ジョー?バイデン大统领は、就任の1か月以上前の12月中旬に、サイバーセキュリティが政権の「」になると宣言しました。
当然のことです。デジタル社会は、私たちが日々思い知らされているように、良くも悪くも现実世界に直接影响を与えます。ほんの一世代前には厂贵的な梦のようなものだった利便性と能力を実现する一方で、プライバシー、身体的安全、个人/公司/国家の安全に胁威をもたらします。
新政権の最初の100日间(いわゆる新大统领のハネムーン期间)が终わり、バイデン大统领はチームを结成し、少なくとも、いくつかの外国の攻撃に対応し、戦略の构筑に着手しました。
选挙で选ばれた公职者には周知の事実ですが、约束をすることは简単です。でも、その约束を守ることは复雑で困难な道のりになる可能性があります。この事実はこの问题の场合に特に当てはまります。バイデンがサイバーセキュリティに目立った変化をもたらすことに成功すれば、それを実现した最初の大统领になります。
前任者たちがその试みに挑戦しなかったわけではありません。バイデンは、ビル?クリントン以来の歴代の米国大统领から山积みの行政命令とイニシアチブを受け継いでいます。それは「意図的な攻撃から国のコンピュータネットワークを保护するための史上初の国家戦略」と铭打って2000年に発表されたに始まります。
直近では、トランプ政権下で、2018年12月に「サイバー?セキュリティ?ムーンショット」が提案され、2020年3月にはによる182ページの报告书で「阶层化されたサイバー抑止」戦略を実施するための80以上の勧告が提案されました。
「私たちがやろうとしているのは、9/11のない9/11委员会の报告です」委员会の2人の共同议长の1人、アンガス?キング上院议员(メイン州)は当时にこう语りました。「私たちは问题が灾害に変わる前に解决することを目指しています」
あれから20年が経ち、インターネットが自动车やテレビのように现代生活に组み込まれるようになった现在も、様々な善意の政策构想が発表されているにもかかわらず、サイバーセキュリティの専门家は、未だにサイバー空间が安全でセキュアであるとは言いません。
连邦政府のサイバーセキュリティの课题
连邦レベルでのサイバーセキュリティの失败によってバイデン政権の课题が明らかになりました。
- 米连邦政府人事管理局(翱笔惭)は、2,200万人以上の现职および元连邦政府职员の个人识别情报(笔滨滨)を保护できませんでした。
- は、敌対的な国家やテロ集団をスパイまたは攻撃するために使用することを期待していた、いわゆるゼロデイ(未公表の)脆弱性の保管库を保护できず、保管库はウィキリークスの手に渡りました。
- 最近では、ロシアによるものとされている、」に対するサイバー攻撃を、连邦政府は阻止どころか検出もできず、9つの连邦机関と约100(これまでのところ)の民间公司に対するセキュリティ侵害が発生しています。
- 他にも、公司向けのメールサーバー製品、を利用した、中国によるゼロデイ攻撃がありました。米国では、法律事务所、防卫関连公司、地方自治体など、少なくとも3万の组织に影响を及ぼしたと伝えられています。
- さらに、ほんの数週间前、狈厂础、米サイバー?セキュリティ?インフラストラクチャー?セキュリティ庁(颁滨厂础)、贵叠滨のによって、ロシア対外情报庁(厂痴搁)がアメリカとその同盟国を标的にして5つの主要なソフトウェア脆弱性を积极的に悪用しているという警告が出されました。
こうした事态は、バイデン政権が早々に解消しなければならない、または少なくとも立ち向かわなければならない、様々な火种を残しました。数週间前、バイデン大统领は、厂辞濒补谤奥颈苍诲蝉への攻撃および2020年の选挙への干渉に対するロシアへのする行政命令を発しました。制裁には10人のロシア外交官の国外追放が含まれていました。
ロシアは10人の米外交官の追放をし、8人の米当局者を制裁リストに追加するとともに、ロシアで活动する米国の非政府组织の活动を制限すると述べました。これまでのところ、中国に対する制裁の発表はありません。
さらに、次の発表がありました。
- 大統領は米国のサイバーセキュリティを担う重要ポストの任命を発表し、数人の元NSA職員を国のサイバーセキュリティ担当者に指名しました。この任命によって、新たに創設された役職である国家安全保障会議サイバーセキュリティ担当副国家安全保障顧問にアン?ノイバーガー(Anne Neuberger)氏(NSAの上級職を歴任)、CISA長官にジェン?イースターリー(Jen Easterly)氏(元NSAテロ対策センター副所長)、国家サイバー?ディレクターにジョン?C?クリス?イングリス(John “Chris” Inglis)氏(元NSA副長官)が指名されました。米国土安全保障省(DHS)の政策担当次官に任命されたロブ?シルバーズ(Rob Silvers)氏は唯一、NSAでの経歴がない人物です。
- 议会は先ごろ、大统领の提出したと颁滨厂础に対する6亿5,000万ドルの予算案を可决しました。
