サイバーセキュリティ業界は今年最大の集まりを終えたばかりで、AI、ソフトウェアの脆弱性、国家支援型ハッキング脅威についての議論に満ちていた。しかし数年ぶりに、米国政府は参加していなかった。
RSAC会議はサイバーセキュリティコミュニティの主要なイベントの一つとして広く認識されている。毎年、技術企業、学術・シンクタンク研究者、市場分析者、独立系セキュリティコンサルタントがサンフランシスコのモスコーン・センターの3つの広大な建物の廊下を埋め尽くしている。会議はまた、州および地方の当局者、外国政府、サイバーセキュリティの未来を理解したいと考えている非営利団体を魅了している。
長年にわたり、サイバーセキュリティの脅威が政策立案者のアジェンダの最上位に上がるにつれ、米国政府はRSAC会議での独自の存在を拡大してきた。当局者は新しい戦略を発表し、計画されている規制についてのフィードバックを求め、重要なネットワークをどのように最善に防御するかについてのアイデアを収集してきた。しかし1月、RSAC会議の主催者が前サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)長官ジェン・イーストリーを新しいCEOとして雇用した後、トランプ政権は計画を突然キャンセルし、3月23日~26日に開催された今年の会議でホワイトハウス、CISA、FBI、国家安全保障局の当局者がスピーチする予定だった。
政権の指導者たちはCISAをトランプの第1期中に2020年にイーストリーの在任期間前に、テック企業とともに偽情報対策に取り組んだことで非難している。
米国政府のRSAC会議からの撤退は、最近2024年に2人の閣僚長官を引きつけた会議に対する驚くべき拒否を表していた。その結果の政策立案者の空白はサンフランシスコで大きく響き渡り、政府が手を引いている多くの他の方法でパートナーシップから引いている状況において、これらは国家のサイバーレジリエンスに不可欠である。
会議前および会議中の会話において – 今年のテーマは「コミュニティの力」だった – 6人以上の元政府高官と主要な業界パートナーが、トランプ政権の不在は間違いだったと述べた。
「彼らがここにいないのは彼らにとって見落とされた機会だ」と、ヘルスケアセクターの情報共有・分析センターであるHealth-ISACの会長兼CEOであるデニス・アンダーソンは、会議でパネルに登壇した後、サイバーセキュリティ・ダイブに語った。
バラク・オバマ大統領のサイバーセキュリティ調整官を務めたマイケル・ダニエルは、それを「自招きした誤り」と呼んだ。
RSAC会議は「[技術的]シフトがリアルタイムで理解および形成される数少ない場所の一つ」であり、「そのためこの不在は重要な時点で大きく感じられる」と元CISA上級顧問ローレン・ザビエレクは述べた。
サイバーセキュリティの実務者から学ぶ
効果的なサイバーセキュリティ政策が政府以外のパートナーとの広範で深い関与を必要とする時代において、RSAC会議は1つの場所に集められた専門知識の豊かさで際立っている。今年の会議は43,000人以上の参加者を集め、主催者によると。
「RSAC中に1つの部屋に集めることができる人々の質は独特だった」と、ホワイトハウス、CISA、全米標準技術研究所で以前シニアサイバーセキュリティ当局者だったジェフ・グリーンは述べた。
「米国でより多くのより良い人々を獲得するイベントはないと思う」とグリーンは付け加えた。同氏はコンサルティング企業Civira Partnersのプリンシパルである。「政策、技術、または運用について、より広い視点の関与と理解を気にかけるなら、それはまだ最高の相互作用を持つことができる場所である。」
元CISA上級技術顧問のボブ・ロードは、同庁のSecure by Designプロジェクトを共同主導し、RSACは政府当局者が追求していたアイデアについて現実確認を得るのに役立ったと述べた。
「現実はメッシーであり、多くの異なる種類のステークホルダーと話すことは人々の先入観に異議を唱えるための素晴らしい方法だ」とロードは述べた。同氏は1996年以来会議に参加している。CISA従業員として、彼は「RSACに来ることで非常に価値を得た…私は定期的に多くの異なる人々による異議唱えられることに自分自身が直面した」と述べた。
RSACの舞台裏および周辺での多くの会話は、不可避的に政府行動に影響を与える新興技術および社会的課題に対処している、と下院国土安全保障委員会サイバー小委員会の民主党スタッフディレクターであるモイラ・バーギンは述べた。
「[あなたが]ここにいてそれらの会話を聞いていない場合、」彼女はパネルで話した後、サイバーセキュリティ・ダイブに語った、「その場合、次に何が起こるかについて学ぶことを逃す。」
複数の元当局者は、会議はより良い、より成功した政策を開発するのに役立ったと述べた。
ロードは、ソフトウェアベンダーとその顧客からのSecure by Designに関する「非常に異なる微妙な視点を聞くことは非常に役に立った」と述べた。「すべてのことが私たちの仕事に戻ってきた。」
ロードとともにSecure by Designプログラムを共同主導したザビエレクは、業界誓約の成功は「会議が可能にする可視性とリアルタイムの関与の大部分によって駆動された」と述べた。
CISAの元シニアアドバイザーおよび戦略家であるアラン・フリードマンは、「RSACの週は政府にいるときの年の中で最も価値のある週の一つだった」と述べた。彼はソフトウェア部品表(SBOM)、ソフトウェアサプライチェーンの透明性を向上させるデジタル原材料リストを推進していた。
