トランプ大統領の2つの大統領令がサイバーセキュリティにもたらす見過ごされがちな変化

ドナルド・トランプ大統領がここ数ヶ月で署名した2つの大統領令は、当初考えられていたよりもサイバーセキュリティに劇的な影響を与える可能性があり、それが良い方向か悪い方向かは別として注目されています。

全体として、トランプ氏の大統領令のいくつかは、メッセージを発信することが主な目的で、持続的な変化を促すものではない場合もあり、その権限には限界があります。特に、サイバーに関わる2つの大統領令のいくつかの条項—3月の州および地方の備えに関するものと、6月のサイバーセキュリティに特化したもの—は、サイバー専門家から見ると不可解な点が多く、また、トランプ氏が厳しく批判してきた前政権の政策を維持する内容も含まれています。さらに、実際には大統領令の意図通りに機能しない可能性もあります。

しかし、2025年前半のトランプ政権下での人事異動や予算削減などの行政府の動きの中で、2つのサイバー関連大統領令の全容はやや見過ごされてきたかもしれません。そして、これらの大統領令のいくつかの効果は、トランプ政権の主要なサイバー担当高官が着任することで、まもなく現実のものとなる可能性があります。

民主主義防衛財団のマーク・モンゴメリー氏は、大統領令は「当初考えていたよりも重要」だと述べ、3月の大統領令について「過小評価していた」と振り返ります。もし完全に実施されれば、国家レジリエンス戦略の策定を求める備えに関する命令など、前向きなステップになると語っています。

民主主義と技術センター（Center for Democracy & Technology）は、ジョー・バイデンおよびバラク・オバマ両大統領時代の大統領令の一部を解体する6月の大統領令は、サイバーセキュリティに悪影響を及ぼすと指摘しています。

「詐欺や無駄、不正防止の名のもとに、サイバーセキュリティや本人確認の向上に焦点を当てた多くの条項を撤回するのは、橋のガードレールを外して『道路を安全にしたい』と言うようなものです」と、同団体のアレクサンドラ・リーブ・ギブンズ会長は述べています。「この後退の唯一の恩恵を受けるのは、連邦システムに侵入したいハッカー、脆弱なサービスから納税者のお金を盗みたい詐欺師、そして現代的なセキュリティ対策を実施せずに高額契約を維持したいレガシーベンダーです。」

大きな変化とその中間

おそらく、最大の変化は、バイデン大統領が1月に署名した、サイバー犯罪や詐欺対策を目的としたデジタル本人確認に関する大統領令の一部を削除したことです。この条項を撤回する際、ホワイトハウスは「不法移民が不適切に公的給付を受けることを可能にし、広範な悪用のリスクがあった」義務を削除したと主張しました。

この主張について、匿名を条件に率直に語ったある批判者は「ホワイトハウスの主張には一つとして真実の文言はない」と述べました。国家安全保障会議はこの命令に関するコメント要請に応じませんでした。

ただし、インスティテュート・フォー・セキュリティ・アンド・テクノロジーのニック・レイサーソン氏のように、バイデン大統領令のデジタルIDに関する文言は文書の中でも「最も弱い」部分であり、機関がデジタルIDを受け入れる方法を「検討する」ことしか述べていなかったと指摘する声もあります。

3月の大統領令で最も大きな変化となりうるのは、サイバー攻撃を含む災害への備えを州や地方自治体が担うという方針転換です。これは当時、サイバー専門家から激しい批判を受けました。なぜなら、州単独では中国のハッカーから自らを守るリソースがないからです。しかし、この方針転換は当初考えられていた以上に大きな波紋を呼ぶ可能性があります。

医療分野の脅威情報共有に取り組むHealth-ISACの最高セキュリティ責任者エロル・ワイス氏は、サイバーセキュリティ・インフラストラクチャー庁（CISA）が脆弱性スキャンなどの無償サービスを縮小する中、州がその穴を埋めてワイス氏のような組織を支援しなければならなくなると指摘します。「そのサービスがなくなれば、すでに一部なくなっているかもしれませんが、そこにギャップが生じるでしょう」と述べています。

3月の大統領令による変化のいくつかは、上院がショーン・ケアンクロス氏を国家サイバー長官に承認した今、あるいは上院がショーン・プランキー氏のCISA長官就任に動いた後に、ようやく現実になるかもしれないと、欧州政策分析センターのジム・ルイス氏は述べています。

例えば、この命令は国家安全保障覚書22を含む重要インフラ政策文書の見直しを指示しています。これは、脅威情報共有の向上や変化する脅威への対応を目的とした10年前の指令の書き換えです。すでに政権はこの覚書から離れる方針を示しており、憂慮する声もありますが、モンゴメリー氏のような批判者は再検討は良いことだとしています。

