Cloud CISO の視点: 水の安全を後回しにできない理由

※この投稿は米国時間 2024 年 8 月 1 日に、Google Cloud blog に投稿されたものの抄訳です。

2024 年 7 月、2 回目の投稿となる Cloud CISO の視点へようこそ。本日、ゲスト コラムニストの Sandra Joyce が、飲料水システムをサイバーセキュリティのリスクから保護するために必要な複雑な対応について説明します。

これまでのすべての「Cloud CISO の視点」と同様、このニュースレターのコンテンツは Google Cloud 公式ブログに投稿されます。このニュースレターをウェブサイトでご覧になっており、メール版の受信をご希望の方は、こちらからご登録ください。

--Google Cloud、TI セキュリティ担当 VP 兼 CISO、Phil Venables

水源の保護: 水の安全を後回しにできない理由

執筆者: Google Cloud、Google Threat Intelligence 担当バイス プレジデント Sandra Joyce

きれいで信頼できる飲料水はたいてい、当然のことのように思われています。水がどこから来るのかを、どのくらいの頻度で考えますか？あるいは、それを供給するパイプやインフラストラクチャはどれほど安全なのかを考えることはありますか？歯を磨くとき、ほとんどの人は自治体の水道事業を管理するコンピュータ システムのサイバーセキュリティ以外のことを考えています。しかし、もっと多くの人がサイバーセキュリティのことを考えるべきです。

水道システムがサイバー攻撃の最前線に立つケースが増えています。ハッカーの中には、利益を得るためにランサムウェアをデプロイする犯罪者もいれば、戦時中の将来の破壊活動に備えている外国の軍隊や諜報機関もいます。水道システムへの脅威は米国のサイバーセキュリティの最大の弱点であり、敵対者もそれを知っているようです。

最近、ロシアのハッカーがテキサス州の水道施設を停止させたと主張しました。彼らはテキサス州の水域の機密制御システムを巧みに操っている自分たちの動画を投稿し、少なくとも 1 つの水域の代表者がサービスの停止を公に認めました。このグループは、APT44 またはサンドワームとしてよく知られているロシア連邦軍参謀本部情報総局と不透明なつながりがあります。その結果、米国財務省は 2024 年 7 月に、サイバー作戦で果たした役割を理由にロシアのハクティビスト グループのメンバー 2 人に制裁を科しました。これは、攻撃者を撃退するための全体的な戦略の重要な部分です。

APT44 は 2016 年の米国大統領選挙や平昌オリンピックを攻撃し、ウクライナで停電を引き起こしました。また、史上最も高額なサイバー攻撃である NotPetya を実行して、世界中の配送やサプライ チェーンを混乱させました。

米国サイバーセキュリティ インフラストラクチャ セキュリティ庁（CISA）、米国国家安全保障局（NSA）、連邦捜査局（FBI）、環境保護庁（EPA）、イスラエル政府によると、中国とイランのハッカーも米国の上下水処理コンピュータ システムを標的にしています。Volt Typhoon として知られる中国関連のハッカーたちは、米国やアジア太平洋地域の同盟国のシステムにひっそりと潜り込むことが特に得意で、「地政学的緊張や軍事紛争の可能性が生じた際」にシステムを攻撃し、安全な水へのアクセスを妨害するために、何年も待ち続ける可能性があります。

水インフラストラクチャが依存しているような従来の産業用制御システムも信頼性と安全性を考慮して設計されていますが、多くの敵対者は依然として、多層防御戦略と、IT ネットワークから運用技術資産への移行に伴う固有の技術的課題に阻まれる可能性があります。水管理システムにアクセスする脅威アクターは、多くの場合、標的システムのエンジニアリングに関する深い理解を必要とし、また、下流に望ましい悪影響をもたらすために、安全制御を無効にするなど、特定の方法でシステムを巧みに操る能力も備えている必要があります。

しかし、あまり巧妙でない脅威アクターは、水処理施設などの重要インフラストラクチャを標的にすることへの関心を高めています。より広範なメッセージングや情報操作の目的で、サイバー攻撃が成功したという主張の裏付けにアクセスを利用しようとする可能性さえあります。

