列車が線路上で許可されている速度を超えると、脱線の危険が生じ、乗車中の人が死亡したり、輸送中の貨物が破壊されたり、鉄道システムの周囲のインフラが損傷したりする可能性があります。

脱線の危険性を下げるために、多くの規制当局は鉄道所有者に対し、次のような形で自動列車保護を実装するという要件を設けています。これらは、列車同士の衝突、速度超過の脱線、誤った位置に放置されたスイッチによる列車の移動を防止するために設計されたシステムです。これらは鉄道の安全性を向上させるための重要なシステムである、と鉄道部門に重点を置いたサイバーセキュリティ会社である Cylus の CTO 兼共同創設者であるミキ・シフマン氏は述べています。

PTC を実装するには、「列車は地上設備と通信し、地上設備はステータス信号などのさまざまな命令を列車に送信します。これにより、列車は線路の現在の状態と停止すべきかどうかを知ることができます。」とシフマン氏は説明します。

PTC は無線通信に依存して機能しており、安全性と効率性を高めるために列車にデジタル コンポーネントを導入していますが、無線チャネル、サプライ チェーン、さらには内部関係者によって侵害される可能性もあります。

「システムへの接続を追加すればするほど、システムも適切に保護されるようにする必要があります。」と Shifman 氏は言います。

それは、デジタル コンポーネントの安全性を確保するだけではありません。コンポーネントが列車に接続するために使用する物理的な場所も重要です。

「多くの場合、線路の周囲に数千の場所がある場合もある数百の接続デバイスや沿線機器で構成され、誰かがアクセスできる物理的な場所がある列車について考えてみると、不正な攻撃者がアクセスできる可能性のある別のバックボーン通信リンクが存在することになります」とシフマン氏は言います。 「それらはすべて潜在的な侵入ポイントであり、物理的にもアクセス制御を適切に監視することによって、可能な限り安全に保護される必要があります。」

鉄道システムの物理的脆弱性の 1 つは、2024 年パリオリンピックの開会式に向けて明らかになりました。攻撃者光ファイバーケーブルを切断するそれは線路に沿って走り、その後線路に火を放ち、パリに往復する約80万人のサービスを混乱させた。

この事件は列車の自動列車保護システムに影響を与えたもので、2024 年に鉄道所有者と運行会社が追跡したセキュリティ インシデントの 1 つにすぎないとシフマン氏は付け加えました。

「運用に不可欠な侵害を受けたサードパーティに関連する可能性があり、運用が停止したケースも他にもありました。」と彼は言います。

鉄道の安全性の向上

鉄道所有者と運営者は過去 25 年間、デジタル接続が進むにつれてシステムのサイバーセキュリティを強化する旅を続けてきた、と米国鉄道協会 (AAR) の会長兼 CEO であるイアン ジェフリーズ氏は 11 月に米国下院国土安全保障委員会の小委員会での証言で述べた。

「鉄道は、悪意のあるサイバー活動を効果的に防止し、対応するために、民間と公共の機能を強力に組み合わせて活用しています」とジェフリーズ氏は付け加えた。 「脅威が進化する中、私たちの業界は、動的な脅威の状況に対処するために機敏性と革新性を維持するよう努めています。」

この進化する脅威の状況には、ランサムウェア攻撃、構成ミス、運輸部門などの重要なインフラに侵入し、紛争時にインフラを混乱させる可能性がある国家の取り組みが含まれます。

---

コンセプトの中核は、政府は達成すべき目標と成果を設定できるが、そこに到達する方法を正確に伝えるべきではないということです。サイバーは流動的であるため、サイバーはネットワークや業界によって異なります。

---

この状況の変化に対応して、米国運輸保安局 (TSA) は、地上産業 (貨物鉄道、旅客鉄道、公共交通機関、高速道路、自動車運送業者) 向けの自主ガイドライン、行動項目、ベスト プラクティスを発行しました。その作品はその後に基づいて構築されました。植民地時代のパイプラインランサムウェア事件、TSA が特定の鉄道所有者と運営者に対し、組織、ポリシー、および手順にセキュリティ変更を行うよう求める年次セキュリティ指令を発行し始めたとき。

しかし、2021 年に発行された最初のセキュリティ指令は業界からは歓迎されませんでした。この指令には、利害関係者が実現不可能だとした措置やスケジュールを緩和するための規範的な要件が含まれていた。 TSA の地上政策担当エグゼクティブ ディレクターであるスコット ゴートン氏は、この指令に関する業界からのフィードバックの中で印象に残るテーマの 1 つは、規定された方法論が時代遅れであり、実践者が革新的になるのを妨げるということであったと回想しています。

