決定し、明確な責任の所在を確立することから始める

9．ストレステストの活用（別名レッドチーミング）

　これは、信頼性のある運用が持つ防御レベルを検証するために、環境に極端な攻撃的かつ敵対的なセキュリティテストを課すことを意味する。

• 最初にすべきこと：システムの基本的なセキュリティ評価を実施し、レッドチーミングの対象となる潜在的なターゲットを特定することから始める

10．共通モード障害（Common-mode failure）と依存関係

　これは、障害が発生した場合にセクター全体に大きな影響を及ぼす可能性のある組織（およびそのサプライチェーン）を特定するのに役立つ。循環依存を見つけて排除することが重要だ。

• 最初にすべきこと：外部の重要なプロバイダー（ユーティリティー、ソフトウェアベンダー、主要なサプライヤーなど）を特定し、その失敗が運用に大きな影響を与える可能性があるものを把握することから始める