あらゆる危険に対する重要インフラストラクチャのレジリエンスの向上に関する懸念、特にレジリエンスの確保におけるサイバーセキュリティの役割は、今年 2 月に大統領科学技術諮問委員会（PCAST）が発表したレポートの主題でした。PCAST のメンバーである Google の Vint Cerf は最近、水道システムが直面している課題に対処するには、「極度のプレッシャーの下でも期待どおりに機能する重要インフラストラクチャをサポートするシステム全体」を設計する必要があると Forbes に書いています。

PCAST レポートには、次の 4 つの主要な提言が含まれています。

• レジリエンスを測定する方法を確立し、自然災害、エラー、攻撃などの逆境に直面した場合でも、日常生活に不可欠な重要なサービスに対する最低限の提供目標とともに、パフォーマンス目標を設定する。
• 既存のインフラストラクチャの弱点をより深く理解し、強力な復元性を実現できる改善点を特定するために、研究開発をサポートおよび調整する。脆弱性や集中リスクを発見して対処するうえで敵対者に打ち勝てるように、強力な復元性には、インフラストラクチャをマッピングできる国家重要インフラストラクチャ観測所の設置を含める。
• 国の重要インフラストラクチャ部門のレジリエンス目標をサポートし、米国民が必要とするサービスを確実に提供できるように、サイロ化を解消し、政府のサイバーフィジカル レジリエンス能力を強化する。
• インフラストラクチャの信頼性とレジリエンスを確保するために、業界、取締役会、CEO、および経営幹部の説明責任を強化する。

サイバー攻撃中に水の安全に影響を与えることは依然として難しいものの、システムを一時的に停止させ、その結果をソーシャル メディアに投稿することは、はるかに実現可能です。米国には、153,000 を超える公営の飲料水システムと,、16,000 を超える廃水処理システムがあります。ハッカーはこれらのシステムのほんの数パーセントを停止させるだけで、トップニュースとなり、パニックを引き起こすことができます。

水道システムの稼働を維持する IT ワーカーは、今日では劣勢に立たされています。多くは、IT アップグレードやセキュリティのための予算が乏しい、高度に規制された地域独占企業です。最高の外国軍事作戦、つまり膨大な国家の技術リソースと人的資源を標的に集中させられる軍事作戦に対抗できる技術専門家を抱えている企業はわずかです。こうした企業は、巨大なゴリアテに対して小さなパチンコで武装しているようなもので、公平な戦いではありません。

上記のインシデントが示すように、脅威アクターの活動場所は人口密集地にとどまりません。多くの場合、地方の水道システムは軍事基地や発電にも利用されています。水の停止や汚染を引き起こすハッキングは、こうしたグループが求めている世間の注目を集めることになります。水道システムを守ることは、国家の共通の責任でなければなりません。

元国家サイバー長官の Chris Inglis 氏が言ったように、産業システムへのハッキングを非常に困難にし、国家や犯罪者が「私たちの誰かを倒すには私たち全員を倒さなければならない」ようにする必要があります。米国のきれいな水の供給を守ることに関しては、私たち全員が同意できることです。

その他の最新情報

セキュリティ チームからこれまでに届いた今月のアップデート、プロダクト、サービス、リソースに関する最新情報は以下のとおりです。

• 新しい Modern SecOps マスタークラスでセキュリティ運用を変革する方法の詳細: Coursera で Google Cloud の Modern SecOps マスタークラスにご登録ください。セキュリティ運用の強化と効率化について学びましょう。詳細はこちら。
• SAIF が安全な AI テストを加速する方法: AI を学ぶ最良の方法は、組織にメリットをもたらす可能性のあるモデルを作成してテストすることです。ここでは、それを安全に行う方法を説明します（開始するための役立つインフォグラフィックも用意されています）。詳細はこちら。
• サイバー公衆衛生: サイバーセキュリティへの新しいアプローチ: サイバー公衆衛生とは、公衆衛生の知見をサイバー空間に応用する、サイバーセキュリティの新しい考え方です。Google Cloud がこの新しいアプローチにどのように関わっているのかご紹介します。詳細はこちら。
• Google Distributed Cloud のエアギャップ環境へのゼロトラスト アプローチ: サイバー脅威が高まる現状においては、エアギャップ クラウドですら安全ではありません。Google Distributed Cloud はゼロトラストに基づき、エアギャップ クラウドを革新しています。詳細はこちら。
• VPC Service Controls のデータ引き出し防御機能をプライベート IP まで拡張: MSCI が、プライベート IP 保護の新しいサポートを使用して、VPC Service Controls による Google Cloud のスケーラビリティの恩恵を受けながら機密データを保護した方法をご覧ください。詳細はこちら。
• データ所在地のための Spanner のデュアルリージョン構成の導入: オーストラリア、ドイツ、インド、日本の Spanner の新しいデュアルリージョン構成では、同じ国内の 2 つの異なるリージョンにまたがることができます。詳細はこちら。
• 生成 AI アプリがアクセスするデータベースにユーザー認証を実装する: 生成 AI アプリがアクセスするデータベースにユーザー認証を実装する方法を説明します。この手順ガイドは、AI アプリケーションを保護するのに役立ちます。詳細はこちら。
• Spanner が地域別パーティショニングを実現: Spanner の地域別パーティショニングを使用すると、単一のグローバル データベースの管理を容易にしながら、世界中のユーザーのレイテンシを改善できます。詳細はこちら。
• Cloud SQL for PostgreSQL で IAM グループ認証の使用を開始する: IAM グループ認証のメリット、そのユースケース、Cloud SQL for PostgreSQL と Cloud SQL for MySQL で IAM グループ認証の使用を開始する方法をご紹介します。詳細はこちら。

