Biden signs executive order inspired by lessons from recent cyberattacks
2015/01/16 NextGov — 2025年1月16日 (木) にバイデン米大統領は、この4年間に発生したサイバー攻撃から得た教訓を盛り込んだ、米国のサイバー・セキュリティに関する大統領令 (EO) に署名した。その教訓の多くは、政府の機密システムや民間部門の医療インフラの広範囲に狙いを定めたサイバー攻撃にまつわるものである。
この大統領令は、次期大統領のドナルド・トランプが就任する数日前に発令されたものである。そこで焦点が当てられたのは、連邦政府のシステムの保護を強化するための数多くの対策であり、被害者のシステムを人質に身代金の支払いを要求するランサムウェア・グループなどの、ハッカーに対する制裁措置を強化する権限を、米国に与えるものである。
今回の大統領令は、2021年5月にバイデンが署名した政策を踏襲するものである。そのときの大統領令は、2010年代の初めに IT/エネルギー・システムに対して仕掛けられた、2件の注目度の高いサイバー攻撃を受けて策定されたものだ。
国家安全保障の当局や議員たちは、昨今のサイバー犯罪や国家支援の脅威アクターによる、連邦ネットワークなどの重要インフラへの侵入に対して、深刻な懸念を抱いている。
2023年には、商務省/国務省高官の電子メール通信が、中国のハッカーによる不正アクセスを受けたことで、国土安全保障省が支援するサイバー・セキュリティ審査委員会による見直しが余儀なくされた。
また 2024年1月には、ロシアのサイバー・スパイ組織による、Microsoft と連邦機関間の通信への傍受が発生している。翌月の 2024年2月に発生したのは、UnitedHealth の Change Healthcare 部門に対する大規模なランサムウェア攻撃であり、およそ1億人のアメリカ人が被害を受けた。医療業界に対するハッキング攻撃は、その後も続いている。
さらに最近では、より広範囲にわたるテレコム・システム/水処理施設/送電網などの重要なインフラに、中国に支援されるハッカーが侵入していることが判明している。
退任予定のサイバー・セキュリティ/技術担当の国家安全保障顧問代理である Anne Neuberger は、「今回の大統領令は、中国/ロシア/イラン/ランサムウェア犯罪者によるハッキングを、より困難でコストが掛かるものにするという目的を持つ。さらに、米国の企業や市民を守るという点において、米国は本気であるという意思を示すことにある」と、事前発表の電話で記者団に語っている。
この行政措置は、ソフトウェアのサプライチェーンにおける透明性と安全性の向上を意図するものであり、それそれのベンダーに対して、自社のセキュリティ対策が適切に行われていることを示す、証拠の提示を義務付けるものである。
Neuberger は、「我々は現在、企業に対して証拠の提出を求めており、それらを公開している。そうすることで、それらの証拠を確認した地方の病院や地域の銀行が、”このソフトウェア・プロバイダは安全だから利用したい” と判断できるようになる」と述べている。
米国の国立標準技術研究所 (NIST:National Institute of Standards and Technology) が指示されているのは、この大統領令が目指す安全なソフトウェアという分野に関連する、 ソフトウェア・アップデートの適切な展開に関する指針の策定である。
2024年7月には CrowdStrike の障害が発生し、多数の連邦機関だけではなく、世界中の多数の企業や交通拠点が甚大な被害を被った。このインシデントでは、不具合のある CrowdStrike のソフトウェア更新プログラムが、何百万台もの Windows コンピュータに配信され、“BSOD (Blue Screen of Death)” というエラー画面が表示された。
また、今回の大統領令が目指すものには、サイバー・インシデントの検出を通じた、連邦システムのセキュリティ向上もある。具体的に言うと、CISA (Cybersecurity and Infrastructure Security Agency) は、政府ネットワークに侵入するサイバー脅威を一元的に監視できるようになる。
CISA における役割の強化と、その他のいくつかの側面については、Nextgov/FCW が 2025年1月9日に報じている。Nextgov/FCW が最初に報道した、特筆すべき施策の1つは、公的給付の申請者の確認において、モバイル運転免許証などのデジタル ID 文書の使用を拡大するよう、政府機関に対して促すものである。
その他にも、Office of the National Cyber Director に対して求められるのは、宇宙に接続された既存の地上システムと、それらが管理する情報を一覧する調査結果を提出し、そのサイバー・セキュリティ態勢を改善するための提言を行うことである。
2024年5月の発表で国防総省の高官が指摘したのは、MCC (Mission Control Center) や発射施設などの地上の宇宙資産は、容易な侵害を許すという点である。これらの施設の多くにおいて実施されるべき、基本的なサイバー・セキュリティ対策が不十分であるところに、その理由がある。
今回の大統領令により、政府に対して義務付けられるのは、新たに発表された Cyber Trust Mark 認証ラベル付きの機器を、 2027年までに調達することである。このマークの目的は、政府が審査するサイバー・セキュリティ基準を満たす製品を、消費者に知らせることにある。
Neubergerによると、トランプ新政権のサイバー・セキュリティの最高責任者は未発表であり、この大統領令に関する直接的な話し合いはまだ行われていないという。彼女は、「この最終的な移行期間中に、次期サイバーチームが任命され次第、話し合いができることを非常に嬉しく思う」と述べている。
テレビのニュースなどを見ると、GAFA のトップたちがトランプ支持を明確にしている姿が印象的ですね。いろんな意味で、規制を強めるバイデン政権には、反対のスタンスということなのでしょう。そして、バイデン政権にとって、最後の大統領令が発動されたわけですが、今後、どのような展開になるのか、とても興味があります。よろしければ、以下のリストを、ご参照ください。
2021/05/12:バイデン政権は大統領令によりサーバー・セキュリティを強化
2024/12/27:CISA 2024:重要インフラの防衛と国内外での連携の推進
2024/12/24:トランプ と CISA の確執:何が継続され 何が変化する?
2024/11/19:CISA 長官 Jen Easterly の退任:トランプ新政権と人事の刷新
2024/11/15:トランプ 2.0:サイバー・セキュリティ施策の変化を予想する
IoT OT Security News 
You must be logged in to post a comment.