btzgrp
  • AndroidアプリでウェブページをChromeで開くように強制する方法 - TechRepublic
Headlines

新たな国家サイバーセキュリティ戦略

05 mins
新たな国家サイバーセキュリティ戦略
サイバーセキュリティ EDR ツールの比較。
画像: Michael Traitov/Adobe Stock

ホワイトハウスは、2018年以来初のサイバーセキュリティの枠組みとして、新たな国家サイバーセキュリティ戦略を発表し、官民パートナーシップ、国際協力、多様な攻撃ベクトルを使用する脅威アクターに対する攻勢の必要性を明記した。

バイデン大統領は報告書の序文で、政権は安全保障、回復力、有望な新技術への長期投資のインセンティブを再調整し、サイバー空間における無責任な行動に対して各国の責任を追及し、世界中で危険なサイバー攻撃を仕掛ける犯罪者のネットワークを壊滅させると述べた。

同氏は声明で、「我々は議会と協力し、最も重要なインフラ全体に効果的なサイバーセキュリティ対策が実施されるよう、必要なリソースとツールを提供していく」と述べた。

「私たちは、インターネットが、人権と基本的自由を尊重する普遍的価値観に根ざし、オープンで、自由で、グローバルで、相互運用性があり、信頼性が高く、安全なものであり続けることを保証しなければなりません。」

このレポートでは、5 つの主要な戦略的柱を示しています。

  • 重要なインフラを守ります。
  • 脅威の主体を妨害し、解体します。
  • 市場の力を強化してセキュリティと回復力を強化します。
  • 回復力のある未来に投資しましょう。
  • 共通の目標を追求するために国際的なパートナーを築きます。

ジャンプ先:

  • レジリエンスは新たなホワイトハット
  • インフラの規制基準を必死に模索
  • 専門家:協力がなければ、規制は助けになるどころか害になる可能性がある
  • 脅威アクターに痛みを与える
  • 中国は引き続きデータ盗難の脅威となるだろう

レジリエンスは新たなホワイトハット

戦略声明では、政権はデジタルエコシステム全体にわたる協調的なアプローチを「より本質的に防御力と回復力があり、米国の価値観に沿ったものにするための基盤」として推進していると主張した。

政権はまた、サイバーに特化したレジリエンスの目標も提示した。

  • インターネットの技術的基盤の保護: 発表では、ボーダー ゲートウェイ プロトコルの脆弱性、暗号化されていないドメイン ネーム システム リクエスト、IPv6 の採用の遅れなどの懸念を軽減するための措置が重要であると述べられています。
  • サイバーセキュリティに関する連邦政府の研究開発を再活性化: 戦略発表によると、連邦政府は、現在の次世代技術におけるサイバーセキュリティのリスクを積極的に防止し、軽減するために、研究開発および実証コミュニティを特定し、優先順位を付け、促進します。
  • 量子コンピュータ時代の到来に備える:政権は、量子コンピューティングは最も普及している暗号化規格のいくつかを破る可能性があると指摘した。
  • クリーン エネルギーの未来を確保: 米国の電力網の回復力、安全性、効率性を強化する可能性のある相互接続されたハードウェアおよびソフトウェア システムをオンライン化します。
  • デジタル ID エコシステムのサポートと開発: 管理者は、安全でプライバシーが保護され、同意に基づいたデジタル ID ソリューションが不足していると指摘しました。
  • サイバー人材を強化するための国家戦略を策定します。

参照: 量子コンピューティング: IT の戦略ロードマップに含めるべきか? (TechRepublic)

スレットXの最高経営責任者(CEO)であるジーン・フェイ氏は、セキュリティ専門家が少なすぎるという問題が続いていることを考えると、最後の点は特に重要だと述べた。

「サイバーセキュリティのスキルギャップが続く中、サイバーリーダーは供給が不足し、法外な給与を要求する『ユニコーン』候補を探すのをやめなければならない」と彼は述べた。

「その代わりに、リーダーは採用慣行を転換し、さまざまな経歴、スキルセット、教育レベル、性別、民族を網羅し、研修に投資する意欲を持つ必要があります。」

2023年のテクノロジーリーダーのためのサイバーセキュリティに関する10の予測 | TechRepublic (セキュリティ)

