サイバーセキュリティに関する大統領令が民間企業にもたらす意味

サイバーセキュリティに関する大統領令の影響

2021年5月12日、バイデン大統領は大統領令（EO）14028を発令し、サプライチェーンの早い段階で侵入した潜在的な脅威への注意喚起のための取り組みを始動しました。この命令で複数の機関に課された指令は現在も履行の過程にあり、今後予想される進路の基礎となりました。政府と取引していない民間企業は自社組織に影響があるのか疑問に思うことでしょうが、あらゆる企業に影響はあると私は確信しています。先例となる過去の例をいくつかご紹介します。

NISTサイバーセキュリティ・フレームワーク

もちろん、政府がサイバーセキュリティの脅威と戦うための支援に踏み込んだのは、この最近の行政命令が初めてではありません。2013年、オバマ政権は大統領令（EO）13636を発令し、重要インフラのサイバーセキュリティ強化に向けた連邦政府機関の責任の概要を公表しました。その結果を受け、NISTは複数の主要関係者を集めて今日サイバーセキュリティ・フレームワーク（CSF）として知られている枠組みを策定しました。このフレームワークは、組織が現在のサイバーセキュリティ体制を理解・管理するための共通言語を提示しています。基本的に、CSFは企業が直面するリスクの種類と、リスクへの対処の体制を整える方法を理解するために役立ちます。この情報を参考にすることで、リスクを軽減するために必要な改善を行うことができます。

従来、CSFのステークホルダーはパイプラインや電力網などの重要インフラを運用する民間企業が主体でしたが、その後CSFは発展を遂げ、世界中の多様な組織や政府機関に採用されるようになりました。JP Morgan Chase、Microsoft、Boeing、Intel、Bank of England、Ontario Energy Boardなどの著名な企業もCSFを採用しています。各社はCSFの遵守を義務付けられてはいませんが、プログラムを構築し、事業運営上のセキュリティを強化するためにCSFを利用しています。最新のEOが業界の専門家からの意見を求めていることからも、ソフトウェアベンダーやコンシューマーがEOに指針を求めていると客観的に想定できます。

NIST Special Publication 800-161

連邦政府の政策が民間部門に取り入れられたもう一つの例として、NIST Special Publication（SP）800-161があります。NIST SP 800シリーズでは、米国連邦政府によって一連の方針、手順、ガイドラインが規定されています。2015年に初めて公開された800-161は、もともと連邦政府機関が使用するソフトウェアのサプライチェーンの整合性を確保することを目的としていました。それ以来、サプライチェーン・リスク管理プログラムを強化することを目指すさまざまな政府および非政府機関によって改訂され、応用されています。この刊行物は重要性が高まり、ISO 20243に対応する国際規格にも取り入れられました。

詳細はさておき、簡単に言うと、サイバーセキュリティに関する最新の大統領令の効果を得るために、公共部門や重要インフラの事業に参入したり、これらの事業者と提携する必要はありません。このような取り組みの成果が、やがてそれらが適用される業界の指導原則となり、事実上の標準になっていく傾向があります。これには相応の理由があります。通常、こうした取り組みの過程で、対象トピックに関する優れた知性と経験を持った達人が集まり、1つの大義に共同で取り組みます。その結果を活用することは、賢明で効率的な方法です。

ソフトウェアの製造や販売に携わる企業は、製品に対するコンシューマーニーズに応える準備をいち早く始めたいと考えていることでしょう。EO 14028を参考にすることで、何を目標にし、どこから着手するべきかを確実に把握できます。