「米国を攻撃するのなら今だ」 サイバー犯罪者がこのように考える理由とは

米国はサイバーセキュリティでは世界の先頭を走ってきた。脆弱性情報をいち早く発して、さまざまな団体を支援してきた。だが、風向きが明らかに変わった。連邦政府がサイバーセキュリティへの支援を打ち切ろうとしているからだ。これから何が起こるのだろうか。

[Eric Geller，Cybersecurity Dive]

　米国政府はこれまで電力やガス、鉄道、空港などの重要インフラを担う事業者にサイバーセキュリティ関連のさまざまな支援を提供してきた。

　いざ攻撃を受けたときに国の根幹が揺らぐことを防ぐのはもちろん、経済安全保障や国民の生命や安全の保護にもつながるからだ。米国を狙うサイバー犯罪者は他の国家の支援を受けていることも多く、攻撃手法が巧妙で民間企業だけでは対応が難しいことも理由の一つだ。

　だが、米国政府はそのような支援を縮小する準備を進めている。米国政府の動きは世界的なサイバー防衛にも悪影響を及ぼす。日本政府も米国政府と連携しているため、やはり影響を受けるだろう。

日本政府のサイバーセキュリティ予算は？

　日本政府のサイバーセキュリティ関連の予算は内閣官房（NISC）や防衛省、警察庁、総務省など複数の省庁にまたがっている。

　このうち、国家サイバー統括室に改組されたNISCの2025年度の予算は前年度比58億円増の1095億5000万円。なお、デジタル庁の2025年度の予算は4752億円だ。（キーマンズネット編集部）

　民間事業者は脆弱（ぜいじゃく）性の増加やサイバー攻撃の増加、被害の拡大にどのように備え始めたのだろうか。

政府の改革がサイバーセキュリティにもたらす悪影響とは

　ドナルド・トランプ大統領は連邦政府の規模縮小と提供サービス削減という大方針の一環として、インフラ向けのサイバーレジリエンスでも、連邦政府の役割を縮小している。

　この政策は業界関係者やサイバー領域の専門家から反発を買っている。「すでに深刻化している病院や港湾、鉄道など全国の重要システムのサイバーセキュリティに対する懸念が高まる」という警告を公表している。

　トランプ政権の混乱した政府改革はすでに重要インフラ事業者と連邦機関との重要な連携を損ねている。『Cybersecurity Dive』がこれまで報じてきたように影響は深刻だ（注1）。現在、トランプ政権が提案する予算削減と、インフラ保護の責任を州に委ねる計画は、中国が関与するサイバー攻撃や犯罪組織によるランサムウェア攻撃といった脅威に耐えるための米国の備えを一層弱める恐れがある。

　仮に大統領の構想通りに連邦政府機関が後退すれば、インフラ事業者はサイバー防衛のために高額なコストが必要になる。サイバーセキュリティについて助言や支援を依頼できる有償のサービスを急きょ探さざるを得なくなるからだ。影響は重要インフラ全般に及ぶ。特に地方の病院や上下水道施設といった小規模な事業者には一層深刻な影響が発生することになる。

「米国を攻撃するのなら今だ」　サイバー犯罪者がこのように考える理由とは

　産業向けのサイバーセキュリティサービスを提供するClarotyのグラント・ガイヤー氏（最高戦略責任者）は「政府による支援サービスは小規模な事業者にとっての命綱だ。それがなくなれば、小規模ながら重要なサービスを提供している事業者はますます危険が増大するサイバーの領域で自力で生き延びるしかなくなる」と述べた。

　2025年の直近6カ月間で、予算削減により数万人規模の連邦政府職員が職を失い、政府の重要な機能を支えていた多くの契約も打ち切られた。政府の主要なサイバー防衛機関のサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、人員の3分の1を失った（注2）。重要インフラの安全確保の責任を州や地方自治体へ移管する戦略をトランプ政権が進めており、すでに実施されたプログラムや人員削減は今後も続く見通しだ。

