オーストラリア連邦政府機関のサイバーセキュリティ対策に関する最近の調査により、サイバーセキュリティ攻撃や大規模なデータ侵害に対する公共部門の対策にギャップがあることが判明し、2024年にはサイバー対策の改善に重点が置かれることとなりました。
2024年に公開された、オーストラリア政府機関2社(Services AustraliaとAUSTRAC)の監査では、これらの機関が重大なサイバー攻撃からの回復に十分な準備ができていないことが明らかになった。また、以前の政府全体の調査では、機関のサイバー成熟度の一部の領域にギャップがあることが判明した。
オーストラリア政府の「サイバーセキュリティ戦略2023-2030」では、連邦政府は「産業界に期待するのと同じ基準を自らも維持する」べきであると述べられています。2024年には、オーストラリア通信信号局は政府機関のサイバーセキュリティスキルの向上に重点的に取り組んでいます。
オーストラリア政府機関はサイバー脅威の高まりに対応できない
オーストラリアの公共機関は、保有するデータのためにサイバー犯罪者の主要な標的となっています。例えば、オーストラリア税務局は2024年に、保有する50ペタバイトのデータにより、毎月470万件の攻撃に直面していると明らかにしました。また、2023年には、南オーストラリア州のスーパーファンド運営会社Super SAが侵害を受け、多数の人々のデータがアクセスされました。
2022~23年にオーストラリア政府機関が直面した攻撃
ASDに報告されたインシデントに基づく公式統計によると、政府機関は依然としてサイバー犯罪者にとって魅力的な標的であり、攻撃件数も依然として高いことが示されています。2022年から2023年にかけて、以下の状況が見られました。
- オーストラリア通信信号局に報告されたサイバーセキュリティインシデントの約31%は、オーストラリア政府機関によるものでした。
- このうち 40% 以上は、連邦政府、政府共有サービス、または規制対象の重要インフラを標的とした、組織的な低レベルの悪意あるサイバー攻撃でした。
- ランサムウェアは最も重大なサイバー犯罪の脅威であり、オーストラリア政府機関だけでなく、企業や個人にも大きなリスクをもたらします。
参照: オーストラリアはサイバー セキュリティ スキル不足から抜け出せるでしょうか?
政府機関の現在のサイバーセキュリティ体制
ASDの2023年サイバーセキュリティ態勢報告書は、すべての政府機関の成熟度を評価し、「2023年においても組織全体の成熟度は低いままであった」と指摘しています。報告書では以下の点が指摘されています。
- ASDのEssential Eight緩和戦略全体において、25%の組織が成熟度レベル2と自己評価しました。Essential Eightフレームワークには4つの成熟度レベルがあり、成熟度レベル0が最も低く、レベル3がベストプラクティスとされています。
- 公共部門組織の大多数(71%)は、Essential Eightの緩和戦略「定期的なバックアップ」について、成熟度レベル2と自己評価しました。これは、大規模なサイバー攻撃からの復旧能力に潜在的な問題があることを示唆しています。
- インシデント対応計画を策定していたのはわずか82%でしたが、これは2022年から改善した数字です。このうち90%は計画が過去2年以内に最後に更新されたと回答し、69%は少なくとも2年ごとに計画が制定されていると回答しました。
オーストラリア国立監査局が実施した、オーストラリア連邦警察、オーストラリア税務署、外務貿易省を含む公共部門の機関に対する過去の監査でも、「組織のサイバーレジリエンスの低さが判明」していた。
AUSTRACとServices Australiaがサイバーセキュリティの欠陥を明らかに
2024年6月に発表されたオーストラリア運輸省(ANAO)のサービス・オーストラリアとオーストラリア自然保護庁(AUSTRAC)のサイバーセキュリティインシデント管理に関する報告書では、両機関の対策は「部分的にしか効果的」ではなく、どちらも重大なサイバーセキュリティインシデント発生後の事業継続性や災害復旧を確保するには不十分であると結論づけられました。
国民にサービスと支払いを提供するサービス・オーストラリアと、金融システムの犯罪的乱用を阻止する責任を負うオーストラリア運輸・金融サービス局(AUSTRAC)は、どちらも経済情報や商業情報、個人情報の管理者であり、国家安全保障または重要インフラとして分類されています。
オーストラック
ANAO の報告書では、インシデント復旧プロセスをサポートする AUSTRAC の手順に、バックアップ ソリューションのセキュリティとテストが含まれていなかったほか、重要なビジネス プロセスをサポートするシステム、アプリケーション、サーバーの詳細も記載されていなかったことが判明しました。
さらに、CISOの責任(継続的な監視と改善報告のアプローチ)の詳細や報告期限が定められていませんでした。さらに、組織にはイベントログ記録ポリシーがなく、すべてのサイバーセキュリティイベントの分析結果を文書化していなかったため、ASDガイドラインに違反していました。
参照: オーストラリアのCISOはデータ漏洩リスクをより詳しく検討するよう促されている
オーストラリアのサービス
Services Australiaは、サイバーセキュリティインシデント管理手順の設計において「部分的にしか効果的」ではなく、脅威と脆弱性の評価に関する文書化されたアプローチが存在しない。また、トリアージとエスカレーションのタイムフレームも、調査のための明確なアプローチも存在しない。
同庁は定期的なバックアップを含む「効果的な復旧プロセスを部分的に導入」していた。しかし、その計画には重要な業務プロセスを支える全てのシステムとアプリケーションが含まれていなかった。また、同庁はバックアップの復旧可能性を検証していない。
オーストラリアの国家サイバーセキュリティ戦略とは何ですか?
オーストラリア政府は、各機関がサイバーセキュリティへの備えとレジリエンス(回復力)のレベルを向上させる必要性を認識しています。例えば、「サイバーセキュリティ戦略2023-2030」では、政府は重要インフラの所有者および運営者として、またオーストラリア国民、経済、国家安全保障に関する最も機密性の高いデータを保有する責任を負っていることから、「政府は産業界に課しているのと同じ基準を自らも遵守する必要がある」と述べています。
政府は戦略の一環として、以下のことを約束しています。
- 政府部門および政府機関のサイバー成熟度を強化します。
- 政府全体の重要なシステムを特定し、保護します。
- オーストラリア公務員のサイバースキルの向上。
ASDは、2024年に追加予算を活用し、政府機関のセキュリティ強化に貢献すると述べた。これには、各部署への技術力強化や、サイバー犯罪者からネットワークを防御するための専門家の増員などが含まれる。
民間部門は公共部門のセキュリティ基準の強化を要求
民間部門は、公共部門のサイバーセキュリティを向上させる動きを歓迎するだろう。
テクノロジー業界を代表するオーストラリア技術評議会は、サイバーセキュリティに関する法改正案に関する政府への最近の提出書類の中で、オーストラリア政府に対し、自らの情報セキュリティの実践と手法を強化し、保護するよう強く求めました。これは、サイバーインシデント情報共有の義務化提案の一環として民間組織から提供される情報が、安全な転送環境とチャネルを通じて確実に処理されるようにするためです。
アマゾン ウェブ サービスは、政府が自らの重要インフラと「政府重要システム」を重要インフラのセキュリティ法またはその他の法的枠組みの管轄下に正式に含めるべきだと提案した。
「そうすることで、政府にとって重要な強制力のある基準が設定され、政府が国家のサイバー強化において真に対等なパートナーであると自認しているという重要なシグナルが産業界に送られることになる」とAWSは書いている。
