米国 GAO 環境保護庁は上下水道システムに対するサイバーセキュリティリスクに対処するための戦略を早急に立案すべき (2024.08.01)

こんにちは、丸山満彦です。

米国のGAOが環境保護庁は追う下水道システムに対するサイバーセキュリティリスクに対処するための戦略を早急に立案すべきという報告書を公表していました...

上下水道両方で検討していますね...

 

● U.S. Government Accountability Office; GAO

・2024.08.01 Critical Infrastructure Protection:EPA Urgently Needs a Strategy to Address Cybersecurity Risks to Water and Wastewater Systems

 

Critical Infrastructure Protection:EPA Urgently Needs a Strategy to Address Cybersecurity Risks to Water and Wastewater Systems	重要インフラ防御: EPAは上下水道システムに対するサイバーセキュリティリスクに対処するための戦略を早急に必要としている
GAO-24-106744	GAO-24-106744
Fast Facts	ファスト・ファクト
A cyberattack on U.S. drinking and wastewater systems could, for example, produce drinking water with unsafe levels of bacteria or chemicals. Nations, cybercriminals, and others have targeted some of the nearly 170,000 U.S. water systems, which are increasingly automated.	米国の上下水道システムに対するサイバー攻撃は、例えば、安全基準を超える細菌や化学物質を含む飲料水を作り出す可能性がある。 各国、サイバー犯罪者、その他の者たちは、自動化が進む米国の約17万の上下水道システムのいくつかを標的にしている。
EPA leads water cybersecurity efforts. It has worked with the water sector to improve cybersecurity. However, EPA hasn't identified and prioritized the greatest risks sector-wide. It also relies on water systems to voluntarily agree to improve cybersecurity.	EPAは水のサイバーセキュリティ対策を主導している。EPAは水関連部門と協力してサイバーセキュリティの改善に取り組んできた。しかし、EPAは部門全体で最大のリスクを識別し、優先順位付けをしていない。また、サイバーセキュリティの改善を自主的に行うよう水関連システムに依存している。
We recommended that EPA develop a national cybersecurity strategy, assess whether it needs more authority, and more.	我々は、EPAが国家サイバーセキュリティ戦略を策定し、より強力な権限が必要かどうかをアセスメントするなど、さらなる対策を講じることを勧告した。
Cyberattacks on Water and Wastewater Systems Can Have Consequences for Public Health and the Environment	上下水道システムへのサイバー攻撃は、公衆衛生や環境に影響を及ぼす可能性がある
Highlights	ハイライト
What GAO Found	GAOが発見したこと
The water sector faces increasing cybersecurity-related risk. While national reporting requirements for cyber incidents are being developed, known incidents have disrupted water sector operations. Nations (including Iran and China), cybercriminals, and others have targeted water systems. For example, foreign hackers targeted multiple water systems in late 2023. Cyberattacks threaten public health, the environment, and other critical infrastructure sectors.	水関連部門は、サイバーセキュリティ関連のリスクが増大している。サイバーインシデントに関する国家的な報告要件が策定されている一方で、既知のインシデントが水関連部門の業務を混乱させている。イランや中国を含む国家、サイバー犯罪者、その他の者が、水システムを標的にしている。例えば、2023年後半には、外国のハッカーが複数の水システムを標的にした。サイバー攻撃は、公衆衛生、環境、その他の重要なインフラ部門を脅かす。
Water and Wastewater Systems' Vulnerability to Cyberattacks	サイバー攻撃に対する水および廃水システムの脆弱性
Federal agencies and other entities have acted to improve water sector cybersecurity, but reported challenges such as workforce skills gaps and older technologies that are difficult to update with cybersecurity protections. Further, the sector has made limited investments in cybersecurity protections because water systems prioritize funding to meet regulatory requirements for clean and safe water, while improving cybersecurity is voluntary. In a May 2024 alert, the Environmental Protection Agency (EPA) said it planned to increase enforcement activities to ensure drinking water systems address cybersecurity threats.	連邦政府機関やその他の事業体は、水関連部門のサイバーセキュリティの改善に取り組んできたが、人材のスキルギャップや、サイバーセキュリティ保護の更新が難しい旧式の技術といった課題が報告されている。さらに、水関連部門は、清潔で安全な水に関する規制要件を満たすための資金調達を優先しているため、サイバーセキュリティ保護への投資は限定的である。2024年5月の警告で、環境保護庁(EPA)は、飲料水システムがサイバーセキュリティの脅威に対処することを確実にするために、執行活動を強化する計画であると述べた。
EPA has assessed aspects of cybersecurity risk but has not conducted a comprehensive sector-wide risk assessment or developed and used a risk-informed strategy to guide its actions. EPA is required by law, as well as National Security Memorandum 22 (NSM-22), to identify, assess, and prioritize water sector risk. EPA official said they have assessed threats, vulnerabilities, and consequences, but have not integrated this work in a comprehensive assessment. Without a risk assessment and strategy to guide its efforts, EPA has limited assurance its efforts address the highest risks.	EPAはサイバーセキュリティリスクの側面を評価しているが、包括的なセクター全体のリスクアセスメントを実施したり、行動指針となるリスク情報を活用した戦略を策定・利用したりはしていない。EPAは、法律および国家安全保障覚書22(NSM-22)により、水セクターのリスクを識別、評価、優先順位付けすることが義務付けられている。EPA当局者は、脅威、脆弱性、影響を評価しているが、この作業を包括的なアセスメントに統合していないと述べた。リスクアセスメントと取り組みを導く戦略がなければ、EPAは取り組みが最も高いリスクに対処しているという確証が限定的になる。
