州のCISOは最小限の資金で、増大する脅威環境に立ち向かっている：Cybersecurity Dive

DeloitteとNASCIOによる報告は、州が国家支援や犯罪者による脅威グループと戦うための十分なリソースを持っていないことを警告している。州のCISOが置かれている厳しい現状とは。

[David Jones，Cybersecurity Dive]

　コンサルティング企業のDeloitteと全米州最高情報責任者協会（National Association of State Chief Information Officers）によって発表された報告書によると（注1）、米国全土の州政府はこれまでになく高度で複雑なサイバーセキュリティ環境に直面しており、多くの州のCISO（最高情報セキュリティ責任者）は「コンピュータシステムや重要インフラを保護するための十分な資金がない」と述べている。

5人に2人は「金欠」　州のCISOが置かれている厳しい現状

　報告によると州のCISOは、古い技術に依存したコンピュータネットワークを限られたITセキュリティの予算で保護するよう求められているという。これらの州にとって最も大きな懸念の一つは、スタッフが不足している、古い技術に依存した地方の公共事業や水インフラの保護であり、国家に関連する高度な脅威グループがこれらのシステムを積極的に狙っている。

　州のCISOのおよそ5人に2人は「これらの脅威に対抗するために必要な財政支援を受けていない」と回答している。連邦予算ではIT支出の約10〜12％がサイバーセキュリティに割り当てられている。しかし、「IT予算の割り当てが10％以上である」と回答したのはわずか6％だった。

　近年、州および地方政府において、犯罪者によるランサムウェア攻撃や国家に関連する攻撃の脅威が増大している。幾つかのケースにおいて、脅威グループはサービスが終了していたり、修正されていなかったりする古い技術やコンピュータシステムを悪用している。

　Deloitteで政府および公共サービスへの世界的なコンサルティングを担当するリーダーであり、報告書の共著者でもあるスリニ・スブラマニアン氏は「トップ5の障壁のうち、最も大きな障壁は古い技術であり、それを保護するための対策を講じる際の課題だ」と述べた。

　2024年9月23日（現地時間）の週に、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は（注2）、米国の飲料水および排水処理施設を標的とするハクティビストに関する警告を再確認した。地方のオペレーターはしばしば古い技術に依存しており、未修正のデバイスやインターネットに露出したデバイスを使用している上、依然としてデフォルトのパスワードを使用している。

　多くの施設では多要素認証が有効になっていない。

　最近の調査では、2022年に発生した「AlphV/BlackCat」によるサフォーク郡に対するランサムウェア攻撃が取り上げられた（注3）。この脅威グループは「Apache Log4j」の脆弱（ぜいじゃく）性を悪用し、古いコンピュータシステムや迂回されたファイアウォールを利用した。さらに、地元の当局は攻撃前にFBIが出した脅威に関する警告を無視していた。

　近年、ニューヨーク州は、サイバーセキュリティ体制を強化するために複数の措置を講じている。これにはサイバー責任者の任命や州全体に関連するサイバー戦略の立ち上げが含まれている（注4）。

　国土安全保障省は2024年9月に、州および地方のサイバーセキュリティを助成するプログラムに2億8千万ドルを割り当てた（注5）。

（注1）2024 Deloitte-NASCIO Cybersecurity Study（Government & Public Services）
（注2）CISA again raises alarm on hacktivist threat to water utilities（Cybersecurity Dive）
（注3）Suffolk County ransomware attack linked to lack of planning, ignored warnings（Cybersecurity Dive）
（注4）New York rolls out statewide cybersecurity strategy（Cybersecurity Dive）
（注5）State and Local Cybersecurity Grant Program Fact Sheet（CISA）

原文へのリンク