サイバーセキュリティにもっと力を――業界団体が米政府に要求

業界団体の12の推奨事項は、ITセキュリティ責任者の地位向上など、サイバーセキュリティにもっと力を入れるよう米政府に求めている。（IDG）

[IDG Japan]

　サイバーセキュリティ推進団体が12月6日、ジョージ・ブッシュ米大統領に対し、コンピュータ問題にもっとリソースを注ぎ、米国土安全保障省（DHS）のITセキュリティ責任者の地位を次官補のレベルに昇格させるよう求めた。

　この団体Cyber Security Industry Alliance（CSIA）は米政府に、同団体の12の推奨事項を実施するか、推進するよう要求した。その中には、上院で欧州のサイバー犯罪会議を批准することや、サイバー攻撃のコストを追跡する政府機関を割り当てることが含まれる。

　「誰もがサイバー攻撃は1年間に数十億ドルのコストをもたらすと言っている」と語るのは、CSIAのエグゼクティブディレクターで、ブッシュ政権の「National Strategy to Secure Cyberspace」を策定した1人でもあるポール・カーツ氏。「だが、われわれは本当にこれをしっかり把握できているのだろうか。もっとうまくやれるかどうか、どうすれば分かるだろうか？」

　CSIAの推奨事項の幾つかは、2003年2月に発表された米政府のサイバーセキュリティ戦略にも含まれている。この戦略では、米政府が他国にサイバー犯罪会議の批准を奨励することを求めているが、米上院での批准を求めてはいない。

　「われわれは、上院にこれを批准させる必要があるということを見落としていたと言える」とカーツ氏。同氏は元大統領特別補佐官で、米政府の国土安全保障会議の重要インフラ保護担当ディレクター。

　ホワイトハウスの広報官にCISAの勧告についてコメントを求めたが、返答は得られていない。

　CSIAはまた、サイバーセキュリティ関連の研究開発資金を強化して、公益事業で利用されているデジタル制御システムを守る対策を開発するタスクフォースを設立し、大規模サイバー攻撃が起きた際に機能する緊急時の連携ネットワークを確立し、テストすることも求めている。こうしたネットワークは「数千億ドルをかけた」プロジェクトである必要はないが、机上のシナリオでの緊急応答訓練くらいの簡単な取り組みから始められるだろうとカーツ氏は語る。

　「要するに、われわれにはインターネットに大規模な障害が起きた場合の、確立された手段、手順、手続きがないのだ。インターネットが使えなくなったらどうなるのか。国を挙げてこうした問題を本気で考えたことはない」（同氏）

　同氏は、ブッシュ政権のサイバーセキュリティに関する仕事ぶりがまずいとまでは言わなかった。2001年9月11日の同時多発テロ以来、サイバーセキュリティの優先順位が物理的なセキュリティ問題より低くなっていることは意外ではないと同氏。

　「私はすべての焦点を前向きなものにしようとしてきた。われわれが今やっていることは、両手を挙げて『われわれはこの情報ネットワークに頼っています』と言っているだけだ。今こそサイバーセキュリティがもっと大きな役割を演じる時だ。私はホワイトハウスを隅に追いやろうとしているわけではない。建設的にこの問題を指摘しようとしているのだ」（同氏）

　CSIAなどのIT業界団体は、元DHSサイバーセキュリティ責任者アミット・ヨーラン氏が9月に辞任――その理由は、DHSがサイバーセキュリティに重点を置いていなかったからだと伝えられている――する前から、同省にサイバーセキュリティを担当する次官補を置くよう求めていた。ヨーラン氏はCSIAが12の推奨事項を発表したワシントンD.C.での記者会見に出席した。

　CSIAのサイバーセキュリティ勧告はここに掲載されている。

　CSIAは2月に結成された団体で、Computer Associates International、Entrust、Juniper Networks、McAfee、SymantecなどIT企業14者が加盟している。