今回は、2021年3月26日付けのインタネット情報誌のIndustrial Fire Worldに掲載されたProtection From Terror Attacks(テロ攻撃からの防護)の内容を紹介します。
< 背 景 >■ 2001年9月11日の悲劇的な大事件を契機に化学施設のセキュリティの考えや取り組みが変った。もはや物理的警備だけでは十分でなくなった。米国化学工業協会(American Chemistry Council;ACC)の広報責任者のスコット・ジェンセン氏の報告によると、化学工業界はテロ攻撃を防ぐために3種類の厳しい保安対策(セキュリティ対策)を開発したという。
■ ジェンセン氏は、「伝統的に化学会社の人は化学施設自体への直接的な攻撃から防護することだけを考えていた」と説明する。
■ この懸念そのものは正しいと、ジェンセン氏は付け加える。直接的な攻撃や妨害行為は、施設だけでなく、近くの住民を危険な化学物質にさらす恐れがある。米国の環境保護庁(Environmental Protection Agency;EPA)によると、潜在的に危険な有害化学物質を生産・使用・貯蔵している施設は15,000箇所あり、ほとんどの施設が人口密集地域にあるという。また、環境保護庁は、 一度の攻撃でプラントの半数が1,000人に影響するといい、プラントの120箇所以上では一度の攻撃で100万人に影響を与える可能性があるとみている。
■ しかし、9.11の波紋によって2つの新しい懸念が現れた。そのひとつに、即製爆弾(Improvised
Explosive Device;IED)用の硝酸アンモニウムや過酸化物など、テロリストが攻撃に使用する可能性のあるケミカルの盗難や流用を防ぐという意識が出てきた。また、テロ攻撃が生産を中断させ、経済的大混乱をもたらす恐れのあるような施設の経済的重要性にも注意を向けるようになった。
■「テロ攻撃に対してひときわ脆弱な施設がある。それはある特定の材料や物質を作ることのできる数少ない施設のひとつであり、そのケミカルは希少な用途を持っている」とジェンセン氏はいう。
■ 9.11から20年を迎える前日に、サイバーセキュリティ・インフラストラクチャ・セキュリティ庁(Cybersecurity&Infrastructure Security Agency;CISA)は、化学施設の能力を無くすよう設計されたサイバー攻撃について警告した。CISAは、高リスクの化学施設のために 「化学施設テロ対策基準(Chemical Facility Anti-Terrorism Standards;CFATS)のサイバー事故の報告」を新しいウェブページとファクトシート(概要書)に発表した。これは、「リスクベースのパフォーマンス基準 8(RBPS8)・・・サイバー」(Risk-Based Performance Standard 8 (RBPS8) ・・・Cyber)と「リスクベースのパフォーマンス基準 15(RBPS15)・・・重大なセキュリティ事故の報告」(RBPS 15・・・Reporting of Significant Security Incidents)をもとに重大なサイバー事故が起こったときにどうすればよいかをまとめたものである。
■ この取り組みは、2021年5月に起こったコロニアル・パイプラインのサイバー攻撃に対するCISAの対応の一部である。そして、テロリストが化学施設の操業を停止させる別な方法のあることを見せつけた。ランサムウェア攻撃によって、パイプラインが5日間シャットダウンされ、6,000人近くの個人情報が漏洩した。化学会社におけるサイバーセキュリティへの心配は、重要システムの乗っ取りから、会社の重要情報や機密性の高い個人情報の漏洩まで多岐にわたる。(「米国東海岸に石油を供給するコロニアルパイプラインにサイバー攻撃(身代金払う)」 2021年5月を参照)
■「テロのリスクのある分野では、警戒を怠らないことが重要である」とジェンセン氏は強調し、さらに「あなた方は、リスクは十年一日で変化がないという見方から変える必要がある。そして、連邦レベルや地方自治体レベルの関係当局と協力して、あなた方の施設を安全に保つためにお互いに情報を共有化し、訓練や演習を行わなければならない」という。
< リスク対象化学物質の報告
>
