米国の航空システムを壊滅的なサイバー攻撃から守る責任を負う当局が、重要なセキュリティ改善策やプロセス変更の一部しか実施できていないことが、新たに公表された監査報告書で明らかになりました。
連邦航空局(FAA)はネットワーク監視や ID管理機能の近代化が不十分であり、運輸保安局(TSA)はサイバーセキュリティに関する自らの責務やその実施方法を明確に定義できていない、と米会計検査院(GAO)は木曜日に公開した報告書で指摘しています。
今回の報告書が示す結果は、国家が関与するハッカーが米国の対外紛争への関与を抑止する手段として米国社会を不安定化させる手段をますます模索する中、米国の航空セキュリティ体制に依然として脆弱性が残っていることを浮き彫りにしています。
GAOは「商業航空運航は、機体に搭載されたシステムと、国家空域システム内の地上システムとが相互接続された仕組みに依存している」と述べています。「この相互接続性を踏まえると、これらのシステムは本質的に悪用されやすく、悪意ある攻撃者に狙われるリスクが高まっている」としています。
FAAのサイバー戦略、進捗にばらつき
FAAが2020年に策定したサイバーセキュリティ戦略では、同局に向けたいくつかの目標が示されており、中でも特に重要なのが、航空機を米国の空域内で安全に誘導するという繊細かつリスクの高い任務を担うシステムを含む、局のネットワークの保護です。
しかしFAAは、このネットワーク保護目標に関連する7つの目標のうち、脅威インテリジェンスの収集・共有の改善、脅威の検知・低減能力の向上、サイバーセキュリティ研究の防御業務への組み込みという3つしか完全には実施できていません。
残る4つの重要分野、すなわち監視・検知・対応能力の向上、ユーザーのアクセス制御およびユーザー活動監視の改善、米国立標準技術研究所(NIST)のガイドラインへのセキュリティ管理の整合、そしてゼロトラストアーキテクチャの導入では、FAAの取り組みが遅れています。
FAAは、まだニアリアルタイムのサイバー監視機能を備えていない35のシステムについて、「その導入に向けて取り組んでいる」と説明しています。
GAOによれば、FAAが目標をさらに達成できなかった原因は、「目標の実施状況を監視・評価する包括的なプロセスを欠いていた」ことにあるとしています。
分析担当者は「過去の経験から得た教訓を取り入れることを含め、計画通りに監視を実施する体制を確実に整えることが、局がネットワークおよびシステムの保護という目標を達成し、サイバーセキュリティリスクを効果的に低減する上で助けとなるだろう」と記しています。
ゼロトラストへの取り組みが停滞
セキュリティ専門家はゼロトラストアーキテクチャを、ハッカーがネットワークに侵入した後の被害を抑える上で重要なツールと位置づけていますが、GAOによればFAAのゼロトラスト移行計画は不完全な状態にあります。監査担当者は、この計画にはFAAの研究開発システムへのゼロトラスト適用に関する詳細が欠けており、NISTのゼロトラストに関する提言のすべてには整合していないことを確認しました。
GAOによれば、FAAの計画には、研究開発環境において保護が必要な資産をどのように特定・管理するかについて、NISTが推奨する記述が含まれていません。さらに、特定のコンピューターシステムへのアクセスを自動的に許可または拒否する、極めて重要なゼロトラストアルゴリズムの有効性を監視するというNISTの提言も取り入れられていません。
GAOは「あらゆる運用環境にわたってゼロトラスト実施計画をNISTのベストプラクティスと完全に整合させない限り、FAAは[国家空域システムの]近代化の過程でサイバーセキュリティリスクを効果的かつ包括的に管理できているとは言えない」と指摘しています。
TSAの役割をめぐる混乱
FAAが航空機全体の安全性を認証し、空域内での運航を導く役割を担う一方で、TSAは空港や航空会社のサイバーセキュリティ対策を規制する立場にあり、ネットワーク保護からインシデント報告まで幅広く関与しています。しかしGAOによれば、TSAはこうした責務をどのように果たすかを依然として明確にしておらず、サイバーセキュリティ目標の達成を担う部署やチームも特定できていません。
こうした対応の遅れは航空業界内に懸念を広げ、TSAのパートナーたちに、同局がサイバーセキュリティの使命を果たせるのかという疑念を抱かせる結果となっています。
GAOは報告書の中で「選定した11の航空関係者へのインタビューでは、一部の関係者がTSAの航空サイバーセキュリティに関する役割と責務の明確さについて懸念を示した」と述べています。
ある航空会社は、TSAが「サイバーセキュリティを適切に規制するための資源、権限、専門知識を欠いている」と考えていると監査担当者に伝えました。また別の3社の関係者は、2023年3月に発行されたTSAの規制がFAAを自社の規制当局だと誤解させ、混乱を招いたと述べています(2024年制定の法律により、民間航空機に対するサイバーセキュリティ規則の発行権限はFAAが専属的に有することが明確化されました)。
TSAが規制するシステムとFAAが規制するシステムとの相互接続性は、「この2つの機関の役割と責務が重複しているように見える状況を生み出している」とGAOは警告しています。「TSAがサイバーセキュリティ・ロードマップを更新し、航空サイバーセキュリティにおける自らの役割と責務を明確にしない限り、同局は関係組織に十分な説明責任を課すことも、関連する取り組みの継続的な改善を実現することもできない」としています。
勧告と対応
今回の調査結果を踏まえ、GAOはTSAに対し、サイバーセキュリティ計画を更新し、その更新内容を関係者に周知するよう求めました。また監査担当者はFAAに対しても、ゼロトラスト移行計画をより包括的なものにし、NISTの提言と整合させ、サイバー戦略全体の実施に対する監督体制を改善するよう求めています。
TSAを監督する国土安全保障省は、GAOのTSA向け勧告を実施することに同意し、2027年5月末までにTSAがサイバーセキュリティ計画を近代化することを見込んでいると述べました。一方、FAAを監督する運輸省は、報告書が示したFAA向けの4つの勧告すべてを実施することに同意し、180日以内にGAOへ状況報告を行うと約束しています。
翻訳元: https://www.cybersecuritydive.com/news/aviation-cybersecurity-faa-tsa-gao-report/825416/