バイデン米大統領率いる政権は今週、2023年3月に発表された国家サイバーセキュリティ戦略実施計画の初版を発表した。この計画は、官民のサイバーセキュリティのレジリエンス(回復力)を高め、脅威の担い手と戦い、インフラの防御を強化し、サイバーセキュリティの責任に関する明確な国家ロードマップを描くことを目的としている。
ジャンプ先:
- このサイバーセキュリティ計画の柱は何ですか?
- ソフトウェアサプライチェーンが新たな焦点
- 計画にはサイバー犯罪者との戦いも含まれる
- セキュリティ規制とベストプラクティスのバランス
- 民間部門はサイバーレジリエンスに重点を置き続ける必要がある
このサイバーセキュリティ計画の柱は何ですか?
計画内の各取り組みは、次の 5 つの重要な柱のいずれかに沿っています。
- 重要なインフラを守ります。
- 脅威の主体を妨害し、解体します。
- 市場の力を形成してセキュリティと回復力を強化します。
- 回復力のある未来に投資しましょう。
- 共通の目標を追求するために国際的なパートナーシップを構築します。
国家サイバーセキュリティ戦略実施計画の名の下に、65以上の連邦政府の取り組みが実施されています。ホワイトハウスが発表したこの計画に関する文書によると、計画は2つの重要な分野に焦点を当てています。サイバー空間における「有能な主体」を増やし、サイバーセキュリティの責任をより多く担う必要性と、長期的なレジリエンスへのインセンティブと投資の必要性です。
18 の機関が政府全体の計画を主導するが、この計画は国家サイバーインシデント対応計画の更新や、合同ランサムウェア対策部隊によるランサムウェア対策など、さまざまな活動で構成される。
参照:ホワイトハウスもAIに注目している(TechRepublic)
国家サイバーディレクター募集
クラウドストライクの副社長でプライバシーおよびサイバー政策顧問のドリュー・バグリー氏は、同社によればホワイトハウスの計画を早期に検討したとのことだが、2026年度までの連邦政府の作戦命令についてコメントした。
彼は、「戦略の多くの項目には複数の依存関係が含まれているため、これは特に重要です。実装計画は広範な分野を網羅していますが、作成者がセキュア・バイ・デザイン/セキュア・バイ・デフォルト原則の幅広い適用に重点を置いたことは明らかです」と述べました。
バグリー氏は、官民連携を重視したインフラの安全確保に重点を置く第一の柱について、この計画はリスク管理機関の役割の明確化に注力するだけでなく、行政管理予算局に重要な責任を委ねていると述べた。
この計画が発表されたのは、サイバーセキュリティ連合が、他の4つのセキュリティおよびソフトウェア業界団体とともに、今月末までに新たな国家サイバーディレクターを指名するようバイデン政権に求める書簡をホワイトハウスに送った翌日だった。
バグリー氏は、国家サイバー局長室が規制の調和化の推進、演習シナリオの実行、敵対勢力の妨害活動を強化するための部隊の設置など、いくつかの重要な取り組みも主導すると指摘した。
ソフトウェアサプライチェーンが新たな焦点
実装計画の3つ目の柱は、ソフトウェアサプライチェーンのセキュリティ確保、特にソフトウェア設計のレジリエンス(回復力)に重点を置いています。VMwareの主席サイバーセキュリティストラテジストであるリック・マクエルロイ氏はこの計画を高く評価し、クラウドソフトウェア(SaaS)のセキュリティ確保には特に重点を置く必要があると述べました。
「現在のNCSIPは、連邦政府のサイバーセキュリティ体制の変革と近代化に向けた大統領令と資金を基盤とする、現政権のサイバーセキュリティへのコミットメントを示すものであり、これは長らく待たれていたことです」とマックエルロイ氏は述べた。「しかし、この点で考慮すべき点の一つは、クラウドソフトウェア向けのソフトウェア部品表(SBOM)です。クラウドSBOMとは何でしょうか?どのようなものでしょうか?逆に、SBOMを実際のサイバーセキュリティ防御にどのように適用し、そのデータを活用してノイズを削減できるでしょうか?」
