防衛産業基盤におけるサイバーレジリエンスの強化

防衛産業基盤 (DIB) は、米国国防総省 (DoD) に資材やサービスを提供する10万社以上の企業で構成されています。 これらの企業は国家防衛に必要な製品を提供しており、国防総省のサプライチェーンの重要な部分を担っています。 防衛産業は、ロッキード・マーティン、ボーイング、ノースロップ・グラマンなどの大手の有名な防衛請負業者から、ドローンや軍用車両などの特殊な製品やサービスを提供する中小企業まで多岐にわたります。

国家によるサイバー攻撃が公共部門のサービスを引き続き標的にしている中、DIB内の政府機関や民間企業はサイバーセキュリティを真剣に受け止め、機密防衛情報を保護するためにサイバーセキュリティ防御の強化に取り組む必要があります。 国防総省は、DIBのサイバーセキュリティ体制を強化するために、サイバーセキュリティ成熟度モデル認証 (CMMC) フレームワークを開発しました。 これは、米国国立標準技術研究所 (NIST) が発行したサイバーセキュリティ基準を統合したもので、国防総省と取引を希望する政府請負業者はこれを遵守する必要があります。

DIBを狙ったサイバー攻撃

敵対者は、機密データや知的財産を盗む、商業活動を妨害する、またはサプライチェーンを脅かすためにサイバー攻撃を仕掛けます。

近年のサイバー攻撃の中で注目される例として、2021年のコロニアル・パイプライン社へのランサムウェア攻撃があります。この攻撃により主要なガスパイプラインが数日間停止し、国家緊急事態が宣言されました。 2020年のSolarWindsへの攻撃では、国家レベルのハッカーが、多数の地方、州、連邦政府機関を含む数千のSolarWinds顧客のネットワーク、システム、データにアクセスしました。

コロニアル・パイプラインへの攻撃の根本原因は、パスワードの漏洩、非アクティブなVPNアカウント、そして多要素認証の欠如という基本的なサイバーセキュリティの原則の無視でした。 SolarWindsのサプライチェーン攻撃は、ログやシステムパフォーマンスデータを取得するために他のITシステムに特権的にアクセスしていた会社のITパフォーマンス監視システムが標的となりました。

最近では、2024年4月に、イラン国籍の4人が、スピアフィッシングやその他のハッキング技術を用いて米国財務省や国務省を含む米国政府職員や防衛請負業者のアカウントを侵害するマルウェア作戦に関与したとして連邦裁判所で起訴されました。 ある事例では、司法省は次のように指摘しています。

「共謀者らは防衛関連請負業者の管理者の電子メールアカウントを侵害しました。この管理者アカウントにアクセスすることで、共謀者は不正なアカウントを作成する権限を獲得し、それを使用して別の防衛請負業者とコンサルティング会社の従業員にスピアフィッシング攻撃を送信しました。」

ソーシャルエンジニアリングの手法は、被害者のコンピューターにマルウェアを展開し、追加のデバイスやアカウントを侵害するためにも使用されました。

CMMCとサイバーレジリエンス

サイバー犯罪者は、1つの特権アカウントを侵害するだけで、組織のネットワーク内の他のアカウントやデータにアクセスすることができます。 管理された非機密情報 (CUI) を扱う政府請負業者は、ドメインに分類されたさまざまな制御を網羅するCMMCセキュリティフレームワークに従う必要があります。 これらのドメインは幅広いサイバーセキュリティ慣行をカバーしており、その内部の制御は組織全体のセキュリティ全体を強化するように設計されています。

CMMCレベル2への準拠には、組織にNIST SP 800-171の110のセキュリティ制御を満たすことが求められます。 ここですべての統制を網羅することはできませんが、CMMCコンプライアンスとサイバーレジリエンスを確保するために組織ができることはいくつかあります。

• 多要素認証 (MFA) の実装 – 機密システムやデータにアクセスする際に多要素認証を使用し、パスワードで保護されたアカウントに追加のセキュリティ層を設けます。
• システムの更新とパッチ適用 – 既知の脆弱性から保護するために、すべてのソフトウェア、オペレーティングシステム、ファームウェアを最新のパッチで更新します。
• 定期的なセキュリティ評価の実施 – 定期的にセキュリティ監査、脆弱性評価、侵入テストを行い、潜在的なセキュリティの弱点を特定して修正します。
• 機密データとパスワードの暗号化 – パスワードマネージャーを使用して、保存中および転送中の機密データへのアクセスを保護し、不正アクセスを防止します。
• 特権アクセス管理 (PAM) の使用 – 厳格なアクセス制御を実施し、権限を持つ担当者のみが機密情報にアクセスできるようにします。 これには、ロールベースのアクセス制御 (RBAC) と最小権限の原則の遵守が含まれます。
• ゼロトラストセキュリティアーキテクチャの実装 – ユーザーおよびデバイスレベルでの認証、許可、暗号化が組織全体に実装されていることを確認します。

Keeper Security公的機関向けクラウドがDIB請負業者のCMMC要件を満たすのに役立つ方法

Keeper Security公的機関向けクラウド (KSGC) のパスワードマネージャーと特権アクセス管理はFedRAMP High 認定を受けており、アクセス制御 (AC)、監査およびアカウンタビリティ (AU)、識別および認証 (IA) などの分野におけるいくつかのCMMCコントロールに対応しています。

KSGCは、組織全体で保存されたパスワードの強度とセキュリティを分析し、個人の認証情報の包括的なリスクスコアと、組織と個人の両方の全体的なパスワードの安全性を提供します。 IT管理者は、詳細なレポートとダッシュボードを通じて実用的な洞察を得ることができ、脆弱なパスワード、再利用されたパスワード、侵害されたパスワードは強調表示されるため、パスワードポリシーを積極的に適用し、是正措置を開始することができます。

KSGCはゼロトラストおよびゼロ知識のセキュリティアーキテクチャを委任管理とロールベースの施行ポリシーと組み合わせて活用し、システム管理者に組織内のアイデンティティセキュリティとリスクに対する完全な可視性と制御を実現します。

デモをお申し込みの上、KSGCがどのようにCMMCコンプライアンスへの対応を支援し、組織をサイバー攻撃から守ることができるのかをご体験ください。