米国で、サイバーセキュリティ戦略が、3月2日に公表されました。
Chat GPTによる要約は、こんなかんじです。
—
国家サイバーセキュリティ戦略(NCS)は、NSSのサブセットであり、サイバースペースにおける特定の脅威と機会に対処するものである。NCSは、バイデン-ハリス政権によって20232年3月2日に発表されました。重要インフラの防衛、悪意のあるサイバーアクターによる脅威の破壊と解体、セキュリティとレジリエンスを推進するための市場原理の形成、国際協力の強化と米国のリーダーシップの推進、スキルと意識を持った人々の能力向上という5つの柱を軸に、すべてのアメリカ人に安全で安心なデジタルエコシステムの恩恵を最大限に確保することを目指しています。
—
ということで、ファクトシートをもとに計画全文も適宜みてお勉強します。と思って作業していたところ、丸山さんのところで、ファクトシートのみならず、計画までも翻訳がでています。リンクは、こちらです。
序
流れとしては、「インターネットの未来のための宣言」や 「 Freedom Online Coalition」を前提にこの戦略が明らかにされているということになります。
戦略的環境
戦略的環境としては、顕現する傾向、悪意ある行為者(Malicious Actor)についての記述がなされています。特に、中国についての記述が注目すべきものだと思われます。
VISION
急速に進化する世界は、サイバー防衛に対して、より意図的で、より協調的で、より十分なリソースのあるアプローチを求めています。私たちは複雑な脅威環境に直面しており、国家や非国家主体が私たちの利益を脅かす斬新なキャンペーンを開発し実行しています。同時に、次世代技術は加速度的に成熟し、デジタル相互依存を高めながら、イノベーションのための新たな道筋を作り出しています。
本戦略は、これらの脅威に対処し、デジタルの未来の約束を守るための道筋を示すものである。この戦略の実施により、米国のインフラの再建、クリーンエネルギー分野の開発、米国の技術・製造基盤の再構築への投資が守られる。同盟国やパートナーとともに、米国は私たちのデジタル・エコシステムを作ることになる。
- 防禦的 サイバー防衛が圧倒的に容易で、安価で、効果的なものとなるよう、防御可能なものとする。
- レジリエンス(回復力):サイバー防衛が圧倒的に容易で、安価で、効果的である。
- 価値観の一致:私たちの最も大切な価値観がデジタル世界を形成し、それによって強化される
アプローチ
以下の5つの柱については、米国がサイバー空間における役割、責任、資源をどのように配分するかについて、根本的な転換を図る必要があります。
- サイバー空間を防衛する責任のバランスを調整
これはサイバーセキュリティの責任を個人、中小企業、地方自治体から、私たち全員のリスクを軽減するために最も能力があり、最も適した立場にある組織に移すことを意味します。ここで、この「最も適した立場にある組織」とは、何かという問題になるのですが、計画では、重要インフラやテック企業の責任となることを明らかにしています。国は、自分のシステムを防護し、民間企業、特に重要インフラが、自らのシステムを防護するのを確かにすることであるとしています。
- 長期的な投資に有利になるようにインセンティブを再編成
今日の緊急の脅威から身を守ることと、同時にレジリエントな未来のために戦略的に計画し投資することのバランスを慎重にとりながら、インセンティブしなければならないとしています。
従前のポリシの上にたつ
政権は、国家安全保障戦略、大統領令14028(国家のサイバーセキュリティの改善)、国家安全保障覚書5(重要インフラ制御システムのサイバーセキュリティの改善)、M-22-09(ゼロ信頼サイバーセキュリティ原則に向けた米国政府の動き)、国家安全保障覚書10(脆弱な暗号システムに対するリスクを軽減しつつ量子コンピュータにおける米国のリーダーシップを促進)を含め、サイバー空間とデジタルエコシステムを安全にする措置をすでに講じています。これらの取り組みを発展させ、本戦略は、サイバースペースがそれ自体の目的のために存在するのではなく、我々の最高の願望を追求するためのツールとして存在することを認識する。
アプローチ
本戦略では、5つの柱を軸に、協働を構築・強化することを目指します。
1. 重要インフラを守る
– 私たちは、以下のような方法で、重要インフラとそれが提供する重要なサービスの可用性と回復力について、米国民に信頼を与えることができます。
