Information-security-cyber-law-cyber-security-strategies
サイバーセキュリティ戦略
安全なサイバースペースを設計および実装するために、いくつかの厳しい戦略が実施されています。 この章では、以下を含むサイバーセキュリティを確保するために採用された主要な戦略について説明します-
- 安全なサイバーエコシステムの作成
- 保証フレームワークの作成
- オープンスタンダードの奨励
- 規制の枠組みの強化
- ITセキュリティのメカニズムを作成する
- 電子政府サービスの保護
- 重要な情報インフラストラクチャの保護
戦略1-安全なサイバーエコシステムの作成
サイバーエコシステムには、デバイス(通信技術やコンピューター)、個人、政府、民間組織など、さまざまな理由で相互に作用するさまざまなエンティティが含まれます。
この戦略では、サイバーデバイスが将来互いに連携して、サイバー攻撃の防止、有効性の低下、またはサイバー攻撃からの回復のための解決策を見つけることができる、強力で堅牢なサイバーエコシステムのアイデアを探ります。
このようなサイバーエコシステムには、そのサイバーデバイスに組み込まれた機能があり、安全な行動方法をデバイスのグループ内およびグループ間で整理できます。 このサイバーエコシステムは、ソフトウェア製品を使用してセキュリティの弱点を検出および報告する現在の監視技術によって監視できます。
強力なサイバーエコシステムには、自動化、相互運用性、*認証*という3つの共生構造があります。
- 自動化-高度なセキュリティ対策の実装を容易にし、迅速性を高め、意思決定プロセスを最適化します。
- 相互運用性-共同作業を強化し、認知度を高め、学習手順を加速します。 相互運用性には3つのタイプがあります-
- セマンティック(つまり、共通の理解に基づいた共有語彙)
- テクニカル
- ポリシー-さまざまな貢献者を包括的なサイバー防御構造に取り込む際に重要です。
- 認証-提供するために機能する識別および検証技術を改善します-
- セキュリティ
- 手頃な価格
- 使いやすさと管理
- スケーラビリティ
- 相互運用性
攻撃の比較
次の表は、サイバーエコシステムの望ましい機能に対する攻撃カテゴリの比較-
ケーススタディ
次の図は、ニューヨークタイムズのギルバートゲーツによって作成されたものであり、インターネットを通じてイランの工場がどのようにハッキングされたかを示しています。
説明-プログラムは、イランの原子力発電所を自動的に実行するように設計されました。 残念ながら、脅威に気付いていなかった労働者がプログラムをコントローラーに導入しました。 このプログラムは、植物に関連するすべてのデータを収集し、情報を情報機関に送信しました。その後、情報機関がワームを開発して植物に挿入しました。 ワームを使用して、植物は悪党によって制御され、より多くのワームが生成され、その結果、プラントは完全に故障しました。
攻撃の種類
次の表は、攻撃のカテゴリを説明しています-
| Attack Category | Description of Attack |
|---|---|
| Attrition |
Methods used to damage networks and systems. It includes the following −
|
| Malware | Any malicious software used to interrupt normal computer operation and harm information assets without the owner’s consent. Any execution from a removable device can enhance the threat of a malware. |
| Hacking |
An attempt to intentionally exploit weaknesses to get unethical access, usually conducted remotely. It may include −
|
| Social Tactics |
Using social tactics such as deception and manipulation to acquire access to data, systems or controls. It includes −
|
| Improper Usage (Insider Threat) |
Misuse of rights to data and controls by an individual in an organization that would violate the organization’s policies. It includes −
|
| Physical Action/Loss or Theft of Equipment |
Human-Driven attacks such as −
|
| Multiple Component | Single attach techniques which contains several advanced attack techniques and components. |
| Other |
Attacks such as −
|
戦略2-保証フレームワークの作成
この戦略の目的は、従来の製品、プロセス、人、および技術を通じて、グローバルなセキュリティ標準に準拠したアウトラインを設計することです。
国家安全保障要件を満たすために、*サイバーセキュリティ保証フレームワーク*として知られる国家フレームワークが開発されました。 「有効化および承認」アクションを通じて、重要なインフラストラクチャ組織および政府に対応します。
- 有効化*アクションは、商業的利益のない自治団体である政府機関によって実行されます。 ITセキュリティの実装とコンプライアンスを可能にする「国家セキュリティポリシーコンプライアンス要件」とITセキュリティガイドラインとドキュメントの発行は、これらの当局によって行われます。
- 承認*アクションは、必須の資格基準を満たした後、収益性の高いサービスに関与し、それらには以下が含まれます-
- ISO 27001/BS 7799 ISMS認証、ISシステム監査など。これらは本質的にコンプライアンス認証です。
- 「Common Criteria」標準ISO 15408およびCryptoモジュール検証標準。ITセキュリティ製品の評価と認証です。
- ITセキュリティ人材トレーニングなど、ITセキュリティの実装において消費者を支援するサービス。
