Joe Biden米大統領は米国時間7月28日、重要インフラのサイバーセキュリティに関する覚書に署名した。米サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA)と米国立標準技術研究所(NIST)に、重要インフラのサイバーセキュリティに関する実績目標を策定するよう命じた。
産業用制御システム(ICS)のセキュリティに関して、4月に開始した取り組みに基づいたものとなる。ICSは、サイバー犯罪者や国家を後ろ盾とするグループからの絶え間ない攻撃にさらされている。
米政府高官は記者会見で、米国における連邦政府のサイバーセキュリティ規制はセクターごとに行われているため、米国は「世間の注目を集めた特定のセクターにおける個別のセキュリティ脅威に対応するために断片的に導入された、セクターごとの法規制のパッチワークを抱えている」と説明した。
また、重要インフラのサイバーセキュリティに関する、戦略的で調整された要件がないと述べた。
「先に指摘したように、強制的なサイバーセキュリティ要件は存在する。それらは金融や化学など、あるセクターに特化したものや、電力のように州や地域の法律で義務付けられているもののため、限定的かつ断片的になっている。われわれは過去数週間に、水と基幹電力の調査を精力的に行った」と政府高官は述べた。
「つまり、現在のわれわれの態勢は、今日直面している脅威に対して嘆かわしいほど不十分だ。この問題に対処することを、ずいぶん長い間先送りにしてきた。米政権は、限定的ではあるものの、全ての権限を活用する決意で取り組み、自主的、義務的を問わず、新しいアプローチを前向きに検討している。責任ある重要インフラの所有者と運営者は、義務的な要件以外にも、自主的なガイダンスに従って、米国民が利用している重要サービスをサイバー脅威から確実に守らなければならない」(政府高官)
この覚書により、ホワイトハウスが「重要システムのサイバーセキュリティの大幅な向上を目指す、連邦政府と重要インフラのコミュニティーによる自主的で協調的な取り組み」と述べていた、産業制御システムサイバーセキュリティイニシアチブが正式なものとなる。
ホワイトハウスの声明によれば、このイニシアチブはまず、電力のサブセクターからパイロットテストを開始した。その後、天然ガスのパイプラインで同様の取り組みが行われている。さらに、水道システムと廃水システムのセクター、化学セクターを対象に実施される。
政府高官によると、この取り組みで、既に約9000万人の住宅用顧客を擁する150社以上の電力会社が、制御システム向けのサイバーセキュリティ技術を導入中、もしくは導入に同意しているという。
「これらの技術は、ネットワーク運用技術(OT)側とIT側とつなぎ、導入されていれば、Colonial Pipelineに対する攻撃を防ぐことができたはずだ。現在、天然ガスのパイプライン向けのアクションプランを策定中で、ほかのセクターの取り組みも2021年後半に用意できる見通しだ」(政府高官)
ホワイトハウスは、各組織のサイバーセキュリティに関する要件が異なることを認めつつ、CISAとNISTに、「全ての重要インフラのセクターで一貫した」サイバーセキュリティのベースラインと、「制御システムに依存する一部の重要インフラのためのセキュリティ対策」を共同で作成するように命じたという。
国土安全保障省(DHS)は予備ガイドラインを9月22日までに公開し、規制の最終案を1年以内に公表することになっている。セクターに特化した規制も1年以内に公開される。
石油パイプライン大手Colonial Pipelineや食肉加工大手JBSなどが最近、ランサムウェアの標的となったことを受け、政府は真剣に、重要システムを稼働させている民間企業に対するサイバーセキュリティ対策を促そうとしている。ホワイトハウスは、特にこれらのランサムウェア攻撃に言及し、さらなる厳しい対策が必要とされる理由としている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。