【ワシントン】 中国をはじめとする高度な脅威アクターに直面する米国のサイバーセキュリティ耐性は、重大インフラが大規模な混乱を乗り切る能力にますます依存するようになる――米国のサイバーセキュリティ担当高官が水曜日にこう述べました。
「私たちは今この瞬間も、決して終わることのない戦争の最前線に立っている」。サイバーセキュリティ・インフラセキュリティ庁(CISA)のニック・アンダーセン長官代行は、Institute for Security and TechnologyのCritical Effectカンファレンスでそう語りました。
「敵対勢力によって重要インフラが攻撃・破壊される事態は必ず起きます」とアンダーセン氏は述べました。「その影響は技術的なものにとどまらず、米国民の安全に関わる深刻な心理的打撃をもたらすでしょう。……私たちはそれを現実として受け止め、望む限り全てのシステムを常時オンラインで維持し続けることはできないという前提で行動し始める必要があります」
CISAが打ち出すレジリエンス(回復力)重視の姿勢は、侵害の防止を優先してきた従来の政府サイバーセキュリティ方針からの転換を意味しています。近年では、高度な国家支援型ハッキングキャンペーン――特に北京によるVolt Typhoonスパイ作戦――が相次いで明るみに出たことで、政府・民間の戦略担当者の間では「攻撃を受けても重要インフラを稼働し続けること」を最優先目標とすべきだとの認識が浸透してきています。
「例えば、通信インフラが遮断される可能性を前提として行動計画を立てなければならない」とアンダーセン氏はOT(運用技術)サイバーセキュリティをテーマにしたCritical Effectカンファレンスで訴えました。「なぜか。通信インフラは必ず攻撃されるからです」
国家レジリエンスの強化に向け、連邦政府は複雑な相互依存関係やサプライチェーンの連鎖を考慮した上で、最も重要なインフラ資産のリスト作成に長年取り組んできました。しかし、歴代政権が推進してきた重要資産の特定プログラム――セクション9エンティティやシステム上重要なエンティティといった取り組み――は、ほとんど成果を上げられていないのが実情です。
サイバーセキュリティの義務化か、資金援助か
質疑応答では、ISAC(情報共有・分析センター)の中でも参加率が最も低い部類に入る水道分野のWaterISACへの参加を、政府が水道事業者に義務付ける時期が来たのかという問いに、アンダーセン氏が答えました。水道分野は地域ごとの分散が著しく「対応が非常に難しいセクター」と認めつつも、義務化による解決策には懐疑的な見方を示しました。
「現時点では、自主的な取り組みから義務的な対応へと移行する局面が来るとは思っていません」と同氏は述べました。「私にとって最も重要なのは、州・地方の助成金をどれだけ賢く活用できるか、という点です」
CISAは現在、国土安全保障省(DHS)の州・地方サイバーセキュリティ補助金プログラムの再授権と予算再措置に向けて議会と協力していると、アンダーセン氏は説明しました。同氏はこのプログラムを、資金不足に悩む地方自治体にとって不可欠な支援の仕組みと位置付けています。
補助金による支援と資産の優先順位付けこそが、「変化し続ける規制基準に対応するリソースを持ち合わせていないセクターに対して義務を課す」よりも有効なアプローチだとアンダーセン氏は主張しました。
CISAの目標は「優先順位をつけながら対象となる事業者を特定し、計画的にアウトリーチを行った上で、私たちが課す高い水準・高い要求に応えるためのセキュリティ確保に必要なリソースを、確実に提供すること」だと同氏は述べました。
