連邦通信委員会(FCC)は、昨年発生した中国による米国通信インフラの大規模な侵害を受けて、バイデン政権が土壇場で導入した一連の規制を撤回するかどうかについて、木曜日に投票を行う予定です。
ブレンダン・カー委員長はこの規則を「効果がなく、違法である」とし、新たに承認されたオリビア・トラスティ委員の支持も見込まれることから、規則を撤回する多数派の立場が形成されています。
現在、パネルで唯一反対の立場を取るアンナ・ゴメス委員は、CyberScoopのインタビューで、規則を撤回することは、侵害を可能にしたサイバーセキュリティ上の不備について通信事業者の責任を問わないことになると語りました。
また彼女は、これによりSalt Typhoonへの対応としてFCCが取った数少ない実質的な行動の一つが失われるとも指摘しました。Salt Typhoonは中国政府主導のサイバースパイ活動で、当時の大統領候補ドナルド・トランプ氏や副大統領候補JD・バンス氏を含む米国高官の電話やデータが広範に侵害されました。
「分かっているのは、私たちがこの大規模なハッキングを受け、委員会がこうした事態を再び起こさないために最も適した機関であるということです」とゴメス氏は述べました。「私たちが[規則]を採用したのは、即時の対応が必要であり、説明責任を創出し、明確なサイバーセキュリティ義務を確立し、次の侵害が起こる前にネットワークを強化するための実効性のある枠組みを導入するためでした。」
米国当局は、Salt Typhoonが現在も活動中かどうかについて、さまざまな見解を示しています。今年初め、FBIの担当者はCyberScoopに対し、同グループは「封じ込められた」と考えていると述べましたが、他の関係者は、同グループの技術的専門性と粘り強さ、通信インフラの潜在的な脆弱性を踏まえると、それは考えにくいとしています。
Salt Typhoonによる侵入を現在も続く活動と見なしているか尋ねられると、ゴメス氏は「これは一度きりの出来事ではありません」と答えました。
「これらの試みは今も続いており、強力な対応の必要性は減っていません」と彼女は述べました。
1月には、当時のジェシカ・ローゼンウォーセル委員長の下で、FCCは宣言的判決を採択し、通信事業者には通信支援法に基づき、通信やネットワークが無許可の事業者に傍受されないよう保護する法的義務があるとしました。
また、FCCは通信事業者に対し、サイバーリスク管理計画を毎年FCCに認証させることを義務付ける規制案も開始しました。
カー氏は10月30日のファクトシートで、宣言的判決と規制案の両方を撤回するための投票を行うとし、その理由をいくつか挙げています。
バイデン政権時代の規則は「拙速に」導入され、バイデン氏とローゼンウォーセル氏が退任する数日前のことでした。カー氏は、CALEAにはFCCが特定のサイバーセキュリティ実務を規制する権限を与えるものはないと考えています。また、過去1年間に通信事業者と連携してネットワーク強化を支援してきたことから、規則は「効果がなく」重複しているとも述べました。
ゴメス氏は、規則が発効してから10か月しか経っていないのに、カー氏がそれを効果がないと判断できる理由は不明だとし、委員会は事業者との関係性に頼って、義務ではなく業界主導のサイバー対策を促進できるとして、規制権限を行使しないと言っているようなものだと述べました。
「私の疑問は、『実際にどれだけの事業者がこれらの対策を実施したのか?』ということです」とゴメス氏は述べました。「業界団体が一部の事業者が同意したと言っていますが、具体的な数字はありません。何社あるのかもはっきりしませんし、ハッキングで誰が最も脆弱になるかも分かりません。協力は非常に重要ですが、規制による後ろ盾も同じくらい重要です。」
過去1年間にFCCが通信業界とどのようなやり取りをしたかについて尋ねられると、ゴメス氏は、業界と誠実に関与しなければ効果的な規制はできないことを認めつつ、カー氏が説明したような活発なやり取りは目にしていないと述べました。
「私が知る限り、そうしたやり取りがあったという証拠は[カー氏の発言]以外にありません」と彼女は述べました。
今年、委員会がSalt Typhoonの侵入にどれだけの時間を割いたか尋ねられると、ゴメス氏はそれが最優先事項ではなかったことを示唆しました。
「正直に言うと、はっきりとお答えするのは難しいです」と彼女は述べました。「[トランプ]政権からは一つも提案を見ていません。FCCが1月に行ったことが、私が見た中でSalt Typhoonに対する唯一の意味のある規制対応です。」カー氏はその正当化の中で、今年委員会が他の連邦機関と連携するための国家安全保障評議会の設置や、中国企業による米国内の通信機器試験所の所有防止、また中国の機器メーカーが連邦規制を回避して米国で販売していないかの調査などに取り組んできたことを挙げています。
委員会は「重要な通信インフラに対する最大のサイバーセキュリティリスクに対応するため、柔軟性のない曖昧な要件を課すことなく、的を絞った規則を採択した」とカー氏は記しています。
しかし、過去1年間に得られたほぼすべての証拠は、Salt Typhoonのハッカーが主に米国および西側の技術や機器を利用して米国の通信ネットワークを侵害したことを示しています。情報機関やサイバーセキュリティ当局を含む米国当局者への複数のインタビューでも、中国製機器や試験所の外国所有が侵害に寄与したと述べた者はいませんでした。
翻訳元: https://cyberscoop.com/fcc-cybersecurity-vote-china-hack-telecoms-anna-gomez/
