ソフトウェア・インテグリティ

 

大統領就任100日を経てサイバー・セキュリティ対策強化を目指すバイデン:幸先のよいスタートから難局へ

就任から100日を経てバイデン大統領が打ち出したサイバー・セキュリティ戦略についてわかったことを、サイバー・セキュリティの専門家が論じます。

大統領就任100日を経たバイデンのサイバー・セキュリティ計画を総括する | シノプシス

ジョー・バイデン大統領は、就任の1か月以上前の12月中旬に、サイバー・セキュリティが政権の「最優先事項」になると宣言しました。

当然のことです。デジタル社会は、私たちが日々思い知らされているように、良くも悪くも現実世界に直接影響を与えます。ほんの一世代前にはSF的な夢のようなものだった利便性と能力を実現する一方で、プライバシー、身体的安全、個人/企業/国家の安全に脅威をもたらします。

新政権の最初の100日間(いわゆる新大統領のハネムーン期間)が終わり、バイデン大統領はチームを結成し、少なくとも、いくつかの外国の攻撃に対応し、戦略の構築に着手しました。

選挙で選ばれた公職者には周知の事実ですが、約束をすることは簡単です。でも、その約束を守ることは複雑で困難な道のりになる可能性があります。この事実はこの問題の場合に特に当てはまります。バイデンがサイバー・セキュリティに目立った変化をもたらすことに成功すれば、それを実現した最初の大統領になります。

前任者たちがその試みに挑戦しなかったわけではありません。バイデンは、ビル・クリントン以来の歴代の米国大統領から山積みの行政命令とイニシアチブを受け継いでいます。それは「意図的な攻撃から国のコンピュータ・ネットワークを保護するための史上初の国家戦略」と銘打って2000年に発表された国家情報システム保護計画に始まります。

直近では、トランプ政権下で、2018年12月に「サイバー・セキュリティ・ムーンショット」が提案され、2020年3月には米国サイバースペース・ソラリウム委員会による182ページの報告書で「階層化されたサイバー抑止」戦略を実施するための80以上の勧告が提案されました。

「私たちがやろうとしているのは、9/11のない9/11委員会の報告です」委員会の2人の共同議長の1人、アンガス・キング上院議員(メイン州)は当時『Wired』誌にこう語りました。「私たちは問題が災害に変わる前に解決することを目指しています」

あれから20年が経ち、インターネットが自動車やテレビのように現代生活に組み込まれるようになった現在も、様々な善意の政策構想が発表されているにもかかわらず、サイバー・セキュリティの専門家は、未だにサイバー空間が安全でセキュアであるとは言いません。

連邦政府のサイバー・セキュリティの課題

連邦政府のサイバー・セキュリティの課題 | シノプシス

連邦レベルでのサイバー・セキュリティの失敗によってバイデン政権の課題が明らかになりました。

  • 米連邦政府人事管理局(OPM)は、2,200万人以上の現職および元連邦政府職員の個人識別情報(PII)を保護できませんでした。
  • 米国家安全保障局(NSA)は、敵対的な国家やテロ集団をスパイまたは攻撃するために使用することを期待していた、いわゆるゼロデイ(未公表の)脆弱性の保管庫を保護できず、保管庫はウィキリークスの手に渡りました。
  • 最近では、ロシアによるものとされている、ITベンダー 「SolarWinds」に対するサイバー攻撃を、連邦政府は阻止どころか検出もできず、9つの連邦機関と約100(これまでのところ)の民間企業に対するセキュリティ侵害が発生しています。
  • 他にも、企業向けのメールサーバー製品、Microsoft Exchange Serverの脆弱性を利用した、中国によるゼロデイ攻撃がありました。米国では、法律事務所、防衛関連企業、地方自治体など、少なくとも3万の組織に影響を及ぼしたと伝えられています。
  • さらに、ほんの数週間前、NSA、米サイバー・セキュリティ・インフラストラクチャー・セキュリティ庁(CISA)、FBIの共同勧告によって、ロシア対外情報庁(SVR)がアメリカとその同盟国を標的にして5つの主要なソフトウェア脆弱性を積極的に悪用しているという警告が出されました。

こうした事態は、バイデン政権が早々に解消しなければならない、または少なくとも立ち向かわなければならない、様々な火種を残しました。数週間前、バイデン大統領は、SolarWindsへの攻撃および2020年の選挙への干渉に対するロシアへの制裁を発表する行政命令を発しました。制裁には10人のロシア外交官の国外追放が含まれていました。

ロシアは10人の米外交官の追放を即座に発表し、8人の米当局者を制裁リストに追加するとともに、ロシアで活動する米国の非政府組織の活動を制限すると述べました。これまでのところ、中国に対する制裁の発表はありません。

