草榴社区

サイバーセキュリティに関する大统领令の影响

2021年5月12日、バイデン大统领は大统领令（贰翱）14028を発令し、サプライチェーンの早い段阶で侵入した潜在的な胁威への注意唤起のための取り组みを始动しました。この命令で复数の机関に课された指令は现在も履行の过程にあり、今后予想される进路の基础となりました。政府と取引していない民间公司は自社组织に影响があるのか疑问に思うことでしょうが、あらゆる公司に影响はあると私は确信しています。先例となる过去の例をいくつかご绍介します。

狈滨厂罢サイバーセキュリティ?フレームワーク

もちろん、政府がサイバーセキュリティの脅威と戦うための支援に踏み込んだのは、この最近の行政命令が初めてではありません。2013年、オバマ政権は大统领令（EO）13636を発令し、重要インフラのサイバーセキュリティ強化に向けた連邦政府機関の責任の概要を公表しました。その結果を受け、NISTは複数の主要関係者を集めて今日（颁厂贵）として知られている枠组みを策定しました。このフレームワークは、组织が现在のサイバーセキュリティ体制を理解?管理するための共通言语を提示しています。基本的に、颁厂贵は公司が直面するリスクの种类と、リスクへの対処の体制を整える方法を理解するために役立ちます。この情报を参考にすることで、リスクを軽减するために必要な改善を行うことができます。

従来、CSFのステークホルダーはパイプラインや電力網などの重要インフラを運用する民間企業が主体でしたが、その後CSFは発展を遂げ、世界中の多様な組織や政府機関に採用されるようになりました。JP Morgan Chase、Microsoft、Boeing、Intel、Bank of England、Ontario Energy Boardなどの著名な企業もCSFを採用しています。各社はCSFの遵守を義務付けられてはいませんが、プログラムを構築し、事業運営上のセキュリティを強化するためにCSFを利用しています。最新のEOが業界の専門家からの意見を求めていることからも、ソフトウェアベンダーやコンシューマーがEOに指針を求めていると客観的に想定できます。

NIST Special Publication 800-161

连邦政府の政策が民间部门に取り入れられたもう一つの例として、があります。NIST SP 800シリーズでは、米国連邦政府によって一連の方針、手順、ガイドラインが規定されています。2015年に初めて公開された800-161は、もともと連邦政府機関が使用するソフトウェアのサプライチェーンの整合性を確保することを目的としていました。それ以来、サプライチェーン?リスク管理プログラムを強化することを目指すさまざまな政府および非政府機関によって改訂され、応用されています。この刊行物は重要性が高まり、ISO 20243に対応する国際規格にも取り入れられました。

詳細はさておき、簡単に言うと、サイバーセキュリティに関する最新の大统领令の効果を得るために、公共部門や重要インフラの事業に参入したり、これらの事業者と提携する必要はありません。このような取り組みの成果が、やがてそれらが適用される業界の指導原則となり、事実上の標準になっていく傾向があります。これには相応の理由があります。通常、こうした取り組みの過程で、対象トピックに関する優れた知性と経験を持った達人が集まり、1つの大義に共同で取り組みます。その結果を活用することは、賢明で効率的な方法です。

ソフトウェアの製造や販売に携わる企業は、製品に対するコンシューマーニーズに応える準備をいち早く始めたいと考えていることでしょう。EO 14028を参考にすることで、何を目標にし、どこから着手するべきかを確実に把握できます。