戦略本文では、重要インフラの保有者・運営者による協力のみが有効であるとしています。そして、重要インフラについてのセキュリティの要求事項をあげることが議論されています。そして、ロシアのウクライナ侵略に先んじる「Shields Up」キャンペーンに対する対応が、官民協力の有効性を示すとしています。また、バイデン政権は、ゼロトラストアーキテクチャアを実装する努力をなして、ITとOTを現代化するとされています。
戦略目標1.1 国家の安全保障と公共の安全を確保するために、重要なセクターにおけるサイバーセキュリティの最低要件の使用を拡大し、規制を調和させて遵守の負担を軽減する。
ここでは、石油・ガス、航空、鉄道や水道システムのうような重要なセクターにおいてサイバーセキュリティの要求事項を確立することを努力してきていること、重要セクターでの要求事項を設定すること、CISAの サイバーセキュリティパフォーマンスゴールとNISTの重要インフラサイバーセキュリティの改良フレームワークを含んで、迅速に対応すること、とされています。また、現在と新しい規則を調和させること、規制されている組織がセキュリティ対応ができるようにすることがあげられています。
戦略目標1.2 重要なインフラと重要なサービスを守るために必要なスピードと規模での官民協働を可能にする。
ここでは、自動的なデータ・情報・知識の交換を可能にする役割と責任の構築と接続性の向上を通じた協力の発展・強化による分散型・ネットワークモデルが重要インフラを防衛するのに有効であるということが触れられています。CISAが、セクターリスクマネジメント庁(SRMA)の調整を行い、連邦政府と重要インフラの保有者と運営者の調整をスケールされていること、ISAOやISACは、業界にわたって同様の運営をおこなっていること、さらにこの分野を発展させ、ギャップをすることなどが論じられています。
戦略目標1.3 連邦ネットワークセンターの統合
重要インフラの防衛のために責任ある省庁の権限と能力をコーディネイトしないといけないこと、連邦セキュリティセンターが、国土安全保障、法執行、インテリジェンス、外交、経済、軍事活動をわたっての協調ノードとなること、ひとたび完全に統合されると、政府内コーディネイトがなされ、連邦政府が非連邦政府主体の効果的・決定的な支援が可能になることが述べられています。以下、興味深いので翻訳します。
政権はこの目標に向けて前進しており、連邦政府全体、および民間部門や国際的なパートナーとのサイバー防衛計画と運用を統合するため、ClSA に Joint Cyber Defense Collaborative (JCDC) を設立し、法執行やその他の破壊行動を調整するための国家サイバー捜査網タスクフォース (NClJTF) の能力を強化し、情報収集、分析、パートナーシップを調整するサイバー脅威情報統合センター( CTIIQ)を活性化させている。
エネルギー省(DOE)のエネルギー脅威分析センター(ETAC)パイロット、国防総省の国防産業基盤連携型情報共有環境(DCISE)、国家安全保障局(NSA)のサイバーセキュリティコラボレーションセンターなどのSRMAにおける運用連携モデルは、それぞれのセクターの民間パートナーと直接、タイムリーで実行可能かつ適切な情報共有を可能にする機会を提供している。
連邦政府の運用能力を強化・統合し、連邦のサイバーセキュリティセンターの統合を改善するために、さらなる努力が必要である。ONCDは、これらのセンターの統合を強化し、能力のギャップを特定し、スピードと規模での連携を可能にするための実施計画を策定することで、連邦部門の努力をリードする。
戦略目標1.4: 連邦政府の事故対応計画とプロセスの更新
脅威の標的にされた組織は、どの政府機関にどのような目的で連絡すればよいかを知っておかなければならないこと、政府は、犯罪発生時に民間セクターのパートナーがどのように政府機関に支援を求めることができるか、また、連邦政府がどのような形で支援を行うことができるかについて、明確な指針を示す必要があること、脅威、資産、情報において、司法省、国土安全保障省(DhS)、国家情報長官の主導的役割を定義する大統領政策方針指令41「米国サイバー事件調整」と整合するように国家サイバーインシデントレスポンスプランをCISAが先導してアップデートすること、「ひとりへの連絡がみんなへの連絡(a call to one is a call to all)」になるようにすること、2022年重要インフラサイバーインシデント報告法(CIRCIA)が意識と対応をためるであろうこと、サイバー安全レビューボード(CSRB)によって学習したレッスンからセキュリティコミュニティが利益をうけること(大統領命令14028参照)、CSRBとDHSとが、重要な事案についてレビューをなしうるものとする法を議会と協力して通過させること、などがうたわれています。
