コンテンツにスキップするには Enter キーを押してください

ニューヨーク州、水道システム向けサイバーセキュリティ規制を提案

投稿日 2025年7月23日

ニューヨーク州は、州内の水道および下水道システム向けに一連のサイバーセキュリティ規制案を発表しました。

キャシー・ホークル知事は7月22日の公式発表でこの提案を発表しました。内容には、ニューヨーク州保健局(DOH)およびニューヨーク州環境保護局(DEC)による水管理企業向けの運用技術(OT)セキュリティ要件が含まれています。

これと連携して、ニューヨーク州公益事業局(DPS)は、水道会社、その他の公益事業会社およびケーブルテレビ会社向けの情報技術セキュリティ規制案を公開しました。

現在パブリックコメントを受け付けているこれらの規則案は、この分野への攻撃が増加する中、重要な水道システムのサイバー・レジリエンスを強化することを目的としています。

各機関は、定義や規定を調整し、重複や矛盾する規則を最小限に抑えるために協力しました。

これらの規制は、米国環境保護庁(EPA)やサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)など、連邦機関が発行した関連ガイダンスと整合するよう設計されています。

規制と併せて、環境施設公社(EFC)によって水道システムのセキュリティ強化のための新たな資金提供プログラムおよび技術支援が設立されます。

ホークル知事は次のようにコメントしています。「重要インフラへのサイバー攻撃は、地域社会に壊滅的な影響を与える可能性があり、私たちは他の重要分野と同じ緊急性と厳格さをもって、水道および下水道システムを守るために今こそ行動しなければなりません。」

さらに、「これらの新しい規制と助成プログラムは、公衆衛生と安全を守るという私たちのコミットメントを反映しており、リソースの限られた組織がデジタル時代に対応できるよう支援します。」と続けました。

パブリックコメントは、DECが2025年9月3日まで、DOHおよびDPSが9月14日まで受け付けます。

採択後、規制対象事業者は、DECおよびDOHの規制には2027年1月1日まで、PSCの規制には2026年1月1日までに準拠する必要があります。

新要件の内容

保健局(DOH)

DOHの規則は、3,300人以上にサービスを提供する地域水道システムに適用され、一部は5万人にサービスを提供するシステム向けの特別規定も含まれます。

提案には、サイバーセキュリティ脆弱性分析の要件策定が含まれています。

また、サイバーセキュリティプログラムの基本要件も定められています。このプログラムは、規制報告要件の履行、認証およびアクセス管理、サイバー資産のインベントリ維持、ネットワーク活動の監視および記録などの機能を果たす必要があります。

該当するすべての水道システムは、サイバーセキュリティインシデント対応計画を組み込み、インシデント発生時には24時間以内にDOHへ報告しなければなりません。さらに、3年ごとに最低1時間のサイバーセキュリティ研修を受ける必要があります。

環境保護局(DEC)

DECの規定は、州内全域の下水処理施設に適用されます。これには、最小権限の原則に基づくアクセス制御および認証手順など、複数の基本的なサイバーセキュリティ管理策が含まれています。

その他の管理策には、パスワードセキュリティ、多要素認証(MFA)、サイバーセキュリティ脆弱性管理プロセスの導入が含まれます。

下水処理施設は、OTシステムとITシステムを分離することも求められます。

インシデント対応計画を策定し、インシデント発生時には24時間以内に口頭で地域水道技師に報告し、30日以内に書面で報告する必要があります。

公益事業局(DPS)

DPSの規則は、5万人以上の顧客にサービスを提供するすべての公益事業会社およびケーブルテレビ会社に適用されます。

これらの組織は、データマスキング、MFA、アクセス制御などの対策を実施するサイバーセキュリティポリシーを策定しなければなりません。また、サイバー攻撃への対応および復旧計画も含める必要があります。

さらに、対象組織は最高情報セキュリティ責任者(CISO)を任命し、サイバーセキュリティ対策の状況について毎年経営陣に報告する必要があります。

水道分野への脅威の高まり

専門家は近年、水道分野におけるサイバーリスクの増大を指摘しており、金銭目的のグループから国家主導の破壊的攻撃まで、さまざまな脅威が存在しています。

2025年4月のSemperisのレポートによると、過去1年間に米英の水道・電力会社の5社中3社以上がサイバー攻撃の標的となり、その大半が深刻な混乱を経験しました。

2024年8月、米国政府説明責任局(GAO)は環境保護庁(EPA)に対し、水道および下水道システムのサイバーリスクへの対応を求めました。GAOは、サイバーセキュリティ対策の導入が難しい旧式技術の普及や、OTとITシステムの接続性の高まりなど、分野における重大なセキュリティリスクを指摘しています。

水道サービスに影響を与えた著名なインシデントとしては、2024年10月にジャージー拠点の運営会社American Waterが攻撃を受け、請求システムが混乱した事例があります。

2024年9月には、カンザス州アーカンソーシティが、水処理施設でサイバーセキュリティインシデントを経験し、一時的に手動運用へ切り替えたと報告しています。

翻訳元: https://www.infosecurity-magazine.com/news/new-york-cybersecurity-regulations/

Published in infosecurity-magazine-com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です