米バイデン政権は「国家サイバーセキュリティ戦略」を発表した。ランサムウェア攻撃を国家安全保障上の脅威と位置付けた。さらに、ソフトウェアやサービスにおける脆弱性について、提供する企業に責任を負わせる法律の策定に取り組むとした。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
2023年3月2日(米国時間)、米バイデン政権は「国家サイバーセキュリティ戦略」を発表した。国家サイバーセキュリティ戦略は、米国の利益を脅かすサイバー攻撃を国家や攻撃グループが開発、実行している中で、これらの脅威に対処し、デジタルの未来を守るための道筋を示すものだ。
米国では「国家安全保障戦略」「大統領令14028(国家のサイバーセキュリティの改善)」「国家安全保障覚書5(重要インフラ制御システムのサイバーセキュリティの改善)」「M-22-09(米国政府のゼロトラストサイバーセキュリティ原則への移行)」「国家安全保障覚書10(脆弱〈ぜいじゃく〉な暗号システムに対するリスクを軽減しつつ量子コンピュータにおける米国のリーダーシップを促進」に基づき、サイバー空間とデジタルエコシステムの安全を確保する措置をすでに講じている。国家サイバーセキュリティ戦略は、サイバースペースの安全確保を目的としたものではなく、デジタルの未来を守る理想の実現に向けた手段としてまとめられている。
米バイデン政権は、次のように述べている。
「われわれは、サイバーセキュリティの負担を個人、中小企業、地方自治体から、私たち全員のリスクを軽減するために最も能力があり、最も適した立場にある組織に移すことによって、サイバー空間を防衛する責任のバランスを取り戻さなければならない。現在の緊急の脅威から身を守ることと、同時に戦略的にレジリエントな未来のために計画し投資することのバランスを慎重にとりながら、長期的な投資が有利になるようにインセンティブを再編成する必要がある」
全35ページからなる文書の中では、ランサムウェア攻撃を「公共の安全、経済的繁栄を脅かす国家安全保障上の脅威」と位置付けた上で、以下の4つの取り組みを推進していくとした。
またソフトウェアやサービスの脆弱性については、提供する企業の責任を問うための法律策定に取り組むとし、その理由について以下のように述べている。
「多くのソフトウェアベンダーが、安全な開発のためのベストプラクティスを無視し、安全でないデフォルト設定や既知の脆弱性を持つ製品を提供している。さらに、検証されていない、または出どころ不明なサードパーティーソフトウェアを製品に統合している。ソフトウェアベンダーは、市場での地位や契約内容のもと、セキュリティの責任を完全に放棄できるため、セキュアバイデザインの原則に従ったり、リリース前のテストを実施したりするインセンティブが低下している。われわれは、最も高度なソフトウェアセキュリティプログラムでも全ての脆弱性を防ぐことはできないことを認識しつつ、ソフトウェアを保護するための合理的な予防措置を講じなかった事業者に責任を負わせることを始める必要がある。安全でないソフトウェアによる被害の責任は、エンドユーザーや、商用製品に統合されるオープンソースの開発者ではなく、悪い結果を防ぐために行動を起こすことが最も可能な利害関係者に負わせる必要がある。これにより、より安全なソフトウェア製品やサービスを生み出す市場を促進する一方、イノベーションと、新興企業やその他の中小企業が市場のリーダーと競争する能力を維持できる」
バイデン政権は、米国議会や民間部門と協力して、ソフトウェア製品やサービスの責任を確立する法律の策定に向けて協議を進めていくとし、「安全なソフトウェア開発、ソフトウェアの透明性、脆弱性の発見のための新しいツールを取り入れ、時とともに進化させなければならない」と述べている。
国家サイバーセキュリティ戦略では、主に5つの柱を挙げている。
Copyright © ITmedia, Inc. All Rights Reserved.