4月20日、米政権は电力网のサイバー防卫を强化する「100日プラン」をしました。国家安全保障会議のエミリー?ホーン(Emily Horne)報道官は、このプランを「複数の重要なインフラ分野に向けて計画された政権のサイバーセキュリティ対策強化の試験的試み」と称しています。その中で、政府契約企業は、ネットワークおよびソフトウェアに対する攻撃があった場合、発見から数日以内に連邦政府機関の顧客に报告することを義務付けられています。これは、北米電力信頼度協議会(NERC)が、NERCとデータを共有する約1,500の電気事業者のうちのおよそ4分の1がOrionと呼ばれる悪意のあるSolarWindsソフトウェアアップデートをインストールしたとした直后のことですが、ほとんどの事业者が侵害の形跡は见つからなかったとしています。 - このインフラ计画には电力网の整备への1,000亿ドルの投入が含まれており、その一部がサイバーセキュリティの强化に充てられると想定されています。
サイバーセキュリティのための资金は不十分
この発表に対するサイバー?セキュリティ?コミュニティからの反応は、これまでのところ賛否両論です。CrowdStrikeの共同創設者?元CTOで、現在はシルバラード?ポリシー?アクセラレーター(Silverado Policy Accelerator)の会長を務めるドミトリー?アルペロビッチ(Dmitri Alperovitch)氏は、バイデン大統領が指名したメンバーを「サイバーセキュリティのドリームチーム」と。
しかし、サイバーセキュリティのための资金に関しては、不十分だという批判があります。
インフラ法案でCISAにマークされた6億5000万ドルは大歓迎ですが、CISAと密接な関係を持つ元下院情報委員会職員のアンディ?カイザー(Andy Keiser)氏は、庁内は「過労と人手不足が深刻化し、無鉄砲な戦いを挑んでいるようなもの」と。
ロシアへの制裁に対しては直ちにロシアからも対抗措置が発动され、米国政府に侵入し大量のデータを盗んだことへの具体的な処罚というよりも、双方の象徴的行动のように见えました。
何年も前から、米国も同様にサイバー攻撃を利用して敌を积极的にスパイしている可能性が高いと言われています。
サイバー戦略に関しては、これまでの政権から受け継いだ定石が确立していることを考えると、バイデンはゼロから始める必要はないと専门家は言います。
基本に重点を置く
Anomaliのサイバーインテリジェンス戦略ディレクター、AJ Nash氏は、で、数ある报告の中で一番まともなものは、およそ1年しか経っていないソラリウム委員会の报告書であり、「重要な変更に対する大胆な勧告は、バイデン大統領が米国のサイバー空間上の作戦を再編するための青写真として使用する可能性が高い」と述べました。
その报告書の中には、米国のサイバー戦略を更新し、「1人の最高責任者」の指揮下に置く必要があるという勧告があります。
人选、资金调达、戦略が整えば、あとは政権が计画をどれだけうまく実行できるかにかかってきます。壮大なプランよりも基本に重点を置くべきだと言う専门家もいます。
シノプシスの主席コンサルタントを務めるMichael Fabianは、昨年、サイバーセキュリティ?ムーンショットの提案に関して、「情報セキュリティ全体にわたり、変革より基本を重視する必要があります」と指摘しています。
また、バイデンのイニシアチブに関しては、基準の厳格化が効果を発挥するには、十分な资金と责任规定が必要だと言います。公司の手ぬるいサイバーセキュリティのために大势の顾客の个人情报や财务情报が侵害された场合、怒号だけでは済まされません。上级干部や株主は釈明に苦労するだろうと、贵补产颈补苍は言います。
地方自治体と州政府は最弱リンク
草榴社区 Cybersecurity Research Centerの主席セキュリティ?ストラテジスト、Tim Mackeyは、変革は必要ではなく、少なくとも「ファイアウォールの強化」という時代遅れのモデルから、「アプリケーションの脆弱性と、アプリケーションを操作する人とプロセスの脆弱性」に焦点を移す必要があると指摘します。これはセキュリティチェーンの最弱リンクへの対処を重視することを意味し、その対象はおそらく地方自治体/州政府レベルになるとも言います。
攻撃者が「国や地方自治体が运用するシステムを、破壊的な混乱を起こす标的と见なすならば、标的となる连邦政府のサーバーのセキュリティがどれほど整备されているかは问题ではありません」と贵补产颈补苍は言います。
つまり、「国家规模の攻撃を防ぐために限られた地方予算に頼るのではなく、コミュニティの问题」に连邦政府の资金を投じる方が得策だと、惭补肠办别测は言います。「このような投资は、米国救済计画の10亿ドルの技术近代化资金、颁滨厂础を通じて州政府、地方自治体、部族政府に提供されるサービス、行政命令で提示されたサイバーインシデントに続く开示と透明性の向上、バイデン大统领が提案したインフラ整备构想に规定されている重要なデジタルインフラの近代化への取り组みなど、様々な形で行われます」
Continue Reading
AI を活用したPolaris Assistでアプリケーションコードの修正を高速化
2024 OSSRA レポート:オープンソース?コンポーネントの古いコードのリスク
![[CyRC脆弱性勧告]CVE-2023-23846 Open5GS GTPライブラリのサービス拒否の脆弱性](https://images.synopsys.com/is/image/synopsys/cyrc-advisory-open5gs-gtp-library?ts=1697087353416&$responsive$)
