2025/06/15 CyberDefenseMagazine — 先日に Multi-State Information Sharing and Analysis Center が発表したレポートによると、国家レベルの攻撃者や巧妙化するランサムウェア攻撃の増加に、政府組織は直面しているようだ。これまでにおいて、サイバー攻撃に対して最も脆弱な組織として挙げられてきたのは、大企業や連邦政府などである。しかし、時が経つにつれ、公共の安全/福祉/教育/医療といった、より地域に根ざした重要なサービスが、標的にされるようになってきた。
社会保障番号から医療記録や納税情報にいたるまで、州や自治体の組織には、サイバー犯罪者にとって魅力的な、大量の個人情報が保管されている。セキュリティ対策が不十分な地方のコミュニティと、大量の個人情報の組み合わせを狙う、サイバー犯罪者たちは、かなり魅力的な獲物を手に入れていると考えられる。
おそらく、公共部門が直面する最大の弱点の一つは、意図的かつ予防的なサイバー・セキュリティ計画の欠如である。その主要因となるのは、資金不足/サイバー・セキュリティ専門家へのアクセスの制限/プロセスに関する文書化の不足などである。
数多くの組織が、サイバー・セキュリティ意識向上トレーニング/ID 管理/多要素認証 (MFA) などを通じて、サイバー保護の強化策を講じているが、そこには、適切な脆弱性パッチ管理は含まれていない。
パッチ適用プロセスの管理において、深刻な脆弱性が優先されないと、それがハッカーにとってのバックドアとなり、攻撃対象領域を拡大させるという、大きなセキュリティ・ギャップが生じるだろう。
サイバー・リスク管理は、政府組織にとって最優先の事項である。サイバー攻撃の影響は、国家安全保障の壊滅的な侵害から、重要インフラにおける深刻な混乱にいたるまで多岐にわたる。
したがって、これらの対策を最新のアプローチで補完する、脆弱性管理の活用/脅威インテリジェンスの強化/サイバー・セキュリティ意識向上トレーニングなどへの投資が不可欠となっている。
地方自治体/州政府/連邦政府では、レガシー・システムに依存していることも珍しくない。それらの多くは、時代遅れであり、現代のニーズに対応するための柔軟性に欠けている。その結果として、レガシー・システムの維持は多大なコストを要し、定期的なメンテナンスのためのダウンタイムも必要になる。
大規模なシステムやネットワークが、様々な部門ごとの断片化されたITチームにより運用され続けているため、業務をアウトソーシングされる IT 請負業者も、脆弱性へのパッチ適用において困難な立場に置かれている。必要なダウンタイムを調整し、メンテナンス期間をスケジューリングし続けることは、日々の業務運営を脅かすだけではなく、サービスに依存している人々の機密データを、危険にさらすことになる。
そのため、厳しい予算と過重労働の IT チームは、要求への対応に苦慮し、数週間〜数ヶ月にわたって、セキュリティ上の脆弱性が放置される可能性が生じる。その一方で、サイバー犯罪者たちは、数百万ドルもの損害を組織にもたらすとされる、広範囲での混乱を引き起こすためのアクセス権を手にしており、行政における日常業務に悪影響を与えるだけではなく、社会からの信頼を、さらに低下させている。
現時点において、セキュリティ上の脆弱性に対処する一般的なプロセスは、定期的なシステム再起動時に、手作業で脆弱性にパッチを適用するという従来からの方法である。そのため、パッチ管理は極めておおきな混乱を招き、時間を要するプロセスと見なされ、後回しにされることも多い。パッチ適用プロセスにおける自動化への対応は、甚大な被害をもたらす攻撃を、間一髪で回避できるか否かの分かれ目になるだろう。
従来の手法から脱却し、再起動不要のパッチ適用、あるいは、ライブ・パッチ適用への切り替えを検討すべきだ。特に旧式のエンタープライズ・システムにおいては、セキュリティ・パッチが提供された時点で、あるいは、脆弱性が検出された時点で、自動的なセキュリティ・パッチをバックグラウンドで適用することで、IT チームはプロセスを大幅に効率化できる。
また、パッチを速やかに適用することで、脆弱性悪用の可能性を最小限に抑え、ダウンタイムを排除することで、公共サービスを円滑に運用し続けられる。さらに、このような煩雑な作業を自動化することで、機関は規制遵守を維持しながら、必要なリソースと労力を削減できます。
パッチ適用は不可欠だが、サイバー・セキュリティ対策のツール・ボックスに含まれる、ツールの一つに過ぎない。堅牢なセキュリティ戦略には、プロアクティブなインシデント対応計画と、サイバー・セキュリティ意識の向上も不可欠である。
セキュリティ侵害が繰り返される大きな原因には、人為的なミスがある。疲れ切った従業員が、その日の最後のメールを開くときに、不用意にフィッシング・リンクをクリックすることもあれば、スパム・メールを開くこともあり、それにより数分でコンピュータが感染するという可能性もある。
政府から支給されるコンピュータを使用する公務員たちは、多大なリスクに直面している。彼らの広範なネットワークは、重要なインフラ/公共サービス/セキュリティ・データへの容易なアクセスを有しているため、ハッキングの標的として狙われやすい。そのため、組織のサイバー・セキュリティ対策には、警戒/最小権限アクセス/多要素認証サービスが不可欠となる。
公務員のキャリアがスタートするときに、サイバー・セキュリティ意識向上のためのトレーニングが提供される。しかし、脅威検知スキルを維持していくためには、継続的な教育の実施が不可欠である。
自動化ソリューションの活用/タイムリーなパッチ適用の重要性の理解/サイバー・セキュリティ意識向上などを通じて、プロアクティブな脅威対応と緩和を優先させていく必要がある。これらの実践的な手順を踏むことで、州および自治体は、脅威に関連するコストを大幅に削減できるはずだ。
パッチの未適用が、地方自治体にもたらす深刻なリスクを、とても丁寧に説明してくれる記事です。もちろん、これは米国の話であり、日本の状況と一致するものではありませんが、大筋では、同じ問題を抱えているはずです。特に、レガシー環境と、断片化された運用体制が、セキュリティ対応の足かせになっているのだろうと思えます。よろしければ、カテゴリ Government も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.