OT/ICS サイバーセキュリティを調査するよう公共水道システムに指示する EPA の覚書

水は地球上で最も豊富で貴重な資源の1つであるが,清潔で安全な飲料水を供給するためのデジタル化とネットワーク化が進む事業では,現代のサイバーセキュリティのベストプラクティスに関しては軽視されてきた.米国水道協会によると,米国には約52,000の分散型飲料水システムがあり,その多くが人口50,000人未満の中小規模のコミュニティにサービスを提供している.

公共水道(PWS)のサイバーセキュリティは様々であり,予算,ツール,人員など,ITとOT のリソースのケースバイケースの評価に大きく依存している.2022年,政府機関とセキュリティ専門家は,水道セクターの安全確保に向けた道筋を提案し始めた.それは,PWSのリスク状況と準備態勢のより良い理解,官民協力,革新的なソリューションと資金調達の拡大,地域社会のコミットメントと一般市民への教育である.

EPAのサイバーセキュリティに関する覚書とは？

環境保護庁の2023年3月の覚書は,定期的な衛生調査の一環としてサイバーセキュリティの欠陥の特定を含めることを求めている.衛生調査の目的は,各州が公共水道の重大な欠陥を特定し,安全な飲料水に影響を与える可能性のある欠陥を是正することである.

このメモでは,「飲料水の製造と配給において,SCADAのような産業用制御システムを含む運用技術の利用が,あらゆる規模と種類のPWSの間で広まっている」と指摘している.これらの制御システムにより,PWSは現場の人員を削減し,収集,処理,配水システムのプロセスをより効率的に運用できるようになった.特筆すべきは,第三者を含む現場外の人員による遠隔監視と操作が可能なことである."

衛生調査では,水に関するシステムや技術を評価する：

• ソース
• 治療
• 流通システム
• 完成貯水
• ポンプ,ポンプ設備,制御装置
• モニタリング,報告,データ検証
• システムの管理と運用
• 州要件へのオペレーターのコンプライアンス

この覚書は,安全な飲料水を製造・供給するために使用される運用技術や産業用制御システムの構成要素に関連するサイバーセキュリティのギャップを具体的にレビューし,評価することを公共水道システムに求めている.しばしば「クラウンジュエル分析」と呼ばれ,所有者と運営者は「顧客に提供する水の供給や安全性に影響を与える可能性のあるPWSの運用技術の完全性と継続的な機能を維持するために必要なサイバーセキュリティの実践と管理」を見直すよう指示されている.

EPA はサイバーセキュリティ水準をどのように監視するのか.

CISAのCross-Sector Cybersecurity Performance Goalsを反映したサイバーセキュリティ・チェックリストを活用し,新たな要件に準拠するためには以下のことが必要となる：

1. PWSが,衛生調査の必要な構成要素の設備または操作の一部として, ICSまたはその他の運用技術を使用している場合,国は,安全な飲料水を製造・供給するための,その運用技術のサイバーセキュリティの適切性を評価しなければならない.
2. 衛生調査中に特定されたサイバーセキュリティの欠陥が重大であると州が判断した場合,州はその権限を行使してPWSに重大な欠陥への対処を求めなければならない.

発見と是正のためのサイバーセキュリティの欠陥には,広範なものが含まれる：

• 練習やコントロールの不在
• 飲料水の処理または配給に使用される運用技術を侵害するために,直接的または間接的に悪用される危険性の高い脆弱性が存在すること.

資産所有者は,質問を提出したり,遠隔地にいる専門家(SME：Subject Matter Expert)に相談したりすることができる.EPA は,SME が質問者に回答することを約束しており,回答までの待ち時間は 2 営業日である ことを示唆している.EPA は,"技術支援サービスは,サイバー事故を報告するための緊急回線ではなく,またサイバー事 故対策や復旧活動のための資源としての役割も果たさない "と指摘している.

水道システムを標的としたサイバー事件は,広範囲に影響を及ぼす可能性がある.重要な水供給が途絶えると,最初の1日のうちに,ヘルスケアや医療施設,食品や農業の生産と加工,エネルギー,政府,安全,輸送に連鎖的な影響が及ぶ可能性があります.水道事業体は,自動化が進み,悪意のある行為者の標的になりやすい脆弱な運用システムによる深刻なサイバーセキュリティの脅威に直面しています.水道事業体に強力なサイバーセキュリティプログラムを導入することは,回復力を維持するために決定的に重要です.

予防の基本

• アクセス制御の見直しと改訂
• パスワードポリシーの監査と実施
• 新たなフィッシング詐欺に厳重な警戒を
• パッチを当てる
• 内部および外部の脆弱性をスキャンする
• 従業員,プロセス,テクノロジーへの第三者のアクセスを見直す
• サプライチェーンの依存関係を評価する
• 計画的に

Nozomi Networks 水道事業のサイバーセキュリティ強化のためのステップ

• 資産の発掘と棚卸し
• 脆弱性スキャンとネットワークマッピング
• Threat intelligence および妥協の既知の指標
• 高度なデータ分析と状況認識

Nozomi Networks プラットフォームは,asset intelligence ,脆弱性評価と異常検知を通じて,お客様の運用システムのサイバーセキュリティ・リスクを予測します.当社の資産発見機能は,優先順位付けされたリスク評価とアラートを提供します.ネットワークトラフィックを把握することで,脆弱性を迅速に明らかにし,サイバーリスク管理とコンプライアンスに注力できるようにします.

‍

その他のリソース

• EPAは,州およびPWSが衛生調査にサイバーセキュリティを含めることを支援するため,指針,研修,および技術支援を提供している.
• 米国WaterISACコミュニティは,米国国土安全保障省のサイバーセキュリティ・インフラ安全保障局,FBI,米国環境保護庁,州情報融合センター,その他の連邦・州機関とのメンバー情報交換を取り入れている.