■ 有害化学物質を意図的に間違った使い方をする確信犯の手に渡らないようにするには、施設の所有者、オペレーター、従業員、緊急事態時の対応者に委ねられる。
■ 国土安全保障省(The Department of Homeland
Security;DHS)による化学施設テロ対策基準(Chemical
Facility Anti-Terrorism Standards;CFATS)のプログラムは、セキュリティの実態を強化するために作成された。化学施設テロ対策基準(CFATS)では、リスクの高い化学施設を特定して管理し、 テロのリスクを低減させるセキュリティ対策を確実に実施する。
■ 化学施設テロ対策基準(CFATS) の付録A(6 CFR Part 27)には、300を超えるリスク対象化学物質(Chemicals of Interest;COI)およびそれぞれのしきい値(Screening Threshold Quantities;STQ)と濃度が記載されている。国土安全保障省では、リスク対象化学物質(COI)をつぎのような3つのセキュリティに分類している。
● 流出 : 施設で流出される可能性のある有毒性、可燃性、または爆発性の化学物質や材料。
● 盗難または流用 : 盗まれたり流用されたりした場合に、テロリストが簡単な化学知識・技術と機器を用いて武器に変換できる化学物質や材料。
● 破壊行為 : テロ行為のために混合してすぐに用いることのできる化学物質や材料。
化学会社は、しきい値(STQ)と濃度が設定値以上になるリスク対象化学物質(COI)をサイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)に報告しなければならない。
< 高リスク会社のための取り組み >
■ リスク対象化学物質(COI)を保有するすべての施設は、化学テロ脆弱性(Chemical Terrorism Vulnerability;CTV)トレーニングを完了させるとともに、化学セキュリティ評価ツール(Chemical Security Assessment Tool;CSAT)に登録し、“トップ・スクリーン” (CSATを通じて入手するオンラインの調査事項)を提出しなければならない。環境保護庁(EPA)や米国労働安全衛生局(OSHA) などの機関の支援を受けて、化学会社は“トップ・スクリーン”のプロセスを検討することができると、ジェンセン氏は付け加えた。
■「化学施設テロ対策基準(CFATS) は式を使ってリスクを決定する」とジェンセン氏はいい、「化学施設テロ対策基準(CFATS)では、現場の材料とその量を調べ、そして施設が潜在的な脅威一覧の中でどこに位置するのかを調べる。また、施設が人口密集地域に近いかどうかも検討する」という。
■ 化学会社が化学施設テロ対策基準(CFATS) の高リスク基準に合致した場合、プログラムでは一連のリスクベースのパフォーマンス基準を満たすような機密性の確保技術であるセキュリティ・プロトコルの導入を要求されると、ジェンセン氏は説明する。続けて「サイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)では、化学会社が導入するセキュリティ対策について指示や口外することはない。プログラムでは、さまざまな脅威シナリオについて基準が設定されており、化学会社はセキュリティ計画をまとめて基準を満たす対策を実施しなければならない」とジェンセン氏はいう。
■ 化学施設テロ対策基準(CFATS)の検討プロセスは、つぎのとおりである。
● サイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)
は、リスクベースの方法を使用してトップ・スクリーンの内容を確認し、施設が「高リスク」であるかどうかを判断する。
● 施設が「高リスク」であると見なされた場合、化学会社は階層1、2、3、4のいずれであるかを受け取る。(階層1が最もリスクが高い)
● このプログラムでは、階層施設ごとにセキュリティ脆弱性評価(Security
Vulnerability Assessment;SVA)およびサイト・セキュリティ・プラン(Site Security Plan;SSP)またはCFATSのリスクベース・パフォーマンス基準(CFATS Risk-Based
