過去10年間でサイバー攻撃がますます巧妙となっていることは、あらためて説明するまでもないだろう。悪意ある者たちは標的を定め、さまざまな業界や組織に悪い影響をおよぼしている。
近年のサイバー攻撃で最も甚大な影響を社会におよぼしたインシデントの1つは、2020年に発覚したSolarWindsへのサプライチェーン攻撃だ。*1 *2 この攻撃は、国家によって支援されたグループによるものと考えられており、米国内の数千の企業や国土安全保障省、エネルギー省を含む政府機関に影響が及んだ。
また、2021年にはコロニアル・パイプラインがランサムウェア集団「DarkSide」の標的となったことで、パイプラインが一時停止し米国の一部の州では燃料不足までもが発生した。*3翌年には食肉加工大手のJBSが同様のランサムウェア攻撃を受けたことで、食品のサプライチェーンが寸断され、甚大な経済的ダメージが発生している。*2
これらのインシデントは大きく報道されたが、数え切れないほどの中小企業もサイバー攻撃の被害に遭っており、事業継続・財務・レピュテーションに壊滅的な影響を及ぼしている。
このように社会への甚大な影響をおよぼしているサイバー攻撃に対して、3月にバイデン政権が全35ページにおよぶ「国家サイバーセキュリティ戦略」を発表した。*4進化するサイバー空間での脅威に対応するためにサイバー防御を強化し、官民の協力を促進するための包括的なアプローチとして五つの柱を掲げている。
バイデン政権の掲げる「国家サイバーセキュリティ戦略」第一の柱は、”重要インフラと機密情報の保護“ である。エネルギー・輸送・通信などの重要なインフラと、官民の組織が保有する機密情報を保護することの重要性を強調している。
政府は業界の専門家と協力して産業別のサイバーセキュリティガイドラインとベストプラクティスを策定し、組織が実施すべきセキュリティ対策について明確に理解できるようにしていく。また、一元的なインシデント報告システムを構築し、一定基準以上のサイバーインシデントは報告を義務付ける、サイバーインシデント報告フレームワークを構築すること。このことによって、政府にはサイバー空間での脅威について監視し、情報を共有し、より効果的な対応を調整することができるとしている。
そして、サイバーセキュリティ・インフラセキュリティ庁(CISA)の役割を拡大しリソースを増やすことで、重要インフラの所有者と運営者に対してより包括的なサポートを提供できるようにすることで、その役割を強化する。
第二の柱は、“官民パートナーシップの強化” である。サイバー空間での脅威に対して、政府と民間の緊密な協力関係を促進することに焦点を当てている。
政府は、サイバーセキュリティ情報共有パートナーシップなどの既存情報共有イニシアチブを拡大し、企業が脅威情報やベストプラクティスにアクセスし易くできるよう努める。また、政府と民間企業が合同でサイバー演習を実施し、実際のサイバーインシデントにおける対応能力をテストし、改善すべき点を特定していく。
そして、政府、産業界、学界の代表者が集まり専門知識を共有し、サイバー脅威に対処するための官民合同のサイバー・タスクフォースを設立する。
第三の柱は、“強力なサイバー人材の育成” である。熟練したサイバーセキュリティの専門家に対する需要の高まりに対応するために、幼稚園から高等教育や専門資格まで、あらゆるレベルの新しいサイバーセキュリティ教育・訓練プログラムの開発に政府が投資をする。また、奨学金やインターンシップ、官民パートナーシップなどの取り組みを通じて、サイバーセキュリティ分野の優秀な人材を確保・維持するための協調的な努力を行っていく。
そして、サイバーセキュリティに関する全米での啓蒙活動を開始し、企業や政府機関だけでなく一般市民も対象に、サイバーセキュリティの重要性を認識させるためのキャンペーンを展開する。
第四の柱は、“イノベーションと研究の推進” である。新たな脅威情報をいち早く取得し最先端のサイバーセキュリティソリューションを開発するための、研究開発への継続的な投資の必要性を強調している。
政府は国家サイバーセキュリティ研究開発基金(National Cybersecurity Research and Development Fund)を設置し、人工知能、量子コンピューティング、5Gネットワークなどの新興技術に特に焦点を当て、サイバーセキュリティ分野の革新的な研究プロジェクトを支援するための補助金を提供する。また、政府は、公的研究機関と民間企業との連携を促進し、それぞれの専門性を活かしてサイバーセキュリティのイノベーションを推進していく。
そして、政府はサイバーセキュリティのスタンダードとベストプラクティスを開発する国際的な取り組みに参加し、米国の企業や組織が最新のガイダンスと技術にアクセスできるようにする。
第五の柱は、“国際協力の強化” である。国際的なパートナーと緊密に連携して情報を共有することで相互の能力を開発し、サイバーインシデントへの対応を協働することの重要性を強調している。