戦略目標1.5 連邦防禦を現代化すること
大統領命令14028、国家安全保障覚書(NSM8「国家安全保障・防衛部門・情報コミュニティシステムのサイバーセキュリティの向上」)、OMBのゼロトラスト戦略などを連邦政府は公表してきたことが紹介されています。
集団連邦文民庁防禦(Collectively Defend Federal Civilian Agencies)
連邦政府文民行政(FCEB)機関は、自らのITおよびOTシステムの管理およびセキュリティ確保に責任を負っており、各機関の構造、ミッション、能力、リソースが異なるため、FCEB のサイバーセキュリティの成果はさまざまであるとされています。各機関の個別の権限や能力と、防衛への集団的アプローチによって達成されるセキュリティ上の利点とのバランスをとる連邦サイバーセキュリティのモデルを構築し続けなければなりません。
具体的には、OMBはCISAと連携し、集団的な運用防御、集中型共有サービスの利用拡大、ソフトウェア・サプライチェーンのリスク軽減を通じて、FCEBシステムの安全を確保するための行動計画を策定する予定です。
また、これらの取り組みは、先行するプログラムに基づき、FCEB情報システムの防衛に向けた政府全体のアプローチを促進する行動を優先させるものである。NIST と連携して開発されたソフトウェア・サプライチェーン・リスク軽減の目標は、ソフトウェア成分表l (SBOM) の取り組み、NIST の Secure Software Development Framework、オープンソース・ソフトウェアのセキュリティ向上のための関連取り組みを含む大統領命令14028の実施を基礎としています。
連邦システムの近代化
ここでは、OMB のゼロトラスト・アーキテクチャ戦略、OMBのFCEB技術の近代化を加速するための複数年のライフサイクル計画の策定の主導、レガシーシステムの排除に連邦政府の努力を優先させること、クラウドベースのサービスへの移行を加速させるなどして、レガシーシステムをより安全な技術に置き換えること、などが触れられています。
国家安全保障システムを守る
国家安全保障システム(NSS)は、連邦政府の最も機密性の高いデータを保存・処理するもので、内部脅威、サイバー犯罪者、最も巧妙な国家敵対者を含む幅広いサイバー的・物理的脅威から保護されなければならない。NSA長官はNSSの国家管理者として、NSM-8の強化されたサイバーセキュリティ要件の遵守を保証するFCEB機関のNSSに関する計画を策定するためにOMBと調整する。
2. 脅威となる行為者を混乱させ、解体する
– 国力のあらゆる手段を用いて、悪意のあるサイバー行為者を、以下のように、米国の国家安全保障や公共の安全を脅かすことができないようにします。
この部分は、法的にも興味深いので、計画自体をみていきます。これについては、
米国は、国力のあらゆる手段を用いて、わが国の国益を脅かす脅威となる勢力を崩壊させ、解体していく。 これらの取り組みは、外交、情報、軍事(動力学的とサイバーの両方)、金融、情報、法執行の能力を統合することができる。 我々の目標は、米国の国家安全保障や治安を脅かすような持続的なサイバーキャンペーンを、悪意ある行為者が行えないようにすることである
とされています。
戦略目標 2.1 連邦破壊活動(Federal Disruption Activities)の統合
ここでは、法執行や諜報活動峻別というよりも統合が目標とされている点が特徴になります。
国防総省の新戦略は、米サイバー司令部とその他の国防総省部門が、米国の利益に対して戦略レベルの脅威を与えることができる国家および非国家主体から防衛するための努力にサイバー空間作戦を統合する方法を明確にし、同時に、大規模な悪意ある活動を破壊するために文民、法執行、諜報のパートナーとの作戦統合と調整を引き続き強化するものである。
という表現は、この統合ということが強調されているといえます。
戦略目標 2.2 敵対者を挫けさせる(disrupt)ための官民の作戦協力の強化
これは、スケーラブルなメカニズムにより、民間部門を破壊活動に参加させるというものです。
2021年のEmotetボットネットの破壊は、連邦政府機関、国際的な同盟国やパートナー、民間企業が協力してボットネットの活動を妨害し、この協力アプローチの可能性を示した。 サイバーセキュリティ業界とデジタルインフラ所有者・運営者がこのアプローチを継続することに関心を持っていることを考えると、我々はこのモデルを維持・拡大し、共同破壊作戦を継続的に実施できるようにしなければならない。
