バイデン政権は、2023年3月に「国家サイバーセキュリティ戦略」を発表しましたが、それを具体的な65のプロジェクトに落とし込んだ「国家サイバーセキュリティ戦略導入計画(National Cybersecurity Strategy Implementation Plan)」が2023年7月に発表されました。各項目の実現には官民連携が必須となるものが多く、IT企業や大手金融機関の事業や施策にも影響を与えそうです。
■ 米国政府の「サイバーセキュリティ戦略導入計画」
地政学的な対立の高まりを背景に、世界の主要国では他国からのサイバー攻撃が大きな課題となっており、各国ともどもその防衛力を高めようとしている。米国では、2023年3月に「国家サイバーセキュリティ戦略」を発表、更に7月にはそれを具体的な65のプロジェクトに落とした込んだ「国家サイバーセキュリティ戦略導入計画」が発表された。各プロジェクトは半ページ程度の簡単な記述だが責任部署と計画策定の期限が明記されている。テーマには「ランサムウェア対策強化」「耐量子コンピュータ暗号導入」「グローバル・レベルでのAML対策強化」「クリティカル・インフラのレジリエンシー対策」などが並んでいる。
当導入計画の位置づけは、大統領府から連邦政府各省庁に対する「指示」だが、各導入計画の実現には官民協力の拡大が必須であることは間違いない。更に政府は現実的な対策の立案を求めており、例えば「個人のサイバー防衛に対しては、個人ではなく大手IT企業やネットワーク・プロバイダーが責任を持つ」や「大手金融機関が利用しているITソリューションに対し、ユーザーである金融機関がベンダーの管理責任を負う」などの方向性が示されている(=建前論よりも、余力のある企業が責任を負担する)。このため大手IT企業や大手金融機関は各省庁の今後の動きに強い関心を持っている。
■ 民間企業(クリティカル・インフラ運営企業)の関心事項
大手金融機関などクリティカル・インフラ運営企業は、以下のようなテーマへの対応が必要になるだろうとの認識だ。
(ソフトウエアのライアビリティ・シフト)
前述のとおり、大手企業が利用するソフトウエアに脆弱性があった場合、これまではソフトウエア・ベンダーがその責任を負っていたが、該当するベンダーが事前に取り決めた責任範囲を全うしていれば、最終的な責任はユーザーである大手企業が負うという考え方が示された(セーフハーバー・ルール)。これに関する論議の余地は多いにあるが、ONCD(Office of National Cyber Director)が2024年第二四半期までに方向を整理することになっている。
(ソフトウエアの管理体制/開発体制)
連邦政府各省庁では、既にソフトウエア調達の際にSBOM(Software Bill of Materials)の導入を開始しており、当導入計画でもCISAに対してSBOM導入のスケーリング方策の立案が指示されている。今後、クリティカル・インフラ運営企業に対しても、同様な対応が求められる可能性があるだろう。また、自社開発するソフトウエアに関しては、ソフトウエア作成段階でサイバーセキュリティを考慮した開発ポリシー/開発手順の導入が求められるだろうと認識されている。
(官民間/民間企業同士の情報交換)
サイバー攻撃に関する迅速な情報交換は、脆弱性の早期把握や回避策の適用などに有効な対策だと考えられているが、現実には競合企業間で如何にデータを交換するかなど課題も多い。当導入計画では、CISAに対して「現状の課題の把握」「推進施策の立案」「クリティカル・インフラに対するルール作り」の3プロジェクトが割り振られている。
■ 導入計画の運営と今後の方向
この「サイバーセキュリティ戦略導入計画」は、ONCD(Office of the National Cyber Director)が責任部署となり、各項目の進捗管理と毎年の内容見直し/追加が行われることになっている。今回はカバーされていないが、連邦政府内でのホット・トピックスである「デジタルID」や「プライバシー保護」などのテーマが、追加される可能性もあるだろう。今後の動向に注目しておきたい。
