ワシントンはついに州・地方のサイバーセキュリティのためのルールと資金を整えた――いま本当のリスクは、実際にそれを使うまで待ちすぎることだ。
ホワイトハウスが2025年3月に発出した「州・地方の備えを通じた効率性の達成」に関する大統領令(EO)は、国家安全保障と重要インフラにとって極めて重要な課題を提起した。
同令が述べるとおり、「連邦の政策は、備えが州、地方、さらには個人のレベルで最も効果的に担われ管理されることを正しく認識しなければならない。これを、有能で、利用しやすく、効率的な連邦政府が支えるべきである。」
3月のEOは情報技術セキュリティに関する連邦の後退であり、資金の不足があり、地方レベルでの実装の明確性や専門性に欠ける――といった主張がさまざまなサイバーセキュリティのリーダーから出ているにもかかわらず、大統領の指摘は正しい。地方の管轄当局こそが、自らの電子的セキュリティのニーズを予見し、固有の弱点・脆弱性・リスクを理解し、そしてそれぞれの状況に基づいたインシデント対応、緩和、復旧計画を策定・実行するのに最も適している。
議会もまた正しい。2021年、議会は州・地方サイバーセキュリティ助成プログラム(SLCGP)を創設し、「州、地方、または部族政府が所有または運用する、あるいはそれらに代わって所有または運用される情報システムに対するサイバーセキュリティ上のリスクおよびサイバーセキュリティ上の脅威に対処するため、適格な主体に助成金を交付する」ことを目的とした。
SLCGPは4年間で10億ドルを認可し、州・地方・部族・準州政府がシステム的なサイバーリスクを低減できるよう支援する。さらに、資金の少なくとも80%を地方政府へパススルーすることを求める一方、そのうち25%を農村部の管轄区域のために確保する。SLCGPの重要な要素は、資金の支出をサイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)による州のサイバーセキュリティ計画の承認に結び付けている点だ。その提案は、米国国立標準技術研究所(NIST)のサイバーセキュリティ枠組みの実装など、SLCGPに定められた要件を満たさなければならない。
今年9月、国土安全保障委員会は――超党派の支持のもと――「地方リーダーによる情報保護で機関のレジリエンスを高める法(Protecting Information by Local Leaders for Agency Resilience Act:PILLAR法、H.R. 5078)」を提出した。これはSLCGPを10年間延長するだけでなく、長期的な安定性と資金を提供し、マイルストーンに基づく説明責任を強化し、対象範囲をAIと運用技術(OT)に拡大し、連邦政府と州政府の費用分担を明確化することを目指している。
2025年3月のEOとSLCGPを組み合わせれば、両者を連動して実施することで成功する枠組みができあがる。残念ながら、そうはならなかった。2025年1月、行政管理予算局(OMB)はすべての連邦機関に対し、「すべての連邦財政支援に関する債務負担または支出に関連する活動を一時停止する」よう指示した。これによりSLCGPの支出は事実上すべて停止し、SLCGPとEOはいずれも資金の裏付けのない義務となった。しかし、話はそこで終わらない。11月の政府再開の一環として、SLCGPは認可期限が1月30日まで延長されたことで、復活する可能性が出てきた。これは極めて重要な進展である。
いまこそ行動し、PILLAR法によってSLCGPを完全に復活させる時だ。敵対勢力はすでに重要インフラに潜伏しており(中国政府に結び付く高度持続的脅威アクターであるSalt TyphoonやVolt Typhoonを参照)、さらに近年、AIがサイバーの「超兵器」として投入されている――たとえばAnthropicが最近発表した、同社のClaude AIが中国の国家支援ハッカーに操作され、ほぼ全面的にAIエージェントによって実行される大規模攻撃に用いられたという事例が示すとおりだ――こうした状況の下で、州や地方の管轄当局は一層脆弱になっている。これは単なる資金の問題ではなく、国家安全保障の問題である。
州がSLCGPを効果的に活用できるかどうかについて、議論の余地はあまりないはずだ。すでにデータがある。政府説明責任局(GAO)によれば、2024年8月1日時点で「国土安全保障省は33の州および準州に対し、約1億7200万ドルの助成金を提供」しており、「助成金は、[NIST]が定義する中核的なサイバーセキュリティ機能に整合する839件の州・地方サイバーセキュリティプロジェクトに資金を提供している」。これには、サイバーセキュリティ計画や方針の策定、サイバーセキュリティ請負業者の活用、機器の更新、多要素認証の導入などが含まれる。
PILLAR法の成立は、CISAの人員が削減され資源が限られている状況でも、その影響力を高める。CISAは監督――州のサイバーセキュリティ戦術の承認、標準の設定、優先事項の指導とモニタリング――に集中でき、州・地方・部族政府が日々の実装を担うことで、CISAはフォース・マルチプライヤー(戦力増幅器)となるからだ。
PILLAR法には明記されていないが、SLCGPの一環として実務的で容易に実行できることとして、地方政府が私立・公立大学と連携し、サイバーセキュリティ戦略(例:法、政策、リスク管理、ガバナンス)や人工知能などの新興技術の訓練を受けた学生の人材パイプラインを活用することが挙げられる。これにより地方政府のコストは下がり、学生は実地経験を得られ、地方政府と大学の間でコミュニティ形成とアウトリーチも進む。
PILLAR法は超党派の支持を得ており、大統領の2025年3月のEOはその内容すべてを補強している。州・地方・部族政府を守るための枠組みはいま整った。賭け金はかつてないほど大きく、国家安全保障がそれにかかっているのだから、直ちにこれを成し遂げよう。
この記事はFoundry Expert Contributor Networkの一環として掲載されています。
参加したいですか?
