2021 年 7 月 29 日 Corey Nachreiner 著

昨日米バイデン政権は、国の重要インフラを管理する産業用制御システム (ICS) のサイバーセキュリティ対策を強化するため、新たな取り組みを発表しました。最近の事件 (コロニアルパイプライン社に起きたランサムウェア事件など) が示すように、重要なインフラに障害が発生した場合、被害は深刻で、時に取り返しのつかない結果を招きます。これは非常に現実的な課題であり、連邦政府は対策に尽力すべきです。

しかし留意すべきは、新しい産業用制御システムサイバーセキュリティの取り組みは、あくまで自主的な協力しか求めていない、という点です。連邦サイバーセキュリティ機関は ICS 事業者に対して、システムへの脅威を阻止、監視、検知、警告するために導入すべき、技術的なセキュリティ対策を助言するだけです。成功するか否かは、政府による勧告の技術的詳細と、勧告に従わない場合に課される罰金や影響の 2 点にかかっています。

今のところ米政府は具体的な勧告を公表しておらず、支援を行うことだけを明らかにしています。この取り組みは、まず電力会社を対象とし、その後、他の重要なインフラ事業者にも拡大する予定です。政権はこの取り組みに達成目標を設定する予定ですが、まだ具体的には決定していません。また、現時点ではあくまでも任意の取り組みであるため、民間の ICS 事業者がこの取り組みに従わなかった場合も、影響はありません (あるいは、遵守を促進するインセンティブがありません)。

より詳細で実効性のある施策が行われない限り、このプログラムが影響をもたらすかどうかは何とも言えません。連邦政府機関はすでに、協力的な ICS 企業 (ICS-CERT) と脅威情報を共有しています。重要なインフラに関わる企業が大規模な攻撃をもし受けた場合 (受ける可能性は大いにあります)、政権がより積極的なアプローチをとるかどうかが注目されます。