高度なサイバーセキュリティの脅威の台頭と世界的な地政学的不安定化に伴い、多くの政府機関が金融サービス、エネルギー、医療、その他の重要なサービスに対して重要な法律とサイバーセキュリティの義務付けを導入している。
これらの主要セクターを保護するため、オーストラリア政府はまず2018年重要インフラ安全保障法(SOCI法)を導入し、最近この法律を改正した。 重要インフラの安全保障およびその他の法改正(対応と予防の強化)法案 2024.ERP2024法案には、サイバーセキュリティー、サプライチェーンセキュリティー、人員にまたがる義務付けがあり、オーストラリアのCIを保護し、IDセキュリティーを優先させる。
SOCI法2018とERP法案2024は、リスクを防止し、脅威を検出し、コンプライアンスを維持するアイデンティティ・アクセス管理(IAM)とアイデンティティ・ガバナンスと管理(IGA)の機能とコンプライアンス管理を要求している。これらの義務や要件を満たす業種、CIが実装する必要のある機能、そして組織が取るべき当面の措置を確認してみよう。
SOCI法2018およびERP法案2024は、以下の部門で働く組織に適用される:
- 金融サービスと市場
- データの保存または処理
- 防衛産業
- 高等教育・研究
- エネルギー
- 食品と食料品
- ヘルスケアと医療
- 宇宙技術
- 航空・海上資産を含む輸送
- 上下水道
加えて SOCI法2018の要件, オーストラリア政府は、ある重要インフラ資産を国家的に重要なシステムであると私的に宣言することができる。SoNS).SoNS組織には、さらにサイバーセキュリティの要件があり、それはオーストラリアの サイバーセキュリティ義務フレームワークの強化.
SOCI法2018は、重要インフラ事業者に5つの重要な義務を課している:
- データサービスプロバイダーへの通知義務。 (社会保険労務士法第12条F項
- 重要インフラ資産登録 (その2)
- リスクマネジメント・プログラム(RMP) (その2A)
- サイバーインシデント報告義務化 (パート2B)
- 強化されたサイバーセキュリティ義務(ECSO) (パート2C)
IAMとIGAは、リスク管理プログラム要件、サイバーインシデント報告義務、サイバーセキュリティ強化義務を満たすために不可欠である:
この義務の下で、すべてのCI資産はリスク管理プログラムを維持しなければならない。このプログラムは特に、サイバーセキュリティ、サプライチェーン、人的、物理的セキュリティの脅威から生じる重大なリスクを特定し、軽減することをCI事業者に求めている。つまり、CI組織は、アイデンティティとシステムに対して適切なアクセス制御を行わなければならない。
これらの義務を果たすために、CIオペレーターは以下の管理を徹底しなければならない:
- 権限のある個人のみがアクセスできるようにするためのユーザー識別、認証、権限付与
- 役割ベースのアクセス制御(RBAC):必要なアクセスのみを割り当て、アクセスレビューと役割監査を簡素化し、職務分離(SoD)を実施する。
- システムの違反や誤用・悪用を検出するためのユーザー活動の監視を含む監査機能
- 従業員のオンボーディング、アクセス変更、オフボーディングプロセスの自動化によるアイデンティティライフサイクル管理
- 特権アクセス制御を実施し、リスクの高い機能を最小限の人員に制限する。
この義務は、インシデントがCI資産の可用性に重大な影響を与える場合は12時間以内に、直ちに破壊的な影響を与えないインシデントの場合は72時間以内にサイバーセキュリティインシデントを報告することを義務付けている。
報告要件を満たし、これらの義務を果たすために、CIオペレーターは以下を必要としている:
- 不正アクセスや不審なログインの試みを検知するためのリアルタイムモニタリングとアクセスコントロールの即時可視化
- オペレータがインシデントのルートケースと身元を関連付けることを可能にする機能
- 報告後または監査中に、さらなるインシデント調査を行うための実証されたコンプライアンス
強化されたSoNSのサイバーセキュリティ要件