しかし、他の大きな潜在的変化の多くは6月の大統領令に含まれています。以下はその一部です：

• 1月のバイデン大統領令で義務付けられていた、政府ベンダーが自社のソフトウェア開発のセキュリティ認証をCISAに提出する要件を撤廃します。「『サイバーを重視している』と言いながら、この極めて重要なアカウンタビリティ管理を撤回するのはあり得ない」と、ハンターストラテジーの研究開発ディレクター、ジェイク・ウィリアムズ氏は述べています。
• 1月のバイデン大統領令で義務付けられていた、米国標準技術研究所（NIST）が最低限のサイバーセキュリティ実践に関する新たなガイダンスを策定する要件を撤廃します。これは同令の中でも「最も野心的な処方箋」と考えられていました。
• レイサーソン氏によれば、CISAが連邦機関内の脅威を探知する際の「ノックなし」または「予告なし」アプローチの導入に向かわせる内容です。
• インターネットのデータルーティング規則であるボーダーゲートウェイプロトコルが「攻撃や誤設定に脆弱である」とした文言を削除します。ウィリアムズ氏は、これによりインターネットサービスプロバイダーへの改善圧力が和らぐ可能性があると指摘します。「ISPはこの問題に対処するのに莫大なコストがかかることを知っています」と述べています。
• 期限は設けられていなかったものの、連邦システムにフィッシング耐性のある多要素認証を導入するよう求めていたバイデン令の要件を削除します。
• 国防高等研究計画局（DARPA）主導の人工知能サイバー・チャレンジに由来するパイロットプロジェクトの要件を削除します。DARPAは最近2025年のチャレンジを完了し、今年のDEF CONサイバーセキュリティ会議で賞金を授与しました。
• 「各機関の方針は、ネットワークの可視性とセキュリティ管理を強化し、サイバーリスクを低減するために投資と優先順位を調整しなければならない」と明記しており、セキュリティアドバイザーでニューヨーク大学の非常勤教授アレックス・シャープ氏はこの点を評価しています。

これらの変更の一部は、連邦機関のメール暗号化やポスト量子暗号などに関する1月のバイデン大統領令の指示が継続されるのか、それとも撤回されるのか、分析者の間で意見が分かれました。

不可解な点と謎

6月の大統領令のいくつかの動きは、分析者を困惑させました。

一つは、サイバー制裁をホワイトハウスの説明資料によれば「外国の悪意ある行為者に限定し、国内の政治的対立者への誤用を防ぎ、選挙関連活動には適用されないことを明確にする」とした点です。議会調査局は、サイバー制裁が国内で使われた形跡は見当たらず、この大統領令は従来の政策と一致していると述べています。

もう一つは、NISTによる最低限のサイバーセキュリティ実践ガイダンスの撤廃です。「規制緩和を目指すなら、なぜ標準の調和化の努力までやめるのか？」とシャープ氏は疑問を呈しています。

さらにもう一つは、1月のバイデン令にあったオープンソースソフトウェアの重要性に関する一文の削除です。「これは少し不可解です。なぜならオープンソースソフトウェアはほぼすべてのソフトウェア、連邦システムを含めて、その基盤だからです」とレイサーソン氏は書いています（強調は本人）。

複数の情報筋がCyberScoopに語ったところによると、6月の大統領令を誰が書き、誰と協議したのかは不明です。ある情報筋は、機関職員の中には文書の省庁間審査がなかったことに不満を持つ者もいたと述べています。また、NSCのサイバー担当ディレクター、アレクセイ・ブラゼル氏が関与していなかったようだという声もありました。

もう一つの未解決の問題は、6月の大統領令の実施にどれだけ本気で取り組むのか、という点です。

この命令は、少なくとも1月のバイデン令と比べて、各機関が指示をどれだけ厳格に実施しなければならないかを緩和しています。レイサーソン氏によれば、国家サイバー長官の調整役割がより重要になり、CISAには新たな任務が与えられています。

「トランプ大統領が就任して以来、そして6月の大統領令によってさらに強化され、CISAは米国のサイバーセキュリティ強化のために決定的な行動を取り、外国のサイバー脅威への重要な防御や安全な技術実践の推進に注力しています」と、CISAの広報担当ディレクター、マーシ・マッカーシー氏は述べています。

カリフォルニア州選出のエリック・スウォルウェル下院議員（下院国土安全保障委員会サイバー小委員会の民主党トップ）は、6月の大統領令がトランプ氏のサイバーセキュリティへの本気度を示しているかどうか懐疑的だとCyberScoopに語りました。

「大統領はサイバーセキュリティについて強気な発言をしますが、すべて見せかけです」と彼は声明で述べています。「CISA創設法に署名し、その予算を増やしましたが、バイデン時代の重要な保護策を撤回し、サプライチェーン対策を放棄し、サイバー専門家を追い出しました。CISAは人員の3分の1を失い、2026年度予算では資金が大幅に削減されています…」

「たとえ彼のサイバーやAIの目標が本気だとしても、それを達成するためのスタッフを骨抜きにしました」とスウォルウェル氏は続けます。「また、審査されていない側近に機密データへのアクセスを与えることで、政府をより危険にしています。彼の行動は言葉と一致していません。」

モンゴメリー氏は、6月の大統領令でNISTのような機関により多くの責任を与える一方で、その機関の予算を約20％削減しようとしていること、また3月の大統領令で州や地方自治体に責任を移しながら、それを担うリソースを与えていないことに矛盾があると述べています。

WilmerHaleの分析によれば、政権がサイバー政策を形成する中で、6月の大統領令は「民間部門の成長と拡大の障壁と見なされる要件を撤廃しつつ、中国や他の敵対的外国勢力によるサイバー脅威から米国政府自身のシステムを守るための主要要件は維持する」というアプローチを示唆しているといいます。

数々の変更があり得る中で、分析者たちは6月の大統領令がバイデン政権の政策のかなりの部分、たとえばCyber Trust Markラベリングの取り組みや宇宙サイバーセキュリティ政策、防衛請負業者による機密情報保護要件などを継続している点で一致しています。

これらの提案のいくつかは、バイデンからトランプへの政権交代前にはあまり進展しませんでした。しかし、トランプ政権の方が目標達成は容易かもしれません。

「エンジンをかけていないのに、車が間違った方向に進んでいるとは言い難い」とルイス氏は述べています。「今のチームは、物事を削減することで同じ問題を抱えていません。『やることを減らす』と言っているので、やることが少ない方が簡単なのです。」