米国GAOは連邦航空局がアビオニクスのリスクベースのサイバーセキュリティ監視を強化するための仕組みを入れる必要があると推奨していますね。。。
こんにちは、丸山満彦です。
米国GAOは連邦航空局(Federal Aviation Administration: FAA)[wikipedia]がアビオニクス(Avionics [wikipedia])のリスクベースのサイバーセキュリティ監視を強化するための仕組みを入れる必要があると推奨していますね。。。
● U.S. GAO
・[PDF] Highlights
・[PDF] Full Report
各航空機メーカはサイバーセキュリティ管理を実施しており、これまでのところ民間航空機のITシステムに対するサイバー攻撃が成功したという報告はないが、FAAが適切に監視をしなければ、サイバー脅威の進化、飛行機と他のシステム間の接続性の向上等により、将来の飛行の安全性が危険にさらされる可能性があるという評価のようです。
脆弱性は、
(1) 商用ソフトウェアにセキュリティパッチを適用しない
(2) 安全でないサプライチェーン
(3) 悪意のあるソフトウェアのアップロード
(4) 旧式機の古いシステム
(5) フライトデータのなりすまし
が原因で発生する可能性があると例示しています。
発見事項としては、
FAAは、
(1) 航空電子機器のサイバーセキュリティリスクの優先度を決定するための監視プログラムを評価していない
(2) 航空電子機器のサイバーセキュリティ訓練プログラムを開発していない
(3) 独立したサイバーセキュリティテストのためのガイダンスを発行していない
(4) 監視プロセスの一部として定期的なテストを含めていない
としていますね。。。
そして推奨事項が6項目ありますね。
いずれもFAA長官が航空安全担当副長官に指示しろとなっていますので、その部分は省略して記載すると
- アビオニクスシステムのサイバーセキュリティのリスクアセスメントを実施し、他の安全上の懸念事項と比較してアビオニクスのサイバーセキュリティリスクの相対的な優先度を特定し、それらのリスクに対処するための計画を策定する。
- アビオニクスのサイバーセキュリティリスクの評価に基づき、アビオニクスのサイバーセキュリティに特化した機関検査官の人員配置と訓練のニーズを特定し、特定されたニーズに対応するための適切な訓練を開発し、実施する。
- アビオニクスのサイバーセキュリティリスクの評価に基づき、独立した試験を含む新しい航空機設計のアビオニクス・サイバーセキュリティ試験のためのガイダンスを開発し、実施する。
- アビオニクスのサイバーセキュリティリスクの評価に基づき、独立した試験を安全に実施するための手順を開発することを含め、配備された航空機のアビオニクスのサイバーセキュリティ管理策の有効性を監視するための方針と手順を見直し、改訂することを検討する。
- 内部の利害関係者間で調整を行う際に、アビオニクスのサイバーセキュリティ問題が適切に追跡され、解決されることを保証するメカニズムを開発する。
- アビオニクスのサイバーセキュリティリスクの評価に基づき、アビオニクスのサイバーセキュリティにどの程度の監督資源を割くべきかを検討する。
これを受けてFAAがどのような対策を考えるのか興味がありますね。。。航空機メーカへの規制はすなわちサプライチェーン全体への規制になりますからね。。。
« NIST NISTIR 8183 Rev. 1 Cybersecurity Framework Version 1.1 Manufacturing Profile | Main | ノルウェー政府は8月のノルウェー議会の電子メールシステムへのサイバー攻撃はロシアによるものだとする声明を出していますね。。。 »
Comments