U.S. GAO 電力網サイバーセキュリティ：エネルギー省は彼らの計画が配電システムのリスクに完全に対応していることを確認する必要がある at 2021.03.18

こんにちは、丸山満彦です。

U.S. GAOがエネルギー省に対して、彼らの進めていることが配電システムのリスクに完全に対応していることを確認する必要があると報告書を出していますね。。。

● U.S. GAO

・2021.03.18 Electricity Grid Cybersecurity:DOE Needs to Ensure Its Plans Fully Address Risks to Distribution Systems

 

Fast Facts	速報
The U.S. electricity grid's distribution systems—the parts of the grid that carry electricity to consumers—are becoming more vulnerable to cyberattacks, in part because of the introduction of and reliance on monitoring and control technologies. However, the scale of potential impacts from such attacks is not well understood.	米国の電力網における配電システム（電力を消費者に届ける部分）は、監視・制御技術の導入や依存度の高さもあって、サイバー攻撃に対して脆弱になっています。しかし、このような攻撃による潜在的な影響の規模は十分に把握されていません。
The Department of Energy is working on the energy sector portion of the national cybersecurity strategy, but it has focused its efforts more on risks facing the grid's generation and transmission systems. We recommended more fully addressing risks to distribution system	エネルギー省は、国家サイバーセキュリティ戦略のエネルギー部門の部分に取り組んでいますが、グリッドの発電・送電システムが直面するリスクに重点的に取り組んでいます。私たちは、配電システムのリスクに、より全面的に取り組むことを提言しました。
Highlights	ハイライト
What GAO Found	GAOの調査結果
The U.S. grid's distribution systems—which carry electricity from transmission systems to consumers and are regulated primarily by states—are increasingly at risk from cyberattacks. Distribution systems are growing more vulnerable, in part because their industrial control systems increasingly allow remote access and connect to business networks. As a result, threat actors can use multiple techniques to access those systems and potentially disrupt operations. (See fig.) However, the scale of potential impacts from such attacks is not well understood.	米国では、送電システムから消費者に電力を供給する配電システムは、主に州によって規制されていますが、サイバー攻撃のリスクが高まっています。配電システムの脆弱性が高まっているのは、産業用制御システムがリモートアクセスやビジネスネットワークへの接続を可能にしていることが一因です。その結果、脅威となる人物は、複数の手法を用いてこれらのシステムにアクセスし、業務を妨害する可能性があります（図参照）。しかし、このような攻撃がもたらす潜在的な影響の規模は十分に把握されていません。
Distribution utilities included in GAO's review are generally not subject to mandatory federal cybersecurity standards, but they, and selected states, had taken actions intended to improve distribution systems' cybersecurity. These actions included incorporating cybersecurity into routine oversight processes and hiring dedicated cybersecurity personnel. Federal agencies have supported these actions by, for example, providing cybersecurity training and guidance.	GAOの調査対象となった配電事業者は、一般的に連邦政府のサイバーセキュリティ基準の対象ではありませんが、配電事業者と一部の州は、配電システムのサイバーセキュリティを向上させるための行動をとっていました。これらの行動には、日常的な監視プロセスにサイバーセキュリティを組み込むことや、サイバーセキュリティ専門の人員を雇用することなどが含まれていました。連邦政府機関は、サイバーセキュリティに関するトレーニングやガイダンスを提供するなどして、これらの行動を支援してきました。
As the lead federal agency for the energy sector, the Department of Energy (DOE) has developed plans to implement the national cybersecurity strategy for the grid, but these plans do not fully address risks to the grid's distribution systems. For example, DOE's plans do not address distribution systems' vulnerabilities related to supply chains. According to officials, DOE has not fully addressed such risks in its plans because it has prioritized addressing risks to the grid's generation and transmission systems. Without doing so, however, DOE's plans will likely be of limited use in prioritizing federal support to states and industry to improve grid distribution systems' cybersecurity.	エネルギー部門の主導的な連邦機関であるエネルギー省（DOE）は、送電網のための国家サイバーセキュリティ戦略を実施するための計画を策定しましたが、これらの計画は送電網の配電システムに対するリスクに十分に対応していません。例えば、DOEの計画では、サプライチェーンに関連する配電システムの脆弱性に対応していません。関係者によると、DOEはグリッドの発電・送電システムのリスクに対処することを優先しているため、計画においてこのようなリスクに十分に対処していないとのことです。しかし、DOEの計画は、配電網のサイバーセキュリティを向上させるために州や産業界に対する連邦政府の支援を優先させる上で、あまり役に立たない可能性が高いと思われます。
Why GAO Did This Study	GAOがこの調査を行った理由
Protecting the reliability of the U.S. electricity grid, which delivers electricity essential for modern life, is a long-standing national interest. The grid comprises three functions: generation, transmission, and distribution. In August 2019, GAO reported that the generation and transmission systems—which are federally regulated for reliability—are increasingly vulnerable to cyberattacks.	現代の生活に欠かせない電力を供給する米国の電力網の信頼性を守ることは、長年の国益にかなっています。送電網は、発電、送電、配電の3つの機能で構成されています。2019年8月、GAOは、信頼性を高めるために連邦政府が規制している発電・送電システムが、サイバー攻撃に対してますます脆弱になっていると報告しました。
GAO was asked to review grid distribution systems' cybersecurity. This report (1) describes the extent to which grid distribution systems are at risk from cyberattacks and the scale of potential impacts from such attacks, (2) describes selected state and industry actions to improve distribution systems' cybersecurity and federal efforts to support those actions, and (3) examines the extent to which DOE has addressed risks to distribution systems in its plans for implementing the national cybersecurity strategy. To do so, GAO reviewed relevant federal and industry reports on grid cybersecurity risks and analyzed relevant DOE documents. GAO also interviewed a nongeneralizable sample of federal, state, and industry officials with a role in grid distribution systems' cybersecurity.	GAOは、グリッド・ディストリビューション・システムのサイバーセキュリティの見直しを依頼された。本報告書は、(1)配電系統がサイバー攻撃のリスクにさらされている範囲と、そのような攻撃による潜在的な影響の規模を説明し、(2)配電系統のサイバーセキュリティを向上させるための州や業界の行動と、それらの行動を支援する連邦政府の取り組みを紹介し、(3)DOEが国家サイバーセキュリティ戦略の実施計画において配電系統のリスクにどの程度対処しているかを検証しています。そのためにGAOは、送電網のサイバーセキュリティリスクに関する連邦政府や業界の関連レポートをレビューし、DOEの関連文書を分析しました。また、GAOは配電網のサイバーセキュリティに関わる連邦政府、州政府、産業界の関係者に非代表サンプリングによりインタビューを行いました。
Recommendations	推奨事項
GAO recommends that DOE more fully address risks to the grid's distribution systems from cyberattacks—including their potential impact—in its plans to implement the national cybersecurity strategy. DOE agreed with GAO's recommendation.	GAOは、DOEが国家サイバーセキュリティ戦略の実施計画において、サイバー攻撃による配電網へのリスク（その潜在的な影響を含む）をより完全に取り上げるよう勧告します。DOEはGAOの勧告に同意しました。
Recommendations for Executive Action	行政措置に関する提言
1. The Secretary of Energy, in coordination with DHS, states, and industry, should more fully address risks to the grid's distribution systems from cyberattacks—including the potential impact of such attacks—in DOE's plans to implement the national cybersecurity strategy for the grid.	1. エネルギー長官は、DHS、州、産業界と連携して、送電網の国家サイバーセキュリティ戦略を実施するDOEの計画において、サイバー攻撃による送電網の配電システムへのリスクについて、その潜在的な影響を含めて、より完全に取り組むべきである。