マックエルロイ氏はさらに、サイバーセキュリティ・インフラセキュリティ庁(CISA)が主導する現在のワーキンググループがこの問題への対応に取り組んでいると付け加えた。「しかし、SBOMに関する議論には依然としてギャップが残っています。クラウドファーストの世界では、SaaSBOMは必須です」とマックエルロイ氏は強調した。
計画にはサイバー犯罪者との戦いも含まれる
計画の2つ目の柱は、国防総省が「このような脅威に対応する組織プラットフォームを拡大し、サイバー業務を専門とする資格のある弁護士の数を増やすことで、サイバー犯罪者、国家レベルの敵対者、および関連する支援者(マネーロンダリング業者など)に対する妨害活動の量とスピードを高める」ことだと計画文書には記されている。
第5の柱は国際協力の発展に重点を置いており、政権の文書では連邦政府が協調的な活動を展開しなければならないと述べられている。
「積極的に自国を守るためには、インターネット上のサイバー犯罪活動のリアルタイムマップも必要です。組織や各国は、信頼できる同盟国と連携し、安全で活気のあるデジタル環境を構築する準備が万端です」と、CrowdSecのグローバルパートナーシップ責任者であるアンドレア・エルヴィエ氏は述べています。エルヴィエ氏は、今年初めに戦略発表に先立ち、ホワイトハウスでCISAおよび各チームと会合したフランスのサイバーセキュリティ代表団の一員でした。
セキュリティ規制とベストプラクティスのバランス
Cohesityの連邦最高技術責任者で、元陸軍サイバーコマンド顧問のロン・ニクソン氏は、CISAによる情報交換プラットフォームの改善といったプログラムは、リソースの少ない組織でも脅威を理解し、優先順位を付け、対応することを容易にするだろうと述べている。しかし、彼は過剰な規制がもたらす息苦しい影響を懸念している。
「セキュリティのベストプラクティスに対する説明責任と過剰な規制の回避のバランスは依然として難しい。病院、銀行、SaaSスタートアップといった業界はそれぞれ異なる資産、人材、能力を持っているため、各機関が業界固有のガイダンスをどのように策定していくのか、より明確な説明を求めたい」とニクソン氏は述べた。「国家安全保障会議がこの点を明確にし、民間組織がそれぞれの業界におけるベストプラクティスとニュアンスを明確に理解すれば、サイバー部門からIT、リスク管理、法務、人事に至るまで、経営陣がそれぞれの責任を果たすよう、組織全体をレベルアップさせることができると期待している」
民間部門はサイバーレジリエンスに重点を置き続ける必要がある
クエスト・ソフトウェアの社長兼ゼネラルマネージャーで、セールスフォースとIBMの元上級幹部であるジョン・ヘルナンデス氏は、連邦政府は2016年からクラウドファーストの取り組みに注力してきたと述べた。同氏は、2022年の重要インフラ向けサイバーインシデント報告法を通じてサイバーインシデント報告要件を完全に実施する政府の取り組みや、サービスとしてのインフラストラクチャプロバイダーとソフトウェアメーカーに設計段階からのセキュリティ基準を遵守させる取り組みを例に挙げた。
「しかし、この戦略はサイバーセキュリティ基準の設定やリソースが限られた組織への支援といった負担を大幅に軽減できるものの、民間セクターのリーダーは依然として自ら責任を負い、積極的かつ長期的なレジリエンス戦略を策定する必要があります」とヘルナンデス氏は述べた。「レガシーインフラを持つ企業には、技術と文化の両面から、内部からレジリエンスに投資し、セキュリティエコシステムの最新の変動に全員が適応できるよう、関係者全員の協力を得ることをお勧めします。」
