バイデン政権へのサイバー政策に関する政権移行白書（３）（CSC白書）

写真出展：MediamodifierによるPixabayからの画像https://pixabay.com/ja/users/mediamodifier-1567646/?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=6345762

本記事は、政権移行白書に関する記事の３番目である。過去の記事の内容を確認したい場合には、以下のリンク先を参照すること。

政権移行白書（１）https://note.com/karzy_kemaru/n/na740ca680824

政権移行白書（２）https://note.com/karzy_kemaru/n/n6170189a0c22

① 政府のサイバー専門性を改善する
大統領府は、CSC最終報告における２つの提言、大統領府内のサイバー統計室設立、サイバー脅威インテリジェンス統一センターの法制化、強化を実施するべきである。

　A. サイバー統計室を設立する
　　サイバー攻撃の頻度お及び重大性が増している現状において、サイバー攻撃の性質及び影響範囲に関するより多くの情報が必要とされている。このため、大統領府内にサイバー統計室を設立する、もしくは、新たな省庁を設立し、議会、省庁、州政府、自治政府、民間に情報を提供するべきである。

　B. サイバー脅威インテリジェンス統一センターを条文化し、強化する
　　サイバー脅威インテリジェンス統一センター（CTIIC）は、アメリカに深刻な影響のあるサイバー脅威を政府全体で理解する際に重要な役割を果たし、迅速かつ正確な犯人特定に必要な分析及び協調を支援することになる。CTIICを十分機能させるため、資源、予算を適切に配分するべきである。

２．国際的なサイバーの取り組みを組織化する
　　国際的なサイバー政策のため、次官補級の大志を新設するべきである。また、第二海外支援法を改正するべきである。

　A. 国務省にサイバー空間政策局を条文化する
　　バイデン-ハリス政権は、サイバー政策に特化した、次官補級のサイバー空間政策及び新興技術に関する大使及び部署を新設するべきである。2019年サイバー外交法に基づき、サイバー連合体の形成、行動規範の策定など、幅広い任務を担当させるべきである。

　B. 国際サイバーセキュリティ能力構築の柔軟性を最大化する
　　サイバー能力支援事業は、その能力を欠いている国家にとって非常に有益である。しかし、多くの国々はサイバーセキュリティインフラを軍系統の省庁に所管させていることから、経済支援基金を活用することができない。このため、政権は議会と協調し、この規制を撤廃するべきである。

３．より安全な国家サイバー生態系を促進する
　サイバー生態系は、技術、人間、手続き、組織などを組み合わせた複雑なものとなっている。今やサイバー生態系は国家機能の中心となっており、セキュリティ確保が喫緊の課題となっている。脆弱性を軽減するため、セキュリティの負担を利用者からセキュリティを実施することが可能なものへと転化するべきである。

　A. 国家サイバーセキュリティ認証及びラベル認定を創設する
　　消費者が製品のセキュリティレベルを比較できるような、認証、ラベル認定などの制度を創設するべきである。また、非営利団体が認証資格、資金を得るための競争入札を字実施可能とする法律を成立させるよう、議会と協調するべきである。

　B. モノのインターネットセキュリティ法を可決する
　　COVID-19パンデミックにおいて自宅での労働人口の増大に伴い、家庭のモノのインターネット（IoT）機器、特に家庭のルーターなどがサイバー攻撃の標的となっている。政権は、IoT機器の生産者が、アメリカ市場で販売する製品に基本的なセキュリティ措置の講じることを担保するモノのインターネット法を可決するよう、議会と協調するべきである。

　C. 州政府、地方自治体、部族政府、準州政府のIT現代化補助金を創設する
　　政府システムのデジタル化は長らく求められてきたが、根本的な変革を伴うデジタル化は先送りされる傾向にあった。政権は、州政府、地方自治政府、部族政府及び準州政府がより早期にクラウドに移行し、デジタルインフラを現代化することができるよう、補助金を創設するなどの政策を、議会と協調して進めるべきである。

　D. ハードウェア、ソフトウェア、ファームウェアの製品最終組み立て企業の法的責任を明確にする
　　バイデン-ハリス政権は、ハードウェア、ソフトウェア、ファームウェアの製品最終組み立て企業が、出荷時に判明しているもしくは発見され、合理的な期間内に修正されない脆弱性が悪用された場合に発生するインシデント由来の損害に対して責任を有していることを確立する製造者責任義務を法制化するよう、議会と協調するべきである。

　E. 国家データ侵害通知法を可決する
　　サイバー被害を通知する法制度は、統一的なものとはなっておらず、国家的枠組みがない。政権は、アメリカにおけるデータ侵害通知要件を標準化する、国家データ侵害通知法を成立させるべきである。

４．サイバー強靭化に投資する
　　連邦政府は、システム的に重要かつ必要不可欠なインフラ組織の防衛を優先するべきである。

　A. システム的重要かつ必要不可欠なインフラを条文化する
　　オバマ政権は、大統領令13636第9項により、システム的重要かつ必要不可欠なインフラを定義したが、具体化していない。政権はこの概念を条文化し、インフラ設備の責任者が、アメリカ政府から特別な支援を認められ、独特な地位及び重要性に適した追加的な安全性及び情報共有要件を引き受けることを担保するべきである。

　B. 国家リスク管理サイクルを確立する
　　リスクの特定、評価、優先順位付けに関する手続きを定義し、重要インフラの所有者、技術者との協議において策定され、公表され、パブリックコメントに付されるべきである。本サイクルにおいてなされたリスクの特定及び評価は、重要インフラ強靭化戦略の集大成とすべきである。

５．サイバー犯罪の被害者支援事業を創設する
　　政権は、サイバー犯罪犠牲者救済や復旧センターなどを支援する非営利団体への資金援助を行うよう議会と協調するべきである。

６．アメリカの民主主義を守り抜く
　　アメリカ政府は、選挙の安全性及び民主主義の強靭化を確保するため、連邦組織は、政党、選挙運動を含む政治的システムにおける州政府やパートナーがサイバーセキュリティ能力を改善し、維持できるようにするため、組織改革、継続的な資金調達などに取り組むべきである。

　A. 選挙支援委員会の構造を強化、改善する
　　選挙支援委員会を含む、選挙手続きを保護する連邦機関は、政治システムにおける州及び他のパートナーがサイバーセキュリティ能力を改善、維持することができるよう、現代的な義務の移行を求められるべきである。

　B. デジタルリテラシー、国民教育、広報を促進する
　　民主主義は、しばしばサイバーによって可能となる、民主主義組織の公共的信頼を損なわせることを目的とした、敵国の情報作戦によって脅威にさらされている。これに対抗するためには、民主主義を再認識させる国民教育への注力が必要である。従って、政権は、国民全体に渡るデジタルリテラシー及び国民教育を再生する支援を行うよう、議会と協調するべきである。