インフラの規制基準を必死に模索

政権は、脅威に対処するための協力は、重要インフラの所有者と運営者がサイバーセキュリティ保護を実施している場合にのみ機能すると指摘し、主要なインフラ部門で新たに確立された要件を推進していると述べた。

「規制によって公平な競争条件が整い、サイバーセキュリティや運用の回復力を犠牲にすることなく健全な競争が可能になる」と発表では述べられており、セキュリティ規制は業界と政府の協力を通じて徹底的に検討され、運用上も商業的にも実行可能な要件が生まれると主張している。

専門家:協力がなければ、規制は助けになるどころか害になる可能性がある

イミュニウェブの創設者であり、ユーロポールのデータ保護専門家ネットワークのメンバーでもあるイリア・コロチェンコ氏は、一方的な規制は進歩を妨げるだろうと述べた。

「ソフトウェアを除くほとんどの産業は、ほとんどの先進国ですでに包括的に規制されている」と彼は述べた。

「ライセンスを取得せずに、あるいは定められた安全性、品質、信頼性の基準を遵守せずに、欲しいものを勝手に製造することはできません。ソフトウェアとSaaSソリューションも例外ではありません。」

彼は過剰な規制と官僚主義は逆効果になると主張した。

提案されている法案の最終的な成否は、技術的な範囲、導入時期、そしてテクノロジーベンダーに求められるニッチ特有の要件によって左右される。不必要に煩わしい、あるいは逆に形式主義的で緩いセキュリティ要件は、間違いなく利益よりも弊害をもたらすだろう。

しかし、産業界、学界、専門機関からの独立した専門家による集中的かつオープンな協力が、産業界と政府の両方にとって受け入れやすいバランスの取れた規制を生み出すのに役立つだろうと彼は述べた。

戦略声明では、規制はパフォーマンスに基づいて行われるべきであり、既存のサイバーセキュリティの枠組み、自主的な同意保留基準、サイバーセキュリティ・インフラセキュリティ庁と国立標準技術研究所が関与するガイダンスを活用するべきだとしている。

セキュリティ企業Optivの運用技術/IoTプラクティスディレクター、ショーン・タフツ氏は、公共領域の公共インフラ、例えば電力会社や石油/化学会社には拘束力のあるサイバー規制があると述べた。

「これは役に立つが、これらの業界に限定されている」と彼は述べ、CISA は合計 16 の業界を重要と定義しているが、大多数では OT サイバー規制が定義されていないことを指摘した。

「我が国の食品・飲料生産、輸送システム、製造企業、その他多くの産業も同様に正式な指導と規制を必要としている」と述べ、すべての重要産業の人材、プロセス、技術への投資を奨励するための連邦政府の関与を称賛した。

参照:デジタルフォレンジックとインシデント対応:最も一般的なDFIRインシデント(TechRepublic)

脅威アクターに痛みを与える

近年の最も有名なエクスプロイト(例えば、ロシアと連携する攻撃者によるSolarWinds Orionプラットフォームへの攻撃)の他に、中国によるMicrosoft Exchangeのエクスプロイト、そして数え切れないほど多くのランサムウェアやデータ漏洩ハッキングがあったが、セキュリティ企業SonicWallの報告によると、2022年に漏洩したレコードは約22億9000万件、データ量は257テラバイトに達する可能性があるという。

新たなサイバー戦略に関する発表では、外交、情報、通貨、金融、諜報、法執行を通じて「国家権力のあらゆる手段を用いて、我が国の利益を脅かす行動をとる脅威主体を阻止し、解体する」としている。

発表によれば、この戦略の目標には、連邦政府の妨害活動を統合し、敵対勢力を妨害するための官民の作戦協力を強化し、情報共有と被害者への通知の速度と規模を拡大し、米国を拠点とするインフラの悪用を防ぎ、サイバー犯罪とランサムウェアに対抗することなどが含まれている。

