ほとんどの航空プロセスがデジタル化された現在、航空会社と航空業界全体がサイバーセキュリティーを優先する必要があります。サイバー犯罪者が航空業界に関連するシステム（航空会社のシステムまたはサードパーティ・ベンダー）に影響を与える攻撃を開始した場合、安全性から乗客の快適さまで、プロセス全体が影響を受ける可能性があります。
航空業界のセキュリティーを向上させるために、FAAは最近、航空機のサイバーセキュリティーを強化するための新しい規則を提案しました。これらの規則は、「輸送カテゴリーの航空機、エンジン、プロペラの設備、システム、ネットワークを、安全上の危険を生み出す可能性のある意図的な不正な電子相互作用（IUEI）から保護する」ものです。最終的に、変更は、航空会社、サードパーティー・ベンダー、乗客を含む業界全体に影響を及ぼします。
サイバーセキュリティー攻撃やデータ侵害は、過去数十年にわたって航空業界のあらゆる部分に影響を及ぼしてきました。記憶に新しいのは、キャセイパシフィック航空が900万人以上の乗客の個人情報を流出させた事件や、2021年にSITAがフリークエント・フライヤー会員（主にスターアライアンスとワンワールドの会員）を流出させた事件などです。ロサンゼルス空港のウェブサイトがDDoS攻撃の被害に遭い、数時間にわたってオフラインになりました。
「現実は厳しいものです。当社を含め航空業界はサイバー攻撃の脅威に常にさらされており、2020年以降74%増加しています。航空業界はGDPの5％以上、総経済活動で1.9兆米ドル、1100万人の雇用を支えているため、これらの航空サイバー脅威を真剣に受け止める必要があります」と、2024年9月18日の議会公聴会で米国上院議員マリア・カントウェルは述べました。
全体として、2024年の『グローバル航空業界サイバーリスクランドスケープ』レポートによると航空業界は現在、B評価を受けています。研究者は、B評価の組織はA評価の組織よりもデータ侵害の被害者になる可能性が2.9倍高いことを明らかにしており、一見小さな違いが大きな影響を与えることを示しています。ランサムウェア攻撃は依然として主要な脅威であり、Bridewellの最近の研究によると、民間航空のサイバー意思決定者の55%が過去12か月間にランサムウェア攻撃の被害を受けたことを認めています。影響について尋ねると、38％が業務の中断を報告し、41％が組織のデータを失ったと回答しました。
FTI Consulting社のサイバーセキュリティー分野のマネージング・ディレクターであるTed Theisen氏は、航空業界ではレガシーの設備やシステムが数多く使用されているが、重要なアップデートのインストールや新しいプロトコルとの互換性など、それらを保護するために必要な主要な機能が欠けていると述べています。航空業界はサービスをサードパーティーにアウトソーシングすることが多いため、ベンダーがシステムやネットワークにアクセスする可能性があり、その結果、脆弱性が生じてしまいます。
「分散した労働力と分散したシステムは、脅威アクターによって悪用されるアクセス・ポイントを増やす攻撃対象領域を拡大します」とTheisen氏は言います。「このような分散したセットアップでは、システムを保護し、サイバーセキュリティーの脅威を監視し、不正アクセスを軽減することが困難になります。」
航空サイバーセキュリティーは、航空に関連するすべてのシステムの脆弱性と攻撃に焦点を当てていますが、新しいルールの焦点は実際の航空機のサイバーセキュリティーにあります。飛行位置から保守の問題に関するアラートに至るまで、データが飛行機からネットワークに送信されるたびに、データは第三者によって侵害されるリスクにさらされます。
飛行中のすべての航空機からデータが継続的に送信されるため、毎日大量の重要なデータが危険にさらされます。全米ビジネス航空協会（National Business Aviation Association）の報告によると、乗務員や乗客に接続を提供する航空機のルーターは、特にルーターのパスワードが定期的に変更されていない場合、最大の脆弱性となります。
FAAは、航空機とそのエンジンやプロペラシステムが、内部または外部のデータネットワークやサービスにますます接続されるようになったことが、新しい規則の重要な要因であると述べました。相互接続された設計により、脆弱性が保守用ノートPC、パブリック・ネットワーク、携帯電話など、さまざまな新しいソースから生じる可能性があります。その結果、規制当局や業界の専門家は、サイバーセキュリティーの脅威がないかシステムをより細やかに監視する必要があります。
2009年以降、FAAはサイバーセキュリティーに関連して、より多くの「特別条件」を発行してきました。これらは、新しい脆弱性に対処するための特定のケースに対する一時的な規制です。FAAの航空機認証サービス担当エグゼクティブ・ディレクターであるウェスリー・ムーティ氏は、こうした断絶の一つひとつが、申請者と規制当局の双方にとって認証の複雑さ、コスト、時間を増大させると述べています。その結果、FAAは、最も一般的なサイバーセキュリティー特殊条件をカバーするルール作成パッケージを提案し、サイバーセキュリティー脅威に対処するための基準を標準化し、認証のコストと時間を削減することができました。
新しく提案されている規則では、製品認証の申請者は、各航空機の設備、システム、ネットワークが、航空機の安全性に悪影響を与える可能性のあるIUEIから保護されていることを確認する必要があると定められています。
以下は、公式ドキュメンテーションに記載されている資産を保護するための要件です：
新しい規則の目標はサイバーセキュリティー基準を標準化することですが、そのほかの影響も予想されます。製品が更新されて再認証が必要でない限り、新しい規則は新製品にのみ影響し、現在市場に出ている製品には影響しません。各製品はサイバーセキュリティー問題に関する特別な配慮を待つ必要がなくなったため、承認がより迅速になる可能性が高く、つまり、新製品がより早く市場に投入されることになります。
さらに、提案されている規則は、乗客のエクスペリエンスに間接的に影響を与える可能性があります。サイバーセキュリティー・インシデントが発生すると、通常、航空会社、空港、またはサードパーティー・ベンダーがオフラインになり、遅延が発生します。標準化されたサイバーセキュリティー・プロセスと脆弱性の軽減により、乗客がサイバー関連のインシデントに影響を受ける可能性が低くなります。
「より厳格なサイバーセキュリティー規則の導入は、航空会社の運営コストの増加にもつながる可能性があり、航空会社の価格に影響を与える可能性があります」と、サイバーセキュリティー・ソリューション会社であるOPSWATのItay Glick副社長は述べています。「航空会社がコンプライアンス費用を負担するため、乗客はわずかに航空券コストを負担するかもしれませんが、これらの新しい規制の主なメリットは、安全性とセキュリティが強化されることです」
提案された規則がコメントと承認のプロセスを経ている一方で、空港、サード・パーティー・ベンダー、航空会社などの航空組織は、新しいガイドラインの計画を開始する必要があります。新規則はより厳しい基準を課すことになるため、グリック氏は、組織はサイバーセキュリティー・プロトコル、セキュリティ・アセスメント、インシデント対応ストラテジーに集中する必要があると言います。
「こうした変化に備えるために、航空会社は包括的なリスクアセスメントを実施して脆弱性を特定し、従業員のサイバーセキュリティー・トレーニングに投資して従業員のアウェアネスと機能を強化する必要があります」とグリック氏は言います。「さらに、脅威検知やエンドポイント保護などの高度なテクノロジーの要件も非常に重要です。インシデント対応要件を回避するため、航空会社は攻撃の成功を避けるようセキュリティー体制を積極的に強化する必要があります。」
