石油パイプラインへの攻撃に懲りた米国 より厳しいサイバー防御を求める

米国の石油パイプラインを襲った2年前のランサムウェア攻撃は社会を混乱に陥れた。米国政府は即座に対策を打ったが、今回さらに対策を強化した。日本もガスや電力などの重要インフラでの対策を強化する必要があるだろう。

[David Jones，Cybersecurity Dive]

　米国運輸保安庁（TSA）は2023年7月26日（現地時間、以下同）、石油パイプラインと天然ガスパイプラインのサイバーセキュリティに関する指令を改訂した（注1）。この指令はColonial Pipelineへのランサムウェア攻撃を受けて発行されたもので、後に更新されている。

新しい義務はどのようなものか

　更新されたセキュリティ指令は（注2）、パイプラインの運用事業者に対して次のような義務を課している。

　新たに以前から義務付けられていたプロセスと実施計画を「テストする」ことを求めた。パイプラインの所有者の義務は現時点で3項目ある。

（1）毎年、最新のサイバーセキュリティ評価計画書をTSAに提出し、TSAのレビューと承認を受ける
（2）前年の評価結果を毎年報告する。報告にはサイバーセキュリティ対策が有効かどうか評価し、監査するスケジュールを記す。パイプラインの所有者や運用事業者の策定したサイバーセキュリティ対策を3年ごとに全てテストする
（3）少なくとも2つのサイバーインシデント対応策をテストしなければならない。CIRP（Cyber Incident Response Plan）で特定された役職に就いた個人は、年次演習に参加する必要がある

今回の指令は強力なセイバーセキュリティ対策の維持につながる

　今回の新しい指令はパイプラインの耐久性（レジリエンス）を強化するものだ（注3）。サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）を含む連邦政府パートナー機関や業界関係者からの意見が指令に盛り込まれている。

　TSAのデビッド・ペコスキー氏（管理者）は、発表時に次のように述べた。

　「TSAはサイバー脅威が多発する厳しい環境の中で、国の輸送システムを安全に保つことに全力を尽くしている。改訂されたセキュリティ指令は、石油パイプライン業界と天然ガスパイプライン業界に対して実施済の強力なサイバーセキュリティ対策を維持するものだ」

　今回の更新の背景には、ウクライナ戦争に関連して特定の国家との結び付きを有する脅威をはじめとして、石油業界やガス業界に対するリスクが高まっていることだ。2023年6月21日、カナダのSuncor Energyがサイバー攻撃の標的となり（注4）、同社の小売ガソリンスタンドPetro-Canadaの1500店以上で支払いに支障が起きた。

　サイバーセキュリティ事業を営むDragosのジェイソン・クリストファー氏（サイバーリスク・ディレクター）は「新しい指令は規範的な目標ではなく、実績に基づく目標に焦点を当てた」と指摘し、内容を称賛した。

　新しい指令には、米国国立標準技術研究所（NIST）が発行する「サイバーセキュリティフレームワーク」（CSF：Cyber Security Framework）やISA/IEC 62443シリーズなど、設備の所有者や運用事業者がすでに取り入れているさまざまな業界標準を活用する柔軟性がある。

　「継続的なモニタリングと演習の実施に重点を置き、（サイバーセキュリティでいう）補償制御の利用を承認することは、全てのパイプラインの所有者と運用事業者にとって大きな意味を持つ改善だ」（クリストファー氏）

出典：TSA revises security directives for oil and gas pipelines to test resilience（Cybersecurity Dive）

注1：TSA revises cybersecurity requirements for oil and gas pipelines（Cybersecurity Dive）

注2：MEMORANDUM（Transportation Security Administration）

注3：TSA updates, renews cybersecurity requirements for pipeline owners, operators（Transportation Security Administration）

注4：Suncor Energy confirms hackers breached Petro-Canada gas stations’ customer rewards data（Cybersecurity Dive）