検索
ニュース

米国のサイバーセキュリティ戦略、「脆弱性のあるソフトウェアを提供する企業にも法的責任を追わせるべき」と明記ランサムウェア攻撃は「国家安全保障上の脅威」

米バイデン政権は「国家サイバーセキュリティ戦略」を発表した。ランサムウェア攻撃を国家安全保障上の脅威と位置付けた。さらに、ソフトウェアやサービスにおける脆弱性について、提供する企業に責任を負わせる法律の策定に取り組むとした。

Share
Tweet
LINE
Hatena

 2023年3月2日(米国時間)、米バイデン政権は「国家サイバーセキュリティ戦略」を発表した。国家サイバーセキュリティ戦略は、米国の利益を脅かすサイバー攻撃を国家や攻撃グループが開発、実行している中で、これらの脅威に対処し、デジタルの未来を守るための道筋を示すものだ。

 米国では「国家安全保障戦略」「大統領令14028(国家のサイバーセキュリティの改善)」「国家安全保障覚書5(重要インフラ制御システムのサイバーセキュリティの改善)」「M-22-09(米国政府のゼロトラストサイバーセキュリティ原則への移行)」「国家安全保障覚書10(脆弱〈ぜいじゃく〉な暗号システムに対するリスクを軽減しつつ量子コンピュータにおける米国のリーダーシップを促進」に基づき、サイバー空間とデジタルエコシステムの安全を確保する措置をすでに講じている。国家サイバーセキュリティ戦略は、サイバースペースの安全確保を目的としたものではなく、デジタルの未来を守る理想の実現に向けた手段としてまとめられている。

 米バイデン政権は、次のように述べている。

 「われわれは、サイバーセキュリティの負担を個人、中小企業、地方自治体から、私たち全員のリスクを軽減するために最も能力があり、最も適した立場にある組織に移すことによって、サイバー空間を防衛する責任のバランスを取り戻さなければならない。現在の緊急の脅威から身を守ることと、同時に戦略的にレジリエントな未来のために計画し投資することのバランスを慎重にとりながら、長期的な投資が有利になるようにインセンティブを再編成する必要がある」

 全35ページからなる文書の中では、ランサムウェア攻撃を「公共の安全、経済的繁栄を脅かす国家安全保障上の脅威」と位置付けた上で、以下の4つの取り組みを推進していくとした。

  1. 国際協力のもとランサムウェアのエコシステムを破壊すること、犯罪者の隠れ家となる国家を孤立させる
  2. 法執行機関やその他の権限を活用してランサムウェアのインフラや攻撃者を破滅させる
  3. 重要インフラのレジリエンスを強化し、ランサムウェア攻撃に耐える体制を整える
  4. 身代金洗浄を目的とした仮想通貨の乱用を対処する

 またソフトウェアやサービスの脆弱性については、提供する企業の責任を問うための法律策定に取り組むとし、その理由について以下のように述べている。

 「多くのソフトウェアベンダーが、安全な開発のためのベストプラクティスを無視し、安全でないデフォルト設定や既知の脆弱性を持つ製品を提供している。さらに、検証されていない、または出どころ不明なサードパーティーソフトウェアを製品に統合している。ソフトウェアベンダーは、市場での地位や契約内容のもと、セキュリティの責任を完全に放棄できるため、セキュアバイデザインの原則に従ったり、リリース前のテストを実施したりするインセンティブが低下している。われわれは、最も高度なソフトウェアセキュリティプログラムでも全ての脆弱性を防ぐことはできないことを認識しつつ、ソフトウェアを保護するための合理的な予防措置を講じなかった事業者に責任を負わせることを始める必要がある。安全でないソフトウェアによる被害の責任は、エンドユーザーや、商用製品に統合されるオープンソースの開発者ではなく、悪い結果を防ぐために行動を起こすことが最も可能な利害関係者に負わせる必要がある。これにより、より安全なソフトウェア製品やサービスを生み出す市場を促進する一方、イノベーションと、新興企業やその他の中小企業が市場のリーダーと競争する能力を維持できる」

 バイデン政権は、米国議会や民間部門と協力して、ソフトウェア製品やサービスの責任を確立する法律の策定に向けて協議を進めていくとし、「安全なソフトウェア開発、ソフトウェアの透明性、脆弱性の発見のための新しいツールを取り入れ、時とともに進化させなければならない」と述べている。

サイバーセキュリティ戦略における5つの柱

 国家サイバーセキュリティ戦略では、主に5つの柱を挙げている。

  1. 重要インフラの保護
    • 重要インフラ部門へのサイバーセキュリティ規制強化
    • 連邦ネットワークの防御と近代化、連邦政府におけるインシデント対応ポリシーの更新
    • 重要なインフラと重要なサービスを守るために必要なスピードと規模での政府、企業の協業
  2. 脅威アクターの破壊と解体
    • 「国力のあらゆる手段」を用いて脅威の元凶を阻止(民間企業との協業を含む)
    • 国際的なパートナーと連携し、ランサムウェアの脅威を対処
  3. セキュリティとレジリエンスを高めるための市場原理の形成
    • デジタルエコシステム内でリスクを軽減するために最も適した立場の人々に責任を与える
    • 個人データとプライバシーにおけるセキュリティの促進
    • ソフトウェアとサービスに関する責任の転換
    • 安全かつ新しいインフラ投資を支援する連邦政府の助成金プログラムの提供
  4. レジリエンスな未来への投資
    • デジタルエコシステム全体の脆弱(ぜいじゃく)性の低減
    • 国境を超えた抑圧に対する弾性力を高める
    • サイバーセキュリティの研究開発への投資
    • 国家サイバーセキュリティ人材の創出
  5. 国際的なパートナーシップの形成
    • 脅威に対抗するための国際連合やパートナーシップの実施や活用
    • パートナーのサイバーセキュリティ防衛能力の向上
    • 同盟国との連携

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 1年前と比べて1Tbpsを超えるDDoS攻撃が1885%増加、今すぐできる対策は? Cloudflare
  2. 米ホワイトハウス、“懸念国”への半導体輸出、AI規制を発表 日本含む18カ国は規制対象外
  3. 「Appleの暗号化アルゴリズム」を盗用し、2カ月以上検出されなかったステルス型マルウェアの正体とは
  4. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  5. 2025年、LLMの脆弱性が明確になるなど、セキュリティとクラウドに関する8つの変化
  6. 2025年に押さえるべきセキュリティの重要論点をガートナーが発表 新しいリスク、脅威、環境の変化、法規制などの動きを把握する指標に使える
  7. “ゼロトラスト”とトラスト(信頼性)ゼロを分かつものとは――情報セキュリティ啓発アニメ「こうしす!」監督が中小企業目線で語る
  8. 終わらせましょう。複雑過ぎるKubernetes/クラウドネイティブが生む心理的安全性の低下を――無料でクラウドセキュリティの勘所が分かる130ページの電子書籍
  9. よく聞く「複雑化するサイバー攻撃」は具体的にどう複雑なのか? 一例を医療系企業のランサム事例とともに解説
  10. 経営層の約7割が「セキュリティ対策は十分」一方で6割以上がインシデントを経験、1位の要因は?
ページトップに戻る