米国 上院商務・科学・運輸委員会 公聴会 パイプラインサイバーセキュリティ:重要インフラストラクチャの保護
こんにちは、丸山満彦です。
米国の上院商務・科学・運輸委員会で「パイプラインサイバーセキュリティ:重要インフラストラクチャの保護」についての公聴会が開かれ、運輸省の副長官、GAOの重要インフラ担当のディレクター、運輸保安局 (TSA) が証人として発言していますね。。。
● U.S. Senate - Committee on Commerce, Science, and Transportation
・2021.07.27 Pipeline Cybersecurity: Protecting Critical Infrastructure
Hon. Polly Trottenberg
Deputy Secretary
Department of Transportation
・[PDF] Polly Trottenberg (DOT) Testimony
Leslie Gordon
Acting Director of Homeland Security and Justice
Government Accountability Office
・[PDF] Leslie Gordon (GAO) Testimony
Hon. David Pekoske
Administrator
Transportation Security Administration
・[PDF] David Pekoske (TSA) Testimony)
GAOのページ
● GAO
・2021.07.28 Our Testimony to Congress on Efforts to Secure Oil and Gas Pipelines Against Cyberattacks (video)
・2021.07.27 Critical Infrastructure Protection:TSA Is Taking Steps to Address Some Pipeline Security Program Weaknesses
Fast Facts | 速報 |
The U.S. depends on pipelines to deliver the natural gas, oil, and other hazardous liquids that power vehicles, heat homes, and more. But cyberattacks, such as an attack on Colonial Pipeline's IT networks in May 2021, threaten pipeline security. We testified that TSA—which is primarily responsible for pipeline security—is making new requirements for pipeline owners to improve their cybersecurity and prevent attacks. We also testified about previous recommendations that TSA has and has not fully addressed. Cybersecurity has been on our High Risk List since 1997. | 米国では、自動車の動力源や家庭の暖房などに必要な天然ガス、石油、その他の危険な液体を運ぶパイプラインに依存しています。しかし、2021年5月にコロニアルパイプラインのITネットワークが攻撃されたように、サイバー攻撃はパイプラインのセキュリティを脅かしています。私たちは、パイプラインのセキュリティを主に担当しているTSAが、パイプラインの所有者に対して、サイバーセキュリティを向上させ、攻撃を防ぐための新たな要件を設けていることを証言しました。また、TSAがこれまでに実施した提言と、実施していない提言についても説明しました。サイバーセキュリティは、1997年以来、当社のハイリスクリストに掲載されています。 |
Highlights | ハイライト |
What GAO Found | GAOの調査結果 |
Protecting the nation's pipeline systems from security threats is a responsibility shared by both the Transportation Security Administration (TSA) and private industry stakeholders. Prior to issuing a cybersecurity directive in May 2021, TSA's efforts included issuing voluntary security guidelines and security reviews of privately owned and operated pipelines. GAO reports in 2018 and 2019 identified some weaknesses in the agency's oversight and guidance, and made 15 recommendations to address these weaknesses. TSA concurred with GAO's recommendations and has addressed most of them, such as clarifying portions of its Pipeline Security Guidelines improving its monitoring of security review performance, and assessing staffing needs. | 国内のパイプラインシステムをセキュリティの脅威から守ることは、運輸保安局(TSA)と民間業界の利害関係者の両方が共有する責任です。2021年5月にサイバーセキュリティ指令を発行する前のTSAの取り組みは、自主的なセキュリティガイドラインの発行や、民間で所有・運営されているパイプラインのセキュリティレビューなどでした。2018年と2019年のGAOの報告書では、同機関の監督と指導にいくつかの弱点があることが指摘され、これらの弱点に対処するために15の提言がなされました。TSAはGAOの提言に同意し、パイプラインセキュリティガイドラインの一部を明確にすることや、セキュリティレビューのパフォーマンスのモニタリングを改善すること、スタッフのニーズを評価することなど、ほとんどの提言に対処しました。 |
As of June 2021, TSA had not fully addressed two pipeline cybersecurity-related weaknesses that GAO previously identified. These weaknesses correspond to three of the 15 recommendations from GAO's 2018 and 2019 reports. | 2021年6月時点で、TSAはGAOが以前に指摘したパイプラインのサイバーセキュリティ関連の2つの弱点に完全には対処していませんでした。これらの弱点は、GAOの2018年および2019年の報告書の15件の提言のうち3件に対応しています。 |
Incomplete information for pipeline risk assessments. GAO identified factors that likely limit the usefulness of TSA's risk assessment methodology for prioritizing pipeline security reviews. For example, TSA's risk assessment did not include information consistent with critical infrastructure risk mitigation, such as information on natural hazards and cybersecurity risks. GAO recommended that TSA develop data sources relevant to pipeline threats, vulnerabilities, and consequences of disruptions. As of June 2021, TSA had not fully addressed this recommendation. | パイプラインのリスク評価のための不完全な情報。GAOは、パイプラインのセキュリティレビューを優先するためのTSAのリスク評価手法の有用性を制限する可能性が高い要因を特定しました。例えば、TSAのリスク評価には、自然災害やサイバーセキュリティリスクに関する情報など、重要インフラのリスク軽減に合致する情報が含まれていませんでした。GAOは、TSAがパイプラインの脅威、脆弱性、破壊の結果に関連するデータソースを開発するよう勧告しました。2021年6月現在、TSAはこの勧告に完全には対応していません。 |
