X-Force

公共部門のセキュリティー対策に遅れ – サイバー攻撃への防御向上のために州政府と地方自治体が2020年に実施すべきこと

記事をシェアする:

IBMの世界的なセキュリティー研究開発機関である X-Force IRIS (Incident Response and Intelligence Services : IRIS) の研究員は、連邦政府や地方自治体に影響を及ぼすセキュリティー問題について調査した結果、公共部門のサイバーセキュリティーとレジリエンシーは、緊急改善が必要な状況にあると強く主張しています。

米国市民は、公的記録へのアクセス、法執行機関による保護、教育や福祉、投票や選挙など、これら多数のサービスすべての提供を州政府および地方自治体に依存しています。これらの行政機関のおかげで、市民は民主主義を享受し、社会サービスの恩恵を受けることができています。技術の進歩につれて、これらのサービスをさらにデジタル化してほしいという利用者からの要求も増えています。

州政府や地方自治体は、市民へのサービス提供方法を随時刷新し、以前は対面または紙でしか入手できなかったものへのアクセスをデジタル化することで要求に応えてきました。

このデジタル・トランスフォーメーションは前向きな一歩であり、市民は快適な自宅から簡単に州のサービスにアクセスできるようになる一方、以前には内部だけにあったシステムをインターネット上に開示することでリスクを高めることにも繋がっています。管理機関が管轄内の住人について収集・保持している個人情報の幅広さを考えれば、脅威アクターが身代金目的で盗難、漏えい、暗号化を目論み、データ豊富なレコードを探し求めてやってきても不思議はありません。

行政が収集するデータ群にはサイバー犯罪者にとって特別な魅力があるため、州や地方自治体の重要なデジタル・システムを確実に保護するには、同様に特別なアプローチが必要です。これらのシステムを適切に保護するには、より安全な将来を実現するための資金と戦略の両方が必要です。

International City/County Management Association (ICMA) (PDF, 英語, 9.6MB)による 2016 年の調査によると、地方自治体はシステムのセキュリティー向上にむけて、他のどの関連支援よりもその種の支援を必要としていました。

Chart from the International City/County Management Association Survey 2016

図1:最高レベルのサイバーセキュリティーを確保するために地方自治体が必要とする要因のトップ3(出典:ICMA (PDF, 英語, 9.6MB)

続いての注目点として、ICMAは、この調査で自治体や郡の回答者の44%がサイバーセキュリティー対策により多くの資金が必要と感じると回答、38%がより良いサイバーセキュリティー・ポリシーの必要性に言及、38%が自治体の職員により高いサイバーセキュリティー意識を求めたことが示されています。

納税者の資金に数十億ドルの損害

公共部門を襲うデータ漏えいは、納税者に年間 10億ドル以上の損害を与えています。この推定値には、公共部門が直面しているセキュリティー・リスクの高まりに州政府も注目せざるを得ません。

Identity Theft Resource Center (ITRC) の「2018年末データ漏えいレポート (PDF, 英語, 6.7MB)」によると、2018年は政府/軍事部門に対するデータ漏えいにより 1800万件を超えるレコードが漏えいしました。また、Ponemon Instituteが毎年発表する「情報漏えい時に発生するコストに関する調査」(IBM提供)を見ると、2018年の公共部門の損害レコードの平均コストは 1人当たり75ドルであることがわかります。これらの数値を合計すると、潜在的損失はたった 1年間で 13億5,000万ドルになります。

政府のシステムを侵害するデータ漏えいやランサムウェア攻撃が非常に頻繁で費用のかかる問題であることを考えると、これらのコストはすぐに増加する可能性があります。2019年5月に米国メリーランド州ボルチモア市を襲った 1回のランサムウェア攻撃は、テクノロジーをアップグレードするのに要した費用と収益からの損失で、最終的に 1,800万ドルを超える 損害を市に与えました。この 1,800万ドルという予想外の支出により、今後数年間分の市の予算が無駄に失われたのです。

金銭目的のサイバー犯罪行為に対処するためにかかるコストは、敵対国から組織的な攻撃を受けた場合に国家に降りかかる莫大な損失に比べればささやかなものです。2015年、ケンブリッジ大学 とロイド大学が公開したレポートは、米国の送電網がサイバー攻撃を受けた場合、ニューヨーク市とワシントンDCの間にある 15州と、そこに住む9,300万人が停電に見舞われる可能性があると指摘していました。このような攻撃における米国経済への影響総額は、2,430億ドルから 1兆ドルと推定され、資産とインフラストラクチャーへの直接的な損害、電力供給会社における販売収益の損失およびサプライ・チェーン全体の混乱につながる可能性があります。

敵は多く、攻撃は絶え間ない

報道によると、公共部門にサイバー攻撃を仕掛けた敵は、サイバー犯罪グループから国家支援の脅威アクター にまで及ぶと言われています。この国家支援の脅威アクターとは、米国人事管理局 (OPM) に起こった深刻な情報漏えい(後に中国による犯行 と判明)などを指します。