SoNSの資産として指定されたシステムは、満たすべき追加のサイバーセキュリティ義務がある。これらの義務は、SoNSにサイバーセキュリティ事故対応計画、定期的な脆弱性評価、および要求されたときにすべてのIDおよびアクセスログ情報を含むシステム情報へのアクセスを政府に提供する能力を要求する。
IGAの機能は、リアルタイムのアクセスログ、特権アクセスの可視化、セキュリティ情報・イベント管理(SIEM)ツールへの統合機能など、包括的な監査とレポーティングを提供することで、組織がこれらの義務を果たすのを支援する。
オーストラリアのCIおよびSoNS組織は、SOCI法2018のリスク管理プログラム要件、サイバーインシデント報告の義務化、およびサイバーセキュリティの強化義務を満たすために、以下の能力とベストプラクティスを実施すべきである:
- アクセス制御ポリシーを採用する。 役割ベースのアクセス制御(RBAC)を使用して、権限を職務機能にマッピングすることにより、最小権限アクセスとゼロトラストの原則を実施する。
- 多要素認証(MFA)またはパスワードレス認証ですべてのIDを保護.重要インフラストラクチャ内の全ユーザに MFA を義務付けるか、パスワードレス/パス キー認証を採用する。
- リアルタイムの行動分析モニタリングとアラートの使用 アカウントの侵害を示す可能性のある異常なアクセス行動を検出し、リアルタイムアラートで内部脅威から保護します。
- 職務の分離(SoD)の徹底 役割の利益相反を防ぐ(例えば、一人のユーザーがトランザクションの承認と実行の両方を行うことを防ぐ)。
脅威の主体はますます脆弱な ID 管理を悪用するようになっており、IAM と IGA はオーストラリアの国家安全保障戦略の中心となっている。SOCI 法は、オーストラリアが CI を脅威から保護する方法を大きく進化させるものである。
コンプライアンスは難しいように見えるかもしれないが、IAMとIGAの統一的なアプローチは、CI組織が規制上の義務を果たすのに役立つだけでなく、運用上のセキュリティを大幅に向上させ、リスクを低減し、長期的な回復力を確保する。
RSAセキュリティは、重要インフラストラクチャー組織のアイデンティティの保護とコンプライアンス要件の遵守を支援します:
RSA® ID Plusは、アカウントの乗っ取り、ランサムウェア攻撃、その他のサイバー攻撃を防止するために、重要なインフラストラクチャが必要とするアイデンティティおよびアクセス管理(IAM)セキュリティ機能を提供します。このソリューションは以下を実現します:
- フィッシングに強いパスワードレス認証でクレデンシャルベースの攻撃を阻止
- 不審なログイン試行をリアルタイムでブロックする適応型アクセス・ポリシー
- 公的機関の職員のセキュリティとアクセスのしやすさを両立させる、安全な多要素認証(MFA)
- 脅威となる前に異常なアクセス試行を検知し、対応するAI主導のリスク分析
RSA® ガバナンス&ライフサイクルは、重要なインフラストラクチャーが必要とするIGA機能を提供し、すべてのユーザーとユーザーのIDライフサイクル管理を促進し、安全性を確保する。
デバイス解決策
- オンボーディング、オフボーディング、アクセス変更を自動化し、ユーザーが適切なタイミングで適切なアクセス権を持つようにします。
- 役割ベースのアクセス制御(RBAC)を実施し、特権のクリープを防止する。
- 自動化されたワークフローによりIDリクエストを合理化し、手作業による承認を排除
- 従業員の退職時や役割変更時に即座にアクセスを削除し、内部脅威を低減
RSAは40年以上にわたり、CI組織やセキュリティ第一主義の組織の資産保護を支援してきました。サイバー脅威が高度化し、コンプライアンス要件が厳しくなる中、CI組織はアイデンティティの保護、攻撃の防止、運用の回復力の維持のために積極的な対策を講じる必要があります。 RSAに連絡する RSAがSOC法の規制を満たし、より広範なアイデンティティ・セキュリティ戦略に統合する幅広いIAMソリューションを提供する方法の詳細については、こちらをご覧ください。
