米国における石油パイプラインのサイバーセキュリティの動向

 　今回は、2022年7月に米国運輸保安局が石油・天然ガスパイプラインのサイバーセキュリティ指令（指示書）を改訂したことと、昨年8月に米国石油協会（API）がパイプライン制御システムのサイバーセキュリティ規格の改訂版を出した米国のサイバーセキュリティの動向を紹介します。

< まえがき >

■　米国運輸保安局（Transportation Security Administration ；TSA）は、パイプラインの所有者とオペレーター向けの石油・天然ガスパイプラインのサイバーセキュリティ指令（指示書）を改訂し、発行した。

■　最初に出された指示書（指令書）は、2021年5月7日に米国東海岸の燃料需要の45％を移送するコロニアルパイプラインがランサムウェア攻撃（身代金ウィルス）を受けて停止したことを踏まえて、2021年7月に出されたものである。ランサムウェア攻撃を受けたパイプラインは、燃料不足が広がった後、2021年5月15日に通常の操業に戻った。米国司法省は後に支払われた身代金の一部を回収した。新しい必要事項は、業界の関係者や同省のサイバーセキュリティ・インフラストラクチャ・セキュリティ局（CISA）を含む米国政府の関係機関が協力して開発された。

■　コロニアルパイプラインのランサムウェア攻撃については、「米国東海岸に石油を供給するコロニアルパイプラインにサイバー攻撃（身代金払う）」を参照。　

< 改訂された必要事項 >

■　改訂された必要事項は規定的なものではなく、一般的な検討プロセスと期待される結果を考える、いわゆるパフォーマンスベースのものであり、企業は新しいテクノロジー（技術）を利用し、状況に応じて適応することができる。社会基盤施設の中断や劣化を避けるために、パイプラインの所有者とオペレーターは、ネットワークをどのように分割するかの方針を策定し、サイバーシステムへの不正アクセスを防止するアクセス制御手段を構築し、サイバーセキュリティの脅威を検知して異常を修正するため、継続的な監視や侵入検知の基本方針について作成しなければならない。さらに、コンピューターの弱点を補うためのプログラムであるセキュリティパッチを導入して更新を定期的にインストールする必要がある。

■　さらに、所有者とオペレーターは、米国運輸保安局（TSA） によって承認されたサイバーセキュリティ実施計画を策定し、サイバーセキュリティ事故対応計画を作成・維持し、システムを“積極的に” テストして弱点を解決するためのサイバーセキュリティ評価プログラムを確立しなければならない。

■　この新しい必要事項は、サイバーセキュリティの重大事故をサイバーセキュリティ・インフラストラクチャ・セキュリティ局（CISA）報告し、サイバーセキュリティの連絡先を確立し、年次のサイバーセキュリティ脆弱性評価を実施するという既存の義務事項に加えたものである。米国運輸保安局（TSA）によると、この新しいセキュリティ指令（指示書）が進化していくサイバーセキュリティの脅威を軽減させるのに役立つという。今後、一般からの意見提出ができるように正式な規則制定プロセスを開始する予定である。

■　米国運輸保安局（TSA） は、国家の輸送システムをサイバー攻撃から安全に保つことに尽力している。今回のセキュリティ指令（指示書）の改訂は、米国運輸保安局（TSA） と石油・天然ガスパイプライン業界との重要な協力関係に基づくものである。米国運輸保安局（TSA） の長官は、つぎのように述べている。「この指令（指示書）は、我々のセキュリティ必要事項を満たすために、システムや運用の多様性に対応する新しいモデルを確立するものである。我々は、各企業が異なることを認識しており、サイバーセキュリティの成果を出すために継続的に監視し、監査を行ってきたし、これらの評価をもとに対応方法を開発してきた。我々は輸送部門の人たちと協力して、システム全体のサイバーセキュリティを高め、この重要な社会基盤施設を保護するために行ってきた過去1年間の作業に謝意を表する」

■　米国石油協会（API）もパイプラインのサイバーセキュリティ規格を発行しており、最新版は2021年8月に発行された。

< 米国石油協会（API）のパイプラインのサイバーセキュリティ規格 >

■　米国石油協会（American Petroleum Institute；API）は、パイプライン制御システムのサイバーセキュリティ規格「API Std 1164」（Pipeline Control Systems Cybersecurity）の第3版を発行した。

■　改訂された規格は、旧版の適用範囲を拡大し、監視制御やデータ収集（SCADA）システムだけでなく、すべての制御システムのサイバーセキュリティを対象としている。これには、パイプライン、タンクターミナル、製油所などサプライチェーンに沿った保護を強化するため、ランサムウェアを含むさまざまな脅威に対するパイプラインのサイバーセキュリティの必要事項が含まれている。また、リスク評価ガイドラインの改善、実装モデル、米国運輸保安局（TSA）が提示している必要事項（要件）を満たす安全性の高い産業用自動制御（Industrial Automation Control ；IAC）セキュリティプログラム構築のために最適な解決策を見出すフレームワークも含まれている。

