2LoD.sec

セキュリティマネージャの仕事やセキュリティガイドラインの要約など

【要点抽出】米国 国家サイバーセキュリティ戦略 NATIONAL CYBERSECURITY STRATEGY

要点抽出

今回は2023年3月に出た米国 国家サイバーセキュリティ戦略を読みます。

「ソフトウェア開発のセキュリティの責任を開発者に押し付けようとしてる!」とか騒がれていた印象だけが残っていたのですが、一通り読んでみました。

https://www.whitehouse.gov/wp-content/uploads/2023/03/National-Cybersecurity-Strategy-2023.pdf

何の本?

日本を含む各国からサイバーセキュリティ戦略が出ており、その米国版です。

前回は2018年9月に出たはずなので5年ぶりとなります。

本書はEO14028やその後に出されたOMB、NIST、CISAなど各機関によるガイドラインや文書の内容を踏まえて策定されています。

構成は?

全35ページで、以下の目次の通り5本の柱を中心としています。

各柱には5~6個の戦略目標が定められており、合計27の戦略目標から成ります。

  • INTRODUCTION
  • PILLAR ONE | DEFEND CRITICAL INFRASTRUCTURE
  • PILLAR TWO | DISRUPT AND DISMANTLE THREAT ACTORS
  • PILLAR THREE | SHAPE MARKET FORCES TO DRIVE SECURITY AND RESILIENCE
  • PILLAR FOUR | INVEST IN A RESILIENT FUTURE
  • PILLAR FIVE | FORGE INTERNATIONAL PARTNERSHIPS TO PURSUE SHARED GOALS
  • IMPLEMENTATION

本書の日本語訳

いつもながら丸山さんの訳をもとに勉強させていただきました。

以下、それぞれの柱のタイトルの和訳はこちらのものを引用させて頂いています。

maruyama-mitsuhiko.cocolog-nifty.com

概観

この戦略は「サイバースペースの安全性を高め、米国がデジタルの未来から得られるあらゆる恩恵と可能性を実現するための最強のポジションを確保するため」のアプローチを記したものです。


そのために「デジタル・エコシステムの根底にある力学を根本的に変え、その優位性を守る側にシフトさせ、それを脅かす勢力を永久に挫折させる」必要があるとしています。なかなか日本の戦略には登場しない凄い表現です。


「悪意のある行為者」として中国、ロシア、イラン、北朝鮮を名指しで挙げた上で、そうした脅威に対抗しつつレジリエンスなサイバー空間を達成するためのアプローチとして以下の5本柱を挙げています。

  1. 重要インフラの防衛
  2. 脅威アクターの破壊と解体
  3. セキュリティとレジリエンスを推進するための市場の力の形成
  4. レジリエンスな未来への投資
  5. 共通の目標を達成するための国際的パートナーシップの構築

そして、これらを実現するために「2つの根本的なシフト」を行うとしています。

1つ目はサイバースペース防衛の責任の再構築です。詳しくは柱3で触れます。

2つ目は長期的な投資を促進するためのインセンティブの再構築です。詳しくは柱1や4で触れます。

柱1:重要インフラの防御

重要インフラを守るために、官民それぞれが高いレベルでセキュリティ対策を行いながら連携しあうことを推進します。

  • 戦略目標 1.1: 国家安全保障と公共安全を支援するためのサイバーセキュリティ要件の確立
    • 重要インフラ向けの新たなサイバーセキュリティ要件を作る。
    • 各セクターがセキュリティ投資をするためのインセンティブが働く(頑張ったもの損にならないような)仕組みを作る。
  • 戦略目標1.2:官民協力の拡大
    • 官民の連携の促進と、人同士ではなくマシン同士の早さで連携して脅威に対抗できるような仕組みを作る。
  • 戦略目標1.3:連邦政府のサイバーセキュリティセンターの統合
     読んでもよく分からなかったので割愛
  • 戦略目標 1.4: 連邦政府の事故対応計画及びプロセスの更新
    • セキュリティインシデントが起きた際に民間組織が連邦機関に支援を求める方法を記したガイダンスを作る。
    • 重要インフラ部門がリアルタイムにインシデント情報を共有・報告できる仕組みを作る(2022年の重要インフラ・インシデント報告法(CIRCIA)の推進)。
  • 戦略目標 1.5: 連邦防衛の近代化
    • FCEB 機関が10年以内にゼロトラストアーキテクチャに乗れないレガシーシステムの廃止やリスク低減をするための複数年サイクル計画を作る。
    • SBOMやSSDF、OSSのセキュリティ改善を含む「ソフトウェア・サプライ・チェーンのリスク軽減目標」を策定する。