Performance Standards;RBPS)を満たす代替セキュリティ・プラン(Alternative Security Plan;ASP)を提出する必要がある。
● 階層3と階層4の施設は、サイト・セキュリティ・プラン(SSP)または代替セキュリティ・プラン(ASP)の代わりにエクスペダイト・アプローバル・プログラム(Expedited Approval Program;EAP)のサイト・セキュリティ・プラン(Site Security Plan;SSP) を提出することができる。
● 化学施設テロ対策基準のリスクベース・パフォーマンス基準(CFATS
Risk-Based Performance Standards;RBPS) の解説書は、高リスクの化学施設が、階層レベルと独自の考慮事項に合わせたセキュリティの方法と実行策・・・すなわち、社内ネットワークとインターネットの境界で講じるペリメーター・セキュリティ、対象へのアクセスを管理するアクセス制御、人的なパーソナル・セキュリティ、サイバーセキュリティなど・・・の選択に関して書かれている。
● サイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)
は、提出された文書を確認し、それが化学施設テロ対策基準(CFATS)の規制要件を満たしているかどうかを判断する。取り組みが要件を満たしている場合、化学施設は認可書を受け取る。
● つぎの認可検査がスケジュール化され、セキュリティ計画に書かれている内容の正確さを検証し、現時点や計画の対策がリスクの基準要件を満たしていることを確認される。
● 一旦、化学施設のセキュリティ作業が完了すれば、認可されたセキュリティの方法を実施し続けるため、必要時にコンプライアンスの検査を受けることができる。
■ たとえ化学施設テロ対策基準(CFATS)によって化学会社の施設が低リスクにランク分けされた場合でも、化学会社はセキュリティへの取り組みを化学施設テロ対策基準(CFATS) のパフォーマンスベースの基準と比較することができると、ジェンセン氏は説明し、「化学施設テロ対策基準(CFATS) では、化学施設の事業者を支援して施設の脆弱さを管理していくようになっている。サイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)は特定の推奨事項を提供することはないが、パフォーマンス・ベースの基準について共有化をしていくだろう」という。
< 最善のやり方 >
■ 化学会社で最初に考えるセキュリティ対策は境界柵に関するものであろう。この目的は悪意のある人物を中に入れないようにして、即製爆弾(IED)や化学物質の流出などに用いるケミカルを盗んだり流用したりできないようにすることである。しかし、化学施設のセキュリティを強化するには、ほかに最善のやり方があると、ジェンセン氏は付け加える。
■「物理的なセキュリティは一部に過ぎない。あなた方は境界柵を強化し、境界を監視する監視カメラを追加したり、制御システムが最も重要だと考えているだろう。しかし、セキュリティ対策として、あなた方は施設内の化学物質の在庫を減らしたり、施設内に化学物質を隠したり、施設に出入りする人を選別したり、重要なエリアへの立ち入りを制限することもできる」とジェンセン氏はいう。
■ ドローンのもっている能力もセキュリティを強化できると、ジェンセン氏は付け加える。化学施設では、構外との境界付近を監視するためにドローンを使用することがよくある。一方、ドローンは脅威をもたらすこともあると、ジェンセン氏は警告し、「テロリストはドローンを使用して施設を攻撃したり、様子をうかがう可能性がある。このため、化学会社はドローンを防ぐための措置を講じなければならない」という。
■ 連邦航空局(FAA)は重要なインフラストラクチャを無許可のドローン使用から保護するルール作りに苦労していると、ジェンセン氏は述べ、「それは我々が連邦航空局(FAA) に早く成し遂げるように言ってきたことで、我々はこのセキュリティ問題に対処しなければならない」という。
< 低リスク施設への援助
>
■ すべての施設が化学施設テロ対策基準(CFATS) のプログラムで高リスクとみなされるわけではない。しかし、高リスクでない施設についても同様に援助を受けることができる。