「それは私たちの耳に非常に大きな音で響きました」とゴートンは付け加えた。 「サイバー環境は急速に変化するため、革新的で機敏である必要があります。新しいテクノロジーやテクニックを使用する準備ができていなければなりません。私たちは、人々がそれを行うことを妨げるような規制ボックスを作りたくありませんでした。」

そこで、TSA は振り出しに戻り、対象分野の専門家と毎週会議を開き、新しい2022 年のセキュリティ指令結果を重視し、パフォーマンスに基づいた規制構造を確立しました。

「基本的な概念は、政府が達成すべき目標と成果を設定できるということですが、サイバーは流動的であるため、そこに到達する方法を正確に伝えるべきではありません。サイバーはネットワークや業界によって異なります。」とゴートン氏は付け加えます。

その後のセキュリティ指令はその構造に従っています。セキュリティ指令は業界によって支持されていますが、一時的な要件であるため、実装に関しては課題がありました。毎年更新する必要があり、これでは業界は長期的に何を予測し、準備すべきかについて一貫性を保つことができません、とモーガンフランクリン コンサルティングの公益事業、製造、食品、飲料、輸送担当マネージング ディレクターのマイケル ウェルチ氏は述べています。

「リソースが限られているため、それが指令である場合、何をすべきか、運用をサポートするために必要なリソースをどのように投入するかなど、ロードマップや修復方法の計画を立てるのは困難です。」とウェルチ氏は付け加えます。

規制の変更

セキュリティ指令に関する作業と業界からのフィードバックにより、サイバーセキュリティと鉄道システムの回復力を強化するための TSA の最新の取り組みが決まりました。a,これにより、以前に発行されたセキュリティ指令が正式な継続的な規制に変わります。

本稿執筆時点では、提案されている規則は、米国の鉄道輸送貨物の 94 パーセントを担う約 73 の貨物鉄道に適用されることになります。あるいは、提案されている規則は、アムトラックを含む 34 の鉄道輸送および旅客鉄道に適用されることになります。 TSA は、提案された規則への最初の準拠には 22 億ドルの費用がかかると見積もっています。

一般に、提案された規則では、特定の貨物鉄道および旅客鉄道の所有者および運営者に、物理セキュリティとサイバーセキュリティの両方のセキュリティ コーディネーターを任命することが求められます。

さらに、より高いサイバーセキュリティ リスク プロファイルを持つ所有者や運用者は、包括的なサイバー リスク管理プログラムを確立し、維持する必要があります。これらには次のものが含まれます:

• 
  
  
• クラス II 鉄道、または危険性の高い都市部で一定量の鉄道保安上重要な物質を輸送する鉄道
  
  
• プロバイダーを 2 つ以上のクラス I 鉄道に切り替える
  
  
• 2 つ以上のクラス I 鉄道のターミナル サービス プロバイダー
  
  
• 最終規則発効日以前および発効日以降の 3 年間のいずれかにおいて、平均 400,000 列車マイル以上の走行距離を有する事業者
  
  
• 米国国防総省によって指定された防衛接続鉄道
  
  
• 上記の貨物鉄道運営のホスト
  
  
• 最終規則発効日以前の 3 年間および発効日以降のいずれかの 1 年間に、1 日の平均非リンク乗客旅行数が 5,000 人以上の旅客鉄道
  
  
• 発効日以前の 3 年間または発効日以降のいずれかの 1 年間に、リンクされていない旅客旅行が 1 日あたり年間平均 50,000 人以上の鉄道輸送システム

提案されている規則では、「リンクされていない旅客旅行」を「出発地から目的地までの移動に基づいてではなく、車両に乗車するたびにカウントされる個人の公共交通機関の乗車回数」と定義しています。

対象となる事業体は、全社規模のサイバーセキュリティ評価を毎年実施し、対象プロファイルと比較して現在のサイバーセキュリティ プロファイルを特定する必要があります。これには、提案されたルールで特定されたセキュリティの成果が含まれている必要があります。米国標準技術研究所 (NIST) のサイバーセキュリティ フレームワーク。