今月公開されたその他のセキュリティ関連のストーリーについては、Google Cloud 公式ブログをご覧ください。

脅威インテリジェンスに関するニュース

• Gemini 1.5 Flash でマルウェア分析をスケールアップする: Gemini 1.5 Pro によるマルウェア分析に関する前回の投稿に続き、今回は軽量の Gemini 1.5 Flash モデルをテストし、その大規模なマルウェア解析機能を分析しました。その結果をご紹介します。詳細はこちら。
• Google の Gemini で NIST NICE プロンプト ライブラリを構築できる: Google の Gemini を使用して、NICE フレームワークをガイドするように設計された 6,000 を超える AI プロンプトの包括的なライブラリという革新的なソリューションを作成しました。これがどのように役立つのかをご紹介します。詳細はこちら。
• APT45: 北朝鮮のデジタル軍事機構: 少なくとも 2009 年より長期にわたってスパイ活動を行っている、ある程度の巧妙さを身につけた北朝鮮のサイバー活動グループである APT45 について学習します。APT45 は徐々に金銭目的の活動へと範囲を拡大し、重要インフラストラクチャを頻繁に標的にしています。詳細はこちら。
• いったいこれは誰の声？AI による音声なりすましが次世代のビッシング攻撃を促進する可能性がある: AI による音声クローニングは、人間の発話を驚くほど正確に模倣できるようになりました。Google の Mandiant レッドチームは、防御のテストにこのテクノロジーを活用しています。防御のために組織がどのように準備すべきかをご紹介します。詳細はこちら。

APT41 の新たな脅威活動: Mandiant は、Google の脅威分析グループと連携して、APT41 が、世界的な配送と物流、メディアとエンターテイメント、テクノロジー、および自動車の各分野で活動する複数の組織を標的に継続的なキャンペーンを行い、侵害していることを確認しました。詳細はこちら。

Google Cloud セキュリティおよび Mandiant のポッドキャスト

• ITDR はセキュリティ パズルの欠けているピースなのか: 略語がわかるようにしておいてください。Push Security の共同創立者で CEO の Adam Bateman が、ホストの Anton Chuvakin と Tim Peacock とともに、ITDR（Identity Threat Detection and Response）について詳しく説明します。ご自身の組織に役立つかどうかご確認ください。ポッドキャストを聴く。
• キャリアパスから SOC チームのスケーリングまで、検出エンジニアリングについて知っておくべきこと: Datadog の検出および研究担当シニア ディレクターであり、Detection Engineering Weekly の創立者でもある Zack Allen が、Anton と Tim とともに、検出エンジニアになるために必要なあらゆることを徹底的に解説します。ポッドキャストを聴く。
• 防御側の優位性: イランの脅威アクターの今年の活動: Mandiant の APT 研究者である Ofir Rozmann がホストの Luke McNamara に加わり、注目すべきイランのサイバー エスピオナージ アクターと、今年のこれまでの活動についてご説明します。ポッドキャストを聴く。

月 2 回発行される「Cloud CISO の視点」をメールで受信するには、ニュースレターに登録してください。また 2 週間後に、Google Cloud からセキュリティ関連の最新情報をお届けします。

-Google Cloud、TI セキュリティ担当 VP 兼 CISO Phil Venables

-Google Threat Intelligence 担当 VP Sandra Joyce