超党派サイバーセキュリティ法案: 2022年も歩みは続く

This post is also available in: English (英語)

機密情報を保管する政府機関のネットワークにしろ、重要なインフラシステムにしろ、サイバー攻撃の影響を受けないシステムは存在しません。幸い、サイバーセキュリティへの脅威に関する超党派の強力な合意のおかげで、サイバーセキュリティ法案は党派を超えた関心を集めています。

パロアルトネットワークスは連邦議会の協力の精神を歓迎し、幅広い関係者と協力して法案の改善に取り組んでいます。そして2022年の審議が本格化する中で、サイバーセキュリティの立法活動は、いくつかの注目に値する中心的な活動へと収束しています。

予防的なサイバーレジリエンスへの投資

アメリカ人は道路にできた穴をふさぐ重要性を理解しているため、「デジタルな穴」にも同等の注意が必要だと認識しています。この課題に特効薬は存在しませんが、費用面は無視できません。サイバーセキュリティに関して優れた成果を収めるには、より集中的にサイバーセキュリティへ投資する必要があるのです。

過去を振り返れば分かるように、悪い出来事が起こる前にサイバーレジリエンスへ投資する方が、長期的にはほぼ間違いなく安くつきます。これこそ、インフラ投資雇用法案に含まれる重要な条項「州地方サイバーセキュリティ助成プログラム」の確認を弊社がお勧めする理由です。

この助成プログラムによって提供される補助金によって、国内の管轄区域におけるサイバーセキュリティ情勢は一変するでしょう。また、補助金の利用に必要なサイバーセキュリティの計画には、サイバーセキュリティを警戒する文化を広く普及させる効果もあり、関係者全員の利益につながります。さらに、多様な対象に補助金の受給資格を与えることで、州をまたいだセキュリティ運用センターなどのイノベーティブな投資が促進されるという効果もあります。

米国サイバーセキュリティ・インフラセキュリティ庁 (CISA)への十分なリソースの提供は、サイバーセキュリティレジリエンスへの投資に技術的な支援とサービスを提供し、組織の能力形成を支援できるようにする、倍力装置としての役割を果たします。CISAが求める成長への投資に関しては、両院とも熱意を示し続けています。

サイバーセキュリティレジリエンスへの投資はランサムウェア感染拡大に対して優位に立つための土台です。この問題についてホワイトハウスは国内外で強いリーダーシップを発揮しており、熱心な取り組みと集中投資の相乗効果によって、意義のある大きな変化が生じると見込まれます。

攻撃対象領域全体を一元的に可視化

見えないものを守ることはできません。連邦ネットワーク、州・地方政府、重要インフラ業界に絶えず存在する可視性のギャップが原因で、米国の国家的なセキュリティ体制が弱体化しているのです。

連邦情報セキュリティマネジメント法(FISMA)の全面改訂に向けた超党派声明を起草したPeters委員長、Portman筆頭理事、Maloney委員長、Comer筆頭理事に拍手を送ります。この法案のおかげで、必須かつ根本的な変更が政府機関のセキュリティに加えられ、100以上の民間部門と民間機関の一元的な可視化を継続的かつリアルタイムに実現する取り組みの推進を支援できるのです。

このような改善の法文化は、5月に発令された国家サイバーセキュリティ改善に関する大統領令の重要な仕上げといえます。

サイバー スパイ キャンペーン「SolarStorm」と、続いて発生した一連の目立ったランサムウェアインシデントの結果、サイバーセキュリティインシデントの報告規定を明文化する重要性について連邦議会で超党派の合意が固まりました。提案された制度は攻撃対象領域全体の可視性向上に貢献しますが、適用対象の組織で確実に運用できるように注意深く作成する必要があります。複数の団体が連名で提出した書簡に含まれる原則は有益な指針と呼べるもので、フィードバックに熱心に耳を傾けた議員とスタッフに感謝します。超党派のインシデント報告法案は2022会計年度の国防権限法にあと少しで含まれるところでした。今年度の期限に向け、最有力法案として活動が進められています。

デジタルイノベーションとセキュリティのさらなる統合

旧来のインフラストラクチャを土台にセキュリティを後付けしても、目覚ましいセキュリティ成果は得られません。5Gをはじめとする新興技術に関してはサービス製品にセキュリティを直接組み込むことが極めて重要です。結論から言えば、弊社は「ベンダーの信頼」と「設計段階でのセキュリティ組み込み」の原則を補完的な概念だと見なしています。

パロアルトネットワークスは栄誉ある5Gセキュリティのリーダーであり、衛星放送事業者のDish Networkとのパートナーシップの下で5Gコンテナのセキュリティ、ネットワークスライスのセキュリティ、リアルタイム脅威相関付け、動的なセキュリティ適用といった機能を提供することを公表しています。これにより、米国初のクラウドネイティブなOpen RANベースの5Gブロードバンドネットワークに重要なセキュリティ要素を提供する予定です。また、米国国立標準技術研究所(NIST)のNational Cybersecurity Center of Excellence (NCCoE)による5Gサイバーセキュリティプロジェクトの技術パートナーとしても選ばれています。

