エクスポージャー管理が州政府および地方自治体のサイバーレジリエンスを効率的かつ効果的に向上させる

重要インフラや基幹サービスを保護するためのサイバーセキュリティ対策への要求が高まる中、州政府と地方自治体は限られたリソースという課題への対応を迫られています。 エクスポージャー管理は、こうした問題の解決に役立ちます。

州政府と地方自治体は、水道、交通網、電力網、緊急サービスなど、私たちの毎日の生活に欠かせない重要インフラの管理を含め、地域社会の日々の生活で重要な役割を果たしています。 こういった行政機関は、このような基幹サービスの提供と保護の最前線に立っています。 たとえ小規模な自治体であっても、サイバー攻撃が成功すれば、日常業務に支障をきたし、機密データが漏洩し、公共の安全が脅かされる可能性があります。

デジタルの脅威がより高度で持続型になるにつれ、州政府や地方自治体のシステムの保護は、もはや単なる技術的な問題ではなく、国家の最も重要な機能を保護する基本的な要素となっています。 この深刻化する課題に立ち向かうために州政府と地方自治体に求められているのは、「確立されたサイバーセキュリティのベストプラクティスと基準に基づいた州全域にわたる包括的なサイバーセキュリティ戦略」、「継続的な予算確保」、「日々進化する脅威に対抗するための協調的な支援」です。

州政府および地方自治体に対するサイバー脅威

重要インフラの最前線で運用を支える州政府や地方自治体は、ますます複雑化し進化を重ねるサイバー脅威の状況に直面しています。 たとえば、2023 年、中華人民共和国 (PRC) の支援を受けた攻撃者グループの Volt Typhoon は、マサチューセッツ州のリトルトン電力水道局 (LELWD) に対して長期にわたるサイバー攻撃を仕掛けました。 これは、同グループによる米国の電力事業に対する初の攻撃でした。 このグループは、機密データの流出を目論み、電力事業のオペレーショナルテクノロジー (OT) インフラを標的にしました。 LELWD は侵害を検出して封じ込めることに成功しましたが、このインシデントは国家支援を受けたサイバー脅威がますます巧妙になっていることや、そうした脅威が基幹サービスにもたらす深刻なリスクを浮き彫りにしました。 この攻撃は単独のインシデントではなく、継続して米国の重要インフラを標的にしている、Volt Typhoon が仕組んだ広範囲にわたるサイバースパイ行為と妨害行為の一環でした。

さらに、2024 年 7 月、オハイオ州コロンバス市は、外国の攻撃者である Rhysida グループが仕掛けた大規模なランサムウェア攻撃を受けました。 この侵害により、社会保障番号、銀行口座情報、その他の機密情報など、50 万人分の住民の個人情報や財務データが漏洩しました。 このインシデントは市のサービスに支障をきたし、市は影響を受けた住民に 2 年間の無料の信用監視 (クレジットモニタリング) サービスを提供する措置を取りました。

2023 年 2 月、カリフォルニア州オークランド市は、Play グループによるランサムウェア攻撃を受け、市の重要なサービスが混乱し、警察官や消防士などの機密の人事記録が流出しました。 この侵害は非常事態宣言の発令につながり、市のサイバーセキュリティ対策に対して深刻な懸念を抱かせる結果となりました。

「米国の重要インフラを標的とする高度持続的脅威 (APT) 攻撃者の活動の増加は、州政府および地方自治体による警戒強化の必要性を浮き彫りにしています。 米国の重要インフラは、公共部門と民間部門の両方の組織によって所有・運営されているため、この脅威は民間企業だけでなく政府機関にとっても懸念事項となります」

- 元米国国土安全保障省サイバーセキュリティ担当次官補、 Mark Weatherford 氏

こうしたインシデントは、地方自治体を狙ったサイバー攻撃の広がりと加速化の傾向の一部であり、地方レベルでのセキュリティ対策を早急に強化する必要性を浮き彫りにしています。 

