環境保護庁(EPA)は、アメリカ全国の水システムに対するサイバー攻撃の増加に対応するため、水セクターのサイバーセキュリティ強化に向けた取り組みを強化している。特にロシアとイランからの攻撃が増加しており、これらの攻撃は水の処理、配布、貯蔵システムの混乱、ポンプやバルブの損傷、化学物質レベルの危険な変更などを引き起こす可能性がある。EPAは、水システムがサイバーセキュリティのレジリエンスを定期的に評価し、緊急対応計画を策定することを確認するために、計画された検査の数を増やすと発表した。
EPAは「水システムのセキュリティ確保のためのトップアクション」の概要を発表し、公開インターネットへの露出の削減、定期的なサイバーセキュリティ評価の実施、デフォルトパスワードの即時変更、OT/IT資産の目録作成、サイバーセキュリティインシデント対応および復旧計画の開発と実施、OT/ITシステムのバックアップ、脆弱性への露出の削減とサイバーセキュリティ意識向上トレーニングの実施を含むステップを提案している。さらに、EPAは水および廃水システムのサイバーリスクを減少させるための短期的な行動と戦略を特定するタスクフォースを設立し、適切な場合には、システムが対応を改善しない場合には民事および刑事の執行措置を取ると述べている。
EPAは、サイバーセキュリティのポスチャを強化するために、CISAと協力して指導、ツール、トレーニング、リソース、技術支援を提供している。
【ニュース解説】
アメリカの環境保護庁(EPA)が、国内の水システムに対するサイバー攻撃への対策を強化しています。特に、ロシアとイランからの攻撃が増加していることを受け、EPAは水システムのサイバーセキュリティ基準の遵守を強化する新たな取り組みを発表しました。これには、公共のインターネットへの露出を減らす、定期的なサイバーセキュリティ評価を実施する、デフォルトパスワードを直ちに変更するなどのステップが含まれます。
この動きは、水システムがサイバー攻撃によって深刻な被害を受けるリスクが高まっていることを背景にしています。攻撃者は、水の処理や配布システムを混乱させたり、ポンプやバルブを破壊したり、化学物質のレベルを危険なまでに変更することが可能です。これらの攻撃は、公衆衛生や安全に対する直接的な脅威をもたらします。
EPAの取り組みは、水システムのサイバーセキュリティを強化し、攻撃による潜在的な被害を最小限に抑えることを目的としています。このために、EPAは計画的な検査の数を増やし、水システムがサイバーセキュリティのレジリエンスを定期的に評価し、緊急対応計画を策定することを確認します。また、EPAはCISAと協力して、水システムがサイバーセキュリティの姿勢を強化するための指導、ツール、トレーニング、リソース、技術支援を提供しています。
このような取り組みは、水システムを守るための重要なステップですが、同時にいくつかの課題も伴います。例えば、水システムを運営する組織が必要なサイバーセキュリティ専門知識を持っているとは限らず、適切な対策を講じるための資源が不足している場合があります。また、サイバー攻撃の手法は常に進化しているため、防御策も継続的に更新し続ける必要があります。
長期的には、EPAの取り組みが水システムのサイバーセキュリティ基準の向上に貢献し、攻撃によるリスクを減少させることが期待されます。しかし、これは水システム運営者、政府機関、サイバーセキュリティ専門家が連携し、継続的な努力を行うことが不可欠です。また、この問題は国家安全保障の観点からも重要であり、水システムに対するサイバー攻撃は、国内外の政策や規制に影響を与える可能性があります。