信頼できる企業の認定
インドのIT/ITES/BPOは、アウトソーシング市場の発展に伴い、セキュリティとプライバシーに関する国際標準とベストプラクティスに準拠する必要があります。 ISO 9000、CMM、シックスシグマ、総合品質管理、ISO 27001などは、認証の一部です。
SEI CMMレベルなどの既存のモデルは、ソフトウェア開発プロセス専用であり、セキュリティの問題には対応していません。 したがって、自己認証の概念と米国CMUのソフトウェア機能成熟度モデル(SW-CMM)のラインに基づいてモデルを作成するために、いくつかの努力がなされています。
産業と政府の間のそのような協会を通じて生産されてきた構造は、次のもので構成されます-
- 基準
- ガイドライン
- 慣行
これらのパラメータは、重要なインフラストラクチャの所有者と運営者がサイバーセキュリティ関連のリスクを管理するのに役立ちます。
戦略3-オープンスタンダードの奨励
基準は、地理的地域や社会全体で情報セキュリティ関連の問題に取り組む方法を定義する上で重要な役割を果たします。 オープン標準が奨励されています-
- 主要プロセスの効率を高め、
- システムの組み込みを可能にし、
- ユーザーが新しい製品やサービスを測定するための媒体を提供し、
- 新しいテクノロジーやビジネスモデルを整理するためのアプローチを整理し、
- 複雑な環境を解釈し、
- 経済成長を支持する。
ISO 27001 [3]などの標準は、顧客がプロセスを理解し、監査のコストを削減できる標準的な組織構造の実装を奨励しています。
戦略4-規制の枠組みの強化
この戦略の目的は、安全なサイバースペースエコシステムを作成し、規制の枠組みを強化することです。 National Critical Information Infrastructure Protection Center(NCIIPC)を通じてサイバー脅威に対処するための24時間365日のメカニズムが想定されています。 コンピューター緊急対応チーム(CERT-In)は、危機管理のノード機関として機能するように指定されています。
この戦略のいくつかのハイライトは次のとおりです-
- サイバーセキュリティの研究開発の促進。
- 教育および訓練プログラムによる人的資源の開発。
- パブリックまたはプライベートを問わず、すべての組織に、サイバーセキュリティイニシアチブの責任を負う最高情報セキュリティ責任者(CISO)を務める人を指定するように奨励します。
- インド国防軍は、防衛ネットワークと施設のサイバーセキュリティを強化する一環として、サイバー司令部を設立する過程にあります。
- 官民パートナーシップの効果的な実装は、絶え間なく変化する脅威の状況に対するソリューションを作成する上で大いに役立つパイプラインにあります。
戦略5-ITセキュリティのメカニズムの作成
ITセキュリティを確保するための基本的なメカニズムには、リンク指向のセキュリティ対策、エンドツーエンドのセキュリティ対策、アソシエーション指向の対策、およびデータ暗号化があります。 これらのメソッドは、内部アプリケーション機能と、提供するセキュリティの属性が異なります。 それらについて簡単に説明しましょう。
リンク指向のメジャー
データの最終的な送信元と宛先に関係なく、2つのノード間でデータを転送しながらセキュリティを提供します。
エンドツーエンドの対策
プロトコルデータユニット(PDU)を送信元から宛先に保護された方法で転送するための媒体であり、通信リンクの中断がセキュリティを侵害しないようにします。
協会指向の測定
アソシエーション指向のメジャーは、すべてのアソシエーションを個別に保護するエンドツーエンドのメジャーの修正セットです。
データ暗号化
従来の暗号の一般的な機能と、最近開発された公開鍵暗号のクラスを定義しています。 権限のある担当者のみが情報を解読できるように情報をエンコードします。
戦略6-電子ガバナンスサービスの保護
電子ガバナンス(e-governance)は、責任ある方法で公共サービスを提供する政府にとって最も大切な手段です。 残念ながら、現在のシナリオでは、インドの電子政府に専念する法的構造はありません。
同様に、インドでは公共サービスの義務的な電子配信に関する法律はありません。 そして、十分なサイバーセキュリティなしで電子政府プロジェクトを実行することほど危険で面倒なことはありません。 そのため、特に国がカードを介して日々の取引を行っている場合、電子政府サービスを保護することが重要なタスクになりました。
幸いなことに、インド準備銀行は2013年10月1日から施行可能なインドでのカード取引のセキュリティおよびリスク軽減策を実施しました。 安全なカード取引を顧客ではなく銀行に保証する責任を負っています。
「電子政府」または電子政府は、以下のための政府機関による情報通信技術(ICT)の使用を指します-
- 公共サービスの効率的な提供
- 内部効率の改善
- 市民、組織、政府機関間の簡単な情報交換
- 管理プロセスの再構築。
戦略7-重要な情報インフラストラクチャの保護
重要な情報インフラストラクチャは、国の国家的および経済的セキュリティのバックボーンです。 これには、発電所、高速道路、橋、化学プラント、ネットワーク、および毎日何百万人もの人々が働く建物が含まれます。 これらは、厳しいコラボレーションプランと規律ある実装で保護できます。
サイバー脅威の発生から重要なインフラストラクチャを保護するには、構造化されたアプローチが必要です。 政府は、公的および民間部門と定期的に積極的に協力して、破壊的な試みや国家の重要なインフラストラクチャへの悪影響に対する緩和努力を防止、対応、調整することが求められています。
政府が企業の所有者や事業者と協力して、サイバーやその他の脅威情報を共有することでサービスやグループを強化することが求められています。
共通のプラットフォームをユーザーと共有してコメントやアイデアを送信する必要があります。これらを連携させることで、重要なインフラストラクチャを保護および保護するためのより強固な基盤を構築できます。
米国政府は、2013年に重要なインフラストラクチャサービスの提供に伴うサイバーセキュリティリスクの管理を優先する「重要なインフラストラクチャサイバーセキュリティの改善」という大統領令を可決しました。 このフレームワークは、組織に共通の分類とメカニズムを提供します-
- 既存のサイバーセキュリティの方向性を定義し、
- サイバーセキュリティの目標を定義し、
- 絶え間ないプロセスの枠組みの中で開発の機会を分類し、優先順位をつけます。
- サイバーセキュリティについてすべての投資家と通信します。
