バイデン=ハリス政権は最近、デジタル世界の相互接続性の高まりとソフトウェア・システムの複雑化に対応するため、国家サイバーセキュリティ戦略を発表した。この戦略は、すべてのアメリカ人が利用し、恩恵を受けることができるよう、安全でセキュアなデジタル・エコシステムを保証することを目的としている。デジタル接続は現在、私たちの生活のほぼすべての側面に浸透しており、個人的な領域と職業的な領域をつなぐだけでなく、デジタルと物理的な領域の間のギャップを埋めている。国家や悪意ある行為者がサイバー攻撃を仕掛け続ける中、政府は、私たちのデジタル・エコシステムが堅牢で回復力があり、私たちの基本的価値観と一致していることを保証することで、こうした永続的な脅威に対処するためのアプローチを変革することを約束します。
政権はすでにこれらの目標に向けて大きな一歩を踏み出しているが、新たなアプローチでは、重要インフラの防衛、脅威要因の破壊と解体、安全保障とレジリエンスを推進するための市場原理の形成、レジリエントな未来への投資、そして共通の目標を追求するための国際的パートナーシップの構築という5つの柱に焦点を当て、協力関係を構築・強化する。これらの柱はすべて必要不可欠であり、重要インフラの防衛から始めることで、これらの16のセクターとそれらが提供する重要なサービスを守るための献身を米国民に安心させることができる。
重要インフラを守る
国家安全保障と公共の安全を支えるため、サイバーセキュリティ要件(目標1.1)を確立しなければならない。この戦略により、重要分野において、他の分野の既存規制と整合した新たな規制が導入される可能性がある。すべての分野に同一のサイバーセキュリティ要件が求められるわけではないが、規制の一貫性と予測可能性を確保することで、コンプライアンスの負担を軽減できる。既存および新規の規制の目的は、より優れたサイバーセキュリティ対策の実践を大規模に促進し、義務付けることにある。 さらに、サイバーセキュリティ要件においては、サイバーセキュリティ企業が自社ソリューションをいかに巧みに売り込むかに焦点を当てるのではなく、実証済みのデータに基づいて有効性が確認されている主要技術――例えば、サイバー脅威を排除し、包括的かつ信頼性の高いサイバーセキュリティアプローチを保証する「Deep Content Disarm and Reconstruction Deep CDR™テクノロジー)」など――を優先すべきである。
この戦略には、連携(目標1.2)と同様に、規模が極めて重要である。高度な脅威に効果的に対処するためには、官民の協力体制を強化する必要がある。戦略文書が概説しているように、ロシアのウクライナ戦争に関連した「シールド・アップ」キャンペーンは、準備態勢を強化し、悪質な活動に対抗する効果的な対策を推進した。今後の取り組みは、このような協力体制を模倣し、国際的な同盟国や民間人を巻き込んで、小規模な組織や市民個人の不断の警戒に依存しない、より強靭な未来に向けた投資を行う必要がある。民間企業が連邦政府機関と緊密に協力することで、より迅速かつ協調的な対応が可能となり、重要インフラに対する攻撃の影響を最小限に抑えることができる。私は、この協力関係がオープンで協力的なものであり、アメリカ国内の成長とイノベーションを促進するためにアメリカ企業を優先するものであることを願っている。
重要インフラの防衛を支援する責任を負う省庁はすでに複数存在する。新戦略では、連邦政府のサイバーセキュリティ・センターを統合し(目標1.3)、政府内の連携を推進するための共同ノードを構築することを意図している。CISAのジョイント・サイバー・ディフェンス・コラボレーション(JCDC)は、サイバー・ディフェンスの計画と運用を統合することで、この目標を達成する第一歩となる。JCDCは連邦政府全体で、また国際的なパートナーや民間セクターと協力してこれを行う。まだまだやるべきことはあるが、これらのセンターは協力の機会を増やし、センターがタイムリーで適切かつ行動的な情報を民間セクターのパートナーと共有することを可能にする。そして、最も効果的なものにするために、連邦政府がこれらのセンターの目標、評価基準、非機密・非センシティブな活動を開示することを望む。
