トランプ氏に期待は禁物? バイデン政権が本当はやりたかった7つのセキュリティ施策:Cybersecurity Dive
連邦機関や重要インフラの提供者に対する一連の高度な攻撃を受けて、バイデン政権の最終日に行政命令が発令された。そこには7つのセキュリティ施策への取り組みが記載されているが、トランプ政権でこれが実施される保証はない。
ホワイトハウス(米連邦政府)は2025年1月16日(現地時間、以下同)、国家に関連する脅威グループやその他の悪質な勢力による、米国の政府機関および(電力やガス、鉄道、空港などの)重要インフラの提供者、高名な個人を標的とした高度な攻撃の増加に対抗するため、以前から注目を集めていた行政命令を発した。
退任したバイデン政権が本当はやりたかった7つのセキュリティ対策
この行政命令により、病院やその他の重要なインフラの提供者を妨害した攻撃者に対して、米国が制裁を課す権限が強化される。
連邦当局は年間1000億ドルに及ぶ政府のIT支出を活用し、テクノロジー企業がより安全なソフトウェアを開発するよう促す計画も策定している。
この行政命令は脅威アクター「Salt Typhoon」による9つの通信企業へのハッキングや(注1)、サイバーセキュリティ事業を営むBeyondTrustの顧客情報の漏えいに関連した財務省への攻撃など(注2)、国家に関連する一連のキャンペーンを受けて策定された。これらの攻撃の全ては、中国の支援を受けたハッカーグループと関連している。
サイバー領域と新興技術を担当するアン・ニューバーガー氏(国家安全保障副補佐官)は、2025年1月15日にオンライン上で開催した記者会見で次のように述べた。
「行政命令の目的は、中国およびロシア、イランなどランサムウェアを使う犯罪者が実施するハッキングを困難かつコストがかかるものにし、米国が自国の企業や市民を守る姿勢を明確に示すところにある」
また、ニューバーガー氏は、2022年のウクライナ侵攻前にロシアが関与したとされる衛星システムへの攻撃や(注3)、2023年に国家が関与したとされる「Microsoft Exchange Online」への攻撃などの過去のハッキングにも言及した(注4)。
ホワイトハウスの関係者は、次のトランプ政権との間でこの行政命令に関する具体的な協議を実施しておらず、トランプ政権はサイバー領域における新たなリーダーを公表していない。ニューバーガー氏をはじめとするサイバー領域における政策の専門家は「サイバーレジリエンスを強化するための追加措置について超党派の支持がある」と述べている。
公的機関および民間企業のセキュリティ向上を支援するために、同行政命令は次の内容に対応していく。
- 病院を含む重要なインフラの提供者を標的にしたハッカーに対して、米国が制裁を課す権限を強化する
- 連邦政府と取引するソフトウェアベンダーに対し、安全な開発手法を採用していることを証明するよう求める。連邦政府はその証拠を検証し、民間企業が提供するソフトウェアの購入者が安全性について判断できるように、それらの情報を公開する計画である
- 米国国立標準技術研究所(NIST)は、ソフトウェアの更新を安全かつ信頼性の高い方法で展開するための指針を策定する
- 米国共通役務庁(GSA)は、クラウド製品を利用者が安全に使用する方法に関する指針を策定する
- 連邦政府と取引する企業に適用される最低限のサイバーセキュリティ基準を策定する。連邦情報システムを利用する際の公的な手続きやサイバーセキュリティ要件を今後3年間にわたって合理化する
- 連邦当局はソフトウェアの脆弱(ぜいじゃく)性を検出し、修正用のパッチを管理し、脅威を検出するために、AIに基づくツールの研究を開始する。また、公的機関と民間企業のパートナーシップを構築し、エネルギー分野の重要インフラを保護するためにAIを活用する
- 米国は2027年からサイバーセキュリティを強化するためのラベリングプログラム「Cyber Trust Mark」の基準を満たすインターネット接続デバイスのみを購入する方針である(注5)
調査企業であるGartnerのカテル・ティールマン氏(バイスプレジデント兼アナリスト)は「この行政命令はバイデン政権が早期に取り組みたいと考えていたセキュリティ領域における一連の課題を反映している」と述べた。
ティールマン氏は「Cybersecurity Dive」に対して電子メールで次のように述べている。
「行政命令は広範な内容を含んでおり、退任間近の政権が本来であれば取り組みたかったものの、実行する時間が足りなかった課題のリストのように思える」
その上で、ティールマン氏は「行政命令の中には実行しやすい項目もある一方で、次期政権が一部の取り組みを覆す可能性があるため、全てがスムーズに進むわけではない」と指摘した。
(注1)White House says 9th telecom company hit in Salt Typhoon spree(Cybersecurity Dive)
(注2)Treasury Department says state-linked hacker gained access to unclassified data in major attack(Cybersecurity Dive)
(注3)US, allies blame Russia for Viasat cyberattack(Cybersecurity Dive)
(注4)Microsoft Exchange state-linked hack entirely preventable, cyber review board finds(Cybersecurity Dive)
(注5)White House program to certify the security of IoT devices goes live(Cybersecurity Dive)
© Industry Dive. All rights reserved.
関連記事
複数のトンネリングプロトコルに脆弱性 420万以上のホストに影響
複数のトンネリングプロトコルに新たな脆弱性が発覚した。日本を含めた全世界の420万台以上のVPNやルーターが攻撃のリスクにさらされる可能性があるという。
7-Zipに深刻な脆弱性 悪用でWindowsのセキュリティ機能「MoTW」を回避可能
7-Zipに深刻な脆弱性が見つかった。これを悪用すると、Windowsのセキュリティ機能「MoTW」(Mark-of-the-Web)を回避し、被害者のユーザーコンテキスト内で任意のコードを実行できるという。
5ページだけでも読んで 無料でセキュリティの要点を学べる資料を紹介
世間には多くの役に立つセキュリティのドキュメントが公開されていますが、これらを読了するのは正直に言って骨が折れます。今回は筆者オススメの資料の中から“5ページ”だけに絞って、その魅力を紹介しようと思います。
「なぜあの事件は起きた?」 半田病院へのサイバー攻撃を認知バイアス観点で読み解く
サイバー攻撃の中には単なる技術的な手法だけではなく、人間の意思決定に影響を及ぼす認知的な偏り「認知バイアス」を狙ったものも増えています。本稿は半田病院の事例を基に、認知バイアスの観点からサイバー攻撃に遭うワケを考えます。