とされています。裁判所の命令を申し立てる際にマイクロソフト社が積極的な役割を果たしているのは、いうまでもないことのように思います。しかも、国際的なオペレーションになっているところに特徴があります。
戦略目標2.3 インテリジェンス共有と被害者通知の速度と向上規模の拡大
これは、ランサムウェアの脅威に対して、連邦政府の包括的なアプローチと国際的なパートナーとの連携により対処するというものです。政府のみが収集できる国家インテリジェンスは依然として非常に貴重であることが強調されています。具体的には、NSAサイバーセキュリティ・コラボレーション・センターの国家情報主導型の産業界との連携は、防衛産業基盤(DIB)を標的とする敵対者の活動を妨害する上で非常に効果的であったとされています。また、これは、CISA は JCDC を通じて民間企業との持続的かつ多方向の脅威情報共有を可能にし、FBI と連携してその情報を利用して被害者通知を迅速化し、特定した侵入の影響を軽減しているのも同様です。緊急対象者通知というのがあるのですが、そのような通知は、有効であることが述べられています。また、そこでは、
連邦政府はまた、機密解除の方針とプロセスを見直し、重要インフラの所有者と運営者に実用的な情報を提供するために、追加の機密アクセス権とクリアランスを拡大することが必要な条件を判断することになる。
ということも述べられています。
戦略目標2.4:米国拠点のインフラ悪用の防止
これは、連邦政府は、クラウドおよびその他のインターネット・インフラ・プロバイダーと協力して、米国を拠点とするインフラの悪意ある利用を迅速に特定し、悪意ある利用の報告を政府と共有し、被害者がこれらのシステムの悪用を報告しやすくし、悪意ある行為者がそもそもこれらのリソースにアクセスすることをより困難にするよう努めるというものです。
戦略目標2.5:サイバー犯罪への対抗とランサムウェアの撲滅
このために強調されている取組としては
- 国際協力を活用してランサムウェアのエコシステムを破壊し、犯罪者のセーフヘイブンを提供している国を孤立させる
- ランサムウェア犯罪を捜査し、法執行機関やその他の権限を活用してランサムウェアのインフラと行為者を破壊する
- ランサムウェア攻撃に耐える重要インフラの回復力を高める
- 身代金支払いを洗浄する仮想通貨の不正使用に対処する
があげられています。また、30カ国以上が参加するランサムウェア対策イニシアチブ(CRI)が、ホワイトハウスによってかいさいされていることが強調され、また、 ランサムウェア合同対策チーム(JRTF)の活動、仮想資産の不正金融に対抗するための基準の国際的な実施を改善すること、ランサムウェアの被害者は、身代金の支払いを選択するかどうかにかかわらず、法執行機関やその他の適切な機関に事件を報告する必要があること、なども強調されています。
3. セキュリティとレジリエンスを推進するために市場(原理)を働かせる(Shape Market Forces)
これは、私たちは、デジタルエコシステムをより信頼できるものにするために、リスクを軽減し、サイバーセキュリティの不備がもたらす結果を最も脆弱な人々から遠ざけるために最適な立場にあるデジタルエコシステムの関係者に、プライバシーと個人データの安全性を促進する、ソフトウェア製品およびサービスの責任を転換し、安全な開発慣行を促進する、連邦政府の助成金プログラムが、安全で弾力性のある新しいインフラへの投資を促進するようにする、という責任をおわせようとするものです。
これは、
サイバーセキュリティとレジリエンスのベストプラクティスを広く普及させるには、市場の力だけでは十分でないことが明らかになった。 サイバーセキュリティに投資しないことを選択した組織が、投資している組織に悪影響を与え、不公平になるケースがあまりにも多く、中小企業や最も脆弱なコミュニティに不釣り合いな影響を与えることも少なくない。
という認識が明らかにされています。セキュリティ自体が、その不利益が認知されにくいこと、また、当事者にたいしてサンクションがかからないこと、から、市場が有効に機能しないわけです。でもって、ここで、市場への介入(intervention)が必要になってきます。このような介入をして、市場の受容と供給がきちんと働く姿を取り戻すことが必要になります。このように市場の機能が働く姿がMarket Forcesであり、市場の失敗を矯正するために必要な規制・指導・介入を考えることになります。この部分は、法と経済の教科書通りですが、情報セキュリティの問題に市場が効果を果たせないことが、問題のひとつであるという指摘は、きわめて重要だと思います。
