ガスパイプラインハッキングを受けたサイバー強靭化再考(CSCの記事)
写真出展:Herbert AustによるPixabayからの画像https://pixabay.com/ja/users/herbert2512-2929941/?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=2392432
ガスパイプラインハッキングを受けたサイバー強靭化再考(CSCの記事)サイバー空間ソラリウム委員会は2021年5月20日に、5月11日のガスパイプラインハッキングについての記事の続編を紹介していた。前回とは若干異なる視点での議論となっており、参考になると考えられることから、その一部をご紹介したい。
↓リンク先(The Colonial Pipeline Incident Shows the Need for Broader Thinking about Cyber Resilience)
https://www.cfr.org/blog/colonial-pipeline-incident-shows-need-broader-thinking-about-cyber-resilience
1.記事の内容について
・コロニアルパイプラインへのハッキングは、FBIによりロシアのサイバー犯罪集団ダークサイドの犯行と特定された。近年ランサムウェアによる被害が増加しており、2019年には100件以上の事件が発生している。標的は州政府、地方自治体、大都市、マイクロソフトのメールサーバーなど多種多様になってきている。
・現在、攻撃的、防衛的サイバーセキュリティについて議論されているが、中心的な対策は、重要インフラの強靭化である。サイバー攻撃は不可避であり、事件発生時の的確な初動対応及び迅速な復旧が可能となるよう準備しておく必要がある。
・現在の議論の中心は、いかに早期に復旧させるかということであるが、これだけでは不十分である。ダークサイドは、身代金要求を拒否した企業の機密情報をダークウェブに公開しており、たとえ早期に復旧したとしても企業には損害が発生する可能性が残るのである。
・コロニアルパイプラインのハッキングでは、ダークサイドは2時間で100ギガバイト以上のデータを盗んだ。従ってデータの喪失を防ぐには、異常発生時に早期にネットワーク管理者に連絡し、ネットワークを遮断するといった措置を講じる必要がある。
・政策的な観点から言うと、企業はランサムウェアの事件についての情報を隠蔽しようとする問題がある。企業がこのような姿勢だと、他の同様の問題を抱えている企業へ情報が共有されず、政府の対応も遅れてしまう。その他、リスク情報を必要としている保険会社やセキュリティ会社、教育政策にも悪影響が出る。
・既存の報告義務は存在しているが、最新のサイバーセキュリティの実情に十分に合致しているわけではなく、産業ごとに一貫しているわけでもない。したがって、CSCが提案するサーバーンズ・オクスレイ法(監査などによる企業のガバナンス報告義務)の改正、サイバーセキュリティについての証券取引委員会ガイダンス(公共企業のサイバーリスク及びインシデントについての情報公開義務化)の法制化、サイバー侵害通知法の制定などの手段が有効となる。
バイデン政権の大統領令は報告義務を求めているが、それは連邦政府の情報システムなどに限定されている。民間部門に広範に影響を及ぼし、変化する環境に適用可能なものとするためには、現在のサイバー空間における組織の強靭性について深く洞察し、必要となる対策を見出さなくてはならない。
2.本記事についての感想
前回の記事では、インフラの強靭化に対する予算が不適切に配賦されているという問題を取り上げていたが、今回は政策の内容について取り扱っている。
現在はサイバー犯罪のレベルが高度化し、セキュリティソフトを導入する、プロバイダーやセキュリティ管理者にネットワークを遮断してもらうだけでは足りなくなっている。企業は早期復旧というところに着目しがちであるが、復旧後の被害拡大の防止も重要な課題である。復旧に注力しすぎると、警察などへの被害報告などが遅れ、結果としてサイバー犯罪集団の追跡が遅れる可能性もある。今回の記事の指摘は日本にとっても非常に有益だろう。
また今回の件はアメリカだけの問題と考えてはならない。日本ではあまり報道されないだけで、この手の事件は相当にあると考えられる。アメリカでさえ苦戦しているのであり、日本については推して知るべしと言うところだろう。
日本については末端まで情報が共有され過ぎている、データ管理がずさんであるといった文化的な問題も大きいだろう。機密性があるか否かに関わらず、企業のほとんどの人が情報を共有されている、ひそかに自分のパソコンのハードディスクに機密情報を保存しているなどの慣習が相変わらず横行しているようだ。情報に対する意識が世界標準と大きく異なっていることから、意識改革が重要だろう。
またサイバー攻撃の被害について報告義務を課したとしても、企業の方に余裕がない、インセンティブがそもそもないなどの問題で、政府に情報が共有されない可能性が高いように思われる。
セキュリティがタダで手に入ると思っている人も少なからず存在しており、特に高齢の経営者にこの傾向が強いように思われる。サイバー空間は限りなく無秩序な状態であり、安全確保のためには多大な投資及び人的投資が必要となる。
政府はセキュリティがある程度ビジネスになるような枠組みを設けるべきである。情報を取られて得をする組織などない。民間企業がセキュリティに取り組むことで税控除を受けられるなどのインセンティブを与えてはどうだろうか。
英文を読んでわからないという方は、メールにて解説情報をご提供させていただきます。なにぶん素人の理解ですので、一部ご期待に沿えないもしれませんので、その場合はご容赦願います。当方から提供した情報については、以下の条件を守ったうえで、ご利用いただきますようよろしくお願いいたします。
(1) 営利目的で利用しないこと。
(2) 個人の学習などの目的の範囲で利用し、集団での学習などで配布しないこと。
(3) 一部であっても不特定多数の者が閲覧可能な場所で掲載・公開する場合には、出典を明示すること。(リンク先及び提供者のサイト名)
(4) 著作元から著作権侵害という指摘があった場合、削除すること。
(5) 当方から提供した情報を用いて行う一切の行為(情報を編集・加工等した情報を利用することを含む。)について何ら責任を負わない。