■　米国最大の石油パイプラインのコロニアルパイプラインが、2021年5月にロシア系ハッカー集団ダークサイド（DarkSide）による大規模なランサムウェア攻撃（身代金ウィルス）を受けて停止し、燃料不足と価格上昇を引き起こし、一部の製油所では減産を余儀なくされた。米国大統領は、サイバーセキュリティを強化するための大統領令に署名し、米国政府機関が民間部門と緊密に連携し、サイバー攻撃に対する信頼性を高め、情報の共有化や技術の展開を行うこととした。

■　米国石油協会（API）によると、今回の規格改訂は米国の国家安全保障の優先事項をサポートするとともに、強靭な社会基盤施設を目指す国連の持続可能な開発目標（UN SDG）9をサポートするものだという。

■　API Std 1164は2017年から検討が進められており、改訂版の発行にあたり、米国石油協会（API）は、米連邦エネルギー規制委員会（Federal Energy Regulatory Commission；FERC）、運輸保安庁（Transportation Security Administration；TSA）、パイプライン・危険物安全局（Pipeline and Hazardous Materials Safety Administration； PHMSA）の国内の各州と政府の規制当局、アルゴンヌ国立研究所（Argonne National Laboratory）のほか、米国ガス協会（American Gas Association；AGA）、米国州内ガス協会（Interstate National Gas Association of America INGAA）、石油パイプライン協会（Association of Oil Pipe Lines；AOPL）のパイプライン事業者など70を超す団体と協議してきた。これは、米国国立標準技術研究所（National Institute of Standards and Technology；NIST）が開発した最適な解決策を見出すためのサイバーセキュリティ・フレームワークとNERC-CIP（重要インフラストラクチャー保護；Critical Infrastructure Protection）に基づいている。

■　APIグローバル・インダストリー・サービス部門はつぎのように述べている。

「新版のAPI Std 1164は、米国のパイプライン網や重要なエネルギー関連の社会基盤施設をサイバー攻撃から守るために米国政府と協力してきた我々の業界の長い歴史に基づいている。この規格は、デジタル制御システムと操業制御システムの両方の安全なための防護を強化し、パイプラインに関連するサプライチェーンの安全性を向上させ、混乱を防止することで、国の重要な社会基盤施設であるパイプラインを保護するのに役立つだろう。規格について最適な解決策を見出すためのフレームワークの特徴は、急速に進化するサイバー脅威マトリックスに対して積極的に軽減（緩和）するため、オペレーターに柔軟に対応する適応型リスク評価モデルである」

所　感

■　イランのサイバー攻撃が疑われる事態が発生したのは2016年～2017年で、このブログで紹介した。

　●2016年10月、「イランでサイバー攻撃が疑われる中、精油所でタンク火災」

　●2017年10月、「イランのハッカーがサウジアラビアの石油化学会社へサイバー攻撃」

　その後、サイバー攻撃の“危険性” について指摘されたブログを紹介してきた。

　● 2018年5月、「タンク施設におけるサイバーセキュリティの危険性」

　● 2021年1月、「制御システムへのサイバー攻撃が増加、いま、あなたは何ができるか？」

　● 2021年12月（原文は2021年3月発行）、「化学施設やパイプラインのテロ攻撃に対する防護について」

　昨年は実際に米国のパイプラインがサイバー攻撃を受け、影響が出た。

　● 2021年5月、「米国東海岸に石油を供給するコロニアルパイプラインにサイバー攻撃（身代金払う）」

　そして、今回は米国運輸保安局がパイプラインの所有者とオペレーター向けに石油・天然ガスパイプラインのサイバーセキュリティ指令（指示書）を改訂して発行した。これまでの経緯を見れば、サイバー攻撃とその対応については予想を上回る速さで進んでいる。

■　米国石油協会（API）は、2017年からサイバー攻撃の対応について検討しており、昨年、パイプライン制御システムのサイバーセキュリティ規格「API Std 1164」（Pipeline Control Systems Cybersecurity）の第3版を発行している。米国石油協会（API）の設備規格としては異質であったが、サイバーセキュリティは一部の専門家の領域から石油関連の重要施設に関わる人たちにとって基本知識レベルになりつつある。

備　考

　本情報はつぎのインターネット情報に基づいてまとめたものである。

    ・Tankstoragemag.com, TSA issues new US pipeline cybersecurity requirements（米国運輸保安局が新しく米国のパイプライン・サイバーセキュリティ必要事項を改訂）,  July 25, 2022

     ・Tankstoragemag.com, API publishes new pipeline cybersecurity standard（API が新しくパイプライン・サイバーセキュリティ規格を改訂）, August 23, 2021 

後　記：　サイバー攻撃やサイバーセキュリティと聞くと、人間は進歩しているのか疑問に思います。不条理なことは自然についてもいえます。中国では渇水でダムがカラカラになった映像が流れている一方、パキスタンでは国土の三分の一が浸水しているそうです。日本でも、台風11号がこれまで見たことのないような東から西へのルートでやってきて、宮古島付近で急に北へ進路を変えて、日本への影響が懸念されています。台風は自力で動くわけではありませんが、なにか“進歩している（?）”人間をからかっているように思います。