転換期を迎えた米サイバーセキュリティ政策、規制強化の舞台裏
米国政府はこれまで、サイバーセキュリティ対策を民間企業の自主的な努力に頼ってきた。しかし、インフラ企業を襲ったランサムウェア被害やロシアのハッカーの脅威を目の当たりにした今、規制強化に舵を切りつつある。 by Patrick Howell O'Neill2022.03.24
2021年、米国最大の燃料パイプラインであるコロニアル・パイプライン(Colonial Pipeline)がハッキングされた。パニック状態に陥った何千人もの米国人がガソリンを買いだめし、東海岸全域が燃料不足に陥った。ハッカーの侵入を許したのは、サイバーセキュリティ上の基本的なミスが原因であった。コロニアルは、事態の収拾を図るときになるまで米国政府に何の相談もせず、一方的な判断により、500万ドルの身代金を支払い、東海岸の燃料供給の大部分を停止した。
元英国サイバーセキュリティ大臣であったキアラン・マーティンは、この様子を、大西洋の対岸から困惑した様子で見ていた。
マーティンは、「コロニアルへのハッキングに関しては、同社が商業的利己主義の狭い観点から決定を下し、後始末をすべて米国連邦政府が引き取ったものだと、厳しく評価しています」と言う。
現在、ホワイトハウスの現サイバー長官を含む米国のサイバーセキュリティ高官の一部は、サイバーセキュリティ面での政府の役割および規制を強化する時期が来ていると考えている。 コロニアルのような大失敗を繰り返さないためだ。
この方針転換は、ウクライナで戦争が起こり、ロシアからの新たなサイバー攻撃の脅威が高まるなか、ホワイトハウスが国家の安全を守る方法を見直す必要に迫られている矢先に起こった。
米政府の国家サイバー長官を務め、バイデン政権のサイバーセキュリティ最高顧問であるクリス・イングリスは、ロシアのウクライナ侵攻後の初の取材で「私たちは転換点に来ています」とMITテクノロジーレビューに語った。「社会に必要な重要機能が問題になっている時には、自由が制限されることもあります」。
米政府の新しいサイバーセキュリティ戦略は、政府の監督強化の在り方、組織に最低限のサイバーセキュリティ基準を満たすことを義務付ける規則、民間企業との緊密なパートナーシップ、現在の市場優先アプローチからの脱却、新規則の遵守を担保するための執行方法などで構成されている。この戦略は、大気浄化法(Clean Air Act)や米国食品医薬品局(FDA)の設立など、米国で最も有名な規制事例に倣うことになるだろう。
ロシアのハッカーによる脅威が迫る中、米国連邦通信委員会(FCC)はロシアのハッカーがインターネット通信を乗っ取る可能性を想定している。これは過去にもロシア政府が採用した戦術だ。3月11日に発表された米国連邦通信委員会の新しい 施策 は、米国の通信会社がこの脅威に対して十分な安全対策をしているかどうかを調査することを目的としている。しかし、企業に遵守を強制する力がない同委員会にとって、これは厳しい試練となる。遵守させるためには、国家安全保障上の危機が発生する可能性を説明するほかないからだ。
多くの政府関係者は、市民の安全を守るために市場の善意にほぼ全面的に頼らざるを得ない現在の状況を継続させることはできないと考えている。
オバマ政権のサイバーセキュリティ担当高官だったスザンヌ・スポルディングは、「これまで何十年間も取り組んできましたが、サイバーセキュリティに関しては自主性に頼るというやり方のために、端的に言って、あるべき姿に到達できていません」と言う。「外部性(日本版注:ある主体の意思決定や行為が第三者に影響を与えること)は、これまで長い間、公害や高速道路の安全性に関する規制や義務付けを正当化してきました」。
重要なのは、ホワイトハウスの高官の意見がそろっていることだ。イングリス長官は、「スザンヌの言うとおりです。同意します」と述べる。
この意見の支持者たちは、抜本的な変化がなければ、歴史は繰り返されると主張する。
サイバーセキュリティとプライバシーの問題に関して議会で最も発言力のある議員の一人であるロン・ワイデン上院議員は、「企業が強力なサイバーセキュリティの規則を望んでいないことは周知の事実です」と言う。「米国のサイバーセキュリティが今のような状態になっているのはそのせいです。現状を変えることがあたかも簡単なことのように言うつもりはありません。しかし、今のあり方を続けるということは、ロシアや中国、さらには北朝鮮のハッカーに、アメリカ全土の重要システムを開放することなのです。次のハッキングがコロニアル・パイプラインを超える被害をもたらさないことを心から願います。しかし、議会が真剣に取り組まない限り、それはほぼ避けられないでしょう」。
転換は簡単ではない。政府内外の多くの専門家が、下手な規制をすればメリットよりも弊害が多くなることを懸念している。規制当局にサイバーセキュリティの専門知識がないことに不安を感じている当局者もいる。例えば、運輸保安局の最近のパイプラインに関するサイバー規制は、「ひどい」規制だと批判されている。この規制が柔軟性に欠け、不正確であり、解決するよりも多くの問題を引き起こすという理由によるものだ。批判者は、規制当局は大きな権限を持っているが、仕事を正しく遂行するための十分な時間、資源、専門性の高いスタッフを抱えておらず …
- 人気の記事ランキング
-
- These AI Minecraft characters did weirdly human stuff all on their own マイクラ内に「AI文明」、 1000体のエージェントが 仕事、宗教、税制まで作った
- Google’s new Project Astra could be generative AI’s killer app 世界を驚かせたグーグルの「アストラ」、生成AIのキラーアプリとなるか
- Bringing the lofty ideas of pure math down to earth 崇高な理念を現実へ、 物理学者が学び直して感じた 「数学」を学ぶ意義
- We saw a demo of the new AI system powering Anduril’s vision for war オープンAIと手を組んだ 防衛スタートアップが目指す 「戦争のアップデート」