2026会計年度NDAA予算における軍のサイバー関連資金は4.1%増加し、これにより、堅牢化されたモバイルデバイス、AIセキュリティフレームワーク、そして国防総省(DoD)のサイバー人材に関する権限拡大のための新たな要件が支えられている。
12月7日、下院および上院の国土安全保障委員会は、妥協案となる2026年度国防権限法(NDAA)を公表した。約3,100ページに及ぶこの法案には、2026会計年度に複数の国防総省サイバーセキュリティ関連の取り組みに資金を提供するための多くの条項が盛り込まれている。
NDAA全体でサイバーセキュリティは何百回も言及されているが、この法律には、施行されれば、米軍が主要なサイバーセキュリティ業務を管理する方法に大きな変化をもたらす条項が含まれている。特に、上層部のモバイル通信やAI導入の保護といったタイムリーな分野に加え、あまり目立たないものの潜在的に大きな影響を持つ情報セキュリティ業務に関する変化が含まれる。
NDAAにおけるサイバー関連費用の数字は、情報源や年によって大きく異なるのが常だが、国防総省CFOによる7月の予算要求によると、2026会計年度のNDAAにおけるサイバー活動費は約151億ドルで、前年度の要求額より4.1%増となっている。このサイバー予算の増額は、民間機関に対して提案されている2桁台の削減と鮮明な対照をなしている。
このうち約91億ドルが純粋なサイバーセキュリティ対策に充てられ、残りは、米サイバー軍、国防情報局(DIA)、国防脅威削減局(DTRA)、国家安全保障局(NSA)、および国防次官(研究・技術)室による、明確には定義されていない「サイバースペース作戦」に配分される。
総額のうち約6億1,190万ドルは、次世代のサイバーセキュリティおよびサイバースペース作戦プログラムを推進する既存能力・技術の「展開と近代化」のための国防総省サイバー研究に割り当てられた。
高官向けモバイル電話の保護
安全でないモバイル通信ほど、作戦上重大な影響を及ぼすサイバーリスクはほとんどなく、NDAAは、国防総省が高官向けデバイスを調達・保護する方法に関する新たな義務付けによって、このギャップを直接的に狙い撃ちしている。
法案では、成立から90日以内に、国防総省は、高級軍事高官や、その他機密性の高い国家安全保障任務を遂行する職員に省が提供する各無線モバイル電話および関連するすべての通信サービスについて、強化されたサイバーセキュリティ保護を義務付ける契約またはその他の合意に基づいて取得することを保証しなければならないと定めている。
法案によれば、強化されたサイバーセキュリティ保護とは、データの暗号化、持続的なデバイス識別子を軽減または秘匿する機能(無線モバイル電話の活動や位置情報が不適切に追跡されるリスクを低減するためのネットワークまたはハードウェア識別子の定期的なローテーションを含む)、および無線モバイル電話を継続的に監視する機能を意味する。
さらに法律では、法案成立から180日後までに、国防長官は、これらの条項に基づき国防総省が締結したモバイル通信契約の詳細、このモバイル関連条項の適用対象となる職員をどのように特定したか、そして関係する無線モバイル電話および通信サービスの総コストを記載した報告書を、関係する議会の国防委員会に提出しなければならないと定めている。
これらの条項が、今年初めに起きた、いわゆる「シグナルゲート」事件に続くものであることは、おそらく偶然ではない。この事件では、現国防総省トップのピート・ヘグセット氏が、自身の私用モバイル端末上のSignalを通じて、「非公開」の情報、すなわち「有人の米軍機が敵対領域上空で行う攻撃の機数および攻撃時刻」を、「承認されていない安全でないネットワーク上で、これらの攻撃が実行される約2~4時間前に」共有していたと、同省監察総監が12月2日に公表した報告書は指摘している。
AIおよび機械学習のセキュリティと調達要件
