トランプ 2.0 と CISA の確執を紐解く：何が継続され 何が変化するのだろう？

Trump 2.0 Portends Big Shift in Cybersecurity Policies

2024/12/24 DarkReading — 政治的な論評に飲み込まれる前の CISA は、トランプ第一次政権の下で 2018年に発足した、彼の功績である。しかし、その後の CISA は、政治からの汚い非難と、言論の自由という悪ふざけにより、保守派から除け者にされてしまった。現在の CISA は、存亡をかけたトランプ政権との政治的衝突に直面しており、米国連邦政府によるサイバー・セキュリティへの関与自体が、新たな政権の中に引きずり込まれるという懸念が生まれている。その結果として、サイバー・リスクが増加するという可能性があるが、その一方では、ビジネス／イノベーション／投資の機会が生まれるだろう。つまり、数多くのことが、同時に起こり得るのである。

CISA の発足当初の任務は、米国のインフラをサイバー攻撃から守るための調整を行い、さらに米国企業間で重要な情報を共有し、国全体の姿勢を強化するという、これ以上はあり得ないというレベルで、政治から分離されたものに思えた。しかし、その後の 2020年の選挙において、CISA は自身が “誤報” と見做したものと戦うことになり、保守派からの反発を買うことになった。

トランプと CISA の政治

そのころの CISA 局長だった Chis Krebs は、トランプ政権による不正の申し立てを否定したことで、2020年の選挙の僅か数週間後に公然と解雇された。ただし、それ以降の彼は、注目を集める政治プレーヤーであり続け、ケーブル・ニュース・サーキットの常連でもある。

2023年7月に、CNN に対して彼が認めたのは、”Trump and The 2020 Election” 調査において、特別検察官 Jack Smith から尋問されたことだ。その後の彼は、2024年の選挙に向けて、Face the Nation などのメディアに出演し、トランプ陣営による選挙不正の申し立てに対して繰り返して反論していた。

彼の後任者となった Jen Easterly は、より控えめなアプローチを取った。彼女の親しみやすさと、軍部との深いつながり、サイバー・セキュリティへの専門知識に、野心的なクールガールの魅力が加わったことで、サイバーの世界で人気を博すことになった。さらに彼女は、重要な４年間を通じて、政治から遠く離れた場所で、この新たな組織を率いてきた。その努力は、規律正しく善意に基づくものだったが、CISA だけではなく Jen Easterly も、保守派の怒りから逃れることはできなかった。2024年1月に、自宅にいた Jen Easterly は、スワッティング事件の標的にさえされている。

サイバー・セキュリティ専門家の Jake Williams は、「私が思うに、Jen Easterly は、とても新しい組織の役割を定めるという、大きな課題を抱えていた。しかも、その組織は、共和党の政治家から批判されている組織である。こうした、きわめて現実的な課題があるのだが、彼女は素晴らしい仕事をした。CISA が抱える、数多くのミッションに対する、超党派の支援があればどうなっていたのだろうかと、私には想像を逞しくするほかにない」と、DarkReading に語っている。

2024年の選挙が終わって、Jen Easterly が述べたのは、2025年1月の就任式の日に辞任するということだ。しかし、CISA は動き続けている。重大なサイバー・イベントが発生した際に、連邦政府機関と業界が協力するために更新された、National Cyber Incident Response Plan の草案を公開しており、2025年1月までコメントを受け付ける状況にある。

そのような民間部門との連携は、まさにバイデン政権下で CISA が目指していたものだ。Jen Easterly を中心とする CISA は、サイバー・セキュリティ基準の策定や、各州ごとのサイバー・オペレーションに投資するための、サイバー・セキュリティ助成金の提供において積極的な役割を果たした。その一方で、バイデン大統領は政権時代に、米国のサイバー・セキュリティ・インフラを強化するために数十億ドルの予算を割り当てた。さらに、国家としてのサイバー準備レベルを高めるために、AI から Zero Trust にいたるまでの、あらゆるものに関する一連の大統領令に署名した。

Bugcrowd の創設者である Casey Ellis によると、この４年間における CISA の注目すべき成果として挙げられるものには、Joint Cyber Defense Collaborative (JCDC) と Known Exploited Vulnerabilities (KEV) の設立があるという。連邦 CEB 脆弱性開示プログラムにおいて、Casey Ellis は CISA と共同で作業しており、政府システムの欠陥を発見した研究者が、迅速に報告しリスクを軽減するためのリポジトリとして、CISA のサーバを機能させている。

挫折もあった。KEV リストに対する評価には、修復を迅速化したというものがあるが、リストに載るまでに数ヶ月を要するケースもある。こうした、新たなサイバー・インフラとルール策定の多くにおいては、レギュレーションとコンプライアンスという足かせが伴うため、特に議会からは、イノベーションの障壁になっていると批判された。その一方で、セキュリティ投資を促進するために必要だと、CISA の動きを擁護する者もいた。

