米国のサイバーセキュリティ戦略、「脆弱性のあるソフトウェアを提供する企業にも法的責任を追わせるべき」と明記：ランサムウェア攻撃は「国家安全保障上の脅威」

米バイデン政権は「国家サイバーセキュリティ戦略」を発表した。ランサムウェア攻撃を国家安全保障上の脅威と位置付けた。さらに、ソフトウェアやサービスにおける脆弱性について、提供する企業に責任を負わせる法律の策定に取り組むとした。

[＠IT]

　2023年3月2日（米国時間）、米バイデン政権は「国家サイバーセキュリティ戦略」を発表した。国家サイバーセキュリティ戦略は、米国の利益を脅かすサイバー攻撃を国家や攻撃グループが開発、実行している中で、これらの脅威に対処し、デジタルの未来を守るための道筋を示すものだ。

　米国では「国家安全保障戦略」「大統領令14028（国家のサイバーセキュリティの改善）」「国家安全保障覚書5（重要インフラ制御システムのサイバーセキュリティの改善）」「M-22-09（米国政府のゼロトラストサイバーセキュリティ原則への移行）」「国家安全保障覚書10（脆弱〈ぜいじゃく〉な暗号システムに対するリスクを軽減しつつ量子コンピュータにおける米国のリーダーシップを促進」に基づき、サイバー空間とデジタルエコシステムの安全を確保する措置をすでに講じている。国家サイバーセキュリティ戦略は、サイバースペースの安全確保を目的としたものではなく、デジタルの未来を守る理想の実現に向けた手段としてまとめられている。

　米バイデン政権は、次のように述べている。

　「われわれは、サイバーセキュリティの負担を個人、中小企業、地方自治体から、私たち全員のリスクを軽減するために最も能力があり、最も適した立場にある組織に移すことによって、サイバー空間を防衛する責任のバランスを取り戻さなければならない。現在の緊急の脅威から身を守ることと、同時に戦略的にレジリエントな未来のために計画し投資することのバランスを慎重にとりながら、長期的な投資が有利になるようにインセンティブを再編成する必要がある」