EPA has faced challenges using its existing legal authority and voluntary approaches to manage cybersecurity risks but has not fully evaluated either approach. In March 2023, EPA interpreted existing legal requirements to include cybersecurity assessments at drinking water systems but withdrew the requirement 7 months later after facing legal challenges. Previous requirements and NSM-22 direct EPA to identify the authorities it needs to compel the sector to address risks. In July 2024, EPA officials said they had evaluated their authorities and would release the evaluation in 2025 with their risk assessment and strategy. Doing so and seeking additional authority as necessary can help EPA ensure the water sector is better prepared for any future cyberattacks.	EPAは、サイバーセキュリティリスクを管理するために、既存の法的権限と自主的なアプローチを使用することに課題を抱えていたが、いずれのアプローチも十分に評価していない。2023年3月、EPAは既存の法的要件を解釈し、飲料水システムにおけるサイバーセキュリティアセスメントを含めることとしたが、法的課題に直面したため、7か月後にこの要件を撤回した。NSM-22以前の要件では、EPAは、リスクに対処するためにセクターに強制力を及ぼすために必要な権限を識別するよう指示されていた。2024年7月、EPA当局者は、権限を評価済みであり、2025年にリスクアセスメントと戦略とともに評価結果を公表する予定であると述べた。そうすることで、必要に応じて追加の権限を求めることにより、EPAは、水セクターが将来のサイバー攻撃に対してより万全の備えができるようにすることができる。
Why GAO Did This Study	GAOがこの調査を実施した理由
Recent cyber incidents highlight the vulnerability of the 170,000 water and wastewater systems in the U.S. water sector. EPA is responsible for leading, coordinating, and supporting activities to reduce cybersecurity risk to the water sector. The agency works in partnership with the Department of Homeland Security's Cybersecurity and Infrastructure Security Agency (CISA) and other federal, state, and local entities.	最近のサイバーインシデントは、米国の水セクターにおける17万の上下水道システムの脆弱性を浮き彫りにしている。EPAは、水セクターのサイバーセキュリティリスクを低減するための活動を主導、調整、支援する責任を担っている。EPAは、国土安全保障省のサイバーセキュリティ・インフラセキュリティ庁(CISA)やその他の連邦、州、地方の事業体と連携して業務を行っている。
GAO was asked to review cybersecurity threats facing the water sector and the federal government's efforts to address these threats. This report (1) describes cybersecurity risks and incidents; (2) examines actions by selected federal and nonfederal entities to improve cybersecurity; and (3) evaluates EPA's actions to address known risks.	GAOは、水関連分野が直面するサイバーセキュリティの脅威と、それらの脅威に対処するための連邦政府の取り組みについて調査するよう要請された。本報告書では、(1) サイバーセキュリティのリスクとインシデントについて説明し、(2) サイバーセキュリティの改善に向けた連邦政府および非連邦政府事業体の取り組みを検証し、(3) 既知のリスクに対処するためのEPAの取り組みを評価している。
GAO analyzed documents from EPA, CISA, and other entities on cyber threats, threat actors, and sector efforts to reduce risk. GAO interviewed federal and nonfederal officials with relevant cybersecurity responsibilities. GAO also visited and interviewed officials from large and small systems selected to provide varying perspectives.	GAOは、サイバー脅威、脅威行為者、リスク低減に向けた各分野の取り組みについて、EPA、CISA、その他の事業体から入手した文書を分析した。GAOは、サイバーセキュリティに関する責任を担う連邦および非連邦政府当局者へのインタビューを実施した。また、さまざまな視点を提供するために選定された大規模および小規模のシステムを訪問し、当局者へのインタビューも実施した。
Recommendations	勧告
GAO is making four recommendations, including that EPA assess sector risk; develop and implement a national cybersecurity strategy; and evaluate the sufficiency of its legal authorities to carry out its cybersecurity responsibilities and seek additional authority as necessary. EPA concurred with the recommendations and said it is taking action to complete them.	GAOは、以下の4つの勧告を行っている。これには、EPAがセクターリスクをアセスメントすること、国家サイバーセキュリティ戦略を策定し実施すること、およびサイバーセキュリティ責任を遂行するための法的権限が十分であるかを評価し、必要に応じて追加の権限を求めることが含まれる。EPAは勧告に同意し、勧告を完了するための措置を講じていると述べた。
Recommendations for Executive Action	行政措置に関する勧告
Agency Affected	影響を受ける機関
Environmental Protection Agency	環境保護庁
Recommendation	勧告
The Administrator of EPA should, as required by law, conduct a water sector risk assessment, considering physical security and cybersecurity threats, vulnerabilities, and consequences. (Recommendation 1)	EPA長官は、法律で義務付けられているとおり、物理的セキュリティおよびサイバーセキュリティの脅威、脆弱性、影響を考慮した水部門のリスクアセスメントを実施すべきである。(勧告1)
The Administrator of EPA should develop and implement a risk-informed cybersecurity strategy, in coordination with other federal and sector stakeholders, to guide its water sector cybersecurity programs. Such a strategy should include information from a risk assessment and should identify objectives, activities, and performance measures; roles, responsibilities, and coordination; and needed resources and investments. (Recommendation 2)	EPA長官は、水関連のサイバーセキュリティプログラムを導くため、他の連邦およびセクターの利害関係者と連携し、リスク情報を活用したサイバーセキュリティ戦略を策定し、実施すべきである。このような戦略には、リスクアセスメントからの情報を含め、目的、活動、パフォーマンス指標、役割、責任、連携、必要なリソースおよび投資を識別すべきである。(勧告2)
The Administrator of EPA should evaluate its existing legal authorities for carrying out EPA's cybersecurity responsibilities and seek any needed enhancements to such authorities from the administration and Congress. (Recommendation 3)	EPA長官は、EPAのサイバーセキュリティ責任を遂行するための現行の法的権限を評価し、そのような権限に必要な強化策を政権および議会に求めるべきである。(勧告3)
The Administrator of EPA should submit the Vulnerability Self-Assessment Tool (VSAT) for independent peer review and revise the tool as appropriate. (Recommendation 4)	EPA長官は、独立したピアレビューのために脆弱性自己評価ツール(VSAT)を提出し、必要に応じてツールを修正すべきである。(勧告4)