5Gセキュリティに対して議会は賞賛に値する関心を寄せています。2021会計年度の国防権限法を通じて制定された米国電気通信法はOpen RAN 5Gネットワークの導入と利用を支援する重要な一歩と呼べる内容です。とりわけ、補助金の基準に「Open Networking設備の完全性と可用性を高めるセキュリティ機能の採用を推進する」という条項が含まれていることを歓迎します。

Open RAN Policy Coalitionの報告書「5GのOpen RANセキュリティ」では、従来のアーキテクチャとOpen RANアーキテクチャのセキュリティを改善可能なエンタープライズグレードのセキュリティによって、5Gに新たな能力と利点を付与できると述べられています。本格的に取り組みに着手できるよう、連邦議会の議員がこの重要な法律の予算を審議中です。

サイバーセキュリティとITの刷新は切り離せないと認識することも、セキュリティとデジタルイノベーションを適切に統合するための重要な要素です。上述のFISMAの改定に向けた取り組みには、連邦政府のIT刷新(技術革新基金に起因)によってサイバーセキュリティの検討を適切に後押しするための重要な規定が含まれます。技術革新基金への資金提供と最適化の取り組みを、弊社は今後も支援してまいります。

サイバー人材に関する社会全体の取り組み

サイバー人材不足に関する厳しい統計データは誰もが耳にしているでしょう。米国だけでもサイバーセキュリティ採用枠が50万人近く埋まっていません。この不足を埋めるには、全力で多層的なアプローチを取るしかありません。

8月にCyber.orgが公開した、米国初のK-12サイバーセキュリティ基準の作成をパロアルトネットワークスは支援しました。この教育基準はコンピューティングシステム、デジタル市民権、セキュリティを中心としており、将来のサイバーセキュリティ専門家の国内育成に先鞭をつけるものとなるでしょう。

サイバー教育は教室内にはとどまりません。2018年、パロアルトネットワークスはガールスカウトアメリカ連盟と協力し、世界初のサイバーセキュティ バッジ プログラムを制定しました。現在までに、米国全土で27万枚以上のバッジが取得されています。

議会の関心のおかげで、連邦政府主導かどうかを問わずサイバー人材への取り組みに追い風が吹き続けています。Ossoff上院議員による超党派のサイバーセキュリティ機会法は、歴史的黒人大学のサイバーセキュリティ教育プログラムに資金を提供するもので、サイバーセキュリティ人材の育成過程における多様性を高める価値ある取り組みです。サイバーセキュリティに関する職業への関心と多様性を高めるとともに、自動化に注力してサイバーセキュリティ専門家のスキルを最大限活用することで、人材ソリューションの側面が相互に強化されるでしょう。

相互につながる世界における、レジリエントなICTサプライチェーン

世界ではハードウェア、ソフトウェア、サービスの相互接続が進んでおり、その構成要素が物理・デジタル両面でグローバルサプライチェーンを複雑化させています。

代表的な問題として、COVID-19のパンデミックでは半導体生産が世界的なボトルネックになりました。2021会計年度の国防権限法にはCHIPS for America Actが含まれているものの、いまだに予算は成立していません。弊社としては、できる限り速やかな予算成立を連邦議会に求めます。

行政府でも、連邦政府調達安全保障会議(FASC)を運用するためのプロセスが進められています。その目的は信頼できないと見なされたテクノロジに対する排除命令や撤去命令を上手く取りまとめることです。このモデルは現状の「モグラたたき」的な状況を改善する代表例といえます。透明性のある一貫したリスク評価によって、関係者の混乱が収まり、連邦政府ネットワークのレジリエンスが改善することを願います。FASCが成長への取り組みを継続し、連邦議会がその発展について検討する際は、コンプライアンスを確保できるよう自動化されたツールの採用を推奨します。

弊社はICTサプライチェーンリスク管理ソリューションの一翼を担えるように具体的な取り組みを行っています。たとえば、米国国土安全保障省(DHS)のICTサプライチェーン リスク管理タスク フォースに主要メンバーとして当初から参加しました。また、社内のサプライチェーンレジリエンス文化がベストプラクティスとしてNISTに紹介されたことを光栄に思っています。

オペレーショナルコラボレーションの強化

この10年の政府と業界の情報共有は、サイバーセキュリティパートナーシップの模範として太鼓判を押される存在です。ありがたいことに、情報共有をより緊密な連携(別名、オペレーショナルコラボレーション)の足掛かりとする必要があるとの認識が広まっています。

2021会計年度の国防権限法には、統合サイバー防衛協力(JCDC)の創設と、業界と主要な政府機関パートナーの結びつきの強化につながる条項が含まれます。そして、弊社はこの取り組みの創設アライアンスメンバーです。その目的は単なる情報共有ではなく、密な連携を構築し、共有した情報を基にレジリエンスを高めることにあります。このモデルの効果は、Log4j脆弱性へのレスポンス活動の中で身をもって確かめられました。現在、提案された「サイバー脅威情報コラボレーション環境」を通じてこのコンセプトをさらに強化する、超党派の法案が連邦議会で審議されています。

このように、サイバーセキュリティに関する官民連携の成果を最大限引き出すことに関心を持つ議員の存在は私たちの励みとなっています。情報共有から情報活用への変化はサイバーセキュリティエコシステムの長期的なレジリエンスにとって良い兆候といえるでしょう。