　2025年3月にトランプ氏は大統領令に署名し（注3）、ジョー・バイデン前大統領による重要インフラ連携戦略を事実上凍結した。各業界に対してセキュリティに関する支援や指導を続けてきたセクターリスク管理機関（SRMA）に、インフラ防御戦略の見直しを指示した（注4）。さらに政権は同年5月に、インフラ事業者に対する政府の支援において連絡と調整を担うCISAのチームを大幅に削減する予算案を提案した（注5）。

　サイバーセキュリティに関する情報を共有する非営利団体であるThe Health Information Sharing and Analysis Center（H-ISAC）のエロール・ワイス氏（最高セキュリティ責任者）は「連携を目的とするプログラム全体が危機にひんしているように感じられる」と述べた。

　業界関係者やサイバー領域の専門家によると、トランプ氏が計画する予算削減の打撃は大きい。脆弱性スキャンの無償提供や専門家による現地でのシステム評価、個別に最適化された指針や提言の作成といったサービスを通じて事業者を支援する政府機関の能力を壊滅的に弱めかねないという。その結果、攻撃者が悪用可能な重要インフラの脆弱性が増える可能性が高い。

　情報共有連合であるサイバー脅威アライアンスの会長で、バラク・オバマ大統領のホワイトハウス・サイバー顧問も務めたマイケル・ダニエル氏は「SRMAが各業界との関係を維持・監督して、効果的な政策を策定することが予算削減によって難しくなる」と述べた。

　さらに削減計画は小規模で地方に拠点を有するインフラ事業者に不均衡な影響を与えるため、資金が潤沢な組織と不足している組織との間にある備えの格差を一層悪化させるだろう。

　ホワイトハウスは連邦政府の業務の一部を州政府に引き継がせたいと考えている。トランプ氏は2025年3月の大統領令で「州や地方、さらには個人のレベルで備えを主体的に管理・運営することが最も効果的であり、それを有能で利用しやすく、効率的な連邦政府が支えるのが望ましい」と述べた。

　しかし山火事など多くの自然災害の被害状況が示すように、資金不足に悩む州や地方自治体はインフラの保護を支援するだけでも苦労しており、これらの新たなサイバーセキュリティ関連の重い責任を引き受けるのは非常に困難だろう。

　専門家によると、トランプ氏の責任移管計画は重要インフラで破滅的な結果を招くという。

　ワイス氏は「サイバーセキュリティの責任を州に押し付けるという発想はばかげたものだ」と述べた。

　オーバーン大学マクレーリー研究所でサイバー領域および重要インフラに関する安全保障を担当するフランク・シルッフォ氏（ディレクター）は次のように語る。

　「州政府や地方自治体は、他の国家が関与するサイバー攻撃に立ち向かう体制や準備を整えることができていない」

強力だったCISAの無償支援が先細りに？

　長年にわたりCISAは重要インフラ事業者向けに無償提供するセキュリティサービスのラインアップを拡充し、洗練させてきた（注6）。

　CISAのサービスは幅広い。企業ネットワークにある脅威の探索（注7）やインターネットに接続された資産のサイバーハイジーンスキャンの実施（注8）、防御体制の評価（注9）、第三者リスクの理解の支援（注10）の他、サイバー攻撃の模擬演習を計画して実行することで企業が弱点を把握できるよう手助けしてきた（注11）。さらにCISAは、もともと他の連邦機関に限定していた保護DNSなどの無償セキュリティプログラムに（注12）、インフラ事業者も参加できるようにする方法を試験的に導入した。

　これらの無償ツールや無償サービスは、連邦政府における重要インフラ防衛の主力機関としてのCISAの役割を支える要だ。特に、小規模な水道事業者や地方の病院、その他財政的に厳しいインフラ事業者にとって、通常であればコストがかかり過ぎて利用できない支援を無償で受けられることには画期的な意味があった。

