概況

このケースがリスクと説明責任のファイルに属する理由

Colonial Pipeline Company がリスクと説明責任のファイルに属するのは、民間で運営されるインフラの依存関係が数時間のうちに公共の継続性インフラになりうることを示したからである。同社は東海岸と米国南東部にサービスを提供する大規模なパイプラインシステム全体に精製石油製品を輸送している。ランサムウェアが業務システムに影響を与え、同社がパイプラインの運用を停止したとき、このインシデントは単なる企業のサイバーイベント以上のものとなった。燃料供給への信頼、トラック輸送規則、環境燃料仕様、航空および小売の供給計画、連邦のインシデント調整、公的メッセージング、そしてガソリンを求める人々や企業の日常的な意思決定に影響を与えた。

公開記録は大まかな流れを確立している。DOE/CESER のインシデントページ(https://www.energy.gov/ceser/colonial-pipeline-cyber-incident)は、Colonial Pipeline のサイバーインシデントをエネルギーセクターの混乱および連邦対応の問題として説明している。CISA 勧告 AA21-131A(https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-131a)は、このイベントを DarkSide ランサムウェア活動と関連付け、防御ガイダンスを提供している。司法省は後に、恐喝後に支払われた暗号通貨の収益を押収したと発表し(https://www.justice.gov/archives/opa/pr/department-justice-seizes-23-million-cryptocurrency-paid-ransomware-extortionists-darkside)、法執行機関による回復を公的な説明責任の記録の一部としている。GAO の概要(https://www.gao.gov/blog/colonial-pipeline-cyberattack-highlights-need-better-federal-and-private-sector-preparedness-infographic)は、このインシデントを利用して連邦および民間部門の備えの重要性を説明している。

説明責任の問題は、Colonial がランサムウェアキャンペーンを引き起こしたことではない。攻撃者は犯罪行為と恐喝の責任を負う。説明責任の問題は制度的な管理である。Colonial は自社の技術環境、セグメンテーションの選択、事業継続計画、運用停止と再開の証拠、公的コミュニケーション、連邦機関との調整、そして耐久性のある修復の証拠を管理していた。政府機関は緊急権限放棄、連邦コミュニケーション、パイプラインセキュリティ指令、法執行措置、そしてより広範な重要インフラ政策を管理していた。下流のコミュニティ、ガソリンスタンド、トラック運転手、中小企業、ドライバーはそれらのレバーをほとんど管理していなかった。彼らは結果にさらされていた。

この管理の分布こそが、このケースが重要である理由である。燃料の依存関係が失敗した場合、人々は影響を受けたシステムが IT と呼ばれたか運用技術と呼ばれたかを問わない。彼らは燃料が空港、救急車、通勤者、建設作業員、農場、配送車両、小売業者に届くかどうかを問う。このインシデントは、一般的だがしばしば隠された事実を可視化した。デジタルガバナンスと物理的物流は今や一つの継続性表面である。ランサムウェアの回復は、Colonial のシステムが復旧したかどうかだけでなく、再開の証拠、連邦の調整、コミュニケーションが下流の被害を軽減したかどうかによって測定されなければならなかった。

……(残りの翻訳も同様に続く)