2025年1月16日、バイデン米大統領は任期終了直前に包括的なサイバーセキュリティに関する大統領令に署名した。
主な対策分野
・連邦通信ネットワークの外国スパイからの保護強化
・Salt Typhoon作戦などの中国政府系ハッカーへの対抗措置
・ランサムウェア組織への制裁強化
・ソフトウェアプロバイダーのセキュリティ基準強化
・AIを活用したサイバー防衛能力の向上
・フィッシング耐性認証(WebAuthn)の導入
背景となる事案
・2024年:中国政府関連ハッカーグループによる連邦ネットワークへの侵入(Salt Typhoon作戦)
・2024年2月:Change Healthcareがランサムウェア攻撃を受け、約1億人分の個人情報が流出
・年間560億ドル規模のID詐欺被害
・ロシア連邦保安局(FSB)による新たなフィッシングキャンペーンの発生
具体的な施策と期限
・2027年:サイバートラストマークを使用した政府調達要件の実施
・エネルギー部門におけるAIサイバー防衛のパイロットプログラム
・NISTによるパッチ適用とソフトウェアアップデートのガイドライン策定
・CISAによる脅威ハンティング能力の強化
from:Biden signs sweeping cybersecurity order, just in time for Trump to gut it
【編集部解説】
バイデン大統領による包括的サイバーセキュリティ令の意義
バイデン大統領が任期終盤に発令したこのサイバーセキュリティ令は、単なる規制強化以上の意味を持っています。
まず注目すべきは、このサイバーセキュリティ令が「予防的アプローチ」から「積極的防御」へと大きく舵を切った点です。特にAIの活用を前面に打ち出し、エネルギー部門での官民パートナーシップを通じて、脆弱性の自動検出や修正提案を行う新しい防衛体制の構築を目指しています。
また、デジタルIDインフラの整備は、年間560億ドルものID詐欺被害に悩まされてきた米国にとって画期的な転換点となる可能性があります。これは単なるセキュリティ対策を超えて、デジタル社会における新たな信頼基盤の構築につながるものです。
宇宙システムのサイバーセキュリティに関する規定も重要です。ウクライナ侵攻前夜にロシアが商用衛星通信システムを攻撃した事例が示すように、宇宙インフラへのサイバー攻撃は現代の安全保障における重大な脅威となっています。
特筆すべきは、このサイバーセキュリティ令が「説明責任」を重視している点です。ソフトウェアベンダーに対して、セキュリティ対策の証明を求め、その情報を公開することを義務付けています。これは、セキュリティ対策の透明性を高め、市場原理を通じてセキュリティ水準の向上を促す効果が期待できます。
一方で、この大統領令には課題もあります。2027年までの実施期限を設けている項目もあり、技術の進化スピードを考えると、その時点で既に陳腐化している可能性も否定できません。
また、量子コンピューティングへの対応を求めている点は先進的ですが、現時点での実装には技術的な課題が山積しています。
さらに、AIを活用したサイバー防衛には、アルゴリズムバイアスやデータ漏洩、過度な技術依存といったリスクも指摘されています。
このサイバーセキュリティ令は、デジタル時代における国家安全保障の新たな枠組みを示すものといえますが、その実効性は次期政権の対応にも大きく左右されることになるでしょう。