■ 国土安全保障省(DHS)は、化学会社のインフラストラクチャのサイバー・セキュリティと緊急時の準備を進めるために、化学セクター情報連絡協議会(Chemical Sector Coordinating Council)を設立した。米国における評議会の会員は、規模の大小に関わらず化学施設のセキュリティについて支援を受けることができる。
■ 「化学セクター情報連絡協議会では、セキュリティの問題について話し合い、取り組み方を調整することのできる同じ立場のグループである」とジェンセン氏は述べ、「このグループには、さまざまな規模の会社のメンバーがいて、セキュリティの問題について方向性を話すことができる」という。
■ 米国化学工業協会(ACC)のメンバーはレスポンシブル・ケア(Responsible Care)のプログラムに参加することができる。このプログラムは、従業員、地域社会、環境の安全に対する工業界の取り組みを強化することを目的としている。レスポンシブル・ケアのプログラムはあらゆる規模の化学会社にとって価値ある資源になりうると、ジェンセン氏はいう。
■「レスポンシブル・ケアの構成する要素の中にレスポンシブル・ケア・セキュリティ・コードと呼ばれるものがある。このレスポンシブル・ケア・セキュリティ・コードは、化学会社が同じ立場のグループを利用して、脆弱さの評価、セキュリティ計画、規制当局への提出を支援するのに役立つ」 と、ジェンセン氏はいう。
■ 規模の大小に関わらず、すべての化学会社にとって最善の進め方は、地方自治体、州政府、連邦政府の組織と一緒に協力してやっていくことであると、ジェンセン氏は語り、「ほとんどの地方自治体や郡は対応するプログラムをもっている。少なくとも、あなた方は地方自治体や郡の組織と調整していくべきである」という。
■ セキュリティと安全の間には重複しているところがあると、ジェンセン氏は付け加える。セキュリティは意図的な行為に関するものであり、安全は事故をカバーする。政府や自治体はそれぞれ異なる方法で管理しているとジェンセン氏は語り、「すべてのセキュリティの取り組みは、環境保護庁(EPA)がつくった地域緊急計画委員会(Local Emergency Planning
Committees;LEPC)と協力してやっていくべきである。米国国内には多くの地域緊急計画委員会(LEPC)がある。この地域緊急計画委員会(LEPC)は、緊急事態時の調整や計画を支援し、おおいに力になる」という。
< 今後の化学施設のテロ対策基準(CFATS) >
■ サイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)は化学施設テロ対策基準(CFATS)を制定し、米国化学工業協会(ACC)と協力して、9.11以降、化学施設のセキュリティを改善し、テロの脅威から防護することに取り組んできた。しかし、議会は依然として化学施設テロ対策基準(CFATS)を暫定プログラムと見なしている。そのため、これを続けるために、議会は定期的にプログラムを再承認しなければならない。
■ 「化学施設テロ対策基準(CFATS) は再承認の準備ができている。議会がこのテロ対策基準を再承認しない場合、国土安全保障省(DHS) は化学物質のセキュリティを管理する権限を失ってしまう。化学施設テロ対策基準(CFATS)は重要なプログラムであり、私は、化学会社が国会議員に連絡して、このプログラムが化学施設のセキュリティの水準をいかに向上させたかを知ってもらうことが大切だと思っている。化学施設テロ対策基準(CFATS)は我々が守って維持しなければならないものである」とジェンセン氏は話を結んだ。
補 足
■ サイバー攻撃は2010年以降に出ており、制御システムを標的
にした世界の事例をまとめた「サイバー攻撃の事例集」(2020/1/27、㈱ICS研究所)を参照。 この事例集の中で2016年10月にあったイランの石油施設の対する攻撃については「イランでサイバー攻撃が疑われる中、精油所でタンク火災」を参照。