公共部門は金銭目的のサイバー犯罪者による攻撃も免れません。彼らはランサムウェア攻撃で都市を攻撃し、データのロック解除と引き換えに脅迫してきます。2019年の夏に発生したあるケースでは、テキサスの少なくとも22の自治体 がランサムウェアに感染し、身代金目的でデータを拘束されました。この攻撃は組織的なサイバー犯罪行為であることが判明しています。

利益を上げたいサイバー犯罪者にとって、行政機関が保管する市民のデータは正に宝の山です。そこには、IDの盗難やさまざまな不正詐欺で利用できる個人情報 (PII) が豊富に記録されているのです。機密情報の収集や、重要なインフラストラクチャーの破壊を行う可能性のある国家支援の脅威アクターにとって、州政府や地方自治体のネットワークは多数の目的を果たせる価値の高いターゲットです。

政府部門をターゲットとするような多様な目的を持つ攻撃者は、しかけてくる攻撃の数も非常に多くなっています。2016年の ICMA調査では、ITシステム上のサイバー攻撃(攻撃、インシデント、漏えいを含む)の頻度を認識している地方自治体の60%が、毎日ほぼ 1時間に 1度はネットワークに悪意のあるアクセス試行および攻撃が仕掛けられていると報告しています。

不十分な対応

過去5年間、公共部門に対する悪意のあるサイバー活動が注目を集めていますが、危険度が高かったにもかかわらず政府機関の対応は必ずしも十分ではありませんでした。

たとえば、サイバー攻撃によって 重要なインフラストラクチャーに被害が発生した場合は、現行の法律のオンライン更新が遅れるとか、オンライン・ポータルが再び機能するようになるまでしばらくは手書きの確認に戻るとかいった不便さをはるかに上回る被害が発生する可能性があります。地方自治体がサイバー攻撃や情報漏えいの被害に合った場合、市民は次のように、単純な不便さよりもはるかに悲惨な被害に直面する可能性があります。

  • 病院の手術室で重篤患者の治療中に停電が発生する
  • 警察や緊急対応者が現場に到達できず、危機に対応できない
  • 地方の大学が蓄積した数十年分もの知的財産や研究成果を失う
  • 地区検察局や警察署が重要な運用データを失う
  • 指紋などのバイオメトリック・データを含む市民の個人情報が悪意のあるアクターの手に渡り、生涯にわたって不正な IDアクセスの攻撃の対象となる

残念ながら政府機関は敵対的攻撃に日々直面しており、この種のリスクは高まる一方です。

米国上院は、連邦のサイバーセキュリティーが、本来であればリスクの軽減につながる基本的なポリシーやコントロールが適用されずに放置された状態にあったと文書に残しています。地方自治体の情報システムに特有の課題に対処し、脆弱性のレベルを下げるには、全方位型のサイバー・レジリエンス計画をすべての州政府および地方自治体のセキュリティー戦略 に統合する必要があります。

IBM X-Force IRISの研究員は、この入り組んで複雑な攻撃対象領域を細分化して、この問題に関するレポートを提供し、州政府や地方自治体に固有の重要な問題をいくつか特定しました。ぜひレポートをご一読ください。

 


【関連情報】


【お問い合わせ】

IBMアクセスセンター 0120-550-210
受付時間 9:00-17:00 (土、日、祝日を除く)
メールでのお問い合わせはこちらから

【著者紹介】


X-Force IRIS

X-Force IRIS

IBM X-Force Incident Response and Intelligence Services (IRIS) チームは熟練した専門家のグループで、今日の高度化するグローバルな脅威の状況に対する組織の強化を積極的に支援します。IRISの専門家は、何十年にもわたる先進的なインシデント管理、セキュリティー・インテリジェンス、および修復の経験を生かし、公共および民間部門の 17の業界で数百もの情報漏えい調査についての相談に応じてきました。


この記事は次の記事の抄訳です。
Public Sector Security Is Lagging — How Can State and Local Governments Better Defend Against Cyberattacks in 2020?(英語)

More X-Force stories
2020-09-29

ランサムウェア2020:世界の組織に影響を与える攻撃の傾向

ランサムウェアは、あらゆる業界や地域の組織が直面している最も難解で一般的な脅威の1つです。また、ランサムウェア攻撃によるインシデントは増加し続けています。一方で、ランサムウェアの脅威のアクターは、組織がこの攻撃から回復す […]

さらに読む

2020-09-28

ゲーム「TERMINAL」に挑戦: IBM広報 一ノ瀬はづき

もしも、ビジネスの基幹システムがハッキングされたら…。サイバー攻撃に対するインシデント対応ゲーム「TERMINAL」は、ある巨大な国際空港が舞台。サイバー攻撃から国際空港を守るため、3つのステージを順にクリア […]

さらに読む

2020-09-25

ゲーム「TERMINAL」に挑戦: IBM Tokyo SOC セキュリティー エンジニア 岡安貴大

もしも、ビジネスの基幹システムがハッキングされたら…。サイバー攻撃に対するインシデント対応ゲーム「TERMINAL」は、ある巨大な国際空港が舞台。サイバー攻撃から国際空港を守るため、3つのステージを順にクリア […]

さらに読む