イメージ:写真AC

米バイデン政権は、重要インフラのサイバーセキュリティ強化に取り組んでいる。そこで求められる主な目的は、インシデントの早期発見と、脅威情報の共有だ。持続可能な成長を維持していくためにも、重要なポイントである。

持続可能な成長

昨春、上下水道会社が潜在的に抱えていたサイバーリスクによって、信用格付けを引き下げられた話題について本稿で取り上げた。*1 従来までもサイバーリスクによって信用格付けを引き下げられる事例は存在したが、それらは実際に発生したインシデントにより引き下げられていた。

ところが、この上下水道会社でインシデントは発生しておらず、さらにこれまでは公益事業社に対して比較的肯定的な評価が与えられてきた中で起こったことであり、金融業界に限らずIT業界など多方面に大きな衝撃を与える出来事となった。信用格付け会社によるプレスリリースにもあるように、サイバーセキュリティ企業が用いるようなツールによって対象となる企業を分析しているのだ。*2 持続可能な成長などを要求するESG経営などのキーワードが重要視されている昨今、潜在的に抱えるサイバーリスクが、成長どころか持続可能性さえも阻害する要因となりかねない。

このような背景からも機関投資家らはサイバーリスクの評価・分析も含めたデューデリジェンスに一層力を入れており、信用格付けの評価においても考慮されるようになってきている。

「行動計画」を発表

米バイデン政権は、上下水道会社のような重要インフラのサイバーセキュリティ強化に取り組んでいる。2022年1月には、ホワイトハウスと環境保護庁(EPA)との共同で、水道事業者に向けた100日間の「行動計画」を発表した。*3 この行動計画では、水道事業者が用いるICS(産業用制御システム)に対するサイバー脅威を、早期に検出できる仕組みを導入することが目的とされている。

なぜ、バイデン政権は重要インフラのサイバーセキュリティ強化に取り組んでいるのか?

昨年、米国ではパイプラインがランサムウェア攻撃による被害に遭ったことで、一部の州ではガソリンが不足するなどの甚大な影響が生じた。*4 また、食肉加工業者がランサムウェア攻撃による被害に遭ったことで、全米の20%の供給量をほこる事業者が停止し生活への直接的な影響も生じている。

また、フロリダ州で発生した水処理プラントへのサイバー攻撃では、施設を管理するシステムに不正侵入され、排水管洗浄に用いる水酸化ナトリウムの量を危険なレベルに調整しようと遠隔操作された。

この際には、画面上に表示されていたマウスのポインターが突如として動き出したため施設のオペレーターが気付いたが、もし気付かれないような手法だったとしたら大惨事は免れなかっただろう。

これらのサイバー攻撃による被害を受けて、重要インフラ事業者が運用に使用するシステムのサイバーセキュリティを強化するために取り組んでおり、水道事業者だけでなく既に電力事業者や天然ガスパイプライン事業者に向けた計画も発表している。