■ 「サイバー攻撃の事例集」 では、重要インフラのひとつとして医療が取り上げられているが、最近、日本で病院を標的にしたサイバー攻撃があり、ニュースで大きく報道された。徳島県の半田病院のシステムに侵入して情報を暗号化し、復旧と引き換えに金銭を要求するコンピューターウィルス「ランサムウエア」に感染し、約8万5千人分の電子カルテが閲覧できなくなり、大きな打撃を受けた事例である。サイバー攻撃は10月31日(日)午前0時半、病院内に数十台あるプリンターが勝手に印刷を始め、紙が尽きるまで続いた。「データを盗んで暗号化した。データは公開される。復元してほしければ連絡しろ」と紙には英語で脅迫内容と連絡先が記されていた。脅迫文にはハッカー集団「ロックビット」とあり、この集団はランサムウエアを使い、世界中で攻撃を繰り返している。攻撃者は石油パイプラインなどのインフラ企業と同様に、医療機関も身代金の支払いに応じやすい標的とみている可能性がある。警察庁は、2022年春にも専門で対策にあたるサイバー局を新設する方針で、海外の捜査機関とも足並みをそろえ、ランサムウエア攻撃などの抑止につなげたいと考えている。 (注;ランサムウェアとは、Ransom(身代金)とSoftware(ソフトウェア)を組み合わせた造語)
■ 本資料の筆者のロニー・L・ウェント氏(Ronnie L Wendt)は米国ウィスコンシン 州に在するプロの編集者で、セキュリティ、航空、法曹、ロジスティクスなどの社会問題についてまとめている。インタビューに応じているスコット・ジェンセン氏(Scott Jensen)は米国化学工業協会の広報責任者である。
所 感
■ 米国におけるテロ対策の基本的な考え方がわかる資料である。 2001年の9.11を契機に化学施設のセキュリティの考えや取り組みが変ったという。国土安全保障省はサイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)を設立させ、 「化学施設テロ対策基準」(CFATS)をつくり、運用している。インフラのセキュリティだけでなく、サイバーセキュリティとの2本柱にして、施設をリスク階層ごとに評価し、CISAの政府機関や自治体などと事業者が共同して脆弱なところに改善を図っていく(ただし、導入するセキュリティ対策について指示や口外することはないという)という米国らしい合理的なやり方をしている。
■ 対応する組織と基準をつくり、施設の物理的セキュリティを向上させていると思われる。そのような米国でも、 2021年5月にコロニアル・パイプラインのサイバー攻撃があった。パイプラインの制御システムのどこかに脆弱なところがあったのだろう。しかし、この事例は一事業者だけでなく、米国のサイバー攻撃のテロ対策が改善されていくシステムになっていると感じる。 (「米国東海岸に石油を供給するコロニアルパイプラインにサイバー攻撃(身代金払う)」(2021年6月)を参照)
■ 日本の化学施設の物理的テロ対策が米国に比べてどのレベルにあるのか分からないが、最近、日本で病院を標的にしたサイバー攻撃が起こっている。従来、日本では特異な日本語によるシステムであり、サイバー攻撃など起こることはないと考えていなかっただろうか。厄介なのは、データを暗号化して身代金を要求するサイバー攻撃であり、要求は英語で行われている。攻撃者はプログラミングの知識があれば、日本語が十分わからなくても、サイバー攻撃を仕掛けることができることを物語っている。日本の化学施設では物理的テロ対策の改善を図るほか、サイバー攻撃についても起こり得ると考える必要があろう。
備 考
本情報はつぎのインターネット情報に基づいてまとめたものである。
・Industrialfireworld.com, Protection From Terror Attacks(テロ攻撃からの防護), by Ronnie Wendt, September
9, 2021
・Ics-lab.com,サイバー攻撃の事例集, January
27, 2021
・Nikkei.com, ランサム攻撃でカルテ暗号化 徳島の病院、インフラ打撃, November
12, 2021
後 記: 2021年5月に起こったコロニアル・パイプラインのサイバー攻撃の事例をブログで紹介していましたが、今回の資料で米国のサイバーセキュリティ・インフラストラクチャ・セキュリティ庁が対応に関与していたことを知りました。しかし、身代金要求のサイバー攻撃は海外のことだと思っていたら、日本の地方病院でランサムウェアに感染したというニュースが報道され、びっくりしました。インターネットの社会に国境は無いことを実感させられる事例です。
0 件のコメント:
コメントを投稿