トランプ 2.0：米政府のサイバー・セキュリティ施策の変化を予想する

Trump 2.0 May Mean Fewer Cybersecurity Regs, Shift in Threats

2024/11/15 DarkReading — 次期大統領ドナルド・トランプの復帰と、閉鎖的な外交政策への転換という約束により、一連のサイバー脅威に対する新たな方針が生み出され、大半の産業分野における規制の緩和や、企業に優しい連邦プライバシー法の制定につながる可能性が高いと、サイバー・セキュリティと法律の専門家たちは指摘する。

トランプは、新たな閣僚や高官の指名を迅速に進めている。彼は、サウスダコタ州知事 Kristi Noem を Department of Homeland Security に指名したが、政府のサイバー・セキュリティの取り組みを主導する Cybersecurity and Infrastructure Security Agency (CISA) 長官については指名していない。

しかし、連邦政府の施策全体としては、企業への規制が大幅に減り、重要インフラとテクノロジー企業の保護に重点が置かれることを覚悟すべきだと、世界的な法律顧問会社 Eversheds Sutherland の共同責任者 Michael Bahar は言う。

彼は、「連邦レベルでは、サイバー・セキュリティ規制とサイバー・セキュリティ施行の優先順位が下がることになるだろう。例外的に取り扱われる、きわめて重要なポイントは、サイバー・セキュリティが貿易政策／国家安全保障／テクノロジーと交差する部分である。現実に、この領域では施行が強化され、少なくとも規制環境が継続することになる」と述べている。

ただし、トランプ政権が開始する外交政策の変更に応じて、サイバー脅威自体が変化する可能性がある。すでに中国は、台湾の民主主義に対する、米国の支援に反対している。また、南シナ海の広大な海域における、中国の領有権主張に対する、国際社会の反発にも異を唱え、アジア太平洋地域でのサイバー活動に大きな懸念を生み出している。さらにトランプは、イスラエル入植者やロシアによる、領土の一部併合を支持すると表明しており、さらなるサイバー脅威の増大につながる可能性が生じている。

CTM Insights の創設者兼マネージングパートナーである Lou Steinberg は、バイデン政権の政策から離脱する新政権は、異なる対立を煽るだろうと語っている。

彼は、「新政権が発足すると、パレスチナよりもイスラエルへの支持が強まり、ロシアとの協定への支持が強まる。あるいは、中国との緊張関係が強まるといった認識が生まれ、その結果として、サイバー侵害の動機が変化し、対応も変化するだろう。新たな政治情勢から生じる、新種の脅威に適応し直す必要がある」と述べている。

重要インフラに重点を置く政権と脅威

トランプの大統領選サイトでホストされている共和党の政策綱領では、すでに重要インフラと産業基盤のサイバー脅威に対する安全が優先されている。しかし、サイバーについて文書化されているのは、これだけだ。

第一期トランプ政権のサイバー・セキュリティへの取り組みに対する支持は、その任期１年目に変化した。 2018年にトランプは、Cybersecurity and Infrastructure Security Agency Act に署名し、重要なインフラをサイバー攻撃から守るための機関を設立した。しかし、2020年の選挙で敗北した後に、当時のトランプ大統領は選挙のセキュリティを正当化する CISA の声明を批判し、当時の長官 Chris Krebs を解雇した。

それ以降において、脅威の状況は悪化しており、トランプ政権の優先事項と一致する形で変化している。中国とイランは、どちらも大きな脅威と見なされている。具体的に言うと、将来の紛争に備えて、デジタル拠点のネットワークを確立しようとする中国の取り組みが特に危険であると、さまざまな当事者たちが指摘している。

トランプ次期大統領が、中国製品に高い関税を設定すると表明したことで緊張が高まり、より深刻なサイバー攻撃につながる可能性が生じる。Lou Steinberg は、「中国は、秘密裏に取り組んでいた取り組みを、公然とした混乱に転換するだろう」と述べている。

彼は、「さまざまな曲名において、米国な関与の度合いを強めると、中国が捉えた場合には、その対応が大きく変化する可能性がある。まず、電力／水道／通信などの重要インフラに対する継続的な攻撃が見込まれる。私たちの見解は、分散型サービス拒否攻撃が数日間は続くというものであり、数か月も続くことはあり得ないが、その分だけ対応能力は低下する」と指摘している。

その一方で、イトランプ政権によるイスラエルへの深い支持に反応するイランは、米国とイスラエルを標的とした攻撃を強化するだろう。ロシアとイランは、米国政権に対して偽情報を送り続ける可能性が高い。両国とも、どちらかの政党の政策を支持するのではなく、不和を煽ることに注力しているため、アプローチは変わるかもしれない。

規制緩和の意味は どこにあるのだろう？

サイバー・セキュリティ規制の優先順位を引き下げ、連邦政府の縮小に向けて約束することで、企業に対するサイバー規制の執行が減少する可能性は高くなる。その一方で、それぞれの州がプライバシー法を強化し、違反者を追及する権限を司法長官に与えようとしているため、データ保護およびプライバシー規制は、おそらく大きく変化するだろう。

その結果として、連邦政府によるプライバシー法が制定される可能性があると、Eversheds Sutherland の Michael Bahar は言う。

彼は、「各州レベルでは、規制活動が増加するだろうと思う。その理由には、州が介入して空白を埋める必要があるという認識がある。したがって、きわめて企業に優しい連邦プライバシー法が制定され、州法の寄せ集めの影響に、対処する必要がなくなるだろう」と述べている。

しかし、結局のところ、規制を緩和しても、サイバー・セキュリティに対する企業の関心が、薄れることはないかもしれない。なぜなら、最近のサイバー攻撃により、事業運営が脅かされることが多々あるからだと、Lou Steinberg は言う。

彼は、「多くの企業おいて、さらには規制の少ない企業においても、ランサムウェアなどのサイバー攻撃に対して、心配し始めている事例を目にする。そうなると、規制環境の緩和が、サイバー・セキュリティへの投資の減少へとつながるだろうか？ たしかに、そのような傾向が多少は生じるだろう。しかし、防衛／医療／金融においては、顕著な変化は見られないだろう」と述べている。

Lou Steinberg は、「世界的な緊張が高まると、危険も増す。しかし、不確実な脅威の状況に直面している大半の企業は、予算削減を正当化できないだろう」と締め括っている。

トランプ 2.0 が始まります。すでに、政府効率化省 (DOGE：Department of Government Efficiency) が構想され、そこをイーロン・マスクが仕切るということまで公表されています。今回の記事に記されているように、さまざまな連邦政府機関に変革が起こるのでしょう。また、トランプ政権の外交方針により、APT の動きにも変化が出てくるはずです。それにより、米政府としてのセキュリティ政策にも影響が生じるでしょう。よろしければ、カテゴリ Government も、ご利用ください。