米国政府は2025年のセキュリティ予算、何に使う？ 優先事項が明らかに：Cybersecurity Dive

連邦政府機関は、支出がどのように国家サイバーセキュリティ戦略に合致しているかを示すよう求められている。

[Matt Kapko，Cybersecurity Dive]

　米ホワイトハウスは2023年6月27日（現地時間）、行政機関に送った書類で、2025年度のサイバーセキュリティ予算における優先事項を示した（注1）。

　同書類によると、バイデン政権は2023年3月初めに公表した国家サイバーセキュリティ戦略における5つの柱（重要インフラの防御、脅威行為者の妨害と解体、セキュリティと強靱性を促進させる市場の形成、強靱な未来への投資、国際的なパートナーシップの形成）とサイバーセキュリティに対する投資を結び付けることを目指している（注2）。

米国政府が定めるセキュリティ予算における優先事項とは？

　国家サイバー局長代理であるケンバ・ウォルデン氏と予算管理局長のシャランダ・ヤング氏が署名した同書類では、連邦政府機関に対して、電力やガス、鉄道、空港などの重要インフラの防衛や脅威要因の破壊と解体、設計段階から安全なソフトウェアの開発、回復力、国際的なパートナーシップへの支出を優先するよう求めている。

　ウォルデン氏とシャランダ氏は書簡の中で「連邦政府機関の投資は、設計段階から安全なソフトウェアを作るといった耐久性のある長期的な解決策につながるべきだ」と主張している。

　米国政府はサイバー犯罪の撲滅に取り組んでいるが、ランサムウェアのリスクは依然として高く、サイバー攻撃者はソフトウェアの脆弱（ぜいじゃく）性を悪用し、連邦政府機関を含む複数の被害者をわなにかけている（注3）（注4）。

　同書類によると、連邦政府機関の予算の策定に際しては、ソフトウェアサプライチェーンにおける説明責任を改善し、機関全体の防御を強化するために政府の購買力を活用すべきとのことだ。

　ウォルデン氏とシャランダ氏は「国家サイバーセキュリティ戦略は、サイバースペースにおいて最も能力があり、最も有利な立場にある主体が、サイバーエコシステムの効果的な管理者として機能するように、サイバースペースの防衛に関する責任の再調整を強調している」と話す。

　その他、同書類では、バイデン政権がランサムウェアに対抗するための継続的な取り組みにも触れており、ランサムウェアは国家安全保障や公共の安全、経済的繁栄に対する脅威であるとしている。

　「ランサムウェアが攻撃者に利益をもたらさないものになるように、持続的かつ協調的で、的を絞った脅威の破壊キャンペーンやその他の取り組みの実行を政権は約束する」（ウォルデン氏）

　ランサムウェアを阻止する責任を負う連邦政府機関は、ランサムウェアを調査し、ランサムウェアのインフラを破壊し、サイバー犯罪に焦点を当てた省庁間のタスクフォースに参加するためのスタッフリソースを優先する予算を提出するよう勧告される。

（注1）MEMORANDUM FOR THE HEADS OF EXECUTIVE DEPARTMENTS AND AGENCIES（The White House）
（注2）White House releases national cyber strategy, shifting security burden（Cybersecurity Dive）
（注3）MOVEit vulnerability ensnares more victims（Cybersecurity Dive）
（注4）US puts $10M bounty on Clop as federal agencies confirm data compromises（Cybersecurity Dive）

原文へのリンク