Aged protocols for responding to pipeline security incidents. GAO reported in June 2019 that TSA had not revised its 2010 Pipeline Security and Incident Recovery Protocol Plan to reflect changes in pipeline security threats, including those related to cybersecurity. GAO recommended that TSA periodically review, and update its 2010 plan. TSA has begun taking action in response to this recommendation, but has not fully addressed it, as of June 2021. | パイプラインのセキュリティインシデントに対応するプロトコルの老朽化。GAOは2019年6月に、TSAが2010年に策定した「パイプラインセキュリティおよびインシデントリカバリープロトコルプラン」を、サイバーセキュリティ関連を含むパイプラインセキュリティの脅威の変化を反映して改訂していないことを報告しました。GAOは、TSAが定期的に見直しを行い、2010年の計画を更新するよう勧告しました。TSAはこの勧告に対応して行動を開始しましたが、2021年6月時点では完全には対応していません。 |
TSA's May 2021 cybersecurity directive requires that certain pipeline owner/operators assess whether their current operations are consistent with TSA's Guidelines on cybersecurity, identify any gaps and remediation measures, and report the results to TSA and others. TSA's July 2021 cybersecurity directive mandates that certain pipeline owner/operators implement cybersecurity mitigation measures; develop a Cybersecurity Contingency Response Plan in the event of an incident; and undergo an annual cybersecurity architecture design review, among other things. These recent security directives are important requirements for pipeline owner/operators because TSA's Guidelines do not include key mitigation strategies for owner/operators to reference when reviewing their cyber assets. TSA officials told GAO that a timely update to address current cyber threats is appropriate and that they anticipate updating the Guidelines over the next year. | TSAの2021年5月のサイバーセキュリティ指令では、特定のパイプライン所有者と運営者に対し、現在のオペレーションがTSAのサイバーセキュリティに関するガイドラインと一致しているかどうかを評価し、ギャップや改善策を特定し、その結果をTSAなどに報告することを求めています。TSAの2021年7月のサイバーセキュリティ指令は、特定のパイプライン所有者と運営者に対して、サイバーセキュリティ緩和策の実施、インシデント発生時のサイバーセキュリティ・コンティンジェンシー対応計画の策定、年1回のサイバーセキュリティ・アーキテクチャ・デザイン・レビューの実施などを義務付けています。TSAのガイドラインには、所有者や運営者がサイバー資産を見直す際に参照すべき重要な緩和策が含まれていないため、これらの最近のセキュリティ指令はパイプラインの所有者や運営者にとって重要な要件となります。TSAの担当者はGAOに対し、現在のサイバー脅威に対応するためのタイムリーな更新が適切であり、来年中にガイドラインを更新する予定であると述べました。 |
Why GAO Did This Study | GAOがこの調査を行った理由 |
The nation's pipelines are vulnerable to cyber-based attacks due to increased reliance on computerized systems. In May 2021 malicious cyber actors deployed ransomware against Colonial Pipeline's business systems. The company subsequently disconnected certain systems that monitor and control physical pipeline functions so that they would not be compromised. | 米国のパイプラインは、コンピュータ化されたシステムへの依存度が高まっているため、サイバーベースの攻撃に対して脆弱です。2021年5月、悪意のあるサイバーアクターがColonial Pipeline社の業務システムにランサムウェアを導入しました。同社はその後、物理的なパイプラインの機能を監視・制御する一部のシステムを切断し、危険が及ばないようにしました。 |
This statement discusses TSA's actions to address previous GAO findings related to weaknesses in its pipeline security program and TSA's guidance to pipeline owner/operators. It is based on prior GAO products issued in December 2018, June 2019, and March 2021, along with updates on actions TSA has taken to address GAO's recommendations as of June 2021. To conduct the prior work, GAO analyzed TSA documents; interviewed TSA officials, industry association representatives, and a sample of pipeline operators selected based on type of commodity transported and other factors; and observed TSA security reviews. GAO also reviewed TSA's May and July 2021 Pipeline Security Directives, TSA's Pipeline Security Guidelines, and three federal security alerts issued in July 2020, May 2021, and June 2021. | この声明では、パイプラインセキュリティプログラムの弱点に関連する過去のGAO調査結果に対処するためのTSAの行動と、パイプラインの所有者と運営者に対するTSAのガイダンスについて説明しています。2018年12月、2019年6月、2021年3月に発行された事前のGAO成果物に加え、2021年6月時点でTSAがGAOの提言に対応するために取った行動の更新を行っています。先行作業を行うため、GAOはTSAの文書を分析し、TSAの職員、業界団体の代表者、輸送する商品の種類などに基づいて選んだパイプライン事業者のサンプルにインタビューを行い、TSAのセキュリティレビューを視察した。GAOはまた、TSAの2021年5月と7月のパイプラインセキュリティ指令、TSAのパイプラインセキュリティガイドライン、2020年7月、2021年5月、2021年6月に発行された3つの連邦セキュリティアラートをレビューしました。 |
・[PDF] Highlights Page
・[PDF] Full Report
・[PDF] Accessible
« 米国 CISA 米国、英国、オーストラリアが共同サイバーセキュリティアドバイザリを発行 | Main | 米国 連邦政府 重要インフラ制御システムのサイバーセキュリティの向上に関する国家安全保障に関する覚書 »
Comments