水道、石油、ガス、電力などの重要インフラ組織の70%が、昨年セキュリティ侵害に見舞われている。ほぼ同数の64%が、今後1年以内に1件以上の深刻な攻撃を受けると予測している。
政府機関や大企業におけるインサイダーの脅威
本連載の前回の記事では、米国企業の内部脅威リスクとその対応策について取り上げた。政府機関や大企業におけるインサイダーの脅威は、ある程度緩和策が実施されている既知の問題であるが、浄水場や原子力発電所のような米国の重要なインフラに対するインサイダーの脅威についてはあまり知られていない。脅威の性質を説明するために、国土安全保障省の報告書「公益事業に対するインサイダーの脅威」から2つの例を挙げよう。
- 2011年4月、アリゾナ州メサにある廃水処理施設において、一人の浄水場職員が、汚水のバックアップを引き起こして機器を損傷させ、メタンガスを蓄積させようと、操作システムを手動で停止させた疑いが持たれている。自動安全装置によりメタンガスの蓄積は防がれ、当局に通報された従業員は無事逮捕された。
- 2011年1月、米国の天然ガス会社を解雇されたばかりの従業員が、以前の勤務先の監視ステーションに侵入し、手動でバルブを閉めたとされ、約3,000人の顧客に対するガス供給が1時間にわたって中断した。
近い将来、同じような、より危険な事件が起こる危険性は?
冷戦時代のスパイ活動や破壊工作を思い出してほしい。しかし、そのパラメータは大きく変化している。
冷戦時代の脅威は、特権的な物理的アクセスや専門的な知識、スパイ活動やテロリストのスキルで構成されていたが、今日の潜在的な脅威は、米国の重要インフラの「周辺化」によってはるかに大きくなっている。グローバル化とアウトソーシングは、内部者と外部敵対者の境界線をますます曖昧にしている。
多くの場合、コスト削減のために利用され、審査を受けていないベンダー、請負業者、信頼できるビジネスパートナーが、重要インフラ施設に特権的にアクセスする。重要インフラ組織内でのクラウドサービス、リモートワーク、ウェブテクノロジーの使用は、これらの慣行が特別な方法で扱われ、保護されない場合、問題をさらに悪化させる。つまり、地域の浄水場にとっての脅威は、特権的な物理的アクセスを持つ潜伏外国人スパイだけでなく、特権的なユーザー名とパスワードを盗まれる可能性のある、信頼できる遠隔地の従業員や請負業者 (クラウド) なのだ。
米国内外の重要インフラにおける悪意のある内部者によるインシデントの最近の件数と影響については、ほとんど情報が存在しない。ほとんどの情報は一般に公開されておらず、米国コンピュータ緊急対応チーム (CERT)のような信頼できる情報源でさえ、実際の脅威事例やシナリオへのアクセスは限られている。
しかし、国土安全保障省 (DHS) は最近、悪意のある内部者による攻撃のリスクを調査した国家リスク評価 (NRE) 報告書を発表し始めた。最新の報告書によると、「インサイダーの脅威に関するデータは限られているため、NREのリスク評価には不確実性が伴う」という。
NREは、連邦政府および民間部門の専門家から得たインプットの構造分析に基づいている。構造分析では、国家レベルの結果をもたらす31の内部脅威シナリオが選択され、その結果と可能性が評価されました。
専門家は、「国際金融取引の混乱」や「米国の牛乳供給への有毒化学物質の混入」のような壊滅的なシナリオの可能性は10%以下とかなり低いと判断している一方、「組織的なメディケアとメディケイドの不正行為」のような深刻でない結果をもたらすシナリオは、ほぼ100%の可能性があるとみなしている。全インフラ部門にわたる全シナリオの可能性の中央値は、およそ15%と評価されました。
最大の脆弱性とその修正方法とは?
米国コンピュータ緊急対応チーム (CERT) は、脆弱性を特定するため、全米の重要インフラ施設を対象に53件の実地評価を実施し、3つの主要な脆弱性が特定された。
まず最も一般的なのは、内部ネットワークのセグメンテーションの欠如と、仮想および物理エンクレーブに対する境界保護の欠陥である。ネットワーク・セグメンテーションとは、コンピュータ・ネットワークをサブネットワークに分割することで、それぞれがネットワーク・セグメントまたはネットワーク・レイヤとなり、内部リソースへの外部からのアクセスを大幅に減らすことができる。
つ目の脆弱性は、内部ネットワークにおけるバウンダリー・プロテクションの欠如である。つまり、ゾーン間のファイアウォールが少なすぎるか、まったくないこと、そしてファイアウォール・ルールセットが最小限であり、監査や検証が不足していることである。
3つ目は、リモート・アクセス・プロトコルの選択と設計が不適切なため、リモート・アクセスが攻撃の主要な入口となることが確認されていることである。CERTは、このリスクを排除するために、VPNトンネルと接続用の制限されたセキュリティ・ゾーン (DMZ) を提案している。
要約すると、このような簡単に修正できる脆弱性が重要インフラに存在するという事実は、非常に驚くべきことである。説明されているセキュリティ・ホールはよく知られており、適切な対策とプロトコルは、他のほとんどすべての組織ネットワークで標準的に採用されている。責任あるCISOが行動を起こすことを期待しよう。