2023年3月2日,バイデン=ハリス政権は,米国の重要なデジタル・インフラを守るための包括的なアプローチである「国家サイバーセキュリティ戦略」を発表した.この戦略は,近年公共サービスを脅かした大規模なサイバー事件によって形成されたもので,東欧で紛争が激化している時期に策定された.
この文書では,重要インフラ(CI)の防衛,官民の協力,長期的なサイバーセキュリティとレジリエンスへの投資の奨励,より強力なサイバーセキュリティを実施するために必要な支援を中小企業に与えることに重点を置いている.
この戦略は5つの柱で構成されている:
- 重要インフラを守る
- 脅威の主体を破壊し,解体する
- セキュリティとレジリエンスを推進する市場力を形成する
- レジリエントな未来への投資
- 共通の目標を達成するために国際的なパートナーシップを築く
この記事では,第一の柱である「重要インフラの防衛」と,これが事業者にとって短期的・長期的にどのような意味を持つかを詳しく見ていく.第一の柱には5つの戦略目標があり,以下で取り上げる.
戦略目標 1.1:国家安全保障と公共安全を支えるサイバーセキュリティ要件の確立
国家サイバーセキュリティ戦略は,戦略を実施するために規制が必要であることを明確にしている.すべての重要産業は,新たな権限や法律がない限り,近い将来,サイバーセキュリティの要件が新たに追加されたり,拡大されたりすることが予想される.同文書は,「規制は競争条件を平準化し,サイバーセキュリティやオペレーションの回復力を犠牲にすることなく健全な競争を可能にする」と述べている.
このことを念頭に,政権は規制をめぐる3つの目標を掲げている:
- CI 向けのサイバーセキュリティ規制の確立
連邦政府は,TSA セキュリティ指令が展開されたときに見られたように,既存の規制当局を利用して重要部門に対するサイバーセキュリティ要件を設定する.これらの規制はパフォーマンス・ベースとし,NIST サイバーセキュリティ・フレームワークのような既存の標準や一般的な慣行を活用する.クラウド・コンピューティング企業やその他の「不可欠なサードパーティ・サービス」も,新たな監視や規制に備える必要がある. - Harmonize and Streamline New and Existing Regulations
新たなサイバーセキュリティ要件のコストと複雑さを最小化するため,規制当局は既存の世界標準を活用し,新たな規制がデジタル貿易の流れを阻害しないよう,国際的な調和を図る. - Enable Regulated Entities to Afford Security
小規模な事業体や利益率の低いセクターを念頭に置いて,連邦政府機関は,それらの企業が追加的なサイバーセキュリティのコストを吸収する能力に影響を与える業界間の変数を考慮すべきである.規制当局は,料金決定プロセス,税制,またはその他のメカニズムを通じて,サイバーセキュリティ投資にインセンティブを与えることが奨励される.
NIST CSFのIdentify(識別),Protect(保護),Detect(検知), Respond(対応),Recover(回復)の各機能に対応するセキュリティ管理策を整備し,IEC 62443規格に基づくDefense in depth(深層防御)またはゼロトラスト修正アーキテクチャを採用することで,企業は今後発表される規制に対応できるようになる.
利益率の低い業界や,小規模な自治体の電気事業や水道事業で事業を営んでいる場合は,州や自治体のサイバー助成金など,サイバーセキュリティ投資に利用可能な連邦政府の資金や税制上の優遇措置を活用するようにしてください.
戦略目標1.2:官民連携の拡大
官民の協力は,この政権を通じてのテーマである.この目的は,CISA を重要インフラのセキュリティとレジリエンスの国家コーディネーターとして確立するものであるが,セクター・リスク管理機関(SRMA)が,産業界とのコミュニケーションや,セクター固有の知識をサイバーセキュリティの改善に生かすという日常的な機能を果たすとしている.CI 組織は,SRMA が誰であるかを特定し,彼らと良好な協力関係を構築し始めるべきである.
情報共有・分析センター(ISACs)と情報共有・分析組織(ISAOs)は,それぞれの業界の人間対人間の情報共有と集団防衛を引き続き促進する.しかし,この戦略では機械対機械のデータ共有に重点が置かれている.CISAとSRMAは,機械対機械のデータ共有をどのように強化し,進化させるかを模索するよう指示されている.
情報共有は信頼と検証を欠き,セクター別,民間セクター別,政府機関別のメカニズムにサイロ化され,コンセンサスのない単一の情報源となっている.脅威の状況に関して言えば,競合するマーケット・リーダーから提供される脅威や脆弱性の調査を標準化し,関連付ける方法はない.情報の集約には消極的であるが,有意義な情報共有には,早期警戒データをリアルタイムで共有するためのベンダーにとらわれないメカニズムが必要である.
戦略目標1.3:連邦サイバーセキュリティセンターの統合
連邦政府は,情報セキュリティの防衛を担当する各省庁の権限と能力の調整において,より積極的な役割を担うようになる.国家サイバー長官室(ONCD)は,統合サイバー防衛共同体(JCDC)や国家サイバー捜査合同タスクフォース(NCIJTF)のような,すべての連邦サイバーセキュリティ・センター間の調整と協力を改善する努力を主導する.
戦略目標1.4:連邦事故対応計画とプロセスの更新
CISAは,民間部門に対するサイバーセキュリティ攻撃に対する連邦政府の対応努力をよりよく調整するために,国家サイバー事件対応計画(NCIRP)を更新する予定である.この目的はまた,2022年重要インフラ向けサイバー事件報告法(CIRCIA)を引用している.CIRCIAは,連邦レベルでの迅速なインシデントレスポンスを促進するため,対象となるすべての重要事業体に対し,サイバー事件を「数時間以内」にCISAに報告することを義務付けている.
戦略目標1.5:連邦防衛の近代化
連邦政府は,ゼロトラスト・セキュリティ・アプローチをサポートするために,連邦民間行政機関(FCEB)と,連邦政府の最も機密性の高いデータを保存する国家安全保障システム(NSS)に特に重点を置いて,独自のデジタル・インフラを近代化し,更新する.
CISAは,ソフトウェア部品表(SBOM)を義務付ける取り組みの構築を含め,集中型サービスの利用可能性の拡大とソフトウェア・サプライチェーン・セキュリティへの注力を通じて,FCEB機関を集団的に防衛するための行動計画を策定する.FCEB機関は,最近のBOD 23-01のような拘束力のある運用指令が間もなく発表されることを期待できる.
「サイバーセキュリティ態勢を強化するための重要インフラに対する国家サイバー戦略の非自主的要件は,最高経営責任者(CEO)や取締役会からさまざまな反応を受けるだろう.潜在的な国家的敵対勢力から身を守るため,より良いサイバー態勢を構築することは賢明かつ必要なことだが,これらの組織が予算と人員を確保し,これらを管理するには時間がかかるだろう.このマクロ経済情勢の中で,ほとんどの企業がそうであるように.可能な限り最善の防御と可視性をもって,変化する規制ガイドラインに対応するため,海外のパートナー同様,米国の重要インフラ・パートナーと協力することを楽しみにしています.
- エドガルド・キャプデヴィエールCEO
国家サイバーセキュリティ戦略は,近い将来,重要産業にもたらされる可能性のある規制や政策を垣間見せてくれる.あなたの業界がCISAの重要インフラ部門のリストに載っているなら,リスク管理計画と優先事項がサイバーセキュリティにどのようにアプローチしているか,また,将来の予防,検知,対応戦略におけるギャップを埋めるために何が必要かを考え始めてください.
