重要インフラのサイバー防御に穴 政府が示した"基本"の対策とは？

IT機器と比較して、重要インフラのサイバー防御は不十分だ。インフラ機器にはセキュリティのための機能が備わっていないことも多い。ではどのような対策が求められているのだろうか。

[David Jones，Cybersecurity Dive]

　クラウドやオンプレミスのサーバなどと比較してサイバー攻撃への対策が不十分な分野がある。電力やガス、鉄道、空港といった重要インフラだ。

　重要インフラの対策が比較的進んでいる米国であっても、まだまだ不十分だという。どのような対策が必要で、現状はどうなっているのかを紹介する。

重要インフラのサイバー防御に穴　政府が示した基本の対策とは

　連邦調査局（FBI）とサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2025年5月6日、（電力やガス、鉄道、空港などの）重要インフラ業界の産業用制御システムや運用技術環境を標的とする「高度ではない脅威活動」について警告を発した（注1）。ここでいう高度ではない脅威活動とは基本的なサイバー防御で対応できるような攻撃を言う。脆弱（ぜいじゃく）性を利用したり、マルウェアを利用したりする攻撃よりももっと初歩的な攻撃だ。

　エネルギー省（DOE）と環境保護庁（EPA）が共同執筆したガイダンスによると、サイバー脅威活動が石油業界とガス業界の重要インフラを標的にしており、エネルギー分野と輸送分野にも影響を及ぼしているようだ。

　各機関はセキュリティ責任者に対してサイバーハイジーン（衛生）の向上と、インターネットにさらされている資産の保護を強く呼び掛けた。

　この勧告に至った具体的な事案は明らかにされていないが、今回のガイダンスは飲料水や廃水処理事業者、小規模電力企業を標的とする攻撃者に関する過去の警告と類似している（注2）。

　各機関は次の3つの主要なセキュリティ対策を推奨した。高度ではない脅威活動に対抗するものだ。

運用技術（OT）

　機器をインターネットから切り離すこと。インターネットに公開されたOT機器はオープンポートを追跡する検索エンジンを通じて容易に発見されてしまうからだ。OT機器は現代の脅威に耐性のある認証システムを欠いていることが多く、発見されると防御できない。

パスワード

　機器に設定されているデフォルトのパスワードを強力で推測されにくい固有のパスワードに直ちに変更すること。

リモートアクセス

　OTネットワークへのリモートアクセスを安全なものに変える必要がある。ユーザーに求められているのは2点の対策だ。第一にプライベート用のIPネットワークへ切り替えなければならない。第二に強力なパスワードとフィッシング耐性がある多要素認証を備えたVPNを導入しなければならない。

　Googleの子会社MandiantでOTおよびICS（産業用制御システム）のセキュリティを担当するポール・シェイバー氏（グローバルプラクティスリード）は、「Cybersecurity Dive」に対して次のように語った。

　「この勧告はわれわれが何年も言い続けてきたことと何ら変わりない。OT環境における基本的なサイバーハイジーンの状態には不備が残っている。綿密な境界線と防御可能な環境の構築が、全ての資産所有者の最優先事項となるべきだ」

出典：CISA, FBI warn of ‘unsophisticated’ hackers targeting industrial systems（Cybersecurity Dive）
注1：Primary Mitigations to Reduce Cyber Threats to Operational Technology（CISA）
注2：Hacktivists exploiting poor cyber hygiene at critical infrastructure providers（Cybersecurity Dive）