米国最大の上場企業である上下水道公共設備会社のAmerican Water社は、最近、サイバーセキュリティー・インシデントにより顧客請求プラットフォームを含む主要システムの切断を余儀なくされました。同社の調査が継続されるにつれて、サイバー攻撃のターゲットとなることが増えている水道部門に存在する脆弱性について懸念が高まっています。
この侵害は、業界を長年悩ませてきた重要なインフラストラクチャーのリスクを痛感させるものです。水道事業者は、オペレーションと水質に影響がないことを確認していますが、American Water社が請求システムと顧客ポータルを停止したことは、重要サービスにおけるオペレーショナル・テクノロジー（OT）と情報テクノロジー（IT）の脆弱性との重大な交錯点を浮き彫りにしています。
米国の上下水道システムは、公衆衛生と環境にとって不可欠なものですが、慢性的な資金不足、レガシー・インフラ、攻撃対象領域の拡大に悩まされています。OTシステムに依存しているにもかかわらず、その多くには最新のセキュリティー保護が欠けているため、サイバー脅威の影響を受けやすくなっています。
CISAの報告書によると、親ロシア派のハクティビストは、水道事業体内の産業用制御システム（ICS）を標的にすることが増えており、多くの場合、デフォルトのパスワード、安全でないリモート・アクセス・ポイント、その他の脆弱なサイバー衛生慣行を悪用しています。
水道システムは、処理プロセスや配水などの重要な機能を管理するためにICSの複雑なネットワークに依存しているという点で独特です。これらのシステムは当初、サイバーセキュリティーを念頭に置いて設計されていなかったため、今日の脅威のランドスケープに対応できない保護のパッチワークが発生していました。
攻撃者、特に国家主体は、民間インフラを混乱させ、広範囲にパニックを引き起こす可能性があるため、水道事業体を貴重な標的とみなしています。また、水道システムは強固なセキュリティーを欠いているため、侵入しやすくなります。全体として、水道分野の脆弱性により、金銭的利益を求めたり地政学的な圧力をかけようとしている攻撃者にとって、主要な標的となっています。
American Water社が8-Kの提出書類を通じてサイバー攻撃を公表したことは、重要なインフラとしての同社の役割と、そのようなステータスと結びついた規制要件を浮き彫りにしています。2022年サイバーインシデント報告に関する重要インフラ法（CIRCIA法）は、基幹インフラ機関が検知から72時間以内にサイバーインシデントをCISAに報告することを義務付けています。これは、重要なサービスを標的としたサイバー脅威へのタイムリーな報告と対応を確保するための、より広範な連邦による取り組みの一部です。
CIRCIA法では、特にサービスの中断やデータ侵害が消費者に影響を与える場合、組織はCISAなどの連邦機関だけでなく一般の人々にも通知することが義務付けられています。証券取引委員会（SEC）は、上場企業に対し、財務状況に影響を与える可能性のある重大な出来事を報告することを義務付けているため、American Water社の8-K提出書類は、法的および公的な通知の両方の役割を果たします。
この通知プロセスは、重要なサービスに対する社会の信頼を維持するために不可欠です。American Water社は、水質と運用プロセスは影響を受けていないことを国民に保証しましたが、サイバー攻撃を開示する透明性は、基幹インフラストラクチャー事業者が現在機能している規制環境の強化を物語っています。
水道部門は、他の多くの重要なインフラ部門と同様に、自主的および強制的なサイバーセキュリティーのフレームワークに基づいて運営されています。2023年、米国環境保護庁（EPA）は、安全飲料水法の施行に基づき、ユーティリティーに対するサイバーセキュリティー監査の義務化を施行しようと試みました。
これらの監査は、多要素認証（MFA）やネットワーク・セグメンテーションなどの基本的なセキュリティー対策の実装に苦労している公益事業会社のサイバーセキュリティー体制を評価することを目的としていました。しかし、いくつかの州からの法的課題により、これらの義務の本格的な実施が遅れ、規制のランドスケープは依然として流動的です。
CISAは、上下水道分野におけるICSおよびOTシステムの保護に関する包括的なガイダンスも発行しています。このガイダンスは、CPGs（セクター横断的なサイバーセキュリティー成果目標）で概説されており、重要なシステムのインターネットへの露出を減らし、強力なパスワード・ポリシーを実施し、旧式の産業用デバイスを交換するか安全に管理することを確実にするための推奨事項を含んでいます。
水道セクターに対するサイバー攻撃の頻度が高まるにつれ、より厳格な規制と業界全体の基準の必要性について、より広範な全国的議論が行われています。これを受けて、Biden政権は、サイバーセキュリティーの訓練、脅威の共有、セキュリティーテクノロジーへの投資を通じて、水道システム内にレジリエンスを構築することの重要性を強調しています。
American Water社のサイバー攻撃は、特にITとOTの接点で、水道部門と下水部門を悩ませ続ける脆弱性を浮き彫りにしています。国家機関やハクティビスト・グループからの継続的な脅威に伴い、水道業界はサイバーセキュリティーを緊急に強化する必要があります。
American Water社のインシデント報告における透明性とCISAおよび法執行機関との協力は、他の重要インフラプロバイダーにとって必要な前例を作りました。サイバーセキュリティー規制が進化を続ける中、水道公共事業はサイバー衛生を優先し、ベスト・プラクティスを採用し、将来の攻撃の回避に備える必要があります。