 

・[PDF] Highlights Page

・[PDF] Full Report 

・[PDF] Accessible Text 

目次

Background	背景
The Grid’s Distribution Systems Are Increasingly at Risk from Cyberattacks, but the Scale of Potential Impacts Is Unclear	送電網の配電システムはサイバー攻撃のリスクが高まっているが、潜在的な影響の規模は不明確
Selected States and Industry Have Taken Varied Actions Aimed at Improving Grid Distribution Systems’ Cybersecurity	一部の国と産業界は、配電システムのサイバーセキュリティを向上させるために、さまざまな行動を起こしている。
DOE Has Not Fully Addressed Risks to Grid Distribution Systems from Cyberattacks in Its Plans	エネルギー省は、サイバー攻撃による配電システムへのリスクを計画の中で十分に考慮していない
Conclusions	結論
Recommendation for Executive Action	大統領の行動に対する提言
Agency Comments	政府機関のコメント
Appendix I: Objectives, Scope, and Methodology	附属書 I：目的、範囲、および方法論
Appendix II: Comments from the Department of Energy	附属書 II：エネルギー省からのコメント
Appendix III: GAO Contacts and Staff Acknowledgments	附属書 III：GAOの連絡先とスタッフの謝辞
Appendix IV: Accessible Data	附属書 IV：アクセス可能なデータ
Agency Comment Letter	エネルギー省のコメントレター