重要インフラへのサイバー攻撃には官民連携強化で対処せよ（CSCの記事）

写真出展：Gerd AltmannによるPixabayからの画像https://pixabay.com/ja/users/geralt-9301/?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=1938201

　2021年7月19日にサイバー空間ソラリウム委員会は、米露会談以降のサイバー政策に関する記事を紹介した。内容は、CSC共同委員長のキング上院議員とCNNのキャスターの対談をベースとした記事である。最近のランサムウェア事件についてのコメントも含まれており、非常に有用と考えられることから、本記事の概要を紹介させていただく。

↓リンク先（To combat cyberattacks, the US government and businesses must work more closely）
https://edition.cnn.com/2021/07/19/perspectives/cyberattacks-security-us-government-businesses/index.html

１．記事の内容について
・ここ数か月でアメリカの重要インフラのサイバー攻撃に対する脆弱性が明らかになった。東部最大石油・ガス供給業者のコロニアルパイプラインやアメリカ最大級の食肉企業のJBSのランサムウェア事件などは、世界のサプライチェーンを不安定化させることになった。政府がどのように対処するべきかという問題が生じるのであるが、重要インフラの85%は民間が所有しており、連邦政府の対応には限界がある。このため、官民連携の強化が必要になっている。
・連邦政府及び民間部門は新たな「社会契約」を締結し、責任を共有するべきである。政府は連邦政府の権限及び資源を惜しみなく民間部門に提供し、民間部門は重要インフラの維持管理に全力を尽くさなくてはならない。本件に関し、サイバー空間ソラリウム委員会（CSC）は、75の政策を提言している。そのうち25の提案が昨年度法制化されたが、これは第一段階に過ぎない。中でも重要なものは、「システム的に重要なインフラ」という概念である。
　　・国土交通安全保障省は、国家安全保障、経済安全保障、公共衛生などに深刻な影響を与える「システム的に重要なインフラ」に相当するシステムや資産を指定するべきである。また指定された民間企業等は、政府からの情報提供、法的責任を伴う保護を認められるべきであり、同時に、インシデントの報告やセキュリティ要件の充足などの責任も負うべきである。
・サイバー攻撃を受ける前に、重要インフラの所有者等は、３つの便益を得るべきである。
　まず、海外のサイバー犯罪者に関する情報及び企業特有のリスク情報を得られるようにするべきである。次に、重要インフラ関連企業に対しても、国土安全保障長官は関連情報を提供し、当該企業の情報を保護するべきである。最後に、重要インフラの要件を満たすよう十分な取り組みをしている企業に対しては、サイバー攻撃の被害を免責するべきである。
　　・現在のところ、需要インフラ要件や便益は存在しない。部門別のつぎはぎの規制が存在しているのみであり、国家で一貫した制度にはなっていない。従って、重要インフラの基準を満たしている企業を政府は賞すべきであり、満たしていない企業にはサイバーセキュリティに取り組むよう促すべきである。
　　・重要インフラのサイバーセキュリティに関しては、連邦政府と民間部門の信頼関係が重要となる。議会は、我々社会が依存しているシステムの安全確保のため、現在の常識を変革することに取り組まなくてはならない。

２．本記事についての感想
　　本記事では、これまで何度も出てきている「システム的に重要なインフラ」に関する提言である。オバマ大統領時代に発出された大統領令に基づいて重要インフラが定義されることとなったが、具体的なインフラについては確定しておらず、選挙システムが最近になって含まれるようになるなど、まだ流動的な状況である。
インフラの範囲を無限に拡大させるべきではないが、かと言って曖昧な状況では必要となる予算や人員を見込むこともできない。当面の定義としては、光熱水などのエネルギー、通信、運送、食品などが分かりやすいだろうか。日本の場合、サイバー政策が一部の閉じた系になってしまっており、モノのインターネットなどの方に拡張していくようには見えない。予算もなぜか2020年と比較して減少していることからも、日本の取り組みには疑問符が付く。デジタル庁が発足すると言っても、行政の効率化やシステムの更新などがメインであり、セキュリティにあまり注力しているようには見えない。日本も早期に重要インフラを定義し、実体社会に与える影響を真剣に考えるべき時期に来ている。
暗い話ばかり書いているが、最近の警察白書において、中国をサイバー攻撃の主体として名指ししたことからもわかるように、政府の認識は徐々に深まってきている。今後もこの傾向を維持し、積極的にサイバー政策を推進していただきたい。

英文を読んでわからないという方は、メールにて解説情報をご提供させていただきます。なにぶん素人の理解ですので、一部ご期待に沿えないかもしれませんので、その場合はご容赦願います。当方から提供した情報については、以下の条件を守ったうえで、ご利用いただきますようよろしくお願いいたします。

(1) 営利目的で利用しないこと。
(2) 個人の学習などの目的の範囲で利用し、集団での学習などで配布しないこと。
(3) 一部であっても不特定多数の者が閲覧可能な場所で掲載・公開する場合には、出典を明示すること。（リンク先及び提供者のサイト名）
(4) 著作元から著作権侵害という指摘があった場合、削除すること。
(5) 当方から提供した情報を用いて行う一切の行為（情報を編集・加工等した情報を利用することを含む。）について何ら責任を負わない。