サイバー空間の脅威はグローバルな性質をもっていることから、既存のパートナーシップを強化し、志を同じくする国々と新たな同盟関係を構築することを目指している。これには、共同訓練、情報共有協定、協調的な政策対応などが含まれる可能性があり、二国間および多国間のサイバー協力の強化をはかる。また、国連サイバーセキュリティ政府専門家グループやサイバー専門家グローバルフォーラムなどの国際的なサイバーフォーラムに積極的に参加し、グローバルなサイバー規範の策定に貢献し、サイバー空間における責任ある行動を促進していく。
そして、研修プログラム・技術支援・ベストプラクティスの共有といった取り組みを通じて、パートナー国がサイバー防衛能力を構築するための支援を行う。
これら五つの柱によって米国はサイバー防衛を強化し、官民の協力を促進するための包括的かつ協調的なアプローチに取り組んでいくことを目指している。
もちろん、サイバー空間の脅威がもたらす課題に取り組んでいるのは、米国だけではない。
英国では2016年から国家サイバーセキュリティセンター(NCSC)が、サイバー攻撃に対する回復力を高めるために、産官学で英国のサイバー防御の強化に取り組んでいる。NCSCの取り組みでは、政府や公共部門の組織をサイバー空間の脅威から守ることを目的とした「アクティブ・サイバー・ディフェンス」プログラムや、サイバーセキュリティの問題について産官学での連携を促進する「サイバーセキュリティ情報共有パートナーシップ」が行われている。
また、EUにおいてもサイバーセキュリティ態勢の強化に取り組んでおり、2019年にはサイバーセキュリティ製品やサービスの認証の枠組みを確立するとともに、欧州連合サイバーセキュリティ機関(ENISA)の役割を強化した「サイバーセキュリティ法」を採択した。*5更にEUでは、重要インフラに関連したサービス事業者やデジタルサービスプロバイダーに対するセキュリティ要件を定めた「ネットワーク・情報システム指令(NISD)」や、データ保護とプライバシーに関する厳しいルールを盛り込んだ「一般データ保護規則(GDPR)」も施行している。
今回米国が発表した国家サイバーセキュリティ戦略は、より安全で強靭なデジタル環境を構築するために欧州で行われてきた取り組みの、自然な延長線上にあると言えるのかもしれない。
いまやグローバルでビジネス環境やサプライチェーンは構築されており、日米の両国で直接的に活動する企業以外におかれても、今回の戦略を理解し対策に取り組んでいくことは重要である。
最後に、五つの柱に対応して取り組んでいけることをいくつかあげてみた。もちろん、これらが全てではないし、この中には日本国内のみで活動する企業にとって取り組みが困難なものもある。
第一の柱の ”重要インフラと機密情報の保護“ を実現するには、ネットワークやシステムにおける潜在的な脆弱性を特定し、リスクのレベルに応じて改善作業の優先順位を決める必要があり、定期的なリスクアセスメントの実施があげられる。
第二の柱の “官民パートナーシップの強化” を実現するには、政府関係機関や監督官庁との定期的な対話を行うことで規制環境の変化について情報を得る必要がある。これは米国で直接活動する企業において重要なことである。
第三の柱の “強力なサイバー人材の育成” を実現するには、サイバーセキュリティのベストプラクティスについて従業員教育を行う。すべての従業員はフィッシングメールの認識、強力なパスワードの使用、疑わしい活動の報告など、サイバーセキュリティのベストプラクティスに関する定期的なトレーニングを受ける必要がある。
第四の柱の “イノベーションと研究の推進” を実現するには、ファイアウォール、不正侵入検知システム、暗号化技術などの強固なセキュリティ対策を導入し、不正アクセスからネットワークとデータを保護していく。
第五の柱の “国際協力の強化” を実現するには、国際的なパートナーと協力し、情報やベストプラクティスを共有するために、サイバーセキュリティを強化するための共同イニシアティブに参加する。
今回発表された国家サイバーセキュリティ戦略は、米国とその国際的パートナーが直面するサイバー空間での脅威の高まりに対応するための重要な一歩を踏み出すものである。
日本企業にとってもこの戦略の要件に対応することは、単にコンプライアンス上のメリットだけでなく、長期的な成功やレピュテーションに対する戦略的投資でもある。
より安全なサイバー空間によって、イノベーションや経済成長、そしてつながる世界での信頼を強化することができる。
*1 サイバーリスクFish & Tips:サプライチェーンリスクの特効薬
*2 サイバーリスクFish & Tips:身代金は支払うべきか?
*3 サイバーリスクFish & Tips:身代金は支払うべきか?
*4 National-Cybersecurity-Strategy-2023.pdf
英国のサイバーセキュリティ・サイエンティスト。
サイバーセキュリティ企業の経営者としておよそ20年の経験を持ち、経営に対するサイバーリスクの的確で分かりやすいアドバイスに、日本を代表する企業経営層からの信頼も厚い。近年は技術・法規制・経営の交わる領域においてその知見を発揮している。