「米国の重要インフラを標的とする高度持続的脅威 (APT) 攻撃者の活動のこのような増加は、州および地方政府による警戒強化の必要性を浮き彫りにしています」と、元米国国土安全保障省サイバーセキュリティ担当次官補 Mark Weatherford 氏は 2024 年 11 月の Tenable のゲストブログ記事で述べています。 「米国の重要インフラは、公共部門と民間部門の両方の組織によって所有され、運営されているため、この脅威は民間企業だけでなく政府機関にとっても懸念事項となります」

3 月、国家情報長官室 (ODNI) は Annual Threat Assessment of the U.S. Intelligence Community (米国情報コミュニティの年次脅威評価) を発表し、Volt Typhoon を始めとする国家支援による重要インフラへのサイバー脅威に言及し、州や地方レベルでの警戒強化の必要性を強調しました。

州と地方の備えによる効率性の達成: 大統領令 14239

2025 年 3 月 19 日、トランプ大統領は「大統領令 (EO) 14239: 州と地方の備えによる効率性の達成」を発令しました。 この EO の目的は、州政府および地方自治体が、サイバー攻撃などのリスクから重要インフラを保護する際に主導的な役割を果たせるようにすることで、国家の災害への備えとレジリエンスを強化することにあります。また同時に連邦政府の政策を合理化し近代化することで、州や自治体をより効果的に支援することを目指しています。

この大統領令では広範な「オールハザード型」アプローチからリスク情報に基づいた戦略への移行も強調し、インフラへのより賢明な投資を奨励して、「National Resilience Strategy (国家レジリエンス戦略)」と「National Risk Register (国家リスク登録簿)」の作成を要請しています。

州政府や地方自治体がサイバー攻撃対策でより積極的な役割を果たす方法については、大統領令 14239 号のガイダンスと実施内容の詳細が待たれますが、今すぐ実施できる事前対策もあります。 たとえば、定期的なリスク評価の実施、基本的なサイバーハイジーンの採用、能動的なエクスポージャー管理の導入などです。 この不確実性の時代においても、州政府や地方自治体は、今すぐに対策を講じることで、より強靭で安全なインフラ基盤の整備に着手できます。

ギャップを解消: 州政府と地方自治体には、サイバーセキュリティ態勢を強化するためのリソースが必要

多くの州政府や地方自治体は、重要インフラの管理の最前線に立っているにもかかわらず、限られたリソースや老朽化したインフラといった深刻な課題に直面しており、サイバー脅威の検出と対応が困難になっています。

サイバー攻撃に対する防御を含め、国の災害対策やレジリエンスに対する州政府や地方自治体の役割が拡大する中、State and Local Cybersecurity Grant Program (SLCGP) (州政府および地方自治体のサイバーセキュリティ補助金プログラム (SLCGP)) などのプログラムによる支援がこれまで以上に重要になっています。 SLCGP は、州、地方、部族、地域の政府が効果的なサイバーセキュリティ戦略を策定し、実施できるように資金を提供しています。 多要素認証、脆弱性管理、脅威の優先順位付けなど、主要な取り組みに対する資金支援を通じて、SLCGP はこのような政府のサイバーセキュリティ態勢の強化において不可欠な役割を果たしています。

4 月の下院国土安全保障委員会のサイバーセキュリティインフラ保護小委員会での証言で、私は SLCGP プログラムの継続の必要性と、こうした脅威に効果的に対応するためにエクスポージャー管理戦略を採用する重要性を強調しました。 また、4 月 1 日の公聴会「Cybersecurity is Local, Too: Assessing the State and Local Cybersecurity Grant Program (サイバーセキュリティの問題は地域にも: 州および地方のサイバーセキュリティ助成プログラムの評価)」では、州政府や地方自治体が直面する脅威、SLCGP の影響、プログラムの改善点について分析結果を示しました。また州のインフラ (重要インフラを含む) をサイバー攻撃から守る際のリスクを鑑みたアプローチの必要性についても説明しました。

