新たな監察総監報告書によると、米国エネルギー省は2026年に向けて、新興技術を導入するスピードと、それらを統治する仕組みのばらつきとの間に広がる乖離に直面しており、人工知能とサイバーセキュリティが同省にとって最も重大なマネジメント上の課題の2つとして挙げられている。
管理リスクに関する年次評価で、監査担当者は、DOEの中央集権的な組織構造、請負業者中心の運用モデル、そして国家安全保障上の責務を横断する全社的なギャップとして、AIおよびサイバーセキュリティのガバナンスを強調した。報告書は、より強固な調整と監督がなければ、先進的なデジタルシステムへの依存拡大により、重要インフラが不必要な運用上およびセキュリティ上のリスクにさらされ得ると警告している。
監査担当者は、サイバーセキュリティを継続的な省全体の最重要リスクの一つと位置づけた。特に、脅威の発信源が国家支援の情報機関、犯罪組織、敵対的アクターへと増加し、全米の重要インフラや高価値資産を標的にしている状況においてはなおさらだ(参照: 連邦のサイバー資金が枯渇する中、公益事業者が米国送電網のリスクを警告)。
サイバーセキュリティ上の懸念の中心にあるのは、DOEの高度に分散化されたセキュリティモデルだ。プログラム部局、各拠点、国立研究所は、ミッションの要件とリスク許容度に基づいて統制を調整できる広範な裁量を現地のリーダーシップに与える省令の下で運用されている。
報告書は、この柔軟性が中央集権的な監督を犠牲にしてきたと警告しており、最高情報責任者(CIO)室が全社レベルでリスクを管理する能力を制限しているという。さらに、DOEには省全体にわたるリアルタイムのサイバーセキュリティデータを収集・相関・分析するための統一的な構造が欠けているとも警告している。
報告書によれば、特に重要システムが連邦職員と請負業者の混在によって運用される環境では、複数のプログラムや拠点にまたがる体系的な弱点や新たな脅威を、指導部が特定しにくくなる可能性がある。レビューではまた、新しいガイダンスが有効になっている場合でも、一部の請負業者やDOE所有施設が、旧式の連邦サイバーセキュリティ要件に照らして環境評価を続けていると述べている。
当局者は監察総監室に対し、更新された要件はしばしば資金が不足しているか、まったく資金が付かないことが多く、その結果、全社的に遵守状況が不均一になっていると述べた。報告書によれば、ある拠点はDOE本部のCIOからの指針よりも現地の監督機関からの指示を優先し、別の拠点は全社的な取り組みを資金の裏付けのない義務(アンファンデッド・マンデート)として拒むという。
同省は、国立研究所で開発された能力を用いることも多く、運用、国家安全保障ミッション、エネルギーシステム、科学研究にわたってAIの利用を拡大している。しかし報告書は、導入のペースが、展開を導きリスクを管理するための包括的なガバナンス枠組みの整備を上回っていると警告している。
10月に公表されたDOEのAI戦略は、許認可プロセスの自動化、エネルギーシステムのモデリング、送電網の安定性向上、重要インフラのセキュリティ強化など、いくつかの野心的なユースケースを示している。同省は、高性能計算資産と並べてDOE保有地にAIデータセンターを設置することを検討しており、これはAI対応インフラへの依存をさらに深める可能性がある。
報告書は、全社的なサイバーセキュリティ協働オフィスの立ち上げや、AI戦略およびコンプライアンス計画の策定など、DOEが講じてきた措置を認めているが、ツールやダッシュボードだけでは構造的な弱点は解消されないとも述べている。
翻訳元: https://www.databreachtoday.com/us-energy-dept-flags-ai-cyber-gaps-as-top-risks-for-2026-a-30391