戦略目標3.1:データの管理者に説明責任を持たせる(HOLD THE STEWARDS OF OUR DATA ACCOUNTABLE)
個人に関するデータを保有する組織が、このデータの責任ある管理者として行動できない場合、そのコストは一般消費者へと外部化( they externalize the costs onto everyday Americans)されてしまうといっています。
外部性というのは、
ある活動に従事する人が周囲の人の構成に影響を与え、その影響に対する保障を支払うことも受け取ることもないときに生じる周囲の人に対する影響
をいいます。まさに悪影響なので負の外部性があるということになります。このような場合の公共政策は、指導・監督政策であり、また、市場重視政策ということになります。でもって、この場合に指導・監督政策がとられることが示唆されており
行政は、個人データの収集、利用、移転、維持に強固で明確な制限を課し、地理位置情報や健康情報などの機密データに強力な保護を提供する立法措置を支持する。 また、この法律は、NISTが開発した標準とガイドラインに一致する個人データを保護するための国家要件を設定する必要がある
となっています。
戦略目標3.2:安全なIoTデバイスの開発の促進
これについては、重要性は、いうまでもありません。また、ブログでも、「IoTラベリングのアプローチ-セキュリティ/セーフティと市場・認知バイアスそして介入のもつれ」などでふれたところです。
政権は、2020年IoTサイバーセキュリティ改善法の指示に従い、連邦政府の研究開発(R&D)、調達、リスクマネジメントの取り組みを通じて、IoTサイバーセキュリティを引き続き改善する。 また、大統領令 14028 「国家のサイバーセキュリティの改善」の指示に従い、政権はIoTセキュリティ・ラベリング・プログラムの開発を引き続き推進する予定である。 IoTセキュリティラベルの拡大を通じて、消費者はさまざまなIoT製品が提供するサイバーセキュリティ保護を比較できるようになり、IoTエコシステム全体でセキュリティを強化するための市場インセンティブが生まれる。
ここで、上のエントリでもふれたラベリングのアプローチが注目されているのは、興味深いです。
戦略目標 3.3: 安全でないソフトウェア製品とサービスに対する責任の転換
これは、市場において、脆弱な製品を提供している企業が、その製品を導入する企業に、不適切なコストを生じてさせていること、いいかえると負の外部性が生じていることを指摘しています。
消費者、企業、重要インフラ提供者が負うべき注意義務を果たせなかった場合には、責任(LIABILITY)を負わなければならないことも確かである。 責任(Responsibility)は、安全でないソフトウェアの結果をしばしば負担するエンドユーザーや、商用製品に統合されるコンポーネントのオープンソース開発者ではなく、悪い結果を防ぐために行動を起こすことが最も可能な利害関係者に負わせる必要がある。
このあたりは、「法と経済学」の素養があると、教科書のような記述であることがわかるだろうと思います。「悪い結果を防ぐために行動を起こすことが最も可能な(most capable)利害関係者」というのは、Least cost avoiderでもあります。(最安価損害回避者としてのISP-「通信の秘密」の解釈の合理的制限の重要さ参照)
日本だとこのような表現を政府のドキュメントで読んでみたいものですが、どうでしょうか。
戦略目標 3.4: 連邦政府の補助金やその他のインセンティブを利用したセキュリティの構築
これは、超党派インフラ法、インフレ抑制法、CHIPS および科学法から資金提供を受けたプログラムを通じて、米国はインフラとそれを支えるデジタル・エコシステムに一世一代の投資を行っていること、連邦政府は、SLTT、民間企業、その他のパートナーと協力し、申請者に対するサイバーセキュリティの要件と技術支援やその他の形態の支援のバランスを取っていく予定であること、などが明らかにされています。
戦略目標 3.5: 連邦調達の活用によるアカウンタビリティの向上
