重要インフラのサイバー安全性を阻む、チェックリスト依存の問題

主要な連邦サイバーコンプライアンス基準を満たしていても、攻撃や障害に耐えうる工学的設計を欠いた設備を運用し続けることができてしまいます。ジョージ・メイソン大学の新たな研究は、物理プロセスを制御するシステムに対して米国のサイバー政策が「合理的なケア」をどのように定義しているかを調査し、コンプライアンスが安全性の代替物となっていることを明らかにしています。

Image

この研究は、重要インフラにおける運用技術(OT)を対象としています。産業用制御システム、医療機器、交通システム、ビルオートメーションなど、ソフトウェアの障害が物理的な被害をもたらし得る領域です。論文の核心は、データ中心のITセキュリティと、政策が同一視して扱うようになった物理システムの特性との間にあるギャップにあります。

物理的ハザードをもたらしたセキュリティ制御

Merrill Researchが実施した2025年の調査によると、防衛関連請負業者の69%がNIST SP 800-171への準拠を主張していましたが、検証済みの評価を通過したのはわずか30%でした。コンプライアンス記録と工学的品質の乖離は広がっており、文書が本来証明すべき安全性の代役を担い続けています。

この論文は、システムを保護するために設けられた制御が物理的なハザードを引き起こした事例を記録しています。

アカウントロックアウトポリシーはブルートフォース攻撃を防ぐためのものです。しかし2023年、KNXビルデバイスにおける過度なロックアウト制限が、緊急時にオペレーターのアクセスを遮断するという事態を招きました。フェールセキュア型の電子錠は盗難防止を目的としています。しかし電子ドアラッチは火災時に作動せず、在館者が閉じ込められ、避難経路の失敗に起因する死者も出ました。自動パッチ適用は脆弱性を修正するための手段です。しかしAdvantech WebAccessへの不具合のあるパッチは認証バイパスをもたらし、予期せぬSCADAのダウンタイムを強いました。暗号化はデータの機密性を保護します。しかしTLSハンドシェイクは、リアルタイム安全ループが依存する100ミリ秒未満の処理時間を超えるレイテンシを加えてしまいました。

ITセキュリティはしばしばフェールセキュア動作、つまりデータを保護するためにシステムをロックダウンする挙動を強制します。一方、物理システムは圧力の開放や手動オーバーライドの維持といったフェールセーフ動作を必要とすることが多くあります。これら二つの目的は相反する場合があり、記録された事例ではコンプライアンス準拠の制御がかえってハザードを生み出しました。

政策上の義務が集中する領域

ジョージ・メイソン大学の研究者たちは、2000年から2025年の間に発行された292件の重要インフラ政策文書を、NIST SP 800-160 Vol. 2のレジリエンスライフサイクルにおける4フェーズ(予測・耐性・回復・適応)に照らし合わせてコーディングしました。

義務は「予測」フェーズに集中しており、計画、人材規定、文書整備といった管理的コンプライアンスが中心です。「耐性」フェーズは委任に依存しています。耐性に関する義務のうち87%は、要件を外部の技術標準に委ねています。そのポインターの多く(61%)はNIST SP 800-53のような汎用ITコントロールカタログを参照しており、ログ記録やパスワードルールといった機密保護対策を強制します。しかし物理システムに必要なハザード分析は含まれていません。

通知に集中する復旧要件

サイバーフィジカルシステムに関して、文書群は8件の復旧義務を定めていますが、そのうち7件が求めるのは同じことです。電話を取り、政府に障害の発生を報告することです。それが義務のすべてです。インシデントを報告し、事業継続計画に従えば、復旧要件を満たしたことになります。

より困難な問い、つまりデジタル層が停止した際にシステムが自力で安全な状態に落ち着けるかどうかは、政策の求める範囲の外にあります。オペレーターは復旧要件のすべてのチェックボックスをクリアしながらも、安全状態へ戻るための工学的手段を持たない設備を運用し続けることができてしまいます。

レジリエンスを左右する監督規制機関

システムにレジリエンスが求められるかどうかは、どの機関が監督するかによって決まります。ダムを運営すれば、連邦エネルギー規制委員会(FERC)が厳格な工学的要件を課します。鉄道を運営すれば、以前のTSAセキュリティ指令がネットワーク分離を求めました。一般的なサイバー政策の下で運営する場合、求められるのは計画書をファイルに保管しておくことに過ぎません。

2024年のTSA地上交通サイバーリスク管理提案は、鉄道のネットワーク分離義務を是正措置計画に基づくパフォーマンスベースのプログラムへと置き換えました。これにより、工学的義務は文書化された修正プロセスへと緩和されています。

工学的基準の提案

この論文は、「合理的なケア」を工学的証拠に基づいて再定義することを提案し、3つの措置を求めています。

第一は、特定のコントロールが識別された物理的影響を軽減するために選択されたことを示す、ハザード固有のトレーサビリティです。第二は、ISO/IEC/IEEE 15026-2のような構造化された保証ケースで、復旧義務を工学的作業と結びつけるものです。第三は、機械的インターロックやアナログガバナーなどの非デジタルフォールバックを義務化するサイバーレジリエンスエンジニアリングで、侵害を受けた状態でも安全状態を維持します。

レジリエントなアーキテクチャは、統合されたITネットワークと比べて構築・運用にコストがかかります。論文の著者らは、ネットワーク分離、帯域外復旧、ハードウェア強制による分離を補助する連邦インセンティブプログラムを提案しています。

賠償責任とケアの基準

これは賠償責任の問題に直結しています。何かが起きたとき、裁判所や規制当局は合理的なケアを行使していたかを問い、その基準が誰に責任があるかを決定します。人々に危害を与えうるシステムにおいて、その基準を満たすとは、コントロールが設置されていることを証明するバインダーをはるかに超え、システムがフェールセーフで機能するという工学的証拠を示すことを意味するようになるでしょう。問いは「ファイアウォールは設置されているか?」から「ファイアウォールが突破されたとき、プラントはフェールセーフに機能するか?」へと変わります。

この研究には限界もあります。規制文書における要件の頻度をコーディングするものであり、オペレーターの実装状況の測定はスコープ外です。また、文書群は防衛・国家安全保障分野の発行物に偏っています。

翻訳元: https://www.helpnetsecurity.com/2026/06/17/usa-critical-infrastructure-cyber-safety/

ソース: helpnetsecurity.com