民間部門は連邦政府の支援なしにサイバーインシデントを軽減できることが多いが、新たな目標は、必要なときに統一的な対応を提供することである。これは、連邦政府のインシデント計画とプロセス(目標1.4)の更新を意味し、組織がサイバー脅威の標的にされたときにどの政府機関に連絡すべきかを知ることができるようにする。組織はまた、連邦政府からどのような形の支援を期待すればよいかを知らなければならない。そのため、CISAは、プロセス、手順、システムを強化するため、National Cyber Incident Response Plan(NCIRP)を更新するプロセスを主導している。Cyber Incident Reporting for Critical Infrastructure Act of 2022(CIRCIA)は、重要インフラの対象事業体に対して、対象となるサイバーインシデントを数時間以内にCISAに報告することを義務付けている。この迅速な通知により、インシデントの原因の特定が加速され、情報に基づいた迅速な意思決定が支援される。全体として、これは称賛に値する取り組みであるが、私は、報告されたサイバーインシデントのいくつかの重要な側面が開示され、脅威を防ぐ方法を学ぶことができるようになることを願っている。このアプローチによって、検知と対応という典型的なサイクルから、予防に焦点を当てたより積極的な考え方にシフトすることができるだろう。
最後に、この戦略は連邦政府の防衛体制の近代化を目指しています(目標1.5)。連邦政府は、その職務を遂行するために、通信、回復力と安全性に優れた情報、そして運用技術やサービスに依存しています。この複雑なデジタル環境において、連邦政府のシステムを近代化し、ネットワークの回復力と防御力を確保することが不可欠となります。 こうした近代化の取り組みの一環として、従来のネットワーク境界の内外における脅威に対抗するため、ゼロトラストの原則を適用することが挙げられます。これは素晴らしい取り組みであり、Deep CDR™テクノロジーや原産国評価といった技術が組み込まれ、ゼロトラストのアプローチが単なるVPNの代替にとどまらず、より包括的かつ強固なサイバーセキュリティ戦略を構築するものとなることを期待しています。
官民ともに信頼ゼロ
連邦政府は、自らのシステムの防御力と回復力を高めることで、重要インフラのより効果的な防御を確保することができる。これは、IT と OT インフラを近代化しつつ、ゼロトラスト・アーキテクチャ戦略から始まる。ゼロ・トラスト・アプローチは、防御をネットワーク・ベースの境界線から、リソース、ユーザー、資産に基づくものへと移行させる。ソフトウェアサプライチェーンを含むサプライチェーンもゼロトラスト原則を採用し、物理的またはネットワーク上の場所に基づく暗黙の信頼を前提としないようにしなければならない。
このアプローチは、保護されたデータやシステムへの接続を確立する前に、認証と認可の両方が確実に行われるようにすることで、攻撃を防ぐことに重点を置いている。ソフトウェアがますます複雑化し、相互に接続されるようになったため、サイバーセキュリティは、リモートユーザー、BYOD(Bring Your Own Device)のトレンド、クラウドベースの資産へのアクセスといった新しい現実を包含する必要があります。このアプローチは、検知よりも予防に重点を置いているが、この戦略の目標の一部は、攻撃未遂が発生した場合でも、全体的なサイバー回復力と信頼性を高めることである。
これらの構想はすべて、国家のサイバーセキュリティをテストし、保護し、分析し、近代化する有能なサイバー人材の育成に依存している。データを保護し、重要なシステムの信頼性を確保することは、そのシステムの所有者と運営者の責任であるが、技術プロバイダー、重要なインフラシステム、連邦政府機関の間で協力することで、データを安全に保持し、自由で相互接続された社会としての運営を確保することができる。
OPSWAT が重要なインフラをどのように保護しているか、詳細をお知りになりたいですか? 当社のサイバーセキュリティ専門家にお問い合わせください。
