見出し画像

ガスパイプラインへのハッキング及びバイデン政権の対応について(CSCの記事)

カーズィ

写真出展:David MarkによるPixabayからの画像https://pixabay.com/ja/users/12019-12019/?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=392743

 サイバー空間ソラリウム委員会(CSC)が2021年5月11日に、ガスパイプラインへのハッキング及びバイデン政権の対策についての記事が紹介していた。端的に言うと、CSCは、インフラ対策が不十分と指摘している。本記事の提案が参考になると思われることから、その一部をご紹介したい。

↓リンク先(Gas pipeline hack reveals cyber vulnerabilities. But Biden infrastructure plan doesn't fix them)
https://www.nbcnews.com/think/opinion/gas-pipeline-hack-reveals-cyber-vulnerabilities-biden-infrastructure-plan-doesn-ncna1267021


1.CSCの記事について
  ・最大のガソリン等供給会社のコロニアル・パイプラインが、ランサムウェアにより、6日間休業状態となった。(5月7日から5月12日)同社は東海岸部の45%の精製石油を供給し、ニューヨークには日量1億ガロンも石油を輸送している。深刻な影響を回避すべく、全てのパイプラインシステムを停止するという初動対応を行ったことにより、ガソリン等の供給が停止されることとなった。
  ・バイデン政権の2兆ドル予算のうち、6210億ドルがインフラ予算である。3000億ドルは電力施設、水道施設、ブロードバンドインターネットインフラなどに使用される予定である。しかし、「インフラ」の定義が拡大解釈されており、在職介護ヘルパー支援にも多額の予算が割かれており、肝心のサイバー攻撃対策に十分な予算が確保されているとは言えない。
  ・バイデン政権の次年度のインフラ計画では、サイバー攻撃対策予算が5%増加しているが、他の非防衛予算は16%も増加しており、これも不十分である。ただこの種の過ちはトランプ政権においても同様であり、防衛関係省庁以外のセキュリティにも配慮が必要である。
  ・議会が官民共同でサイバー攻撃に対処する統合サイバー計画局の創設及びサイバーインシデント発生時の国家機能維持計画書作成(一種のBCP)を2021年国防権限法の条文に盛り込んだことは評価するが、政権は直ちに政策を実行しなければ
ならない。

2.本記事についての感想
 発電所に続いて、またもインフラが狙われた。今回もロシアではなく、DarkSideグループによる犯行のようだ。このグループは金銭目的を主としている(と主張している)ことから、テロ行為ではないように見えるが、信用することはできない。サイバー攻撃の主体が遊軍にまで広がっていることを示す良い事例だろう。
 また、政策面でも問題があったように思われる。アメリカの民主党も日本の民主党と同じ穴の狢なのか、コンクリートから人へ予算を配賦しているように見える。エネルギー消費大国であれば、エネルギーインフラの維持管理は最優先事項のはずである。人を支援することも大事であるが、インフラ対策予算を他の目的に用いるというのは、政治家が汚職にまみれている証拠であり、今後もインフラの混乱が発生し付けると予想されている。
 この点、日本は各省庁や地方自治体が割としっかりしている。災害大国ということもあり、普段からの維持管理や災害発生時の業務継続計画(BCP)は世界的に見ても高レベルである。また、原子力発電所への警察の見回りなどは早期から実施されており、日本人のインフラ維持管理対策はそれなりに優れている。ただ、サイバーに対してははまだ脆弱であり、この点は早急に改善する必要があるだろう。インフラ系の人々は実物を管理していることからアナログ的な発想をする習性があり、機器には強いがパソコンには意外に強くない。インフラ職種にサイバー職を含める、現職の人々のサイバーリテラシーを学習する機会を設ける必要がある。
 ここで期待のデジタル庁となるわけだが、本庁について以外に議論されていないのは、研修機関としての役割である。専門家集団でノウハウを積み重ねたのちは、その知見を広く共有するべきである。特に、一般の公務員が十分なサイバーセキュリティリテラシーを身に着けられるよう、継続的に研修を実施できるような体制とするべきである。各省庁や職場でのOJTだけでは限界があるため、基礎からしっかりと学び、安全保障まで配慮したサイバーセキュリティ対策をできる職員を一人でも多く育ててもらいたい。このことにより、社会全体のサイバーセキュリティ強化につながると思われる。

 英文を読んでわからないという方は、メールにて解説情報をご提供させていただきます。なにぶん素人の理解ですので、一部ご期待に沿えないかもしれませんので、その場合はご容赦願います。当方から提供した情報については、以下の条件を守ったうえで、ご利用いただきますようよろしくお願いいたします。

(1) 営利目的で利用しないこと。
(2) 個人の学習などの目的の範囲で利用し、集団での学習などで配布しないこと。
(3) 一部であっても不特定多数の者が閲覧可能な場所で掲載・公開する場合には、出典を明示すること。(リンク先及び提供者のサイト名)
(4) 著作元から著作権侵害という指摘があった場合、削除すること。
(5) 当方から提供した情報を用いて行う一切の行為(情報を編集・加工等した情報を利用することを含む。)について何ら責任を負わない。

この記事が気に入ったらサポートをしてみませんか?