AIがいまや戦場計画から情報分析に至るまであらゆる分野を支えていることを踏まえ、法案は、こうしたシステムを新たなデジタル脅威から保護するための包括的な要件を導入している。
NDAAは、人工知能(AI)および機械学習(ML)に関して、軍が満たすべき一連の政策および調達実務を明示している。まず、国防総省は、他の連邦機関と協議のうえ、施行日から180日以内に、AIおよびMLシステムやアプリケーション、ならびに国家防衛用途で使用されるAIおよびMLモデルのサイバーセキュリティおよび関連ガバナンスに関する省全体の方針を策定・実施しなければならない。
この方針は、モデルシリアライゼーション攻撃、モデル改ざん、データ漏えい、敵対的プロンプトインジェクション、モデル抽出、モデルの脱獄(ジェイルブレイク)、サプライチェーン攻撃など、AIおよび機械学習に対するセキュリティ脅威から保護しなければならない。また、人工知能または機械学習を使用するシステムのライフサイクル全体を通じて、サイバーセキュリティ対策を講じる必要がある。
さらにこの方針は、AIおよびMLのセキュリティに関するベストプラクティスの策定と実装を導くため、業界で認知されたフレームワークの採用を反映しなければならない。同様に、人工知能および機械学習を使用するシステムについて、その完全性と回復力を腐敗や不正な操作から確保するため、ガバナンス、テスト、監査、モニタリングに関する標準に従う必要がある。
最後に、AIおよび機械学習に関する方針は、AIおよびML特有の脆弱性を特定し軽減できるようにするため、省の職員向けの訓練要件を盛り込まなければならない。
法案はさらに、AIおよび機械学習システムの物理的・サイバー的な調達要件を明確にしている。国防長官は、こうした技術の利用に伴うリスクを軽減するため、AIおよびML技術に関するサイバーセキュリティおよび物理セキュリティの標準とベストプラクティスを実装するためのフレームワークを策定しなければならないと規定している。
NDAAは、このフレームワークがAIおよびMLシステムのセキュリティに関するあらゆる関連側面を対象としなければならないと定めている。そこには、DoDの職員に対する、また職員から生じるリスク(内部脅威リスクを含む)、人工知能セキュリティに関する意識向上のための訓練および人材育成要件、AI特有の脅威と脆弱性、専門能力開発および教育、サプライチェーン上の脅威(模造品を含む)、改ざんリスク、AIシステムやデータの意図しない露出または窃取、セキュリティ管理慣行などが含まれる。
またこのフレームワークは、NIST特別刊行物800シリーズや、サイバーセキュリティ成熟度モデル認証(CMMC)フレームワークを含む既存の国防総省フレームワークなど、既存のフレームワークを活用することも求めている。
さらに法律では、このフレームワークが、リスク評価および脅威報告に基づき、サイバー脅威行為者にとって最も関心が高いと考えられる、最も高性能なAIシステムを優先し、契約業者に対してセキュリティ要件を課すことを義務付けている。
NDAAにおけるその他のAI関連条項として、国防総省は、軍人および省の文民職員向けの必須サイバーセキュリティ訓練を改訂し、人工知能がもたらす特有のサイバーセキュリティ上の課題に関する内容を含めることが求められている。
法案はさらに、2026年4月1日までに、国防総省がAIサンドボックス環境に関するタスクフォースを設置し、軍全体にわたる実験、訓練、習熟、開発を支援するために必要なAIサンドボックス環境の開発・展開に関する取り組みを特定・調整・推進することを求めている。
モバイルセキュリティやAIガバナンスを超えて、NDAAには、防衛、情報、国際的なパートナーシップ全体に戦略的な影響を及ぼす幅広いサイバー関連措置が含まれている。
以下は、妥協案に含まれるサイバーセキュリティ条項のうち、特に注目すべきものの一部である。