柱2:脅威アクターの破壊と解体

サイバー攻撃者、特にランサムアクターに対して「国力のあらゆる手段を用いて、わが国の国益を脅かす脅威となる勢力を崩壊させ、解体していく」ことを宣言しています。

  • 戦略目標2.1: 連邦政府の破壊活動の統合
    • NCIJTFが複数省庁の中心的存在として、テイクダウンや破壊活動を調整する能力を拡大する。
    • 米国に大きな脅威を与える国家や非国家主体から防衛するための新たな戦略を国防総省が作る
  • 戦略目標2.2: 敵対者をかく乱するための官民の作戦協力の強化
    • 2021年にEmotet ボットネットをテイクダウンした時のように、攻撃者の活動を調査する能力が高い民間企業と連邦政府の連携を引き続き維持・拡大する。
  • 戦略目標 2.3: 情報共有と被害者通知の速度と規模の拡大
    • 連邦政府がサイバー脅威情報を得た場合の共有(政府以外の防御者への警告や、被害者への通知)のスピードを改善する。
    • SRMA が政府、非政府組織と脅威情報を共有するプロセスを開発する。情報のニーズや優先順位を踏まえ、警告、技術的指標、脅威の状況などを連携する。あわせて、政府が情報提供を行いやすくするために機密解除の方針とプロセスを見直す
  • 戦略目標2.4:米国拠点のインフラ悪用の防止
    • クラウドISP事業者と協力して、米国拠点のインフラを攻撃者が悪用したことを特定し、情報連携し、攻撃者が攻撃インフラを使えなくする。
    • EO13984の実施を通じて米国内のIaaSを攻撃インフラとして用いられることを阻止する。
      #IaaS事業者に対し、外国人がIaaS上でアカウントを開設しようとした際に身元確認を求める(IaaSのKYC)規制を商務省に提案させるための大統領令
  • 戦略目標2.5:サイバー犯罪への対抗とランサムウェアの撲滅
    • ランサムウェアエコシステムの破壊、犯罪者にとって都合のよいインフラを提供している国の孤立、重要インフラの回復力向上、仮想通貨を用いたマネーロンダリングに対処(暗号通貨取引所におけるKYC)する。

柱3:セキュリティとレジリエンスを推進するための市場の力の形成

セキュリティ対策が不十分な事業者に責任を負わせる!という内容で注目をあびた柱です。

  • 戦略目標3.1:データの管理者に説明責任を持たせる

    • 個人データの収集、利用、移転、維持に制限を課し、地理位置情報や健康情報などの機密データに強力な保護を提供する立法措置を支持する。

  • 戦略目標3.2:安全なIoTデバイスの開発の促進

    • EO14028 に従い、IoTセキュリティ・ラベリング・プログラムの開発を引き続き推進する。

  • 戦略目標 3.3: 安全でないソフトウェア製品とサービスに対する責任の転換

    • ソフトウェアに十分なセキュリティ対策を行わなかった事業者(免責事項を前提とした手抜き)に責任を負わせるための法律を策定する。
      #この責任は商用製品に使われるOSS開発者に負わせる意図ではないことも明記
    • 安全なソフトウェア開発のためのフレームワークを開発する(NIST SSDFを参考に)。
    • 脆弱性開示を奨励し、SBOM のさらなる開発を促進し、ソフトウェアに含まれるリスクの特定・軽減するプロセスを開発する。

  • 戦略目標 3.4: 連邦政府補助金やその他のインセンティブを利用したセキュリティの構築

  • 戦略目標 3.5: 連邦調達の活用によるアカウンタビリティの向上

    • EO14028により強化した調達時の契約要件を引き続き適用する。
    • 政府の助成金提供者や請負業者がセキュリティの義務を果たさなかった場合に市民サイバー不正イニシアティブ (CCFI)が民事訴訟を起こす。

