米国土安全保障省:鉄道会社に対してサイバー・セキュリティへの資源投入を要求

Rail industry gets new cyber directives from TSA

2021/12/02 CyberScoop — 木曜日に米国の Department of Homeland Security (DHS) が発表した、Transportation Security Administration (TSA) の指令に基づき、米国の鉄道会社はサイバー・セキュリティに対して、一層の注意と資源を投入することになる。新たな要件としては、地上鉄道の所有者および運営者は、サイバー・セキュリティ・コーディネーターの指名、および、サイバー・セキュリティ・インシデントの 24時間以内でも DHS への報告、脆弱性評価の完了、サイバー・セキュリティ・インシデントに対応するための計画作成などが挙げられている。

Department of Homeland Security (DHS) の担当者によると、この指令により貨物鉄道の約80%、旅客鉄道の約90%がカバーされる予定だという。

DHS 長官の Alejandro Mayorkas は、10月に開催された Billington Cybersecurity Summit の講演で、TSA が地上交通機関向けの指令を展開することを発表した。この指令の初期の計画は、企業に12時間以内のインシデント報告を義務付けるものだったが、産業界や共和党から批判を受けたという。

この 10月に、オハイオ州の Sen. Rob Portman 上院議員が率いる共和党は、DHS の OIG に対して、「これらの分野で働く利害関係者や、対象分野の専門家からのフィードバックを十分に考慮すべきだ。この司令の要件には、柔軟性に欠けている」という業界の不満を理由に調査を求めた。

DHS の担当者は、記者との電話会談の中で、この要件は数多くの企業において、すでに行われている基本的なサイバー・セキュリティのベスト・プラクティスであると述べ、この懸念を否定した。この指令の策定にあたっては、2つの草案を共有してコメントをもらうなど、業界と協力して取り組んだという。

この指令は12月31日に発効する。 所有者および運営者は、90日以内にサイバー・セキュリティの脆弱性評価を実施し、180日以内にサイバー・セキュリティ事故対応計画を実施する必要がある。

今年の5月に TSA は、東海岸の大手燃料供給会社である Colonial Pipeline がランサムウェア攻撃を受けたことにより、パイプライン部門に対してもセキュリティ要件を追加した。その時点では、民間のパイプライン事業者や所有者に対して、義務的なサイバー・セキュリティ要件は存在していなかった。

木曜日に開催された下院交通委員会の公聴会では、Peter DeFazio 委員長 (オレゴン州選出:民主党) が、今回の新指令は業界にとって前向きなステップであると評価した。DeFazio 委員長は、「自主的な協力だけでは不十分な場合がある。ウォール街の連中は、なぜサイバー・セキュリティに金をかけるんだ。株価が下がるじゃないかと言ってくるだろう。我々は、ただ、銀行にお金を預けてほしいだけなんだと言うだろう」と述べた。

テキサス州選出の Brian Babin 下院議員 (共和党) は、懐疑的な見方を示した。「私たちは、法律家や規則制定者として、自分たちが理解していないことに干渉して、意図せずに肥大化した規制を生み出したり、真にインフラを保護しない過度に負担の大きい要件で、イノベーションを阻害したりしないように、細心の注意を払う必要がある」と述べている。

今年6月の「米大統領令 2021:クラウドとゼロトラストとサプライチェーン」や、11月の「米バイデン大統領が 2000 億円規模のサイバー・インフラ法案に署名」からも伝わってくるように、米国ではインフラの保護が急ピッチで進められています。また、インシデントの報告に関しては、10月の「米国のランサムウェア報告法案:48時間以内に身代金支払い情報の提供を義務付ける」や、11月の「米国の金融規制当局:銀行に対して 36時間以内でのサイバー攻撃の報告を要求」などの記事があります。それと、9月の「Moxa の鉄道用デバイスに影響をおよぼす 60件の脆弱性」も、合わせて ど〜ぞ。

%d bloggers like this: