ホワイトハウスは6つの柱を中心に構築されたサイバーセキュリティ戦略を発表し、攻撃的な作戦、AI採用、規制緩和を優先する一方で、規制廃止とインフラの強化が両立できるかについて批評家からの疑問が残る。
ホワイトハウスはドナルド・トランプ大統領の待望のサイバーセキュリティ戦略を発表した。わずか7ページの青写真で、攻撃的なサイバー作戦を米国政策の中心に位置させることで、これまでのアプローチとは異なる。
国家サイバー局(ONCD)が策定したこの戦略は、敵対者を破壊し、業界の規制を緩和し、人工知能の採用を加速させることを重視する一方で、連邦システムと重要インフラの防衛にも対応している。
「通常の『抑止』部分をトップに移し、過去の非分類戦略ではわずかにしか言及されていない攻撃に焦点を当てることで、政府はこの柱に大きな力を入れており、短期的には確実に最も注目を集めるだろう」と、Venable LLPのサイバーセキュリティサービス・ポリシー部門マネージングディレクターのアリ・シュワルツ氏はCSOに語った。
この文書は、外国政府や犯罪ネットワークがアメリカ人、重要なサービス、広範な経済を標的にしている国家権力としてのサイバー空間を位置付けており、FBIの盗聴システム侵害に続き、中国の脅威グループが関与している可能性がある。
「敵対者は行動の結果を感じており、今後さらに強く感じるだろう。我々はネットワークを破壊し、ハッカーとスパイを追跡し、違法行為を行う外国ハッキング企業に制裁を加える」と戦略は述べている。「我々はオンライン諜報活動、破壊的なプロパガンダ、影響力作戦、文化的転覆を明らかにし、糾弾する。」
成功を導く6つの柱
戦略を支えるのは、ホワイトハウスが実装の指針となり、成功を測定すると述べている6つの柱である。
柱1:敵対者の行動を形作る米国は攻撃的および防衛的なサイバー作戦を使用して、敵対者が攻撃する前にこれを破壊し侵食し、犯罪ネットワークを解体し、アメリカ人を標的にした者に実際のコストを課すことを目指している。
この柱は、攻撃的なサイバー作戦に重点を置いているため、最も多くの論争と超党派的な懸念を生み出す可能性が高い。対応するのを待つのではなく、事前に敵対者のネットワークを攻撃することは、攻撃的な作戦が積極的に米国の重要インフラへの報復を招く可能性があるかについて、深刻な疑問を提起する。批評家は、「ハック・バック」原則が制御が難しいエスカレーション・サイクルを引き起こす可能性があると主張している。
柱2:常識的な規制を推進する米国は、トランプ政権が負担となると呼ぶサイバー規制を削減し、民間部門がより迅速に動くことができるようにする一方で、アメリカのデータプライバシーを保護することを計画している。
この柱も、セキュリティ研究者と重要インフラ専門家が、必須基準の廃止により重要システムが危機にさらされることを懸念しているため、論争の種となる可能性がある。
柱3:連邦ネットワークの近代化と保全政府はゼロトラスト・アーキテクチャ、ポスト量子暗号、クラウド移行、AI駆動型防御によってシステムをアップグレードすることを目指している。
この柱は柱5とともに、戦略のサイバーセキュリティにおける人工知能への重点を強調している。
「最も目立つのは、戦略がAI駆動型ソリューションの導入に明示的にコミットしていることだ」と、メール セキュリティベンダー Abnormal AI の政府関連事務副社長イェジン・ジャン氏は声明で述べた。「AIをコアコンポーネントとして連邦サイバーセキュリティの高みへ引き上げることで、ONCD は政府が自動化で自動化に対抗し、スピードでスピードに対抗する必要があることを認識している。」
柱4:重要インフラの保全ONCD は、エネルギーグリッド、病院、銀行、水道システムなどの重要なサービスの強化、敵対者ベンダーの除去、サプライチェーンの保全の必要性を概説している。
一部の専門家は、この柱が政府の規制廃止の推し進めと矛盾する可能性があると述べている。なぜなら、重要インフラを強化することを呼びかけている一方で、同時に重要インフラのセキュリティを義務付ける規制を削減しているからである。
柱5:新興技術における優位性を持続する政府はAI、量子コンピューティング、暗号・ブロックチェーンにおけるアメリカのリードを保護し、ユーザーを検閲または監視する外国テック企業に対抗することを目指している。
暗号通貨とブロックチェーン技術への言及は、現在サイバーセキュリティポリシーに組み込まれている政府のより広い親仮想通貨のスタンスを反映している。これは国家サイバーセキュリティ戦略で代替通貨が言及された初の時である。
柱6:人材と能力を構築する米国は学校、産業、軍隊全体のサイバー労働力パイプラインに投資し、次世代のサイバー専門家を採用・育成する。
詳細は少ないが、これはおそらく最も超党派的で最も論争の少ない柱である。サイバーセキュリティの人員不足は党派を超えて広く認識されているからである。
業界の反応と次のステップ
業界の反応は概ね肯定的であったが、注目すべきことに、最も強い支持の多くは、戦略のAI採用への重視と国防における民間部門の役割の拡大から利益を得る可能性が高いサイバーセキュリティ企業からもたらされた。
CrowdStrike の最高プライバシー・ポリシーオフィサー Drew Bagley 氏は声明で、「この戦略は、アメリカのサイバーセキュリティ態勢を強化する具体的な政策を通じて現代の脅威に対処している。各柱は重要であり、高度なテクノロジーの保全への重視は、AI を敵対者にとってのアクセラレータであり、前線の防御者にとって必須の専門知識領域として正しく認識している。」と述べた。
パロアルトネットワークスのCEOニケシュ・アローラ氏は声明で、「国家サイバー戦略のショーン・ケアンクロス局長およびONCDが、重要なサイバーセキュリティの課題に対処するための先見的なアプローチを取られたことに敬意を表します。特に、量子安全なセキュリティとAIセキュリティの重視は、進化する脅威の状況において米国が技術的リーダーシップを維持する立場にあります。」と述べた。
「ケアンクロス局長が、特に敵対者の行動を形作ることを目的とした攻撃的なサイバー作戦への前向きなアプローチを含め、明確な洞察を持ったことを拍手します。」マククレアリー研究所の所長フランク・シルルッフォ氏は声明で述べた。「長い間、我々は敵を抑止していない。」
戦略が公開された現在、注目は実装に向かっている。7ページという短さで、米国のサイバーセキュリティ政策全体の範囲をカバーする文書は、意図的にはビジョン声明であり、運用計画ではない。
真の試験は、ホワイトハウスが今後提示すると述べているフォローアップの政策文書にある:各機関を特定の要件に拘束する国家安全保障覚書、セクタ別の規制ガイダンス、そして重要なことに、戦略の野心がリソースを提供されるかあるいはそのまま願望のままにされるかを示す予算要求である。
シュワルツ氏は、業界は既に先を見据えていることに注目した。「今後アクション・プランと他の実装情報の詳細を見ることを楽しみにしている。」