商用スパイウェア:法案には、「テロ対策、麻薬対策、人身取引対策に関連する取り組みを含め、サイバー侵入能力の正当かつ責任ある調達および適用に対する国家安全保障上の必要性」があるとする「議会の見解」が盛り込まれている。また、商用スパイウェアの拡散は、政府職員の安全とセキュリティを含め、国家安全保障に対する重大かつ増大するリスクをもたらしているとの見解も示されている。
さらに、米国は商用スパイウェアの悪用、すなわち「国際的に認められた人権および基本的自由を行使している個人、ジャーナリスト、国際的に認められた人権擁護者、市民社会団体のメンバー、民族的または宗教的少数派の構成員、その他の個人、あるいはこれら標的となった個人の家族」を標的とするための悪用に反対すべきだと提案している。
また、米国は、悪意ある活動に利用する可能性が高いエンドユーザーへの商用スパイウェアツールの輸出を防ぐため、同盟国およびパートナーと協調し、この問題に関する情報を同盟国と積極的に共有すべきだとも規定している。
外国の敵対勢力による米国人マルチオミクスデータ取得がもたらす国家安全保障リスクの評価:法案は、成立から270日以内に、国家情報長官が、国防長官、米国司法長官、保健福祉長官、商務長官、国土安全保障長官、国務長官、および国家サイバー長官と協議のうえ、米国市民のヒト・マルチオミクスデータが、バイオテクノロジー機器またはサービスの提供を通じて外国の敵対勢力によって収集または保存されることにより、国家安全保障にもたらされるリスクの評価を完了しなければならないと定めている。マルチオミクスデータとは、ゲノミクス、トランスクリプトミクス、プロテオミクス、メタボロミクスなど、異なる種類の生物学的データを統合し、生物学的システムの全体像を提供するものである。
人工知能のための生物学的データ:法案は、生物学的データの保存に関する階層化されたサイバーセキュリティ保護およびアクセス制御レベルを求めるとともに、個人のプライバシー保護に関する要件も含んでいる。
サイバーセキュリティ規制の調和:2026年6月1日までに、国防総省は、防衛産業基盤に適用されるサイバーセキュリティ要件を調和させ、特定の契約またはその他の合意に固有の要件の数を削減し、その調和を実施するために講じた措置に関する報告書を議会の国防委員会に提出しなければならない。
戦略鉄道回廊ネットワーク評価におけるサイバーセキュリティおよびレジリエンス付属書:法案は、国防長官が運輸長官および国土安全保障長官と連携し、戦略鉄道回廊ネットワークの定期的な評価を実施すべきだと定めている。この評価には、戦略鉄道回廊の物理的インフラのサイバーセキュリティおよびレジリエンスに関するレビューを含む付属書を含めなければならない。戦略鉄道回廊とは、国防および軍事機動性にとって重要な鉄道回廊の相互接続ネットワークであり、国防総省および連邦鉄道局によって定義されている。
サイバー人材の採用と定着:法案は、サイバー関連業務に従事する軍人の基本給水準を、政府内の同等の職務に従事する職員と同等の水準に設定するよう、国防長官に求めている。
西バルカン地域におけるサイバーセキュリティおよびサイバー・レジリエンスの支援:NDAAには、「米国による西バルカン諸国のサイバーセキュリティ、サイバー・レジリエンス、および安全なICTインフラへの支援は、同地域が、地域に影響を及ぼそうとする非国家主体および外国政府を含む外国勢力による悪意あるサイバー活動から自らを防衛し、対応する能力を強化する」という「議会の見解」が盛り込まれている。
兵器システムプラットフォーム強化のためのリアルタイム監視能力の実証:資金が利用可能な場合、国防長官は、調達・維持担当国防次官および各軍種の調達責任者と連携し、選定された兵器システムプラットフォームに、サイバー脅威を検知し保守効率を向上させるための、機上搭載型の準リアルタイムなエンドツーエンドのシリアルバスおよび無線周波数監視機能を装備する実証を実施する。
翻訳元: https://www.csoonline.com/article/4103754/key-cybersecurity-takeaways-from-the-2026-ndaa.html