  • 戦略目標 3.6: 連邦政府によるサイバー保険のバックアップの検討

    • 米国に対して壊滅的なサイバー事案が起きた場合に備え、サイバー保険市場を政府が支援することの必要性や仕組みを評価する。

柱4:レジリエンスな未来への投資

次世代の技術やインフラのセキュリティ、人材育成に投資することを掲げています。

  • 戦略目標 4.1: インターネットの技術的基盤の確保

    • インターネットの根幹でありながらセキュリティが十分に考慮されていないBGP、DNSといったプロトコルや、IPv6対応の遅れに対処する。
    • 非政府の標準化団体(SDOs)を支援し、よりセキュアでレジリエンスな技術標準を生み出す。

  • 戦略目標 4.2: サイバーセキュリティのための連邦政府研究開発の活性化

    • 米国の今後10年のために重要視している以下の基盤技術をセキュアにするための研究に投資する。
      1. コンピューティング関連技術(マイクロエレクトロニクス、量子コンピューティング、AI)
      2. バイオテクノロジーとバイオ製造
      3. クリーンエネルギー技術

  • 戦略目標 4.3: 量子時代後の未来への備え

    • 公共ネットワークやシステムを耐量子暗号ベースの環境に移行する。

  • 戦略目標 4.4: クリーンエネルギーの未来の確保

    • 自動化や相互接続が前提である次世代のエネルギーインフラを安全に守るために「国家サイバー情報工学戦略(National Cyber-Informed Engineering Strategy)」を実施する。

  • 戦略目標 4.5: デジタル ID エコシステムの開発支援

    • 安全なデジタルIDソリューションの開発を奨励する。

  • 戦略目標4.6: サイバー人材強化のための国家戦略の策定

    • 国家サイバー人材・教育戦略の策定と実施を監督する。また、この戦略の中で、サイバーセキュリティの世界で女性、有色人種、専門職一世、移民、障害者、LGBTQI+が活躍できていない「多様性のなさ」の克服に取り組む。

柱5:共通の目標を追求するために国際的なパートナーシップの構築

国際社会と連携しながらサイバー上の脅威と対抗し、安全で開放的なインターネットの世界を維持することを掲げています。

  • 戦略目標5.1:デジタル・エコシステムへの脅威に対抗するための連合を構築する

    • 諸外国との連携を維持しつつ、デジタル時代に対応した新しい共同法執行メカニズムを開発する。

  • 戦略目標5.2:国際的なパートナーの能力の強化

    • 同盟国やパートナー国のサイバーセキュリティの能力を高め、作戦協力を通じて法執行能力と効果を高める。

  • 戦略目標 5.3: 同盟国やパートナーを支援する米国の能力の拡大

    • 同盟国やパートナー国がサイバー攻撃を受けた際の復旧支援を行うために、必要時に必要なリソースをすぐに提供できるように財政面や手続き面の障壁を取り除くよう取り組む。

  • 戦略目標5.4: 責任ある国家行動の世界的規範を強化するための連合体構築

    • 重要インフラに攻撃を行った敵対国に対し、同盟国やパートナー国と連携して対抗する(外交的孤立、経済的コスト、サイバー対策や法執行活動、法的制裁など)。

  • 戦略目標5.5: 情報・通信・運用技術製品およびサービスのためのグローバル・サプライ・チェーンの安全確保

まとめはここまでです。


本戦略とあわせて理解のためにいくつかの解説記事を読みましたが、いずれも「野心的すぎるので全部は実現できないだろう」という論調で締めくくられていたのが印象的でした。


冒頭で「デジタル・エコシステムの根底にある力学を根本的に変え」と言った上でソフトウェア開発におけるセキュリティの責任論の見直しを提言したこと(柱3)は確かに乱暴かもしれませんが、そうでもしないとサプライチェーンリスクを中心に勝ち目のない、終わりのない、絶望的な状況に対する渾身の打開策であるとも思いました。


実現するかどうかはともかくとして、そうした状況であることは事実なのですから、EO14028以降に出されている様々なドキュメントや方針をうまく活用して自分達の組織やプロセスを改善しておきたいものです。

これまでにまとめたガイドライン類の一覧はこちら