サイバー防衛体制が不十分になりがちな小規模の市町村や小中高校のレジリエンシー強化策として、ミシガン州やウィスコンシン州などでは、サイバーセキュリティの専門家をボランティアとして組織化し無償で支援する取組みが行われています。
■ サイバーセキュリティ・ボランティアの組織化
世界的な規模でサイバーセキュリティの専門家が不足しており、給与水準も高止まりしている。このような専門人材の不足は、(給与水準が低くなりがちな)中小規模の企業や政府機関にとってはより大きな問題であり、規模が小さい地方自治体であるほど深刻度は高い。犯罪者もその事実を把握し、サイバー防衛の手薄な地方の自治体や学校をターゲットとしてランサムウエア攻撃を仕掛けているようだ。一方、消防団や救急体制では、一部の機能をボランティアが担ってきた歴史があることから、サイバー対策にもボランティアを活用する取組みが一部の州政府で行われている(現在15州が実施中/計画中)。
最初にボランティアの組織化を始めたミシガン州では、2013年、州政府に「Michigan Cyber Civilian Corps(MiC3)」を創設、政府機関や民間企業のサイバーセキュリティ技術者をボランティアとして組織化した。登録者には、インセンティブとして最新のサイバーセキュリティ・トレーニングや認証資格試験を無償で提供、ボランティアの勤務先がバックアップしてくれることも狙っている。同州では、州政府が非常事態宣言を出すような大規模なインシデントの支援を想定、現在60数名が登録しており、それなりの出動実績があるという(詳細未公表)。
■ ウィスコンシン州の場合
2014年にCyber Response Team (CRT)をスタートさせたウィスコンシン州では、ミシガン州よりも広範囲な取り組みを行っている。CRTは、州政府のエマージェンシー・マネジメント・チーム(ハリケーンや大雪などの自然災害時に出動する)の一部と位置付けられ、出動させるかどうかの意思決定も同じ手順が使われる(問題が軽微な場合、アドバイスだけの対応もある)。サイバー・インシデント支援に加え、サイバー対策アセスメントや予防策構築支援も進めているという。
登録済みのボランティアは450人を超えており、多くは州内の地方自治体のサイバーセキュリティ専門家だという(中には支援を受けた市町村のサイバー担当者がボランティアとして登録したケースもある)。出動回数は、2022年は19件だったが、2023年は10月までで27件(小中学校高校16件、大学2件、市町村政府9件)と増加傾向だ。技術者がボランティアのため、問題が解決するまで同じメンバーがサポートできるとは限らないが、チームとして継続的/効率的にサポートするノウハウも蓄積してきたという。
ミシガン州と同様、登録者のトレーニングに力を入れ、最新スキルの獲得に努力している。昨今ではサイバーセキュリティ・アセスメント専門のメンバーも養成している。
■ 様々な課題も
このような成功事例を背景に、オハイオ州、オクラホマ州などでもボランティアを組織化する取組みを始めたが、懐疑的な州や識者が多いことも事実である。例えば以下のような問題点が指摘されている。
・短期的な人材不足/予算不足への対応策としては良いが、長期的にはボランティアを中心に責任ある取組みを行うことは無理が多い。
・応募人材のバックグランド・チェックは行われているが、悪意を持ったハッカーなどが入り込む可能性もある。
・少数精鋭の場合は、技術力が確保できると思われるが、登録者が増えれば(=ジュニア・クラスの技術者が増えれば)トレーニングだけではスキルが追いつかなくなるのではないか。
・複数のインシデントを同時にサポートする場合、必要なスキルを持つ人間を迅速かつ適切に配置できるのか。
地方の小規模な市町村ではサイバー予算が限られる中、リスクを放置するよりはマシだとの見方もある。ボランティア・ベースのサイバーセキュリティ対策がどのように進展していくのか、今後の動きに注目しておきたい。