シカゴに拠点を置くoak9のCTO兼共同創設者であるアーカシュ・シャー氏は、官民パートナーシップへの投資を増やすことが間違いなく進むべき道だと語った。

「サイバー空間において犯人特定は非常に難しい問題だが、トリックボットハッキンググループのように、公的機関と民間組織が協力して必要な情報を集め、犯人を特定し、7人に対する制裁につなげた例はたくさんある」と彼は指摘した。

「今回の例では、CrowdStrikeの研究者と独立系研究者が、このグループをしばらく追跡していました。米国サイバーコマンドは、このグループへの攻撃を調整し、主要人物を特定して壊滅させることができました」と彼は述べた。

連邦政府の妨害活動を統合する

発表によると、世界的なサイバーセキュリティの悪用を阻止する鍵は、持続的かつ標的を絞った攻撃であり、「犯罪的なサイバー活動を無益にし、悪意のあるサイバー活動に従事する外国勢力がそれを目的達成のための効果的な手段と見なさなくなる」ことだ。

発表によると、その一環として、米国国防総省は、米サイバーコマンドと国防総省の他の部門がサイバー空間での作戦を防衛活動にどう統合するかを明確にする最新の省内サイバー戦略を策定する予定である。

シャー氏は、連邦政府機関は民間部門と公共部門に影響を及ぼす脅威の量に追いつくことができないと述べた。

「現在、多くの連邦政府機関がサイバー犯罪関連のサイバー脅威に対処するために独自の取り組みを行っています。この戦略では、これらの阻止活動をより効果的に調整するために、NCIJTF(国家サイバー捜査合同タスクフォース)へのさらなる投資と、官民連携へのさらなる投資を行っています」と彼は述べた。

中国は引き続きデータ盗難の脅威となるだろう

クラウドストライクの情報責任者アダム・マイヤーズ氏は、政権と企業は中国からの国家主体によるデータ窃盗に特に注意する必要があると述べ、昨年は特に欧州でメディアや防衛の焦点の多くがロシアの国家主体に向けられ、今年は米国人がスパイ気球に注目しているが、本当の危機はデータの窃盗であると指摘した。

「2000年代半ば以降、中国はアメリカ企業を徹底的に破壊し続けており、その勢いは今も続いています。昨年は、あらゆる業種で中国の脅威活動が見られ、大規模なデータ収集が行われました」と彼は述べ、その目的は米国の企業、サービス、インフラへの侵入ではなく、膨大な量の知的財産の窃盗だと付け加えた。

「彼らはスパイ活動を利用して建設プロジェクトを獲得し、依存関係を築き、それを影響力に変えています。ですから、彼らの行動と活動方法を暴露することは極めて重要です」と彼は述べた。

攻撃を防御するためのその他の重要な戦略目標は次のとおりです。

  • 敵対勢力を混乱させるための官民運用協力を強化する。
  • 情報共有と被害者への通知の速度と規模を向上します。
  • 米国ベースのインフラの悪用を防止します。
  • サイバー犯罪に対抗し、ランサムウェアを撃退します。

CrowdStrikeの副社長兼プライバシーおよびサイバーポリシー顧問であるドリュー・バグリー氏は、この戦略的プラットフォームを歓迎した。

「近年、サイバー脅威の状況は著しく進化しており、敵対勢力はより洗練され、執拗で、大胆になっています。しかし、米国の政策環境も同様に変化しており、新たなプレイヤー、新たな当局、そして新たな種類のミッションが登場しています。」

同氏は、この戦略が脅威アクターの妨害に積極的に取り組むことに重点を置いていることが特に重要だと述べ、「CISAの共同サイバー防衛協力のような成功したイニシアチブとの継続的な関係者間の協力、そして共通の責任としてのリスク軽減は、時宜を得たものであり、重要である」と付け加えた。また、同氏は、このプログラムがサイバーセキュリティ共有サービスの集中化とクラウドセキュリティツールの導入に重点を置いていることを称賛した。

「特に、この戦略は、サイバー脅威がプライバシーにもたらす重大なリスクと、より強力なデータ保護成果を達成するための手段として連邦プライバシー法を活用することの重要性を認識しています。」

Tagged:

Related News