エクスポージャー管理とは何か、行政機関でどのように活用できるのか

エクスポージャー管理は、米国国立標準技術研究所 (NIST) のサイバーセキュリティフレームワーク 2.0 に沿ったものです。リスク情報に基づいたより戦略的なサイバーセキュリティアプローチをサポートし、重要インフラで使用されるすべてのデジタル資産 (オペレーショナルテクノロジーを含む) のアクセス可能性、悪用可能性、重要度を継続的に評価します。 エクスポージャー管理を導入することで、州政府や地方自治体は、国家支援を受けた攻撃者からの絶え間のないサイバー脅威やキャンペーンから環境を保護するための備えを強化した態勢を整えられます。 この事前対策型のアプローチは、州政府や地方自治体による業務効率の向上、コスト削減、新たな脅威からの保護、重要なシステムやサービスの安全性と継続性の保証に役立ちます。

エクスポージャー管理戦略は、外部および内部のアタックサーフェス全体にわたる資産データの検出と集約を可能にするテクノロジープラットフォームを前提としています。 クラウド、IT、オペレーショナルテクノロジー (OT)、モノのインターネット (IoT)、アイデンティティ、アプリケーションにある一見捉えにくい資産は、アタックサーフェスの統合ビューで可視化されます。 エクスポージャー管理プラットフォームは、攻撃者が初期アクセスを取得してラテラルムーブメントを実行するために使用する、脆弱性、設定ミス、過剰な権限という 3 つの予防可能なリスク形態を検出します。 このプラットフォームは検出結果を資産ごとに集計し、それらを正規化して総合的なリスクスコアを算出します。そのためセキュリティ担当部署は、組織にとって最大の潜在的リスクをもたらす資産を迅速に特定できます。 エクスポージャー管理プラットフォームは、検出して維持している資産、アイデンティティ、リスクの関係性についての詳細な情報を、その資産インベントリで共有します。 これにより、リスクの高い資産を確認できるうえ、さらに重要な点として、その資産につながる関連した攻撃経路をすべて確認できます。

Tenable One サイバーエクスポージャー管理プラットフォームが行政機関で役立つ 3 つの方法

州政府と地方自治体は、重要なシステムをサイバー攻撃から守りつつ、効率を高め、コストを削減し、より少ないリソースでより多くのことを行うよう圧力をかけられています。 Tenable One を利用すると、リスクを考慮に入れた事前対策型のアプローチを採用し、最も重大なサイバーリスクに優先的に対処することで、コストが高くつくインシデントを回避し、サービスの運用を継続できます。 Tenable One サイバーエクスポージャー管理プラットフォームは、以下の 3 つの方法において役立ちます。

1. 重要インフラを保護する。 Tenable One は IT 環境と OT 環境の両方を完全に可視化します。そのため、行政機関においては、水道、エネルギー、交通網などの重要なシステムを保護できます。 Tenable はリアルタイムで脅威を検出し、優先順位に基づいて修正するので、セキュリティ部門は問題を早期に特定し、対処することができます。これにより、公共サービスの中断や安全上のリスクを未然に防げます。
2. 効率性と効果を高める。 Tenable One は、クラウド、オンプレミス、アイデンティティ、OT と IoT のシステムを含む環境全体を一元的に可視化し、サイロ化を排除して手作業を減らすことで、担当部署によるスマートな運用を後押しします。 自動化された資産検出、リスクベースの優先順位付け、機械学習を活用したインサイトの提供によって、担当部署はノイズを排除し、最も重要なことに集中し、アタックサーフェスを先行的に削減することができます。
3. コストを削減する。 Tenable One を使用することで、複数のセキュリティツールを単一のプラットフォームに統合できるため、不要な支出をカットし、複雑さを解消することができます。 リスクの高いサイバーエクスポージャーを問題が起きる前に特定して解決することで、データ漏洩、システム停止、コンプライアンス違反による財務上や業務上の影響を軽減できます。

Tenable One が州政府や地方自治体でどのように役立つかについての詳細は、以下をご覧ください。

• 重要インフラ保護対策: 州政府・地方自治体向けのリスクベースアプローチによるサイバーレジリエンスの強化

オンデマンドウェビナーを見る 州政府と地方自治体がエクスポージャー管理でサイバーレジリエンスを高める方法