衝撃的な連邦監査により、米国の航空インフラの中心部で深刻なサイバーセキュリティの欠陥が露呈し、連邦航空局（FAA）が安全上最も重要な数十のシステムを危険なほど十分に保護しておらず、国家の空域に対する壊滅的なサイバー攻撃の可能性が高まっていることが明らかになりました。

運輸省監察官室（OIG）は、2024年10月から2026年1月にかけて行われた審査を受けて、今月初めに調査結果を公表しました。

監査は、米国民間航空の中核である国家航空圏システム（NAS）内にあるFAAの影響度が高い情報技術システム45件すべてを評価し、これらは管制塔、航法、通信、空港インフラを含むものでした。

これらは、National Institute of Standards and Technology（NIST）が、侵害された場合に深刻または壊滅的なリスクをもたらすと分類しているシステムです。

監督機関が発見した内容は衝撃的でした。

{{AD}}

OIGの報告によれば、FAAの45システムのうち15は依然として旧式のNIST基準に基づいており、FAAは必要な16,245件のセキュリティ管理策のうち1,836件（全体の11.3％）を完全に実施していませんでした。

これらの必須管理策には侵入テスト、サプライチェーン保護、アクセス管理が含まれ、敵対的な行為者を排除するための仕組みそのものです。

OIGは、自動化、通信、航法、気象機能を支えるすべてのシステムにおいて、部全体で使用する追跡・報告・緩和のシステムに報告されず、追跡や対処が行われていない脆弱性があったと指摘し、監視システム17件のうち14件でも同様の問題が見つかりました。

さらに悪いことに、FAAは政府の公式なサイバーセキュリティ追跡インフラを完全に迂回していました。

部の主要なサイバーセキュリティ評価・管理システムを使う代わりに、FAAは脆弱性の記録と管理に内部の追跡ツールを使用し、データを手作業で連邦システムに転送しており、その結果報告の遅延を招いています。

OIGはそれが意味するところを明確に述べています：

"FAA is not providing transparency to the rest of DOT. Lack of transparency increases the risk that FAA and the Department may not be able to identify common threats and vulnerabilities or provide comprehensive IT weakness tracking and reporting." 

監査はまた、FAA自身の文書は信頼できないことを明らかにしました。

監査人は、一部の管理策が要件を満たしていないにもかかわらず実施済みと記録されており、実際にどのように保護策が機能しているかについて担当者に信頼できる情報を提供していないと述べています。

状況の重要性はこれ以上ないほど重大です。

2023年1月、Notice to Air Missions（NOTAM）システムのデータベースファイルの破損により、2001年9月11日以降初めての全国規模の地上停止が発生し、約1万便が遅延しました。

あの停止はサイバー攻撃ではなく委託業者のミスが原因でしたが、監査は文書化されたギャップを悪用する故意の侵入が同等かそれ以上の規模の結果をもたらす可能性があることを明確に示しています。

{{REC}}

今回の警鐘はOIGが発した初めてのものではありません。

2021年のOIG監査は、NASを高影響システムに再指定した後、FAAがNISTのセキュリティ基準を満たしていないことを初めて指摘しました。

別の政府説明責任局（GAO）の2024年の調査では、FAAの138の管制システムのうち105が「維持不能」であると結論づけられました。

パターンは明白で、対応は一貫して不十分です。

FAAは、統治上のギャップは資金制約、技術的制約、運用上の複雑さに起因すると述べ、多くの既存システムは大幅な技術改修や全く新しい調達が必要であり、コスト超過やスケジュール遅延につながると指摘しました。

批評家にとっては、その説明は関わるリスクの大きさを考えれば説得力に欠けます。

OIGは修正がなければ、「FAAはシステムが侵害されるのを防ぐために必要な保護策が整っていることを保証できず、それがNASと航空利用者に重大な影響を与える可能性がある」と警告しました。

FAAは責任を受け入れました。

「草案報告のレビューに基づき、我々は4件の勧告に記載どおり同意しており、2026年12月31日までに完全に実施する予定です」とFAAは監査への回答で述べました。

議会はこの問題に積極的に取り組んでいます。

2024年5月に署名され成立したFAA再認可法（FAA Reauthorization Act of 2024）を通じて、議会は航空サイバーセキュリティに関する独占的な規則制定権をFAAに付与し、NASのサイバー脅威管理プロセスを確立するよう同機関に指示しました。

FAAはその後、2028年末までに新しい航空管制システムを提供するという広範な約束の一環として、NASのセキュリティを近代化するのに役立つベンダーを特定するため、2026年3月にサイバーセキュリティの市場調査を実施しました。

{{AD}}

同機関のより先見的な公約の一つとして、FAAはNAS、ATC、およびITシステムのインフラをポスト量子暗号へ移行する計画も立てています。

これは、新たな暗号方式を採用して将来の量子コンピュータによる攻撃を軽減することを目的とした概念です。

同機関は自らの市場調査要請でこの移行を次のように明確に位置付けています：

「量子耐性で暗号柔軟性のあるセキュリティなしでは、NASは今後数十年間に求められる信頼性、性能、国際的リーダーシップを達成できない。」

これらの目標が、脅威主体がOIGが既に明らかにした欠陥を悪用する前に実現できるかどうかが中心課題であり、毎日何百万もの乗客が米国の空を利用していることを思えば、その答えは不安を覚えるほど未解決のままです。