出典: helloRuby / Shutterstock
米国政府は、通信企業を標的とした「ソルト・タイフーン」攻撃に関与したとして中国国家安全省に制裁を科す計画を取りやめ、その代わりに中国との継続中の貿易交渉を優先することを決めたと報じられている。
これに加え、米国がエヌビディアに対し、同社で2番目に強力な人工知能チップであるH200プロセッサーを中国へ輸出することを認めるとする最近の報道もあり、米国政府はサイバーセキュリティを貿易交渉の「甘味料」として犠牲にしていると批判する声が上がっている、とフィナンシャル・タイムズの最近のニュース記事は伝えている。
外交・経済の観点から見ると、こうした動きは確かに場当たり的で取引的な印象を与えると、セキュアソフトウェア開発企業Sonatypeで連邦政府担当リージョナル・バイスプレジデントを務めるアントワーヌ・ハーデン氏は語る。
「サイバー関連の制裁や輸出規制は、フェンタニル、貿易収支、産業政策などをめぐるより広範な交渉に組み込まれつつあります」と同氏は言う。「その結果、サイバー関連の手段は、サイバー空間における許容される行動についての明確な一線というより、テーブル上のチップのひとつに過ぎないように見えてしまうのです。」
しかし、近年の経緯を見ると、既存の制裁は、米国およびその同盟国に対する国家主導のサイバー攻撃を抑止するうえで、特に効果的な手段とは言えなかった。
ロシアによるウクライナ侵攻に伴うサイバー作戦の活発化や、中国からの活動の増加により、サイバー領域での対立は激しさを増している。ソルト・タイフーンと呼ばれる高度持続的脅威(APT)グループは当初、十数社のインターネットサービスプロバイダーおよび通信企業を標的とし、機微なデータを窃取するとともに、重要インフラへのバックドアを獲得した。現在の被害企業数は80カ国で200社以上に上る。
米国政府は、攻撃に関与した個人および組織に対する対応措置として、制裁を科してきた。しかし、今回それらの制裁を緩和することで、トランプ政権がサイバーセキュリティの優先度を下げているのではないかとの懸念が生じている。通信事業者への侵害の背後にいる脅威アクターへの制裁を解除したことに加え、今年初めには、連邦通信委員会(FCC)委員長のブレンダン・カー氏が、ソルト・タイフーン攻撃を受けてネットワーク防御を強化する目的で通信企業に課されていたバイデン政権時代のサイバーセキュリティ規制を撤廃した。
なお、トランプ政権だけが、貿易や外交上の譲歩を引き出すための交渉材料として制裁を用いているわけではないことは重要だ。2023年には、バイデン政権が、ウイグル族やその他の少数民族に対する監視乱用が疑われるなどの理由で貿易制裁リストに載っていた中国の法医学研究所(Institute of Forensic Science, IFS)をリストから削除した。この措置はリスクが消えたからではなく(この除外は多くの人権活動家を懸念させた)、フェンタニル前駆物質に関する協力を得ることが目的だったと、セキュアソフトウェア開発企業Sonatypeで連邦政府担当リージョナル・バイスプレジデントを務めるアントワーヌ・ハーデン氏は述べている。
制裁だけでは侵害を止められない
「制裁が、サイバー戦略の一貫した要素というより、交渉材料として扱われている明確なパターンが見て取れます」と同氏は述べ、IFSが少数民族に対するサイバー監視を行っていたとの主張を指摘する。「より大きな問題は、これが敵対国に何を伝えるかという点です。すなわち、経済制裁は交渉可能だというメッセージになってしまうのです。」
とはいえ、外交の場は数あるアリーナのひとつに過ぎない。外交的に何が約束されようとも、米国も中国も——さらにはロシアやイランも——攻撃的・防御的なサイバー作戦の手を緩めることはまずないだろうと、サイバーセキュリティ企業ZeroFoxのインテリジェンス担当バイスプレジデントであり、CIA(中央情報局)で8年間アナリストを務めたアダム・ダラ氏は語る。
「中国は、どのように指定されようとも、米国に対する極めて攻撃的なサイバー侵入およびスパイ活動を続けるでしょう」と同氏は言う。「同様に米国も、インテリジェンスの観点から、攻撃と防御の両面で活動を継続します。」
むしろ、政権の決定は、より深い教訓を浮き彫りにしているとSonatypeのハーデン氏は言う。すなわち、経済的な懲罰によってサイバー攻撃を抑止するだけでは決して十分ではないということだ。その代わりに、防御を強化するための実務的な取り組みがより重要になっており、米国政府はすでにそうした措置を講じていると同氏は指摘する。例えば、米国国防総省が契約業者に対し、サイバーセキュリティ成熟度モデル認証(CMMC)2.0およびサイバーセキュリティ・リスクマネジメント構造(CSRMC)への準拠を求めていることは、いずれもサイバー防御を強化するための長期的な計画の一例だ。
「サプライチェーン侵害を制裁だけで解決することはできません」と同氏は言う。「最も信頼できる抑止の形は『拒否による抑止』です——標的を徹底的に堅牢化し、十分な計測・監視を行い、適切にガバナンスを効かせることで、侵入し居座るためのコストを、盗み出したり破壊したりできる価値よりも高くするのです。」
加えて、トランプ政権はサイバー作戦およびサイバー紛争に対してより攻撃的なアプローチを取ってきたが、その多くは公にはされていないとZeroFoxのダラ氏は述べる。
「我々は依然として、世界で最も優れた攻撃的サイバー能力を持つ国ですが、それを非常に慎重に、そしてサイバーインシデントとは見えない形で行使しています」と同氏は言う。「これらの能力が行使されるときは、非常に外科手術的かつプロフェッショナルに実行されます——スタックスネットのように、公然とメッセージを送ることが我々の利益になる場合を除いては。」
翻訳元: https://www.darkreading.com/cyber-risk/trade-concerns-trumping-cybersecurity
