カジノサイト
新しい国家サイバーセキュリティ戦略はアメリカのサイバーソーシャル、ビジネス契約を変える
数か月にわたる期待を経て、ホワイトハウスは待望の内容を発表しました米国の重要インフラのセキュリティと回復力を向上させるため、木曜日に。
この戦略は「アメリカのサイバー社会契約を根本的に再考するものである」と国家サイバー局長代理のケンバ・ウォルデン氏は述べた。「サイバー リスクを管理する責任を、最も耐えられる人々に再配分することになります。今日、官民セクター全体で、サイバー リスクに対する責任を下方に委任する傾向にあります。私たちは個人、中小企業、地方自治体に、私たち全員を守るために多大な負担を負うことを求めています。これは不公平であるだけでなく、効果的でもありません。」
「私たちのデジタル エコシステムにおいて最大規模、最も有能で、最も有利な立場にある主体は、サイバー リスクを管理し、私たち全員の安全を守るために、より大きな負担を担うことができ、またそうすべきです。」と彼女は続けました。 「この戦略は産業界にさらに多くのことを求めるだけでなく、連邦政府にもより多くのことを約束します。」
戦略における基本的な推奨事項は、「安全保障への自発的なアプローチは不十分である」というものであると、サイバーおよび新興技術担当の国家安全保障副補佐官であるアン・ニューバーガー氏は、主催した新戦略に関するパネルディスカッションで述べた。
この戦略は、既存のサイバーセキュリティの脅威に対処し、将来の脅威に対してインフラストラクチャを保護するように設計されています。これは、機関間のコラボレーションを構築および強化するための 5 つの柱に基づいて構築されています。州、地方自治体、部族政府。そして民間部門。
重要なインフラを守る
この戦略は、「重要なセクターに対する最低限のサイバーセキュリティ要件を拡大し、官民協力を可能にし、脅威に対抗するために必要なレベルにシステムを確実に維持することにより、重要なインフラを守るものである」とニューバーガー氏は記者会見で述べた。 「私が言ったように、アメリカ国民が我が国の重要インフラとそれが提供する不可欠なサービスの可用性と回復力に自信を持つことが極めて重要です。」
この作業の一部はすでにで実施されていますパイプライン部門次の植民地時代のパイプラインランサムウェア攻撃。バイデン政権は事件後、パイプラインのサイバーセキュリティ要件と、次の追加要件を発表および実装しました。鉄道。ノイバーガー氏は、他の分野でもサイバーセキュリティの最小要件がさらに増える予定であると述べた。
「最小限の義務を履行するには、単なる官民パートナーシップ、情報共有アプローチから移行する必要があると認識しています」と彼女は述べた。 「情報共有と官民パートナーシップは、重要なインフラストラクチャを検討する際に直面する脅威に対しては不十分です。」
行政はサイバーセキュリティの強化にも努める予定です。回復力戦略に従って、業界、議会、規制当局と協力することで、クラウド サービス プロバイダー(多くの重要なセクターが依存するサードパーティ)を強化します。
しかし、これは単独では起こりません。この戦略は、重要インフラ部門が追加のサイバーセキュリティ対策にかかる経済的および人的コストの両方を吸収するさまざまな能力を持っていることを政権が念頭に置くことを明確にしている。
「一部の分野では、企業がサイバーセキュリティへの投資を過小評価する競争に巻き込まれないように、公平な競争の場を作り出すために規制が必要になるかもしれない」と戦略は述べている。 「他の分野では、規制当局は、料金決定プロセス、税制、その他のメカニズムを通じて、サイバーセキュリティへの必要な投資が確実に奨励されるよう奨励されています。」
DHSのインフラ保護担当元次官補ブライアン・ハレル氏は、新しい戦略は次のような最近の主要な出来事によって影響を受けていると述べています。ソーラーウィンズ, ログ4j、Colonial Pipeline ランサムウェア攻撃、および中国やロシアなどの敵対国の手法
「この戦略では、負担がエンド ユーザーからテクノロジー部門とメーカーに移され、ハードウェアとソフトウェアが設計上デバイスをより安全にすることが求められます」とハレル氏は説明します。 「後付けでセキュリティを組み込むのではなく、最初から製品にセキュリティを組み込む方が、より安全でコストを意識したアプローチです。もちろん、すべての欠陥を取り除くことは不可能ですが、現時点では、一般的な市場の評判を超えて、サイバー脆弱性の劇的な削減に投資する動機はほとんどありません。」
脅威アクターを混乱させ、解体する
戦略の 2 番目の柱は、サイバー犯罪者が可能にするエコシステムの破壊と解体に焦点を当てています繁栄攻撃の実行コストが低く、攻撃の責任を問う能力が限られているため。
CSISのイベントでウォルデン氏は、サービスとしてのサイバー犯罪が急増しているため、米国は次のことを行う必要があると説明した収益性の低下サイバー犯罪を防止し、犯罪者がそのインフラストラクチャを活動に使用できるようにした責任を民間部門に課します。
これを実現するために、この戦略は、外交、情報、軍事、金融、諜報、法執行能力を含む「我が国の利益を脅かす行為を行う脅威主体を混乱させ解体するための国力のあらゆる手段」を使用するという目標を概説している。また、ランサムウェアを国家安全保障上の脅威として特定することも必要になるとニューバーガー氏は述べた。
これらの犯罪ネットワークを破壊するという目標を達成するには、犯罪ネットワークをターゲットにし、犯罪ネットワークを不採算にする複数の機関による破壊キャンペーンを作成する必要があります。これは米国政府がすでに使用している方法です
また、連邦政府がクラウドおよびインターネットインフラプロバイダーと協力して、米国を拠点とするインフラストラクチャの悪用を特定し、悪意のある活動の報告を政府と共有し、そもそも悪意のある行為者がインフラストラクチャにアクセスすることをより困難にする必要があると戦略は説明している
「すべてのサービスプロバイダーは、インフラストラクチャの使用を悪用やその他の犯罪行為から保護するための合理的な試みを行う必要がある」と戦略によれば。 「政府は、既知の手法や悪意のある活動の指標に対処する、サービスとしてのインフラストラクチャーのプロバイダー全体でサイバーセキュリティに対するリスクベースのアプローチの採用と施行を優先します。」
