米国のサイバー・セキュリティ対策

この9月18日、米国のサイバー・セキュリティ対策に関する戦略をまとめた「The National Strategy to Secure Cyberspace」が発表された。当初は最終版のレポートとなる予定であったが、このレポート作成を担当したPresident's Critical Infrastructure Protection Board(Bush大統領が昨年9月11日の事件後に作った機関)のClarke会長が、また市場関係者からの意見を十分反映していない可能性があるということで、一転、ドラフトとして発表された。このドラフトをもとに、各方面からのコメントを11月中旬まで受付け、それを受けて最終レポートを年内にまとめることになった。

内容は、米国の経済、防衛、産業全般で重要なサービスにおける情報通信システム/ネットワークをセキュリティ上守るため、米国がとるべき戦略について述べている。これは、米国のいろいろな分野でどのようなサイバー・セキュリティ対策が施されているか、また計画されているかを伝える場を提供しており、また米国の個人や企業が、そこからサイバー・セキュリティについて学ぶことも目的としている。このレポートは完成後も随時更新をかけ、変化する環境やテクノロジーに対応する予定である。

このレポートを作成するにあたって、政府担当者は各方面からの意見を聞き、全米各地でタウン・ホール・ミーティング(一般に公開された会場で議論するミーティング)を実施した。

レポートは、5つのレベルの情報通信ユーザー(ホーム・ユーザー、大企業ユーザー、重要(クリティカル)分野ユーザー、国家、グローバル・コミュニティ)に分けて構成されており、それぞれにおいて、サイバー・セキュリティ対策として行うべきことの提言(Recommendation)、現在すでに行われている施策等(Programs)、それに、今後さらに分析、検討、議論されるべき問題点(Discussions)がまとめられている。

この中で米国政府は、以下の活動を著しく妨げる自然災害および意識的な危害から、国の重要(クリティカル)なインフラストラクチャーを守ることを宣言している。
―米国本土及び国家安全ミッション、国民の健康と安全を守る連邦政府の活動
―必須な公共サービスを提供する州、ならびに地方政府(群、市など)の活動
―通常の経済活動を維持し、必須のインフラストラクチャー・サービスを提供する民間企業の活動

レポートの中で特に強調されているのが、政府と民間のパートナーシップである。このパートナーシップをうまく機能させるため、政府は出来るだけ民間企業が自発的に協力するように求めており、政府が費用を支払わずに民間企業に何かを強要するような法律は作らないように考えている。

また、サイバー・セキュリティ確保のために、個人や民間企業が情報を政府機関等に提供する場合も、プライバシーに関しての注意が十分に必要だと述べている。ただしこのドラフトでは、具体的にどうするかまでは深く踏み込んでいない。

レポートには、具体的に、以下のような項目が含まれている。
* Introduction
* Cyberspace Threats and Vulnerabilities: A Case for Action
* National Policies and Guiding Principles
* Highlights
* Level 1: The Home User and Small Business
* Level 2: Large Enterprises
* Level 3: The Federal Government
* Information Integration and Information Technology for Homeland Security
* Level 3: State and Local Governments
* Level 3: Higher Education
* Level 3: Private Sector
* Level 4: National Priorities
* Level 5: Global
* Summary of Recommendations

内部事情に詳しい人の話によると、もともとは民間企業などに「こうしなさい、ああしなさい」的な指示がたくさん入っていたようだが、それがかなり削除された形で、このドラフトは出てきた。これは、そもそもサイバー・セキュリティに関しては、米国政府だけで行えるものではなく、民間の多大な協力が必要であるにもかかわらず、民間の同意が不十分なまま、いろいろなことを指示したのでは、民間企業が言うことを聞かず、現実的に機能しないと判断されたからである。このあたり、民間企業がお上の言うことを比較的おとなしく聞く日本とは事情が異なる。

また、内容的にもいくつかの問題点が指摘されている。例えば、このレポートの中に、サイバー・セキュリティ確保のため、必要に応じて民間企業の顧客情報等を政府に開示するよう求めることを含める話が出ているが、これに対して、特にインターネット・サービス・プロバイダー(ISP)などの間では、顧客データの開示に対する顧客からの訴訟に対する責任の減免等が必要との声が上がっている。特に政府の情報開示に関する法律、「Freedom of Information Act (FOIA)」からの除外などが、サイバー・セキュリティ確保のために政府に提供された情報に対して求められている。

米国は日本などに比べ、サイバー・セキュリティに関しての関心も高く、それなりの対応を民間企業も行っている。しかし、国全体でのサイバー・セキュリティ対策は、それぞれの企業で行っている対策などを共有しあい、国全体としてのセキュリティ強化につなげようというわけであるから、容易ではない。

特に金融機関などは、サイバー・セキュリティ対策に熱心で、そのためにかなりのお金をかけている。しかし、かれらはセキュリティ対策の強さを、競合他社に対する差別化要因とまで位置付けており、そのような金融機関が、どこまでサイバー・セキュリティに関する情報を開示するかは、疑問が残るところである。

また逆に、セキュリティをそれほど重要なものと思っていない企業や業界では、サイバー・セキュリティのために多額のお金を費やすことに消極的であり、これら企業の協力を得るのも簡単ではない。彼らはサイバー・セキュリティの前に、むしろ9月11日の事件や、ハリケーンなどの被害に備えて、まず情報通信システムのディザスター・リカバリー(災害時復旧)を第一に考えているところも少なくない。

このように、米国における国をあげてのサイバー・セキュリティ対策の道は険しいが、その第一歩を国が率先して踏み出したことは大きなことであり、ある程度時間はかかるかもしれないが、本当の意味でのサイバー・セキュリティ対策実現のための大きな一歩に違いない。

(10/01/2002)


メディア通信トップページに戻る