米石油供給会社コロニアルパイプラインのサイバーインシデントから学んだこととこれまでの取組み

少し古い記事ですが、多くの人があの悲劇から安心できる社会を取り戻すために命を削り取り組んでいるのでしょう　他人事ではなく、日本の基幹インフラ提供業者も同じ脅威に晒されていること、我々も危機感を持って取り組む必要がある社会課題だと思います。

The Attack on Colonial Pipeline: What We’ve Learned & What We’ve Done Over the Past Two Years | CISA

コロニアルパイプラインへの攻撃：私たちが学んだことと過去2年間にやったこと

2023年5月7日

リリース

今日、サイバーセキュリティの歴史の中での悲劇的なインシデントから2年を迎えます。2021年5月7日、コロニアルパイプラインへのランサムウェア攻撃は、東海岸のガソリンスタンドで車の列を蛇行し、仕事に行けなかったり、子供を学校に連れて行くことができないことを恐れて、燃料で袋を充填するアメリカ人をパニックに陥れた写真で、世界中の見出しを捉えました。これは、私たちの高度に接続された社会の脆弱性が問題になった瞬間でした。

良いニュースは、その出来事以来、バイデン・ハリス政権は集団的なサイバー防衛において大きな進歩を遂げ、米国政府の全力を活用して脅威の全範囲に対処してきたことです。サイバーセキュリティ・インフラセキュリティ庁(CISA)では、国の重要なインフラストラクチャ全体の回復力の向上に注力してきました。

組織が実用的でタイムリーなサイバーセキュリティ情報にアクセスする簡単な方法が必要であることを認識し、企業や個人にアラートとガイダンスの中心的な場所を提供するためにstopransomware.govを開発しました。

政府全体のまとまりのある協力だけが脅威に対応するために拡大することを認識し、ランサムウェアの流行に対する連邦政府の対応を調整するために、FBIパートナーとの合同ランサムウェアタスクフォースを立ち上げました。そして、業界、政府、内部パートナーを結集し、敵にギャップを生み出すサイロを取り壊す必要性を認識し、米国から生まれた概念であるJoint Cyber Defense Collaborative（JCDC）を設立しました。私たちの一人がコミッショナーを務めたサイバースペースソラリウム委員会は、公共部門と民間部門からサイバー防衛の最前線の専門家のコミュニティを触媒し、リアルタイムで洞察と情報を共有し、脅威を理解し、国家へのリスクを軽減します。

設立以来、JCDCは、発見された最も広範なソフトウェアの脆弱性の1つに対する全国的な対応を主導しました。 潜在的なロシアのサイバー攻撃から重要なインフラストラクチャを保護するためのCISAのShields Upキャンペーンで中心的な役割を果たしました。

また、運輸保安局（TSA）のパートナーとともに、25以上の主要なパイプライン事業者と産業制御システムパートナーを集めて、パイプライン運用に不可欠な運用技術ネットワークを保護するためのセキュリティ慣行を強化しました。これは、コロニアルパイプラインへの攻撃の余波で発行されたセキュリティ指令TSAを補完する取り組みです。これとは別に、議会の支援を受けて、「CyberSentry」として知られる能力を拡大し、国の最も重要な運用技術ネットワークを標的とする可能性のあるサイバー脅威の可視性を高め、より迅速に検出できるようにしました。最後に、サイバーセキュリティパフォーマンス目標（CPG）の導入により、あらゆる規模とスキルレベルの組織が最も影響力のあるサイバーセキュリティ投資に優先順位を付けるのを支援しました。

この進歩を歓迎すべきですが、複雑な脅威と地政学的緊張の高まりに照らして、重要なインフラストラクチャのセキュリティと回復力を確保するために多くの作業が残っています。アメリカインテリジェンスコミュニティは、最近の年次評価で潜在的な将来について厳しい警告を発し、「北京が米国との大規模な紛争が差し迫っていることを恐れた場合、ほぼ確実に米国本土の重要なインフラストラクチャに対する積極的なサイバー作戦を行うことを検討するだろう...中国はほぼ確実に、石油・ガスパイプラインや鉄道システムなど、米国内の重要なインフラサービスを混乱させる可能性のあるサイバー攻撃を開始することができる」と指摘した。

この警告を却下するわけにはいかない。私たちは今日、そのようなシナリオに備えるためにあらゆることをしなければなりません。まず、アメリカ人が毎日毎時間頼りにしているサービスを支える技術が安全で安全であることを確認する必要があります。あまりにも長い間、私たちは機能と市場へのスピードのためにセキュリティを犠牲にし、セキュリティの負担を最も耐えられない人々に課され、ますます脆弱になっています。大統領の国家サイバー戦略の中核的な柱の1つにリストされているように、消費者からの継続的なセキュリティ更新を必要とするのではなく、基本的な義務として、新しい技術の創造にセキュリティを組み込む必要があります。

第二に、最高レベルのサイバーセキュリティを優先する必要があります。サイバーセキュリティをCIOまたはCISOに追いやる時代は終わらなければならない。CEOと取締役会は、優れたガバナンスの問題としてサイバーリスクを受け入れ、戦略的義務とビジネスイネーブラーとしてサイバーセキュリティを優先する必要があります。

第三に、私たちは、政府と業界の間の永続的かつ積極的な運用コラボレーションのJCDCモデルに投資し続けなければなりません。デフォルトは、悪意のあるサイバー活動に関する情報を共有することであり、脅威はすべての人に対する脅威であることを知っています。

最後に、サイバー攻撃が近い将来現実であることを認識して、一般市民のサイバーリスクを正常化する必要があります。攻撃を完全に防ぐことはできませんが、インフラストラクチャと社会への回復力を構築することで、その影響を最小限に抑えることができます。私たちは、社会的回復力の力の例のために、ウクライナのパートナー以上に目を向ける必要はありません。

これらの変化は簡単ではありませんが、2年前から学んだ難しい教訓に責任を持つ必要があります。私たちは、安全で回復力があり、繁栄した未来につながる選択をするのでしょうか、それとも私たちの国家安全保障と私たちの生活様式がバランスにかかっている未来を指示するために不作為を許すのでしょうか？私たちはそれができることを証明しましたが、私たちが今...一緒に行動する場合にのみ。