さらに、次の発表がありました。

  • 大統領は米国のサイバー・セキュリティを担う重要ポストの任命を発表し、数人の元NSA職員を国のサイバー・セキュリティ担当者に指名しました。この任命によって、新たに創設された役職である国家安全保障会議サイバー・セキュリティ担当副国家安全保障顧問にアン・ノイバーガー(Anne Neuberger)氏(NSAの上級職を歴任)、CISA長官にジェン・イースターリー(Jen Easterly)氏(元NSAテロ対策センター副所長)、国家サイバー・ディレクターにジョン・C・クリス・イングリス(John “Chris” Inglis)氏(元NSA副長官)が指名されました。米国土安全保障省(DHS)の政策担当次官に任命されたロブ・シルバーズ(Rob Silvers)氏は唯一、NSAでの経歴がない人物です。
  • 議会は先ごろ、大統領の提出した1.9兆ドルのコロナウイルス救済パッケージとCISAに対する6億5,000万ドルの予算案を可決しました。
    4月20日、米政権は電力網のサイバー防衛を強化する「100日プラン」を発表しました。国家安全保障会議のエミリー・ホーン(Emily Horne)報道官は、このプランを「複数の重要なインフラ分野に向けて計画された政権のサイバー・セキュリティ対策強化の試験的試み」と称しています。その中で、政府契約企業は、ネットワークおよびソフトウェアに対する攻撃があった場合、発見から数日以内に連邦政府機関の顧客に報告することを義務付けられています。これは、北米電力信頼度協議会(NERC)が、NERCとデータを共有する約1,500の電気事業者のうちのおよそ4分の1がOrionと呼ばれる悪意のあるSolarWindsソフトウェア・アップデートをインストールしたと報告した直後のことですが、ほとんどの事業者が侵害の形跡は見つからなかったとしています。
  • このインフラ計画には電力網の整備への1,000億ドルの投入が含まれており、その一部がサイバー・セキュリティの強化に充てられると想定されています。

サイバー・セキュリティのための資金は不十分

この発表に対するサイバー・セキュリティ・コミュニティからの反応は、これまでのところ賛否両論です。CrowdStrikeの共同創設者・元CTOで、現在はシルバラード・ポリシー・アクセラレーター(Silverado Policy Accelerator)の会長を務めるドミトリー・アルペロビッチ(Dmitri Alperovitch)氏は、バイデン大統領が指名したメンバーを「サイバー・セキュリティのドリームチーム」と称しました

しかし、サイバー・セキュリティのための資金に関しては、不十分だという批判があります。

インフラ法案でCISAにマークされた6億5000万ドルは大歓迎ですが、CISAと密接な関係を持つ元下院情報委員会職員のアンディ・カイザー(Andy Keiser)氏は、庁内は「過労と人手不足が深刻化し、無鉄砲な戦いを挑んでいるようなもの」と『Politico』誌に語っています

ロシアへの制裁に対しては直ちにロシアからも対抗措置が発動され、米国政府に侵入し大量のデータを盗んだことへの具体的な処罰というよりも、双方の象徴的行動のように見えました。

何年も前から、米国も同様にサイバー攻撃を利用して敵を積極的にスパイしている可能性が高いと言われています。

サイバー戦略に関しては、これまでの政権から受け継いだ定石が確立していることを考えると、バイデンはゼロから始める必要はないと専門家は言います。

基本に重点を置く

サイバー・セキュリティの基本に重点を置く | シノプシス

Anomaliのサイバーインテリジェンス戦略ディレクター、AJ Nash氏は、『Security Week』への投稿で、数ある報告の中で一番まともなものは、およそ1年しか経っていないソラリウム委員会の報告書であり、「重要な変更に対する大胆な勧告は、バイデン大統領が米国のサイバー空間上の作戦を再編するための青写真として使用する可能性が高い」と述べました。

その報告書の中には、米国のサイバー戦略を更新し、「1人の最高責任者」の指揮下に置く必要があるという勧告があります。

人選、資金調達、戦略が整えば、あとは政権が計画をどれだけうまく実行できるかにかかってきます。壮大なプランよりも基本に重点を置くべきだと言う専門家もいます。

シノプシスの主席コンサルタントを務めるMichael Fabianは、昨年、サイバー・セキュリティ・ムーンショットの提案に関して、「情報セキュリティ全体にわたり、変革より基本を重視する必要があります」と指摘しています。

また、バイデンのイニシアチブに関しては、基準の厳格化が効果を発揮するには、十分な資金と責任規定が必要だと言います。企業の手ぬるいサイバー・セキュリティのために大勢の顧客の個人情報や財務情報が侵害された場合、怒号だけでは済まされません。上級幹部や株主は釈明に苦労するだろうと、Fabianは言います。

地方自治体と州政府は最弱リンク

Synopsys Cybersecurity Research Centerの主席セキュリティ・ストラテジスト、Tim Mackeyは、変革は必要ではなく、少なくとも「ファイアウォールの強化」という時代遅れのモデルから、「アプリケーションの脆弱性と、アプリケーションを操作する人とプロセスの脆弱性」に焦点を移す必要があると指摘します。これはセキュリティ・チェーンの最弱リンクへの対処を重視することを意味し、その対象はおそらく地方自治体/州政府レベルになるとも言います。

攻撃者が「国や地方自治体が運用するシステムを、破壊的な混乱を起こす標的と見なすならば、標的となる連邦政府のサーバーのセキュリティがどれほど整備されているかは問題ではありません」とFabianは言います。

つまり、「国家規模の攻撃を防ぐために限られた地方予算に頼るのではなく、コミュニティの問題」に連邦政府の資金を投じる方が得策だと、Mackeyは言います。「このような投資は、米国救済計画の10億ドルの技術近代化資金、CISAを通じて州政府、地方自治体、部族政府に提供されるサービス、行政命令で提示されたサイバーインシデントに続く開示と透明性の向上、バイデン大統領が提案したインフラ整備構想に規定されている重要なデジタル・インフラの近代化への取り組みなど、様々な形で行われます」

 

この著者によるその他の情報