出典: Evan El-Amin via Alamy Stock Photo
トランプ政権のホワイトハウスから6月6日に発表されたサイバーセキュリティに関する大統領令は、バラク・オバマとジョー・バイデンの前大統領をいくつか批判しています。しかし、小さな政治的な問題を超えて、サイバーセキュリティの専門家たちは、新しいアプローチが人工知能、ポスト量子コンピューティング、そして不安定なソフトウェア供給チェーンからの脅威に満ちた新しい状況に米国が適応するのに役立つと広く認識しています。
トランプ政権は長らくサイバーセキュリティ・インフラストラクチャー・セキュリティ庁(CISA)をその権限を超えた過剰な行動をしていると非難してきました。その見解に従い、トランプの就任以来、CISAは体系的に人員と資源を削減されてきました。この新しい大統領令(EO)は、政府が国内の敵対者に対してサイバー制裁を発動することを禁止する規則を設けることで一歩進んでいます。これは、権力が政治的敵に対して使用される可能性があるという懸念によるものだとEOは述べています。
バイデン時代のデジタルIDプログラムは終了
最新のサイバーセキュリティEOは、政府発行のデジタルIDプログラムを作成するというバイデン時代の命令をも廃止しました。トランプ政権は、これが不法移民によって不正目的で悪用される可能性があると述べています。
EOによれば、「トランプ大統領が就任する数日前に、バイデン政権は問題のある気を散らす問題をサイバーセキュリティ政策に忍び込ませようとしました」。デジタルIDカードに加えて、トランプの命令は「実証されていない負担の大きいソフトウェア会計プロセスを排除し、コンプライアンスのチェックリストを真のセキュリティ投資よりも優先させることを求め、予算のトレードオフと革新的な解決策がより効果的に評価され実施されるべき部門および機関レベルでの技術的サイバーセキュリティの決定を細かく管理することを排除しようとしました」と述べています。
関連:SIEMsがMITRE ATT&CK技術で目標を逃している
バイデン政権下で作成されたデジタルIDプログラムは、デジタルID詐欺を抑制することを目的としており、Socureの公共部門責任者であるジョーダン・バリスによれば、国家安全保障を強化するものでした。
「毎日、国家、犯罪組織、詐欺師たちは、政府プログラムを盗み、アメリカ人の身元を盗むことで被害を与えるために、絶え間ない速度で協調攻撃を仕掛けています」とバリスは言います。「トランプ政権には、正確で現代的なデジタルID検証の採用を奨励し、デジタルリーダーシップを確保し、デジタルID詐欺を根本から解決する意味のある機会があります。」
EOはまた、ソフトウェア供給チェーンの強化に連邦の取り組みを集中させ、米国政府が発行するサイバートラストマークで安全なデバイスを認証するプログラムを通じて、モノのインターネット(IoT)サイバーセキュリティを強化することにも焦点を当てています。EOはまた、ポスト量子暗号の修正の緊急性を認識し、AIを活用して革新を促進することを述べています。
サイバー規制の調和は近いのか?
サイバーセキュリティとAI政策の専門家であるミシェル・サハールは、新しいEOは「本当に前向きな一歩」であると言います。
彼女は、国家標準技術研究所(NIST)の安全なソフトウェア開発フレームワーク(SSDF)の改訂が、企業が最初からセキュア・バイ・デザインのソフトウェアを構築する方法について重要な明確さを提供することを指摘しています。また、サハールは、政府の規制調和に向けた重要なステップとして、新しいルール・アズ・コードのパイロットを指摘しています。これは、ガイドラインとポリシーをコンピュータが読み取れるコードとして提供することで、規制コンプライアンスを簡素化することを目指しています。新しいトランプEOは、管理予算局(OMB)、NIST、およびCISAにルール・アズ・コード規制を実施するためのパイロットプログラムを確立するよう指示しています。
「これは、遅くて手動のコンプライアンスプロセスから、今日の脅威、特にAIや量子技術によってもたらされる脅威のペースにより適合した動的で自動化されたものに移行します」と彼女は付け加えます。「これが以前の取り組みと異なるのは、前政権の調和を促進し、サイバーセキュリティ規制を合理化する推進を基にして加速し、それらのポリシーを直接我々が依存するシステムに組み込み、行動可能で測定可能、かつスケーラブルにすることです。」
関連:アフリカでのサイバーセキュリティトレーニング、専門家の数を増やすことを目指す
Loading...
このプログラムを成功させるための課題は、民間のソフトウェア企業がその秘密を共有することだと、ブラックカイトの公共部門副社長であるトニー・モネルは述べています。
「誰も自分のコードを見せようとはしません」とモネルは言います。「この政権は、ソフトウェア企業から独自の情報を得るのが難しいことを認識しており、それが実際的でないかもしれないと認めています。」
EOはまた、ポスト量子暗号の修正の実施段階に移行する準備ができていることを示していますと、ジェネラル・ダイナミクス・インフォメーション・テクノロジーのサイバーおよび著名な技術者であるマシュー・マクファデン博士は述べています。
「この命令は、TLS 1.3(ポスト量子標準)の採用に重きを置き、ポスト量子の世界で連邦通信を確保するための明確な期限を設定しています」とマクファデン博士は言います。「また、DHSとCISAに、PQC対応ソリューションが広く利用可能な製品カテゴリのリストを公開し、定期的に更新するよう指示しています。これは、計画から実施への移行を示しています。」
重要なのは、EOの多くの政策が国全体のサイバーセキュリティの姿勢に有益である可能性がある一方で、これらのイニシアチブが成果を生むためには資金が必要であるとモネルは述べています。
「バイデンのEOにあった良いことがありましたが、今それを倍増し、三倍にしています」と彼は付け加えます。「問題は、彼らが多くの人を解雇したことです。機関はすでにこれを行う資格のある人を見つけるのに苦労しており、才能の喪失により、依然として問題があります。サイバー供給チェーンリスク管理の使命を果たすための人材をどのように見つけるか、これはすでに大幅に資金不足です。」