米国水道局と政府はサイバーセキュリティーで無理心中に?
2024年12月19日
.png)
水道局を標的にした攻撃があった場合、米国民を保護する米国政府の能力に対する信頼にギャップを生じさせていることが明らかであるもかかわらず、水道局と政府はこれまでのような無策の道を歩み続けるだろうとクラロティは予測しています。水道局がNERC(北米電力信頼度協議会)のように規制体制を議会に求める一方で、サイバーセキュリティー基準を疑わしい方法で施行しようとするEPA *1(米国環境保護協会)の取り組みが火種となっています。
一方、ロシア、中国、イランからのサイバー攻撃により、水道システムの重大な脆弱性が明らかになり、脅威の状況はますます危険になっています。最近の政府報告書では警鐘を鳴らしていますが、連邦最高裁判所によるシェブロン法理*2の逆転により、連邦政府の監視はさらに複雑になり、2025年には、老朽化したインフラと不適切なサイバーセキュリティ投資によって促進され、水道事業体を標的としたサイバー攻撃が頻度と巧妙さの両方で増加すると予想されます。現在の行き詰まりが打開されない限り、社会的信用の失墜、水道供給の途絶、治安の悪化など、深刻な結果を招く可能性があります。
サイバーセキュリティー規制がシェブロン法理の撤廃に耐えられるか試される裁判の第一弾
米国政府全体が規制や立法において実質的な進歩を遂げてきた一方で、連邦最高裁判所が2024年にシェブロン判決を破棄し、2022年に主要質問原則を明確化することで、この進歩がゆるやかなものとなる恐れがあります。40年以上前の最高裁判決に基づき、行政府の専門家は議会の曖昧な文言を尊重して解釈することになりました。最近のSCOTUS(アメリカ合衆国最高裁判所)の判決はその決定を覆し、法律が十分に明確ではない場合、または行政府機関が施行決定において過度の裁量を持っているとみなされる場合に、法的異議申し立ての余地を与えるものとなりました。米国政府の運営方法には無数の影響がありますが、この特定の判決は既存のサイバーセキュリティー法制や規制に重大な影響を与える可能性があり、CIRCIA(重要インフラ向けサイバーインシデント報告法)、侵害通知に関するの規則制定、TSA規制、水道局へー規制などの重要な政策や規則規定に特定のリスクをもたらす可能性があります。国家安全保障への賭けは極めて重要であるため、このプロセスは厄介なものになる可能性がありますが、国家安全保障に関わる重大な問題であるため、議会はサイバーセキュリティーの専門知識を迅速に開発し、あるいは産業界からより効果的に活用し、強化された議論の余地のない法案を確実に策定する必要があります。
資産集約型組織は、CPSセキュリティーのサイバーリスク全体を削減するために、セグメンテーション運用に移行するだろう
米国連邦政府とその国際的なパートナーは、セキュアバイデザイン*3に関する重要な作業を開始しましたが、その成果が現れるのは何年もかかるでしょう。現実には、資産所有者や運営者は当分の間、自己責任で対処しなければなりません。
- その結果、多くのCPSセキュリティープロジェクトは資産目録の作成から始まりますが、組織はこの段階を経て、リスク削減戦略の運用に移行しつつあります。どの組織も脆弱性管理プログラムを持つ必要がありますが、2025年には、より多くの組織がリスク削減の目標が実現しないことに気づくでしょう。
- リスク削減に真剣に取り組む組織は、CPS環境においてネットワークセグメンテーションを運用化し、リスクのクラス全体をテーブルから取り除く必要があることを認識するでしょう。
- ほとんどの組織では、エンジニアリングチームが、本番稼動に影響を与える可能性のあるプログラムを拒否することが多いため、これは大きな転換となるでしょう。
このような文化の衝突とその結果としての意思決定がどのように行われるかが、リスク削減の成果を左右することになるため、CISOはこの重要な取り組みに適切に準備し、取り組むことが重要です。
産業組織によるクラウドへの視点の変化
産業界ではこれまで、生産設備をクラウドに接続することに消極的でしたが、2025年には劇的な変化が起こると予想されます。さまざまなサービスにパブリッククラウドを活用することで競争力と効率性を獲得できることを企業が認識するようになり、クラウド提供のサイバーセキュリティー製品の採用に対してオープンな姿勢になるでしょう。また、OT環境をITやクラウドに接続することには、歴史的に抵抗がありましたが、2025年は大きく改革されることでしょう。SaaSベースのIT オファリングの同じ利点がOTにも適用されるため、この感情は業界全体で変化するでしょう。このシフトの例外は、データ主権、法律、規制上の制約に左右されることです。最終的には、OTエンジニアリングチームとサイバーセキュリティーチームの双方にとって、より良い結果をもたらすと信じています。
*1 EPA (米国環境保護協会): 米国民の健康と環境を守るために、科学に基づいた政策を策定・実施し、国民への情報提供を行うことにより、クリーンな空気・水・土地を守り、環境リスクを低減している。
*2シェブロン法理:シェブロン法理は、1984年の最高裁判決で確立された原則で、米国連邦最高裁判所が2024年6月、政府の規制権限に大きな影響を与え得る決定を下した。曖昧な法律を規制当局が解釈できるとする「シェブロン法理(Chevron doctrineまたはChevron deference)」を覆した判決のこと。
*3 セキュアバイデザイン:システム導入・運用後の後付けではなく、システムの企画や設計の初期段階から考慮し、対策を盛り込む考え方のこと。
◆クラロティー公式製品ページはこちらから
https://claroty.com/ja#product
◆クラロティー ニュースレタートップページに戻る
https://claroty-jp-newsroom.prezly.com/
◆ご相談やお問い合わせは、下記よりお願いします。
https://claroty.com/ja/request-a-demo