もしハッキングされた港が1つあるだけで米国のオレンジジュース供給を脅かせるのなら、埠頭にすでに潜む国家レベルのマルウェアが本当に何を止められるのか想像してほしい。
「Orange Star」がニュージャージー州のポート・エリザベスに入港し、オレンジジュース濃縮液を38,848立方メートル積んでいる。週に1回到着するこの1隻が、市内の主要小売業者すべてで使われるオレンジジュースを供給している。もし明日、サイバー攻撃でポート・エリザベスのシステムが停止したら、トラックで4時間圏内の4,600万人の消費者が数日以内に影響を受けるだろう。
脅威は現実だ。最近の政府機関閉鎖により、露出と脆弱性が重大な局面にある時期にCISAとFEMAの職員が一時帰休となった。政府と産業界の間で脅威インテリジェンス共有を可能にしていた法的枠組みは? 議会が2015年のサイバーセキュリティ情報共有法の再承認に失敗し、9月30日に失効した。そしてマルウェアは? それはすでに設置済みで、適切な地政学的タイミングを待つ国家主体によって事前配置されている。
これはいわゆる「脆弱性のパーフェクトストーム」であり、いままさに米国の海事インフラを直撃している。
証拠は机上の空論ではない
2024年末、ハッカーがシアトル港をランサムウェアで攻撃し、600万ドルを要求した。要求が受け入れられなかったため、機密データをダークウェブに公開した。しかし本当の脅威は、便乗型のランサムウェア攻撃者をはるかに超えて広がっている。
米沿岸警備隊とともにニューヨーク管区の海域海事安全委員会(AMSC)の一員として、私は海事施設が2025年7月に施行された新しいTitle 33 CFRのサイバーセキュリティ要件にどう備えているかを現場で見ている。ニューヨーク・ニュージャージー港湾公社のように、遵守のための資源と成熟度を備えた港もある。彼らは何年も前から、侵入テスト、レッドチーム演習、テーブルトップ訓練を実施してきた。
しかし、海上輸送安全法(MTSA)の下で規制される他の2,300超の施設はどうだろうか?
フロリダ州のシーポート・マナティーを考えてみよう。2024年に1,180万トンの貨物を取り扱い、経済効果は73億ドルに達した施設だ。彼らは2024年6月にサイバーセキュリティ評価に97,500ドルを支出し、その75%はDHSのFEMA港湾セキュリティ助成金プログラムで賄われた。これは正しく取り組んでいる施設の一例だ。しかし、ハリケーン・ミルトンの被害からまだ復旧途上だった間、より小規模な施設のうち、同程度の資金すら確保しようと奔走していたのはどれほどあっただろうか?
2023年に日本の名古屋港が、当初ロシア系のLockBitギャングによるものとされたランサムウェア攻撃を受けた際、中央コンピュータシステムが侵害され、貨物業務は数日間停止した。2021年のエバーギブン号によるスエズ運河閉塞は、サイバーではなく物理的な事故だったが、停滞した貿易による損失は1日あたり推定100億ドルに上った。では、その混乱が、ガントリークレーンのような港湾システムにすでに埋め込まれたマルウェアによって意図的に引き起こされたとしたらどうだろう。
これはベンダーの問題ではなく、人材の問題だ
新しい規制は、3,000のMTSA施設すべてにサイバーセキュリティ責任者の指定を求めている(なぜ沿岸警備隊はCySOと名付け、単にCISOと呼ばなかったのか、私には分からない)。海事環境の運用技術(OT)とサイバーセキュリティの両方を理解する有資格者を何百人も見つけるのは、ほぼ不可能だ。多くの施設はIT専門家に目を向けているが、30年以上のライフサイクルを持つ海事技術システムや資産についてのクロストレーニングが必要になる。これは、3~5年ごとにノートPCを資本支出として償却するのとはまったく異なる。
特に懸念されるのは、侵害が起きた際にスケープゴートにされることに疲れ、何千人ものCISOが企業での役割から離れることを検討しているという事実だ。願わくば、その一部が海事施設で非常勤の契約者として副業を探し、失職リスクの軽減として、同時に本当の仕事の満足感を得られることに目を向けているとよい。採用されれば、地元の港湾施設のセキュリティ態勢を改善するという自分の仕事の効果を、すぐに実感するだろう。
これが私たちの重要インフラ防護戦略だ。施設がフルタイムの有資格スタッフを雇えないため、疲弊した専門家が副業で穴埋めしている。
開発者とセキュリティチームが実際にできること
これを読んで「私は港で働いていない。なぜ関係があるのか?」と思うなら、自社のサプライチェーン依存を考えてみてほしい。あなたの会社はおそらくサードパーティのソリューションを使ってサービスを提供しており、その多くは、あなたが意識すらしない海上物流に依存している。複雑なシステムから生じるシステミックリスクは、港の停止がAmazonの配送を遅らせるだけではないことを意味する。