 

 

・[PDF] Full Report

・[DOCX][PDF] 仮訳

 

・[PDF] Highlights Page

 

---

 

 

日本の場合、経済安全保障推進法の「基幹インフラ役務の安定的な提供の確保に関する制度」では、

水道分野の

（１）簡易水道事業以外の水道事業　（給水人口：100万人超）

（２）水道用水供給事業（１日最大給水量：50万㎥超）

が対象となっています。

事業者は、令和６年７月31日現在

（１）簡易水道事業以外の水道事業

札幌市（札幌市水道事業）
仙台市（仙台市水道事業）
さいたま市（さいたま市水道事業）
千葉県（千葉県水道事業）
東京都（東京都水道事業）
神奈川県（神奈川県水道事業）
横浜市（横浜市水道事業）
川崎市（川崎市水道事業）
名古屋市（名古屋市水道事業）
京都市（京都市水道事業）
大阪市（大阪市水道事業）
神戸市（神戸市水道事業）
広島市（広島市水道事業）
北九州市（北九州市水道事業）
福岡市（福岡市水道事業）

（２）水道用水供給事業

宮城県（仙南・仙塩広域水道用水供給事業）
埼玉県（埼玉県水道用水供給事業）
愛知県（愛知県水道用水供給事業）
沖縄県（沖縄県営水道用水供給事業）
北千葉広域水道企業団（北千葉広域水道用水供給事業）
神奈川県内広域水道企業団（神奈川県内広域水道用水供給事業）
大阪広域水道企業団（大阪広域水道企業団水道用水供給事業）
阪神水道企業団（阪神水道企業団用水供給事業）

となっていますね...