PCAST報告書：国家サイバーセキュリティ強化に向けた機会 « デイリーウォッチャー

［本文］

国・地域名：: 米国
元記事の言語：: 英語
公開機関：: 大統領府
元記事公開日：: 2013/11/22
抄訳記事公開日：: 2014/01/20

PCAST報告書：国家サイバーセキュリティ強化に向けた機会

Report to the President "Immediate Opportunities for Strengthening the Nation's Cybersecurity."

本文：

大統領科学技術諮問会議（PCAST）は11月22日、大統領に「国家サイバーセキュリティ強化に向けた機会」についての報告書を提出した。同報告書は一つの包括的な発見とそれに続く6つの個別的発見、またそれぞれに対する提案という形でまとめられている。

包括的な発見：政府機関や企業を前提とした場合、サイバーセキュリティは、それぞれの組織をセキュアにするための個々の静的な予防策の集積によって成されるものではない。むしろ、常に変化する脅威に対し防御的な対応をとるための情報を継続的に統合するプロセスによって成されるものである。

補足的発見と提案は以下の通り。

発見1：連邦政府は必ずしもベストプラクティスに従わない。独自のシステムにベストプラクティスを導入することで、ルーティン化したサイバー攻撃を困難にするよう努力を促進しつつ、模範を示して指導すべき。
提案：
・Windows XPといったサポートが切れてしまうシステムを今後二年で終了し、最新のWindows、Linux、Mac OSといったシステムに切り替える。
・電話やタブレットを含むすべての機器にTPM（Trusted Platform Module：基本的な安全機能のためにデザインされた暗号キーを使用する業界標準のマイクロチップ）の導入を進める。
・なりすまし犯罪予防のため、最も信頼できる最新ブラウザの採用を進める。
・人、役職、機器、ソフトウェアなどに対して身元確認を全国的に進める。民間セクターでは任意なものに対して、政府関係者間のデータ交換や取引の際には必須とすべき。
・クラウドでホストされたソフトウェアを含む、商用オフザシェルフ（COT：Commercial Off The Shelf及び政府オフザシェルフ（GOTS2：Government Off the Shelf）の両製品に対して、自動更新ソフトウェアの採用を進める。

発見2：多くの民間セクターは直接国家安全保障に関係ない理由で連邦政府の規制を受けている。このような場合、既存の規制の趣旨に副う形でサイバーセキュリティのベストプラクティスを推進・実験する機会が多くある。
提案：
・既に規制を受けている業界において、監視機関は具体的なサイバーセキュリティのリストを要求するのではなく、どのようにベストプラクティスが導入され、常に改善されているのかを確認できるようなプロセスの提示を求めるべきである。
・大統領は恒常的改善に関する自主的報告を要求する規制を採用するように独立した規制機関に勧めるべきである。特に、証券取引委員会（SEC）は公開会社に対し、投資リスクの一つとして、既存の重要性試験（materiality test）より一歩進んだサイバーセキュリティのリスク要件のディスクロージャーを委任すべきである。

発見3：政府主導の固定した安全対策よりも、業界主導の第三者監査を受けた恒常的改善プロセスの方がより効果的なサイバーセキュリティを作り出す。
提案：
・民間セクターに対して、政府の役割は常に合意に基づく基準の改善と、各民間事業体が基準を満たしているか透明性のある報告を推進すること。

発見4：民間事業体と政府間において、サイバー攻撃に関するデータを即時交換するため、限度容量を改善する。
提案：
・政府は潜在的に脆弱な民間事業者に対して、サイバー攻撃に関する情報を民間事業者同士が交換できるようなパートナーシップの設立を促進すべき。これらの事業者間で交換されるデータの流れは政府によってアクセスできるべきでも、されるべきでもない。政府は、データが民間団体でどのように活用されるかに関する協定の設立や技術の提供に関しては参加する可能性がある。政府が個人情報に不適切にアクセスしないように協定や技術の透明性を担保すべき。

発見5：インターネットサービスプロバイダー（ISP）はリアルタイム動作を通じて、サイバーセキュリティの改善に貢献できる立場にいる。
提案：
・連邦政府はISPが取るべき望ましい対応に関する規約を設立すべき。
・国立標準技術研究所（NIST）はISPと協力し、ISPが利用者に対して警告をだすための自主的基準を設立すべき。

発見6：今後、基本設計概念を構築する際には、システムの各部分が厳しい環境で運用される前提で始めるべき。ダイナミックで即時応答できるシステムの研究が必要。
提案：
・大学や企業の研究所はハードウェア、ファームウェア、ソフトウェアなどの分野においてより信用できるコンピューターシステムの開発に協力しあえるように、直接連携されるべき。
・ハードウェアやソフトウェアを開発する企業がサイバー脅威に対して十分な対応をしているかどうかを評価する独立した機関が必要となる。
・政府は、今後10年から20年という時間軸において、サイバーセキュリティに関する概念を根本から覆すハイリスク、ハイリターンな基礎研究に投資すべき。

[DW編集局]

ページトップへ