市場の力を形成してセキュリティと回復力を推進
車で行く回復力この戦略は、米国のネットワーク全体で、連邦政府がその購買力と補助金交付能力を利用してセキュリティを奨励し、サイバーセキュリティのエラーによって引き起こされるデータ損失と損害を管理する法律を再編し、より良いサイバーセキュリティ慣行を推進するために壊滅的なリスクに対して保険市場を安定させる方法を検討することを約束します。
この戦略では、政権が議会や民間部門と協力して、ソフトウェア製品およびサービスに対する責任を確立するための法律を制定する計画であることが示されています。
「そのような法律は、市場支配力を持つメーカーやソフトウェア発行者が契約に基づいて完全に責任を放棄することを防ぎ、特定の高リスクシナリオにおけるソフトウェアに対するより高い管理基準を確立する必要がある」と戦略は説明した。 「ケアの基準を作り始めるために安全なソフトウェア開発、政府は、ソフトウェア製品やサービスを安全に開発および保守する責任を負う企業から保護するために、適応可能なセーフハーバーフレームワークの開発を推進します。」
セキュリティ技術研究所 (IST) は、 のリリース後、オープンサワー ソフトウェア エコシステムを保護する取り組みを主導しています。ログ4j昨年の脆弱性。で, the institute said that ensuring companies understand their cybersecurity obligations and providing incentives to implement them will help create the conditions needed to elevate the cybersecurity posture of the United States.
「セキュリティをゼロから構築することは、遡及的に構築しようとするよりも、長期的にはより安全であり、コストも低くなります」と IST はブログで述べています。 「ソフトウェアがサイバーセキュリティ エコシステムの重要な基盤を形成していることを考慮すると、そのセキュリティに重点を置いた戦略を賞賛します。」
回復力のある未来への投資
この戦略は、現在のリスク状況に対処することだけでなく、テクノロジー、インフラストラクチャー、労働力の回復力を高めることで、米国が将来のサイバーリスクに対処できる立場を確立する必要性も強調しています。
「そのためには、官民の団体が、簡単ではあるが一時的な解決策と永続的で長期的な解決策との間のトレードオフに直面した場合に、一貫して後者を選択するよう動機付けられるようにする必要がある」とウォルデン氏は記者会見で述べた。 「この戦略には、当社への投資が必要です。サイバー労働力、我が国のインフラストラクチャと、国家の強靱性と経済競争力を向上させるテクノロジーを支えるデジタル エコシステム。サイバースペースを守る責任のバランスを再調整し、回復力のある未来への投資を奨励することが、大統領の戦略を導く根本的な変化である。」
この戦略には、インターネット エコシステムのセキュリティ ソリューションを改善するために利害関係者と協力して開発および導入するとともに、連邦政府が主導してそのネットワークにセキュリティ対策を確実に導入するという計画が概説されています。また、国家安全保障と経済的優位性を守りながら新興技術を確保するために、業界リーダー、同盟国、学者、専門家団体、消費者団体、非営利団体と提携する非政府標準開発組織の支援に米国が深く関与するという約束も概説している。
さらに、この戦略は連邦政府に対し、今後10年間に「米国のリーダーシップを決定づける」3つのテクノロジーファミリーを確保するための研究、開発、設計への投資を約束している。すなわち、コンピューティング関連テクノロジー(マイクロエレクトロニクス、量子情報システム、および人工知能);バイオテクノロジーと製造。そしてクリーンエネルギー技術。また、デジタル ID ソリューションへの投資を奨励し、可能にすることにも取り組んでいます。不正行為を減らします。
共通の目標を追求するために国際的なパートナーシップを築く
この戦略は、米国への投資と規制を超えて、国際社会と協力して、より回復力と防御力の高い共有デジタル エコシステムを構築することも約束しています。
米国国務省はすでにこれらの取り組みの一部を主導しており、戦略の発表により、連合の構築、国際パートナーの能力の強化、復興と対応のための海外援助の改善、規範と抑止モデルの設定に再び取り組んでいます。
「サイバー問題に関する国際パートナーシップに対する米国のコミットメントは引き続き強力であり、戦略では同盟国やパートナーと協力して防御可能で回復力があり、価値観が一致したデジタルエコシステムを構築することに重点を置いている」と国務省は述べている「共通の目標を推進するには、国家の責任ある行動が期待され、無責任な行動はコストがかかり孤立する世界的なサイバースペースを促進する必要があります。」
前進
しかし、戦略はその実行計画によって決まる、とハレルは言う。
「この戦略が業界取締役会レベルでの対話を促し、サイバーセキュリティが重要なビジネスリスクであることを強調することを望みます。」と彼は付け加えました。
行政は実施計画の公表目標日を発表していない。 When it is issued, however, National Security Council staff will coordinate and implement the efforts in coordination with the U.S. Office of Management and Budget (OMB) and the Office of the National Cyber Director (ONCD).
Walden said at the CSIS event that she is looking forward to the challenge of implementing the strategy, explaining that implementation is what the ONCD was set up to do.
「私たちは、これと同じくらい堅牢で前向きな戦略を実行することを目的として構築されました。」と彼女は付け加えました。
