ニューヨーク州の水道サイバー規制、なぜ「水の安全」がIT対策になったのか

ニューヨーク州が、水道・下水処理施設にサイバー対策を求める新ルールと250万ドルの支援策を動かし始めた。ポイントは、自治体の水処理場を「IT部門の問題」ではなく、飲み水、病院、学校、地域経済を支える生活インフラとして守る制度にしたことだ。

米連邦当局は4月7日、イラン関連のサイバー攻撃について水道分野を含む重要インフラに警戒を呼びかけた。ニューヨーク州の規制は3月に発表されており、偶然のタイミングではあるが、地方の小さな水道事業者まで同じリスクにさらされる現実を先取りした動きとして読める。

• ニューヨーク州は2026年3月11日、水道・下水システム向けのサイバーセキュリティ規制と補助金を発表した。
• 対象は飲料水と下水処理の事業者で、訓練、事故報告、リスクに応じた基準、責任者の指定などを求める。
• 州のSECURE補助金は総額250万ドルで、評価に最大5万ドル、対策実装に最大10万ドルを出す。
• 連邦当局は4月7日、米国内の水道・下水施設などで運用技術への侵害や混乱が起きているとして注意を促した。

何が変わるのか

今回の規制は、蛇口から出る水の安全を、ポンプや薬品だけでなく、制御システム、パスワード、監視ログ、復旧計画まで含めて守るという発想に立っている。

ニューヨーク州知事室の発表によると、州環境保全局（DEC）と州保健局（DOH）が、飲料水・下水システム向けの最低基準を整備した。主な柱は次の通りだ。

• 認定オペレーターへのサイバーセキュリティ訓練
• サイバーインシデントの報告義務
• 重要な運用や機密情報を守るためのリスク別基準
• 大規模な飲料水システムでのサイバー責任者の指定

ここで重要なのは、州が「全施設に同じ高額な設備更新を求める」形にしていない点だ。大都市の大規模処理場と、地方自治体が運営する小規模施設では、人員も予算も違う。だからこそ、訓練、報告、手順、ネットワーク分離など、施設の規模とリスクに応じて積み上げる設計になっている。

州の環境施設公社（EFC）は、SECURE補助金の申請期限を2026年5月15日午後5時としている。補助対象には、第三者によるリスク評価、侵入テスト、ネットワーク構成の確認、資産台帳づくり、ファイアウォールやアクセス制御、復旧計画の整備などが含まれる。

ここがポイント: 水道サイバー対策は、専門企業だけの話ではない。自治体の担当者が「どの機器が外部につながっているか」「誰が入れるか」「事故時に誰へ何時間以内に報告するか」を決めるところから始まる。

なぜ水道が狙われるのか

水道施設は、止まるとすぐ生活に響く。飲み水だけでなく、病院、学校、食品工場、消防、下水処理も連動している。攻撃者にとっては、社会的な混乱を起こしやすい標的になる。

米環境保護庁（EPA）などは4月7日、FBI、CISA、NSAとともに、イラン関連のサイバー脅威について共同勧告を出した。発表では、飲料水・下水システムで使われる運用技術が侵害され、一部で混乱が起きていると説明している。

連邦当局が挙げた被害の種類は、かなり具体的だ。

• 設定の消去
• ソフトウェアを通じた機械センサーの改ざん
• HMIと呼ばれる操作画面の混乱
• 運用停止や金銭的損失

これらは、個人情報の流出とは性質が違う。水処理の現場では、ポンプ、弁、薬品注入、監視画面がつながっている。画面表示がずれたり、設定が消えたりすれば、現場担当者は安全確認や復旧に時間を取られる。

もちろん、サイバー攻撃が直ちに飲み水の汚染を意味するわけではない。だが、処理場が確認作業に追われ、自治体が住民説明を迫られ、復旧費用が発生するだけでも、生活インフラとしての信頼は揺らぐ。

小さな自治体ほど重い課題になる

ニューヨーク州の制度で見逃せないのは、資金支援と技術相談を同時に置いたことだ。規制だけを先に出すと、予算の薄い自治体ほど「やるべきことは分かるが、手が回らない」という状態になりやすい。

EFCのサイバーセキュリティ・ハブは、補助金だけでなく、無償の相談、研修、チェックリストを用意している。12項目の初動リストには、初期パスワードの変更、多要素認証、資産の棚卸し、バックアップ、ソフトウェア更新、インシデント対応計画などが並ぶ。

派手な対策ではない。だが、地方の水道施設ではこの基礎が効く。

EPAも、サイバー防御の改善は高額なハードウェアやソフトウェアの購入だけではなく、手順変更で進むものが多いと説明している。つまり、外部に開いた制御機器を閉じる、不要な遠隔アクセスを減らす、報告先を決める、といった運用の見直しが最初の防波堤になる。

下水施設では24時間以内の報告も

DECの下水向け資料では、2026年3月26日以降、SPDES許可を持つ事業者はサイバーインシデントを把握したら可能な限り早く、遅くとも24時間以内に地域の水担当技術者へ報告する必要がある。さらに30日以内の追加報告も求められる。

また、下水処理場の認定オペレーターには、資格更新のための研修時間の中にサイバーセキュリティ研修を含める仕組みが入った。現場の技術者にとって、サイバー対策は「別部署に任せる知識」ではなく、資格維持に関わる実務知識になっていく。

日本から見ると何が参考になるか

日本でも、水道事業は自治体や広域連携体が担うことが多い。人口減少で料金収入が伸びにくく、設備更新も重い。そこにサイバー対策を上乗せするのは簡単ではない。

だからこそ、ニューヨーク州の動きで参考になるのは、先端技術の導入そのものではなく、次の3点だ。

• 最低基準を明文化する: 事故報告、責任者、訓練、アクセス管理など、まず守るべき線を示す。
• 補助金を小口で使いやすくする: 大規模更新だけでなく、評価、台帳、ネットワーク確認、復旧計画にも資金を付ける。
• 現場職員の研修に組み込む: 水処理を知る人が、制御システムのリスクも理解できるようにする。

日本の読者に引きつければ、これは「海外のサイバー戦」の話だけではない。自治体の水道課、委託先の保守会社、処理場の運転員、住民へ説明する首長や議会が、それぞれ何を準備しておくかという話だ。

今後の注目点

ニューヨーク州の制度は、発表して終わりではない。2026年5月15日のSECURE補助金締め切り後、どの規模の自治体が申請し、どの対策に資金が流れるかが最初の確認点になる。

さらに、下水施設では2027年3月に向け、緊急対応計画やサイバー制御、年次の遵守証明が動き出す。ここで小規模施設が実務に落とし込めるかどうかが、制度の成否を分ける。

最後に見るべき点は3つある。

• 州の250万ドルが、都市部だけでなく地方の小規模水道・下水施設まで届くか。
• 24時間以内報告が、現場の負担だけでなく早期対応につながるか。
• 連邦当局の警告が続く中で、他州も同じような水道サイバー規制を広げるか。

水道の安全は、浄水場のフェンスや配管だけでは守れない。次に問われるのは、自治体が自分たちの制御システムをどこまで把握し、事故が起きる前にどの手順を実際に動かせるかだ。

参照リンク

• Governor Kathy Hochul: First-In-Nation Cybersecurity Regulations and Grants to Protect New York Water Systems
• New York State Environmental Facilities Corporation: Cybersecurity Hub
• NYS Department of Environmental Conservation: Wastewater Cybersecurity Resources
• U.S. EPA: EPA, FBI, CISA, NSA Issue Joint Cybersecurity Advisory to Water System Regarding Iranian-Affiliated Cyber Attacks