コンテンツにスキップ

写真提供: マシュー ヘンリー

カジノサイト 送電網を保護するために米国政府ができること

ミーガン・ゲイツ著
2017 年 6 月 1 日

印刷問題:2017 年 6 月

1年間にわたる研究プロジェクトの締めくくりとして、マサチューセッツ工科大学(MIT)は最近、ドナルド・トランプ米大統領に対し、米国の重要インフラをサイバー攻撃から守るための行動を取るよう求める50ページの報告書を発表した。

「国家はもはや、調整されていない行政行動とばらばらの調査のパターンに耐えることができない。完全な安全保障は達成できない」と、報告書の主著者である元米国家安全保障局監察官ジョエル・ブレナーは書いている。 「しかし、実質的にすべての経済的および社会的活動が依存するインフラストラクチャーの大幅に改善された安全保障環境は、十分なリソースと政治的意志によって構築することができます。」

レポート、アメリカの安全を保つ: 重要なセクターのためのより安全なネットワークを目指しては 2017 年 3 月に発行され、電力網のサイバーセキュリティを強化するために米国政府が対処すべき 8 つの課題について説明しています。これらの課題は、2016 年にわたって開催された一連のワークショップを通じて特定されました。

調整力を向上させます。 「重要インフラの防衛は政府全体で十分に調整されていない」と報告書は述べている。 「現状を変えるには、ホワイトハウスからのより指示的な取り組みが必要になるだろう。」

その取り組みには、サイバーセキュリティの役割をサイバーセキュリティ担当の国家安全保障副補佐官の地位に昇格させることが含まれるべきだと、報告書の著者らは述べている。その後、副官は重要インフラのサイバーセキュリティの予算を立てるための長期的な政策に取り組むことになる。

リスクとインフラの脆弱性を測定します。これまでのところ、米国政府はサイバーセキュリティへの投資収益率を測定できず、電力網に対するリスクを計算することが困難になっています。

報告書は、大統領が省長官に対し、「サイバーリスクと脆弱性の測定における障害を評価し、この課題に対処するための国家戦略を推奨する」ための専門家会議をスケジュールするよう指示するよう勧告している。

法律と規制を確認してください。 報告書の作成につながったワークショップの参加者らは、コンプライアンスの義務化とサイバーセキュリティの改善の間には乖離があると「圧倒的に」述べた。 

この課題に対処するために、報告書は、「より安全なドメイン ネーム サービスやより安全な境界ゲートウェイ プロトコルへの変換に必要な投資を含む、重要なインフラストラクチャ、および場合によっては経済全体への適格なサイバーセキュリティ投資に対する税制上の優遇措置」に関する大統領法案を推奨しています。

演算子を有効にします。 電力部門と金融部門の間のつながりにより、連鎖的な故障の可能性が生じていることが報告書で判明している。

このような事態が起こらないようにするために、報告書は大統領が省長官に専門家と面会して「堅牢な分野横断的な」シミュレーションをどのように実行できるかを決定するよう指示すべきだとしている。

複雑さを軽減します。 MIT ワークショップの重要インフラ参加者は、「過度に複雑で安全性が不十分なハードウェア、ソフトウェア、および産業用制御が、情報に対するリスクだけでなく物理的な危険も生み出すサイバー脆弱性の重大な原因となっている」と述べました。

代わりに、報告書は大統領が省長官に対し、重要インフラ向けに、より安全で複雑性の低い制御、ソフトウェア、ハードウェアを奨励し、生産する方法について「加速スケジュール」を作成するよう指示するよう推奨している。

システム アーキテクチャに対応します。 レポートによると、インターネットに関しては、セキュリティはエンドポイントに対処するために使用され、製品を迅速かつ低コストで市場に投入するためには無視されることがよくあります。

「あらゆる分野のセキュリティ専門家は、公共ネットワークから隔離しない限り、システムの特定の側面を合理的に安全にすることはできないと圧倒的に信じていた」と報告書は述べています。 「適切な隔離の程度については、大きな意見の相違があります。」

この課題に対処するために、大統領は連邦エネルギー規制委員会の管轄下にあるすべての活動を隔離して「許容可能な隔離の程度を定義する」実現可能性を検討する必要があると報告書は述べている。

これと北米電力信頼性協会による同様の措置を受けて、大統領は秘書の一人に対し、重要インフラ用途向けに製造されたハードウェアとソフトウェアのケア基準を策定する能力について利害関係者と協議するよう指示すべきである。

抑止力を策定する。 米国は、重要インフラに対する全面的な攻撃の抑止には効果を発揮しているが、経済や政治システムに対する低レベルの攻撃の抑止には成功していない。 

これに応じて、報告書は大統領が米国の抑止戦略の見直しを行うべきだと述べている。 「その戦略には、(i) 米国の重要なシステムとインフラを強化すること、(ii) それらを攻撃する代償を引き上げること、(iii) 潜在的な敵対者と検証可能なサイバーセキュリティ協定を達成するための外交戦略を構築すること、(iv) サイバー空間における攻撃的優位性を長期的に維持する国家の能力と、そうしようとすることによる安定化または不安定化の影響を評価することが含まれるべきであるが、これらに限定されるものではない」と報告書は説明している。

サイバー専門家を訓練します。 米国は、ほとんどの国と同様に、サイバーセキュリティの人材不足に直面しています。 

不足の悪化を防ぐため、報告書は大統領に対し、「高度な訓練を受けたコンピュータ科学者やエンジニアの供給を増やし、重要なシステムの防御においてコンピュータ科学者やエンジニアを訓練するためのモデルカリキュラムを開発する」実現可能性を検討するためのブルーリボン委員会を創設するよう勧告している。

arrow_upward