「SBOMはRSACでの繰り返しのプレゼンテーションからの批判、提案、およびフィードバックによって鍛造および調整された」とフリードマンは述べた。
会議はまた、技術専門家が米国政府に警告するのに役立った危険国際輸出管理体制が制限技術のリストにサイバーセキュリティソフトウェアを追加する。当時民主党下院議員ジム・ランジェビン議員の職員だったニック・レイサーソンは、「RSACおよび他の会議での会話がなければ、これを問題として知ることはなかっただろう」と述べた。状況について学んだ後、ランジェビンおよび他の議員は繰り返しホワイトハウスに圧力をかけ、条項の再交渉を促した。
より最近には、ジョー・バイデン大統領の政権は、重要インフラセクターのための新しいサイバーセキュリティ規制の影響についての率直な、緊張した会話の場として会議を見つけた。
「私がしたいくつかのラウンドテーブルおよびオフザレコードは容赦のないものだった。業界は常に私たちがしていることを愛していなかったから、それがあなたがそれらを行う理由である – 厳しい真実を聞き、反対の見解を理解するために、」グリーンは述べた。「それは私たちの政策をより良くし、それは業界が聞かれていることを知ったことを確認した。たとえ彼らがすべての結果が好きではなかったとしても。」
関係構築の機会
計画されている政策についてのフィードバックを収集することを超えて、政府当局者はまたRSACを使用して、毎日彼らが依存している関係を構築および強化してきた。
「サイバーセキュリティ全般について興味深いことは、他の国家安全保障領域と比較して、あなたは…国全体に代わって防御措置を講じている人々が一般市民である多くのもの以上をしなければならないということだ、」レイサーソンは述べた。「そのため、業界との関与は不可欠だ。」
オバマおよびトランプのホワイトハウスでシニアサイバーセキュリティの役割を担当していたグラント・シュナイダーは、「そうでなければ数ヶ月間の細分化された研究がかかるもの[は]RSACで[数日間の直接的な関与]ベンダーおよび世界的な思想的リーダーとの中に起こる」と述べた。膨大な会議は、彼は加えた、「政府エグゼクティブが業界への私たちの期待を伝えるための最も効率的な方法である。」
さらに、会議の側線での非公式の集まりは「物事が荒くなるときにあなたが必要とする関係をセメントすることができる」とグリーンは述べた。
国際的な同盟国も会議に代表者を送ってくる。つまり、その側線は不意の世界的サミットになり、米国は見落とすことで不利な状況にある種のイベント。
トランプのサイバー戦略に対する未回答の質問
米国政府のRSAC会議からの不在は、ホワイトハウスがドナルド・トランプ大統領のサイバーセキュリティ戦略をリリースしてからわずか数週間後に起こった。ドキュメントの簡潔さと詳細の欠如、および政権が「業界および学術機関と緊密にパートナーするだろう」という約束は、政府がサンフランシスコに誰かを送ることを拒否したとき、さらに著しかった。計画が実行中に何を意味するかについて説明する。
ホワイトハウスは「戦略に肉をつける必要がある」と述べたとバーギンは述べた。「骨に肉をつける方法について、何が実現可能で、何が実現可能でないか、民間企業がどのように効果的にパートナーできるか、「このタイプの政策はこの方法でリスクを低減し、価値のある」と言うための合理的なメトリックは何か、学ぶことができるここに専門知識がたくさんあります。」
H-ISACのアンダーソンは、政府の不在を「彼らが協力するための見落とされた別の機会」と呼んだ。
「彼らが戦略について話すためにここにいるのは素晴らしかったはずだと彼は言った。」そして「それについての業界の視点を得る。」「今、それに多くの特異性はない…それは真空の中で出てくる。」
トランプ政権は、戦略をリリースする前に業界グループと広範に関与したと述べている。しかし全国ISACs評議会の会長であるアンダーソンは、「誰も本当にそれが何を意味するのか、それがどこに行くのか、または彼らがこれのすべてでどのような役割を果たすことができるのかを理解していない」と述べた。
嵐の目のイーストリー
トランプ政権はイベントの主催者がイーストリーをCEOとして任命したため、当局者のRSAC会議への出席をブロックしたことを確認したことがない。しかし1月中旬の同じ日に、組織が彼女の採用を発表した、Nextgovが報告したシニア政権当局者がこれのため会議から撤退する計画だったこと、そして数日のうちに、RSACのスケジュールはもはやCISAおよび他の機関からのスピーカーをリストしていなかった。
明らかな報復は「絶対に懸念している」とレイサーソンは述べた。
「政権が送っている主な信号は、それがそれは子供っぽい、認識される不満が決定を駆動することを認め続けているということだ、」ダニエルは述べた。「その決定は米国政府に害を与える。洞察を制限し、関係を削減することによって。」
CISAを去った以来、イーストリーはトランプ政権に挑発しないよう注意してきた。これは既に計画されたオファーを取り消した米国陸軍士官学校西点校で彼女の卒業生である教教える椅子のオファー、右翼の反発の後。AxiosとのインタビューでRSAC前に、イーストリーは政府が「今後数年で」会議に戻ってくることを望んだと述べた。なぜなら「パートナーシップを継続するために必要とされる信頼を構築するためにあなたは部屋にいなければならない」。
あるいは、レイサーソンが言ったように、「一緒に働くための最初のステップは現れることである。」
