はじめに
国家のサイバーセキュリティ戦略の成否は、政府と民間セクター間の信頼関係に大きく依存すると、新たなレポートが警告しています。特に、幅広いビジネス関係者との広範な協議が、野心的な計画を成功させる上で不可欠であると指摘されています。
CCPLレポートの提言
サイバーセキュリティ政策法センター(CCPL)が発表したホワイトペーパーは、国家のサイバーセキュリティ戦略を策定する上で、民間セクターとの緊密な連携の重要性を強調しています。同レポートは、「民間セクター、特に大手テクノロジー、通信、サイバーセキュリティ企業からの積極的な参加が、戦略策定プロセス全体を通じて極めて重要である」と述べています。これは、民間が政府のサイバーセキュリティ目標を支援し、達成する上で不可欠な存在であり、国家の安全と回復力のために鍵となるからです。
米国のサイバーセキュリティ戦略とCISAの課題
このCCPLのレポートは、ドナルド・トランプ政権が国家サイバーセキュリティ戦略を最終決定しようとしている時期に発表されました。この戦略は、デジタル抑止、規制の調和、人材育成、調達改革、新興技術、重要インフラ保護などを扱うと予想されています。しかし、トランプ政権がこの戦略を起草するにあたり、ビジネスコミュニティとどの程度協力したかは不明です。
CCPLのホワイトペーパーは、官民の緊密な連携が、政権の計画を成功させるか失敗させるかの分かれ目になり得ると複数の理由を挙げています。広範で包括的な関与は、戦略が「セクター固有の懸念に対処する」ことを保証するだけでなく、「初期段階で民間セクターの主体、市民社会組織、主要政府機関を巻き込むことは、継続的な協力のための信頼に基づくパートナーシップを育む」のに役立つと述べています。
しかし、来るべき米国の戦略では、信頼が障害となる可能性があります。特に、トランプ政権下で人員削減とプログラムの混乱により弱体化したサイバーセキュリティ・インフラセキュリティ庁(CISA)に大きく依存すると予想されているため、その懸念は高まっています。
効果的な戦略のための要素
CCPLレポートは、効果的な戦略には、取り組みを主導するための「明確な権限と委任事項を持つ全体的な主要機関の指定」が必要であると主張しています。同レポートは、「一元化された機関は…調整、指導、情報共有の中心点として機能する」と述べています。サイバーセキュリティに関わる機関が多い現状において、断片化や縄張り争いを避けるためには、強力な調整メカニズムが不可欠です。
また、新たなサイバーセキュリティプロジェクトへの資金投入の重要性も強調されています。CCPLは、「十分な投資と注意がなければ、戦略の政策の柱で構想されている行動は未達成のままとなり、その目標は達成されないだろう」と指摘しています。
政策提言の詳細
レポートは、サイバーセキュリティ戦略が取り組むべきいくつかの「基礎的原則」にも言及しています。これらには以下の項目が含まれます。
- 教育と人材育成:サイバーセキュリティ専門家の育成と一般市民の意識向上。
- 製品セキュリティとサイバー衛生:安全な製品開発と基本的なサイバーセキュリティ慣行の普及。
- 人工知能ガバナンス:AI技術の安全で倫理的な利用に関する枠組みの構築。
- 量子コンピューティングへの備え:将来の脅威に備えた対策の準備。
- 重要インフラの回復力:重要インフラがサイバー攻撃に耐え、迅速に復旧できる能力の強化。
さらに、戦略は企業がサイバーインシデントを報告することを奨励し、ビジネスへの負担を軽減するために規制を合理化し、政府のコンピューターネットワークに対して柔軟でリスクベースのセキュリティ基準を通じて「模範を示す」べきであると提言されています。