　しかし、トランプ氏による一連の削減により無償の支援が今後は続かないのではないかと事業者たちは懸念する。トランプ氏が提案したCISAの予算案では、脆弱性評価や研修、セキュリティ運用センターのような共有サービスへの資金が削減される予定だ。政権は脅威ハンティングに関する契約をすでに打ち切っており（注13）、脅威ハンターのリソースも縮小している（注14）。

今後何が起こるのだろうか

　専門家はサイバーセキュリティ支援が消え去った場合に起こるだろう深刻な結果を警告している。

　コンサルティング企業の1898 & Co.のビクター・アトキンス氏（産業サイバーセキュリティ部門グローバルセキュリティ・リスク戦略サービス責任者）は「CISAのサービスは外国からの高度な脅威に直面するものの、リソースが不足している重要インフラ運営者にとって不可欠だ」と述べた。

　米国病院協会のジョン・リッジ氏（サイバーセキュリティ・リスク担当国家顧問）によれば、CISAの「優れた無料サービス」は人気が高く、一部には利用待ちリストが存在するほどだという。

　アトキンス氏はCISAがこれらのサービスを大幅に縮小した場合、「公益事業者の防御体制は、まさに最も必要とされる時期に弱体化してしまう」と指摘した。

　前記のようにホワイトハウスはインフラのサイバーセキュリティについて、連邦政府の負担を州が一部引き受けられる分野と見なしている可能性がある。しかしダニエル氏は「CISAが手放す任務や活動を州が引き継げると考えるのは非現実的だ」と指摘する。そのように指摘した理由は「他の分野でも連邦からの資金が削減されており、州は予算を切り詰めなければなくなっている中でサイバーセキュリティへの大幅な投資は難しい」ためだ。

　CISAは現行サービスの幅と深さを維持できるかどうか、確約を避けた。広報担当のマーシー・マッカーシー氏は「CISAは毎日、強固なサイバーセキュリティサービスを通じて全国の重要インフラ事業者を支援しており、この使命へのコミットメントは変わっていない」と表明した。「運用面での連携とはパートナーと肩を並べて協力し、彼らが日々直面する進化する脅威から身を守るために必要な、カスタマイズされたサービスと支援を提供することを意味する」とも述べた。

　支援が縮小された場合、多くのインフラ部門が相互に接続されている性質上、連鎖的な影響を及ぼす可能性がある。米軍基地は地域の水道事業体から給水を受けているが、それらの多くがデフォルトパスワード（注15）や脆弱な機器（注16）を使用していることが判明しているとダニエル氏は指摘した。「このようなシステムが攻撃された場合、国家安全保障にとって深刻な結果を招きかねない」と匿名を条件に発言した水道業界関係者は述べた。

政府機関の方針は一貫していない

　インフラ事業者への重要サービスや支援を提供しているのはCISAだけではない。環境保護庁（EPA、水道）や保健福祉省（HHS、医療）、エネルギー省（DOE、エネルギー）の他、運輸保安庁（TSA、パイプライン・鉄道・航空）といった特定地域管理庁（SRMA）もガイダンスの発行や現地視察、技術支援を実行してきた。

　だが、これらの機関は支援の将来性について矛盾したメッセージを発信している。

　環境保護庁の広報担当者は同庁が「州と地方政府、水道システムのレジリエンス構築能力の強化という政権目標に沿う」ため「無料のサイバーセキュリティ支援を継続する意向だ」と表明した。特に2025年10月1日以降、公益事業者のコンピュータネットワークを事前スキャンして脆弱性を検出するプログラムでは「400件以上の対策につながった」と述べた。環境保護庁は2026会計年度予算案において、州向けの競争的な水のサイバーセキュリティ助成プログラムに1000万ドルの予算を要求している（注17）。

　運輸保安庁はサイバー支援への取り組みに関するコメント要請に応じなかった。しかし同庁の予算案では、交通インフラのセキュリティ監督・支援業務に21人の追加職員と540万ドルの予算を計上している（注18）。

