米国のサイバーセキュリティ戦略、「脆弱性のあるソフトウェアを提供する企業にも法的責任を追わせるべき」と明記:ランサムウェア攻撃は「国家安全保障上の脅威」
米バイデン政権は「国家サイバーセキュリティ戦略」を発表した。ランサムウェア攻撃を国家安全保障上の脅威と位置付けた。さらに、ソフトウェアやサービスにおける脆弱性について、提供する企業に責任を負わせる法律の策定に取り組むとした。
2023年3月2日(米国時間)、米バイデン政権は「国家サイバーセキュリティ戦略」を発表した。国家サイバーセキュリティ戦略は、米国の利益を脅かすサイバー攻撃を国家や攻撃グループが開発、実行している中で、これらの脅威に対処し、デジタルの未来を守るための道筋を示すものだ。
米国では「国家安全保障戦略」「大統領令14028(国家のサイバーセキュリティの改善)」「国家安全保障覚書5(重要インフラ制御システムのサイバーセキュリティの改善)」「M-22-09(米国政府のゼロトラストサイバーセキュリティ原則への移行)」「国家安全保障覚書10(脆弱〈ぜいじゃく〉な暗号システムに対するリスクを軽減しつつ量子コンピュータにおける米国のリーダーシップを促進」に基づき、サイバー空間とデジタルエコシステムの安全を確保する措置をすでに講じている。国家サイバーセキュリティ戦略は、サイバースペースの安全確保を目的としたものではなく、デジタルの未来を守る理想の実現に向けた手段としてまとめられている。
米バイデン政権は、次のように述べている。
「われわれは、サイバーセキュリティの負担を個人、中小企業、地方自治体から、私たち全員のリスクを軽減するために最も能力があり、最も適した立場にある組織に移すことによって、サイバー空間を防衛する責任のバランスを取り戻さなければならない。現在の緊急の脅威から身を守ることと、同時に戦略的にレジリエントな未来のために計画し投資することのバランスを慎重にとりながら、長期的な投資が有利になるようにインセンティブを再編成する必要がある」
全35ページからなる文書の中では、ランサムウェア攻撃を「公共の安全、経済的繁栄を脅かす国家安全保障上の脅威」と位置付けた上で、以下の4つの取り組みを推進していくとした。
- 国際協力のもとランサムウェアのエコシステムを破壊すること、犯罪者の隠れ家となる国家を孤立させる
- 法執行機関やその他の権限を活用してランサムウェアのインフラや攻撃者を破滅させる
- 重要インフラのレジリエンスを強化し、ランサムウェア攻撃に耐える体制を整える
- 身代金洗浄を目的とした仮想通貨の乱用を対処する
またソフトウェアやサービスの脆弱性については、提供する企業の責任を問うための法律策定に取り組むとし、その理由について以下のように述べている。
「多くのソフトウェアベンダーが、安全な開発のためのベストプラクティスを無視し、安全でないデフォルト設定や既知の脆弱性を持つ製品を提供している。さらに、検証されていない、または出どころ不明なサードパーティーソフトウェアを製品に統合している。ソフトウェアベンダーは、市場での地位や契約内容のもと、セキュリティの責任を完全に放棄できるため、セキュアバイデザインの原則に従ったり、リリース前のテストを実施したりするインセンティブが低下している。われわれは、最も高度なソフトウェアセキュリティプログラムでも全ての脆弱性を防ぐことはできないことを認識しつつ、ソフトウェアを保護するための合理的な予防措置を講じなかった事業者に責任を負わせることを始める必要がある。安全でないソフトウェアによる被害の責任は、エンドユーザーや、商用製品に統合されるオープンソースの開発者ではなく、悪い結果を防ぐために行動を起こすことが最も可能な利害関係者に負わせる必要がある。これにより、より安全なソフトウェア製品やサービスを生み出す市場を促進する一方、イノベーションと、新興企業やその他の中小企業が市場のリーダーと競争する能力を維持できる」
バイデン政権は、米国議会や民間部門と協力して、ソフトウェア製品やサービスの責任を確立する法律の策定に向けて協議を進めていくとし、「安全なソフトウェア開発、ソフトウェアの透明性、脆弱性の発見のための新しいツールを取り入れ、時とともに進化させなければならない」と述べている。
サイバーセキュリティ戦略における5つの柱
国家サイバーセキュリティ戦略では、主に5つの柱を挙げている。
- 重要インフラの保護
- 重要インフラ部門へのサイバーセキュリティ規制強化
- 連邦ネットワークの防御と近代化、連邦政府におけるインシデント対応ポリシーの更新
- 重要なインフラと重要なサービスを守るために必要なスピードと規模での政府、企業の協業
- 脅威アクターの破壊と解体
- 「国力のあらゆる手段」を用いて脅威の元凶を阻止(民間企業との協業を含む)
- 国際的なパートナーと連携し、ランサムウェアの脅威を対処
- セキュリティとレジリエンスを高めるための市場原理の形成
- デジタルエコシステム内でリスクを軽減するために最も適した立場の人々に責任を与える
- 個人データとプライバシーにおけるセキュリティの促進
- ソフトウェアとサービスに関する責任の転換
- 安全かつ新しいインフラ投資を支援する連邦政府の助成金プログラムの提供
- レジリエンスな未来への投資
- デジタルエコシステム全体の脆弱(ぜいじゃく)性の低減
- 国境を超えた抑圧に対する弾性力を高める
- サイバーセキュリティの研究開発への投資
- 国家サイバーセキュリティ人材の創出
- 国際的なパートナーシップの形成
- 脅威に対抗するための国際連合やパートナーシップの実施や活用
- パートナーのサイバーセキュリティ防衛能力の向上
- 同盟国との連携
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
米国では既に標準化の流れ、日本企業も対応を迫られる「SBOM」とは
「SBOM」が大きな注目を浴びている。そもそもSBOMとは何なのだろうか。なぜ米国は大統領令でこれを取り上げたのか。日本企業は対応する必要があるのか。どう対応すればいいか。ここでは、OSSのサプライチェーン管理に関する連載の3回目として、SBOMを解説する。
コンテナ・DevOps時代のセキュア開発を問う――セキュリティバイデザインがもう避けては通れない理由
クラウドやコンテナ、マイクロサービスが主流になりつつある現在、セキュリティバイデザインという考え方をどのように発展させ、適用させていけばいいのだろうか。
「サプライチェーン攻撃」とは何か? 弱点を発見する方法は? どう対策すべきか?
あらゆる業種、あらゆる規模の組織が“自分事”として捉えられるよう「サプライチェーン攻撃」の現状と対策を整理する特集『日本のIT課題の集大成「サプライチェーン攻撃」に立ち向かう術はあるのか』。初回は、日本ハッカー協会 代表理事の杉浦隆幸氏の講演「サプライチェーン攻撃の実態」をレポートする。