さらに、対象となる企業は、次の 5 つの主な規定を含むサイバーセキュリティ運用実施計画 (COIP) を作成する必要があります。

1. 所有者または運営者のサイバーセキュリティ リスク管理プログラムのガバナンスを担当する個人または役職の識別。ガバナンスは、経営幹部と指定されたサイバーセキュリティ コーディネーターにも及ぶ必要があります。
   
   
2. 重要なサイバー システム、特定のネットワーク問題、ベースライン通信の特定。
   
   
3. 特定された重要なサイバー システムを保護するための対策の詳細。
   
   
4. サイバーセキュリティ インシデントを検出し、重要なサイバー システムを監視するための対策の詳細。
   
   
5. サイバーセキュリティ インシデントへの対応とそこからの回復に対処するための措置。

組織はまた、評価のスケジュール、評価結果の年次報告書、未対処の脆弱性の特定、計画の有効性を評価するために任命または雇用された個人または企業が評価結果に金銭的利益を持たずに独立しているという保証を含むサイバーセキュリティ評価計画を策定する必要があります。

提案されている規制には、設計によるセキュリティの概念が組み込まれており、ウェルチ氏はこれを支持していると述べています。

「IT/サイバーセキュリティとエンジニアの両方が話し合いの場に集まり、最初からセキュリティを確実に設計できるよう協力することになると思います」とウェルチ氏は説明します。 「この新しい規制で提案されている最大の変更は、設計およびデフォルトによるセキュリティの原則であると思います。後から何かを追加しようとするのではなく、ベンダー、エンジニア、開発担当者を早期に導入する必要があります。」

これらの同じ鉄道所有者と運営者も、重大な物理的セキュリティ上の懸念を TSA に報告し、重大なサイバーセキュリティ インシデントをサイバーセキュリティ・インフラストラクチャ セキュリティ庁 (CISA) に報告する必要があります。

規則案では、サイバーセキュリティ インシデントを「法的権限なしに、コンピュータ、情報または通信システムまたはネットワーク、コンピュータまたは情報システムによって制御される物理または仮想インフラストラクチャ、あるいはシステム上に常駐する情報の完全性、機密性、可用性を危険にさらす、混乱させる、またはその他の影響を与える、または合理的にその可能性が高いイベント」と定義しています。

ゴートン氏は、CISA がサイバーインシデント報告の取り込みを処理できるため、インシデントの報告は分割されていると述べています。これらの報告を CISA にプッシュすることで、CISA がサイバーインシデント報告の中心ハブとして機能することも可能になります。これにより、CISA は複数の交通手段を含む重要インフラの 16 部門すべてを調査して傾向を特定できるようになったと付け加えました。

ウェルチ氏は、それぞれの業務には異なるスキルセットが必要なため、物理的インシデントとサイバーインシデントの報告を分割しても構わないと述べています。

「物理的なセキュリティは異なります。もちろん、カメラ、カード リーダー、アラーム、パネルなどのテクノロジーを活用したものです」とウェルチ氏は付け加えます。 「類似点はたくさんありますが、物理的セキュリティの専門家とサイバーセキュリティの専門家はスキルセットが異なります。個人的には、彼らが異なる機関に所属することは気にしません。物理的なセキュリティ侵害は潜在的にサイバー侵害への一歩となる可能性があるため、できれば他の業界全体のシェアとISACSが支援してくれることを願っています。」

---

この調和の欠如は混乱を引き起こすだけでなく、24時間の枠は現実的ではありません。

---

さらに、影響を受けるシステムと施設を特定するには、インシデント報告書が必要になります。脅威、インシデント、IT および運用テクノロジー (OT) システムと運用に対する影響または潜在的な影響について説明します。

対象となる所有者と運営者は、サイバーセキュリティ インシデントを特定してから 24 時間以内に報告する必要があります。ただし、この潜在的な要件はすでに反対を受けています。ジェフリーズ氏は証言の中で、事件を72時間以内に報告するという既存の議会の義務に抵触すると述べた。

「この調和の欠如は混乱を引き起こすだけでなく、24時間の枠は非現実的です」とジェフリーズ氏は語った。 「24 時間以内に攻撃が依然として発生している可能性があり、不正確ではないにしても、事件に関する情報の完全性は低下し、鉄道は攻撃への対応や報告要件の遵守にリソースと人員を引き離すことになるでしょう。」