　特定地域管理庁の状況は異なる。

　保健福祉省は重要インフラ支援部門の地位を格下げしており（注19）、業界関係者は同省の「医療分野サイバーセキュリティ調整センター」の現状を懸念している。同センターは過去に問題を抱えたが（注20）、現在は改善されたと見なされている。HHSの広報担当者は、重要インフラ部門にとってサイバーセキュリティは「最重要課題」であり、「リスク分析ツールの更新に向け、内部・外部パートナーとの連携を継続中だ」と述べた。

　一方、エネルギー省では、トランプ政権がサイバーセキュリティ・エネルギー安全保障・緊急対応局（CESER）の予算を25％削減しようとしている（注21）。これは、サイバー脅威と物理的脅威が「複雑で持続的な脅威環境を生み出すために収束しつつある」と認識しているにもかかわらずの措置である。エネルギー省の広報担当者はCybersecurity Diveに対し、CESERが「エネルギーシステムの安全確保に向け州・地方自治体と協働を継続中」と説明したが、サービス縮小への懸念には言及を避けた。

問題は人命に関わるレベルに悪化

　専門家や業界リーダーらは、米国政府が重要インフラ支援を縮小する兆候が強まっている現状は最悪のタイミングだと指摘する。外国政府の敵対勢力やサイバー犯罪者による脅威が増大する中、人工知能がハッカーの能力を飛躍的に向上させ、デジタル化が運用技術に新たな脆弱性を生み出している。インフラ事業者は「これほど危険なサイバーセキュリティ環境に直面したことはない」と語る。

　医療分野はこうした課題の顕著な例だ。「ランサムウェアが今も定期的に病院を襲っている現状が、事態の深刻さを物語っている」とワイス氏は指摘する。匿名を条件に発言した医療業界関係者は「サイバー安全は患者安全に直結する」と主張し、こうした攻撃が患者ケアを妨げていると述べた。

　こうした動向を踏まえ、専門家らは政府が重要インフラセキュリティへの投資を縮小するのではなく、さらに強化すべきだと主張する。

　「CISAやNSA（国家安全保障局）、FBI（連邦捜査局）が『ロシアや中国のような敵対勢力が重要インフラのサイバーフィジカルシステムを積極的に標的にしている』と警告している今、病院の運営や水道供給を支える組織への支援を撤回するのは危険なほど近視眼的だ」とガイヤー氏は述べた。

出典：Dwindling federal cyber support for critical infrastructure raises alarms（Cybersecurity Dive）
注1：‘Suspended animation’: US government upheaval has frayed partnerships with critical infrastructure（Cybersecurity Dive）
注2：CISA workforce cut by nearly one-third so far（Cybersecurity Dive）
注3：Achieving Efficiency Through State and Local Preparedness（The White House）
注4：National Security Memorandum on Critical Infrastructure Security and Resilience（The White House）
注5：Trump’s CISA budget lays out deep job cuts, program reductions（Cybersecurity Dive）
注6：Services（CISA）
注7：Cyber Threat Hunting（CISA）
注8：Cyber Hygiene Services（CISA）
注9：Cyber Infrastructure Survey（CISA）
注10：External Dependencies Management Assessment（CISA）
注11：Exercise Planning and Conduct Support Services（CISA）
注12：Protective Domain Name System (DNS) Resolver（CISA）
注13：CISA braces for deep staffing cuts（AXIOS）
注14：CISA warns threat hunting staff of end to Google, Censys contracts as agency cuts set in（NEXTGOV FCW）
注15：U.S. water utilities were hacked after leaving their default passwords set to ‘1111,’ cybersecurity officials say（Fast）
注16：Water utilities mitigate equipment flaws after researchers find widespread exposures（Cybersecurity Dive）
注17：FY 2026 EPA Budget in Brief（EPA）
注18：Transportation Security Administration Budget Overview（TSA）
注19：A Little-Known Agency With a Big Role in Disaster Response Is About to Get Demoted（NOTUS）
注20：HHS opens cybersecurity coordination center after troubled year（Cybersecurity Dive）
注21：Department of Energy FY 2026 Congressional Justification Budget in Brief（DOE）

原文へのリンク