パンデミックの最中、私たちはトイレットペーパーもノートPCも手に入らなかった。サプライチェーンは健康危機によって深刻に寸断された。では、そのような広範な混乱が意図的に引き起こされ、しかも重要な局面で政府のサイバーセキュリティ職員が一時帰休となっていたり、議会が期限切れにしたせいで脅威インテリジェンスを安全に共有する法的枠組みがなかったりしたらどうなるだろう。
今四半期に向けた3つの具体的ステップ:
- 重要インフラに責任がある、または中核的なサプライチェーンシステム向けにサービスを提供しているなら、72時間の海上物流の混乱が自社の運用に何を意味するかについて、現実的なレジリエンス評価を実施すること。理論上のリスク評価ではなく、実務的な事業継続演習だ。
- これらの要件に直面する中規模施設は、侵入テストに2万~2万5,000ドルを予算化すること。FEMAの州・地方サイバーセキュリティ助成金プログラム(SLCGP)を検討してほしい。ただし、非連邦のマッチング資金要件が付くことが多い点に注意すること。さらに良いのは、孤立して突き進むのではなく、MTS-ISACのように、学術界・民間・公共部門が協働できる方法を見つけることだ。
- 次のキャリアを考えているCISOは、海事施設があなたの専門性を切実に必要としていることを考えてほしい。これは企業のセキュリティ茶番ではない。何百万人もの人々が依存するインフラを守る、任務遂行上不可欠な仕事だ。あなた自身とあなたの家族が依存しているインフラを。
剣を鳴らす音はますます大きくなっている
現在の地政学的状況により、海事セキュリティは国際紛争に備えた警戒態勢を高めている。もし国家主体が、APACや南米などでの何らかの侵略に対する米国の介入を思いとどまらせたいのなら、マルウェアはすでに設置され、発動の時を待っていると考えられている。
AMSCの一員としての議論では、私たちは常にシナリオを検討している。サイバー脅威によりMARSEC(MARitime SECurity)レベルを1から2へ引き上げる必要があるとき、何が「インシデント」に該当するのか? MARSECレベル2では、一定期間、海上施設および船舶全体で追加の防護措置が求められる。
これはまだ起きていないが、私たちが常に訓練している類の事態だ。課題は、港の安全システムを損なうものは何であれ、港全体の停止を引き起こすという点にある。港が支える複雑なエコシステムには、鉄道、トラック輸送、海運、燃料、そしてそう、週1回のオレンジジュース配送も含まれており、そこにはシステミックリスクの要素がある。
米沿岸警備隊は、インシデント発生時にかなり大きな権限を付与されている。しかしCISA職員が一時帰休となり、脅威インテリジェンス共有が法的保護を失うと、その権限は損なわれる。資産所有者とセクター機関は協力を続けると見込まれるが、追加の(そして回避可能な)リスクを抱えたまま行うことになる。
月曜朝のアクション項目
私は最初のCOVIDロックダウンの間、マンハッタンに住んでいた。食料品店の向かいの屋上に、狙撃銃を持ったSWATチームが陣取るのを見た。幸い発動される必要のなかった非常時対応計画だった。しかしそれは重要なことを示していた。基本的必需品を調達する能力を脅かすものは、私たちが考えたくない形で急速にエスカレートしうる。
オレンジジュースの例は、オレンジジュースの話ではない。Orange Starが象徴するものの話だ。老朽化したインフラによって辛うじて成り立つ複雑なシステム。いま3,000の施設がより良く守らねばならないが、必要なサイバーセキュリティ責任者はおらず、政府機関閉鎖で滞っていた助成金に頼り、脅威共有の法的枠組みは失効し、国家レベルのマルウェアはシステム内で休眠している。
月曜朝にあなたがすべきこと:選挙で選ばれた公職者、取締役会、そして一般市民とともに、サイバーセキュリティリスクに関する議論を引き上げること。インシデント対応の合言葉を受け入れよう。問題は「起きるかどうか」ではなく、「いつ起きるか」だ。
この業界で30年以上働き、Web 1.0のドットコム・バブル期に主要なECサイトを立ち上げ、その後の年月で銀行や重要インフラを構築し守ってきた情報セキュリティの専門家として、私は楽観視していない。私たちに、必要なことをやり切る胆力と粘り強さはあるのだろうか?
いま私たちは、集中力、確信、そして活力をもって協力しなければならない。なぜなら代替案は考えられないからだ。私が「活力(verve)」という言葉を挙げるのは、私たちの集合的レジリエンスをどう推進し、コミュニティ、民主主義、そして生活様式をどう守るかに、創造的なエネルギーが必要だと感じるからである。
パーフェクトストームに対するインシデント対応計画はない。襲来する前の備えがあるだけだ。
この記事はFoundry Expert Contributor Networkの一環として公開されています。
参加したいですか?