Sectigo の Senior Fellow である Jason Soroko は、「Jen Easterly の下で推進された CISA の積極的な取り組みである、Secure by Design の展開や、企業によるインシデント報告の迅速化は 、サイバー・セキュリティ業界の売手と買手にとってプラスに働いた。規制上の負担と見なされていたものは、実際のところは、正しい行動へ向けた前向きな呼びかけだった」と言う。

業績に対する称賛はさておき、CISA と Jen Easterly には達成できなかったことがある。 つまり、CISA を監督する立場にある、Senate Homeland Security and Governmental Affairs Committee 委員長に就任予定の、Rand Paul 上院議員のような保守派の大物を説得するだけの、何かを提示できていないのだ。

Rand Paul 上院議員は、CISA を完全に廃止することはないだろうと述べている。その上で、外国からの影響力工作と闘う活動の一環として、CISA が行ったとされる保守派の声の抑制に対して厳しい制限を課すと、先月の時点で宣言している。少なくとも CISA は、誤報に対する調査権限を剥奪される可能性が高いとされる。

前述の Jake Williams は、選挙のセキュリティを監視するという、CISA の役割が縮小すると予想している。この問題は、2020年の選挙において、同機関が全国的な注目を集めたテーマでもある。

トランプ 2.0 下でのサイバー・セキュリティの機会

CISA の規模は縮小の方向にあり、また、トランプ政権は規制を嫌悪する政権である。そして、政府の業務を官民パートナーシップへと、開放することに関心を示していることから、今後の数か月における民間部門には、これまであり得なかったチャンスが生まれることになる。

​​前述の Casey Ellis は、「ロシアとイラン、そして中国に対抗する上で、サイバー攻撃と抑止に関する、一連の直接的な会話が見られるようになると予想している。そこに取り込まれるのは、National Security Agency と Cyber Command の構造の変更および、防衛前線と妨害作戦への民間部門の参加の可能性である」と述べている。

政府への協力という新しいチャンスに加えて、サイバー・セキュリティの規制緩和が進行中であると、Casey Ellis は付け加えている。

彼は、「普通に見て、トランプ政権における一般的な政策アプローチが反映され、すでに第２次冷戦が始まっていることがオープンに認められるだろう。したがって、サイバー・スペースに対するアプローチは、より明白なものとなり、国内における規制緩和が期待できるだろう」と指摘している。

専門家である John Bambenek によると、SolarWinds や Uber の CISO が経験したような、Securities and Exchange Commission (SEC) による規制に対して、新政権は変更を示唆する可能性が高いという。

彼は、「たとえば、企業に対する規制の執行は緩和され、政府が CISO に対して、違反の責任を負わせることはなくなるだろう。また、大手テクノロジー企業に対する独占禁止法の訴訟が、これまでのように発動されるかどうかも分からない。そうなれば、テクノロジー企業とセキュリティ企業の統合が、さらに進むだろう」と述べている。

トランプ政権が非干渉的なアプローチを取るにしても、サイバー・セキュリティにおける連邦政府の基本的な役割は維持されるという、控えめな楽観論もある。バラク・オバマ政権下で、大統領府の Security Operations Center の Director of the White Office を務め、現在はサイバー・セキュリティ企業 KeyCaliber の President を務める Roselle Safran によると、特にリソースの面が重要だという。

彼は、「新しい政権にとって、最優先事項と思われる問題は山積みだと思うが、サイバー・セキュリティが後回しにされないことを願っている。サイバー・セキュリティには、持続的かつ相当量のリソースが必要だという認識が大切だ」と指摘する。

トランプが大統領に就任するときの、いまの世界には、前例のない量のサイバー攻撃や、人工知能の台頭、そして、世界を覆うサイバー軍事紛争がある。2028年の選挙の後にも、CISA が活動を維持し続けるには、話題から政治を外すことが最善の方法だと、専門家たちは助言する。しかし、それは不可能なチャレンジかもしれない。

Casey Ellis は、「2018年以降に達成された進歩と裏腹に、CISA に対する否定的な感情が渦巻いていることを懸念している。しかし私は、トランプ大統領が、この組織を設立したときに念頭に置いていた優先事項が、全体的な防衛任務の前進につながると、控えめながら楽観視している」と述べている。

トランプ 2.0 に関しては、2024/11/15 に「トランプ 2.0：米政府のサイバー・セキュリティ施策の変化を予想する」という記事を、また、2024/11/19 には 「CISA 長官 Jen Easterly の退任：トランプ新政権による人事の刷新」という記事をポストしています。米国の通例として、政権が変われば政府機関のトップも入れ替わります。それは、仕方のないことなのかもしれませんが、CISA の場合には、KEV や Security by Design といった政策を、ぜひとも継続して欲しいと思います。