大統領令 14028「国家のサイバーセキュリティの改善」は、サイバーセキュリティに関する契約要件が強化しており、 調達を通じてサイバーセキュリティ要件を設定、実施、テストするための新しいコンセプトの試行がなされています。また、市民サイバー不正イニシアティブ (Civil Cyber-Fraud Initiative; CCFI) は、司法省が不正請求法に基づいてサイバーセキュリティの義務を果たさない政府の助成金および請負業者に対して民事訴訟を提起する権限を有していることなどが記載されています。
戦略目標 3.6: 連邦政府によるサイバー保険のバックアップの検討
4. レジリエントな未来への投資
– 戦略的な投資と協調的な行動を通じて、米国は、インターネットの基盤やデジタルエコシステム全体における体系的な技術的脆弱性を低減するとともに、国境を越えたデジタル抑圧に対してより強靭になるようにすること、ポスト量子暗号、デジタルIDソリューション、クリーンエネルギーインフラなどの次世代技術のためのサイバーセキュリティ研究開発を優先させること、多様で強固な国家サイバー人材の育成において、安全でレジリエントな次世代技術およびインフラの革新において、世界をリードし続けるであろうとされています。
戦略目標4.1 インターネットの技術的基盤の確保 、戦略目標 4.2: サイバーセキュリティのための連邦政府研究開発の活性化、戦略目標 4.3: 量子時代後の未来への備え 、戦略目標 4.4: クリーンエネルギーの未来の確保 、戦略目標 4.5: デジタル ID エコシステムの開発支援、戦略目標4.6: サイバー人材強化のための国家戦略の策定 です。
基本的には技術的領域なので、分析は省略しますが、個人的には、戦略目標 4.5: デジタル ID エコシステムの開発支援は、興味があります。そこでは、
CHIPSと科学法で認可された NIST 主導のデジタル ID 研究プログラムを基礎に、取り組みをすすめる。これらの取り組みには、デジタル・クレデンシャルのセキュリティ強化、属性およびクレデンシャル検証サービスの提供、基礎研究の実施、一貫した使用と相互運用性をサポートする標準、ガイドライン、統治プロセスの更新、透明性と測定を促進するデジタル ID プラットフォームの開発などが含まれる。
各州がモバイル運転免許証を試験的に導入していることを認め、プライバシー、セキュリティ、 市民的自由、公平性、アクセシビリティ、および相互運用性に重点を置いていることを指摘し、 奨励する。
とされています。この分野は、技術的なポイントがメインので、詳細な検討はパスします。
5. 共通の目標を達成するための国際的なパートナーシップの構築
これは、米国は、サイバー空間における国家の責任ある行動が期待され、強化されるような世界、そして、無責任な行動が孤立し、コストがかかるような世界を求めているということです。
戦略目標5.1:デジタル・エコシステムへの脅威に対抗するための連合を構築する
ここでは、「インターネットの未来のための宣言(DFI)」、Freedom Online Coalition、その他のパートナーシップやメカニズムを通じて、米国は志を同じくする国や国際ビジネス界、その他の利害関係者を結集していること、米国、インド、日本、オーストラリア間の四極安全保障対話(「Quad」).インド太平洋経済繁栄枠組(IPEF)および米州経済繁栄パートナーシップ(APEP)、米欧通商技術委員会(TTC)、オーストラリアおよび英国との三国間安全保障技術協定(AUKUS)などのパートナーシップを活用し、共同での準備、対応、コスト賦課を通じて、我々のデジタル・エコシステムへの脅威に対抗することがうたわれています。
また、米国は同盟国やパートナーと協力して、デジタル時代に対応した新しい共同法執行メカニズムを開発するとして、欧州サイバー犯罪センターを例にあげています。
戦略目標5.2:国際的なパートナーの能力の強化
これは、同盟国やパートナーが重要インフラ・ネットワークを保護し、効果的なインシデント検知・対応能力を構築し、サイバー脅威情報を共有し、外交協力を進め、作戦協力を通じて法執行能力と効果を高め、国際法を遵守し責任ある国家行動規範を強化することによってサイバースペースにおける共通の利益をサポートできるようにしなければならなというものです。
これは、法執行・軍事で・外交などの観点で異なってきます。
法執行機関においては、司法省は二国間および多国間の関与と協定、公式・非公式な協力、サイバー犯罪の法律・政策・運用を強化するための国際的・地域的リーダーシップの提供を通じて、より強固なサイバー犯罪協力のパラダイムを構築し続けるとされます。
