米国が目指すサイバーセキュリティの未来 大企業が多くの負担を担うべき？：Cybersecurity Dive

国家サイバー局長代理のケンバ・ウォルデン氏は「セキュリティは老朽化したシステムに取り付けるのではなく、米国人が毎日使う技術に組み込む必要がある」と述べた。どういうことなのだろうか。

[David Jones，Cybersecurity Dive]

　米国のサイバーセキュリティ最高顧問によると、バイデン政権は「米国における即時的な需要および長期的な技術インフラに対する政府と民間の考え方を変えたい」と考えている。

　ウォルデン氏は2023年3月23日、下院議員に対して「国家サイバーセキュリティ戦略は、米国がこの分野における役割や責任、資源をどのように配分するかについて2つの根本的な転換を求めている」と語っている。

サイバー攻撃のリスクから中小企業を救うことの重要性

　ウォルデン氏は「米国はサイバーリスクの管理責任を再分配し、社会的弱者に負担が集まらないようにする必要がある」と指摘する。現在はサイバーセキュリティに関する責任の所在が個人や小規模事業者、地方自治体に集まっている。

　同氏は2023年3月23日、サイバーセキュリティや情報技術、政府革新に関する下院小委員会で「デジタルエコシステムにおいては、能力があり大きく、最適な位置にある主体がサイバーリスクを管理し、私たち全員を安全に保つためにより大きな負担を負うべきだ」と語った（注1）。

　「米国経済および社会全体のサイバースペースをより強靭（きょうじん）で長期的な防御に優れた形にするためには投資を進める必要がある」（ウォルデン氏）

　また、同氏は「米国人が日々利用する技術にセキュリティが組み込まれる必要がある。悪意のある攻撃に対して脆弱（ぜいじゃく）で老朽化したシステムに後から取り付けるのでは意味がない」とも話した。

　責任主体の変更は、中小企業がサイバーセキュリティリスクの負担を負わないようにするものだ。ウォルデン氏は「サイバー保険の補償範囲に対して、連邦政府が資金的援助を検討している」と指摘している。

　同氏は水害保険を例に、ますます増大するサイバーセキュリティのリスクを、米国における企業や個人の居住者を守るという観点から指摘した。多くの家主が加入している保険は水害をカバーしない一方で、連邦政府は米国連邦緊急事態管理庁（FEMA）を通じて水害保険プログラムを提供している（注2）。

　サイバー保険に関する連邦政府の支援を設けることで、中小企業がサイバー攻撃を受けた際に全費用を負担することを防げる。米政府の関係者は、既に（情報通信や金融、航空、電気、ガスなどの）重要インフラ事業者にセキュリティに関する最低基準を引き上げるように要請しているが、特定の部門に過剰な規制をかけることは行っていない。

　実際に証券取引委員会は金融関連サービス企業に対するサイバーセキュリティの最低基準を（注3）、環境保護庁は飲料水の供給を担う組織に対してサイバーセキュリティの最低基準を引き上げるようにそれぞれ発表している（注4）。

（注1）Unpacking the White House National Cybersecurity Strategy（Committee On Oversight and Accountability）
（注2）Flood Insurance（FEMA.gov）
（注3）SEC proposes cybersecurity disclosure rules for financial industry specialists（Cybersecurity Dive）
（注4）EPA unveils cybersecurity oversight for public drinking water systems（Cybersecurity Dive）

原文へのリンク