ジェフリーズ氏はまた、鉄道保安コーディネーターが米国国民であるという規則案の要件との矛盾を証言で共有した。

「米国の 2 つの大きな鉄道会社はカナダに本社を置き、ハイレベルのサイバーセキュリティの役割にカナダ国民を雇用しています」とジェフリーズ氏は説明しました。 「これらの高度なスキルを持つ上級レベルの従業員がセキュリティコーディネーターとして会社を代表することを禁止することは、明確なセキュリティ上の利点をもたらさず、これらのカナダの鉄道が遵守することを非常に困難にしています。」

潜在的な要件は 9/11 法と一致していますが、TSA はセキュリティ コーディネーターの要件を免除できます。セキュリティ コーディネーターがセキュリティ上の脅威の評価を完了した場合。

「政府機関の観点からすると、市民権要件の目的は、対象となる各所有者/運営者が、外国国民と共有できない諜報情報を含む重要な脅威情報を受け取るための指定された連絡先を確保することである」と規則案は述べている。 「TSA は、所有者/運営者が、勤務中のセキュリティ コーディネーターに特定の情報を受け取る許可がない場合、その個人がセキュリティ コーディネーターまたは必要な許可を持つ他の適切な個人に速やかに通知することを保証すると想定しています。」

次のステップ

全体として、ジェフリーズ氏は、TSAが規制をより効果的なものにするこの規則策定プロセスを開始したことをAARが嬉しく思っていると述べた。ただし、彼は証言の中で、AAR が政府機関による行動を望んでいる追加の 2 つの分野について概説した。

まず、鉄道業界に対するサイバー事件と攻撃について政府が追加分析し、ネットワークを強化する方法に関する所有者と運営者の決定をより適切に知らせること。

「第二に、政府は運輸会社のサイバーセキュリティリスクに焦点を当てているが、業界へのサプライヤーのセキュリティを確保する重要性を見落としている」とジェフリーズ氏は付け加えた。 「サプライヤーは鉄道運営のさまざまな側面で重要な役割を果たしており、政府はサイバーインシデントに対するサプライヤーの脆弱性に直接対処する最善の方法を検討する必要があります。」

---

コンプライアンスはセキュリティを意味するものではありませんが、コンプライアンスは企業にセキュリティについて考え始めるきっかけとなります。

---

利害関係者は、2025 年 2 月 5 日までに規則案に関するコメントを提出する必要があります。 TSA はそれらのコメントを検討して対処し、最終的に規制となる最終規則を発行します。

ウェルチ氏は、関係者に対し、提案された規則を検討し、それがどのような影響を与えるかを理解し、最終的な規則を形成するためのパブリックコメントプロセスに参加することを奨励します。

「この分野に重点を置くサイバーセキュリティ専門家として、[ルール案は]必要なステップです」と彼は付け加えた。 「私は常にコンプライアンスを支持しているわけではありません。これは世にある格言です。コンプライアンスはセキュリティを意味するわけではありませんが、コンプライアンスは企業にコンプライアンスについて考え始めるきっかけとなります。なぜなら、何かが起こったときに罰金や評判の問題を企業は望んでいないからです。」

ルール作成プロセスが進行する一方で、ウェルチ氏はセキュリティ担当者に対し、提案されたルールに含まれる対策の一部を導入する作業を開始するよう奨励しています。

「たとえあなたがその[対象となるエンティティのカテゴリ]に属していなかったとしても、後でそれが手に入らないという意味ではありません」とウェルチ氏は言います。 「今すぐ始めましょう。私たちは国の重要なインフラを守るためにこれを行っています。」

規則案はバイデン政権下で発行された。 1月にトランプ政権が発足するが、それが規制の策定にどう影響するかは不透明だ。しかし、ゴートン氏は、すべての連邦規制と同様に、パブリックコメントを可能にし、規制当局が要件を課す前に慎重に検討していることを確認するための期限が組み込まれていると述べています。

「業界関係者の中には、非常に興味があり、コメントするつもりだと非公式に知らせてくれた人もいる」とゴートン氏は言う。 「かなり大量の詳細なコメントが寄せられると予想しています。これは大きなルールであり、多くのことに関係していますが、規制対象の企業に重大な財務的影響を与えるという事実を私は無視しません。誰もがこれについて熟慮する必要があります。」

 

ミーガン・ゲイツはセキュリティ・テクノロジーの編集長です。 で彼女とつながりましょう[email protected]または上

最も人気のある記事

1. 新しい国際 AI 安全性報告書が新たなリスクに焦点を当てる

2. ルーヴル美術館の館長、セキュリティー違反と詐欺で辞任

3. 医療訪問者管理におけるセキュリティのギャップを見つけて埋める