軍事においては、 国防総省は、同盟国やパートナーのユニークなスキルや視点を活用し、サイバーセキュリティ体制に貢献する能力を高めるため、軍対軍の関係を引き続き強化するとされ、外交においては、 国務省は、連邦政府の能力構築の優先事項が戦略的に整合し、米国、同盟国、およびパートナーの利益を促進するよう、政府全体の努力を引き続き調整するとされています。
戦略目標 5.3: 同盟国やパートナーを支援する米国の能力の拡大
この部分においては、重大なサイバー攻撃の被害を受けた同盟国やパートナーは、そのような事件の調査、対応、回復のために米国や同盟国・パートナー国からの支援を求めることができること、このような支援を提供することが国益にかなう場合を判断するための政策を確立し、このような取り組みにおいて省庁の資源を特定し展開するための仕組みを構築し、必要な場合には、このような作戦支援を行うための既存の財政的・手続き的障壁を迅速に取り除くよう努力すること、が上げられています。
戦略目標5.4: 責任ある国家行動の世界的規範を強化するための連合体構築
これは、国連加盟国は、サイバースペースにおける責任ある国家の平時の行動規範を支持することをコミットメントしているものの、このようなコミットメントがそれだけで執行力を持たないことを知っているが、コミットメントに反する行為をとるものにたいして、「名指し(naming and shaming)」をするようになってきています。近時は、協調して、「名指し」がなさるようになってきており、これは、安定したサイバースペースにコミットする連合を強化するものであるとされています。
そして、 武力紛争の閾値以下の悪意ある活動に対抗するために、米国は、同盟国やパートナーと協力し、非難の声明と意味のある制裁(consequences)を課すことを両立させるとしていて、 このような取り組みには、外交的孤立、経済的コスト、対抗サイバー作戦や法執行活動、あるいは法的制裁など、あらゆる国家運営の手段を共同で使用することが必要になるとしています。
個人的には、ここで、対抗サイバー作戦が明確に上げられている点は、興味深いです。 対抗サイバー作戦というのがどのようなものかというのは、コメントがないのですが、前後の文脈から国家による国際的違法行為をなした国家にたいして強制力を伴った被外国からのサイバー作戦となるものとかんがえられます。国連の国際法委員会の国家責任法案では、対抗措置において、このような作戦は、触れられていないので、どのような位置づけがなされるのか、というのは、アカデミックな観点からも興味深いと考えられます。
戦略目標5.5: 情報・通信・運用技術製品およびサービスのためのグローバル・サプライ・チェーンの安全確保
これは、同盟国やパートナーと協力して、情報通信技術や運用技術製品・サービスのグローバルなサプライチェーンを安全、確実、信頼できるものにするというものです。これは、国家サイバーディレクターによって調整されて、この戦略は、すでに実装中です。
国務省は、半導体と電気通信のための安全で多様なサプライチェーンの構築を支援する新しい国際技術安全保障・イノベーション基金を通じて、こうした取り組みをさらに加速させる。 最後に、大統領令13873「情報通信技術・サービスのサプライチェーンの確保」および大統領令14034「米国人の機密データを外国の敵対者から保護する」の実施を通じて、敵対政府による管理または影響を受ける情報通信技術・サービスによる国家安全保障への容認できない過度のリスクを防止することに努める。
とされています。
実装・有効性の評価・教訓の取り入れ・投資の実施については、省略。また、丸山さんのところでは、電話による応答も翻訳が上げられています。
法と政策という観点からの分析
わが国での国家サイバーセキュリティ戦略については、SECCONでの講演をはじめとして、ブログでも幾度となくふれているところです。これと、アメリカのサイバーセキュリティ戦略とを比較・検討することは、有意義になるものと考えられます。
まずは全体像を図示すると、このようになります。
法と政策の見地からは、注目すべき事項として 1 アクティブサイバー防禦との比較 2 武力行使の閾値以下の統合 3 サイバーセキュリティと市場の失敗 をあげることができると思います。特に、上でのSECCONでの講演においては、軍事・情報・法執行の三分法で法的な議論を整理したのですが、それらが、民主的なコントロールがなされて、統合された指令のもとに、行われる、ということになるものと考えられます。
わが国においてNISCが改組される、というのは、将来的には、このような方向性も考えられているものと思われますが、具体的には、法の改正動向等も参考にしながら考えたいとおもうところです。
