【情セキ】米国国家サイバーセキュリティ戦略(2023年3月)の概要

米国政府は、2023年3月2日、「国家サイバーセキュリティ戦略(National Cybersecurity Strategy)」[1]を発表しました。その概要をご紹介します。



ビジョンとしては、以下の3つが掲げられています(正確には、これは、同戦略に関するFACT SHEET[2]によります)。

  • Defensible:米国のデジタル・エコシステムを、同盟国とともに、防衛を効率的・効果的なものとすること
  • Resilient:インシデントや過誤の影響を小さく、短期間に抑えること
  • Values-aligned:米国の価値観(経済の安全保障と繁栄、人権・自由の尊重、民主主義・民主的制度に対する信頼、平等かつ多様な社会)にのっとったものとすること

 

そのビジョンを実現するためのアプローチとして、以下の5つが挙げられ、その下に数個の戦略的目標が掲げられ、それぞれの達成方法が具体的に記述されています。

  • Pillar 1:重要インフラを防護する
    • 戦略的目標1.1:国家安全保障及び公衆安全をサポートするためにサイバーセキュリティ要求事項を策定する
    • 戦略的目標1.2:官民の協力体制を拡充する
    • 戦略的目標1.3:連邦サイバーセキュリティセンターを統合する
    • 戦略的目標1.4:連邦のインシデント・レスポンス・プラン及びその手順をアップデートする
    • 戦略的目標1.5:連邦の防護を見直す
  • Pillar 2:脅威アクターを妨害・解体する
    • 戦略的目標2.1:連邦の妨害活動を統合する
    • 戦略的目標2.2:敵を妨害するための官民の協働を高める
    • 戦略的目標2.3:インテリジェンス共有及び被害通知のスピード及び規模を改善する
    • 戦略的目標2.4:米国に拠点のあるインフラに対する濫用防止
    • 戦略的目標2.5:サイバー犯罪対策、ランサムウェア撲滅
  • Pillar 3:市場がセキュリティ及びレジリエンスを推進するように働きかける
    • 戦略的目標3.1:データ保有者に説明責任を負わせる
    • 戦略的目標3.2:セキュアなIoTデバイス開発を推進する
    • 戦略的目標3.3:セキュアでないソフトウェア製品・サービスにかかる責任の所在を(ベンダーではなくメーカーに)シフトさせる
    • 戦略的目標3.4:セキュリティを構築するために政府の補助金やその他のインセンティブを活用する
    • 戦略的目標3.5:説明責任を改善するために政府調達を活用する
    • 戦略的目標3.6:サイバー保険の連邦による緊急対策の可能性について調査する
  • Pillar 4:レジリエントな将来に投資する
    • 戦略的目標4.1:インターネットの技術的基盤をセキュアにする
    • 戦略的目標4.2:連邦によるサイバーセキュリティの研究開発を改めて活性化させる
    • 戦略的目標4.3:ポスト量子暗号の将来に向けて準備する
    • 戦略的目標4.4:クリーンなエネルギーの将来を確保する
    • 戦略的目標4.5:デジタルアイデンティティのエコシステムの発展をサポートする
    • 戦略的目標4.6:サイバー人材を強化するための国家戦略を策定する
  • Pillar 5:共通のゴールを目指すために国際パートナーシップを構築する
    • 戦略的目標5.1:米国のデジタル・エコシステムに対する脅威に対抗するための連合を構築する
    • 戦略的目標5.2:国際的パートナー国の能力を強化する
    • 戦略的目標5.3:同盟国及びパートナー国を支援する米国の能力を拡充する
    • 戦略的目標5.4:責任ある国家行動にかかる国際規範を強化するための連合を構築する
    • 戦略的目標5.5:ICT・OT製品・サービスについてセキュアなグローバル・サプライチェーン(を構築する)



これらのアプローチに関し、役割や責任について、以下の2つのシフトチェンジをすると述べています。

 

  1.  サイバースペースを防衛する責任を、個人、中小企業、地方政府からリスクを軽減するのに最も適した組織(データを有し社会を機能させるシステムの所有者及び運営者(政府を含む。))に担わせること
  2.  長期的にサイバースペースのレジリエンス及び防護を改善するために、短期的ではなく、長期的な視点に基づく投資を推進するインセンティブを設けること

 

雑感ですが、この戦略においても、従前の傾向と同じく、脅威アクターとして、中国、ロシア、イラン、北朝鮮を名指ししており、特に中国について、もっとも広範、アクティブ、執拗な脅威をもたらしていると明言しているのが印象的です。

[1] https://www.whitehouse.gov/wp-content/uploads/2023/03/National-Cybersecurity-Strategy-2023.pdf

[2] https://www.whitehouse.gov/briefing-room/statements-releases/2023/03/02/fact-sheet-biden-harris-administration-announces-national-cybersecurity-strategy/