バイデン政権へのサイバー政策に関する政権移行白書（４）（CSC白書）

写真出展：MediamodifierによるPixabayからの画像https://pixabay.com/ja/users/mediamodifier-1567646/?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=6345762

　４．本白書についての感想
　　本白書の提言は、サイバー空間ソラリウム委員会の提言の重要事項が凝縮した内容になっている。2020年3月の最終報告書は182ページにも及ぶ浩瀚なものであるが、本白書は23ページ程度であるため、あまり労力なく読むことができる。
　　政権発足後100日間の動きと提言は以下の通り。
   ・国家サイバー長官及び長官室の設置
　   国防権限法どおりに設置されており、達成されている。ただ、サイバー及び新興技術担当の国家安全保障副補佐官との関係性が不透明であり、今後うまく機能するのか否かは不明である。
　・国家サイバー戦略の策定及び公布
　　こちらについては達成されていない。大統領令でサイバーセキュリティに取り組むとしているが、2018年の国家サイバー戦略は更新されておらず、重要インフラの定義も実質的に進められていない。
　・既存の政府の取り組みの統一性、影響力の改善
　　こちらについては達成できていない。大統領令では省庁間の連携を指示しているものの、個別具体の動きは見られない。CISAの予算は増額されているものの、十分な額に達しているわけではなく、組織に関してもJCPOなどは設置されていないようだ。部門リスク管理庁の動きも特に見られない。

　　総合的に見ると、達成度は低いと言えるだろうか。ただ、本件については通常のサイバーセキュリティから総合的なインフラ防衛など多岐にわたっており、サイバーの観点だけで評価することができない点もある。今後の動き次第では、本白書の提言をほとんど網羅してしまう可能性もあるため、今後のバイデン政権の動向に注目したい。

　　次に、100日後以降の政策については、以下の通り。
１．アメリカの国際サイバーリーダーシップを取り戻す
　　アメリカは優れたサイバー攻撃、防衛能力を持っているが、サイバ　ー外交の取り組みが不十分であり、適切な部署も創設されていない。このため、国務省にサイバー空間政策及び新興技術室（CPET）を創設し、一元的に取り組むことを提言している。
　　具体的な取り組みとしては、各国のサイバー能力構築支援事業などを列挙している。その他ICT標準化団体にも関与するとしており、今後のIP規格や通信規格の取り組みなどに反映されてくるだろう。

２．悪意あるサイバー攻撃から守る必要がある人々により投資する
　　政府の専門職員育成から、民間からの登用、奨学金制度など幅広い取り組みが提言されている。この手の成功例としては、空軍のKessel Runという研究所がある。この研究所は空軍のソフトを制作するなどしており、民間から優秀なプログラマーを登用しているだけでなく、採用手続きや賃金体系も柔軟に設定されており、シリコンバレーのような雰囲気で仕事をしている。リボルビングドアの１つとしても機能しており、民間に戻る際にも拍が付くのである。
　　日本のデジタル庁も似たようなことをしようとしているが、賃金体系があまり踏み込んだものにはなっていないようである。本白書の提言を見習う価値があるのではないだろうか。

３．インフラ強靭化に投資する
　　業務継続計画（BCP）の経済版を作成すること、迅速なサイバー脅威の情報共有体制の構築、民間部門へのサイバー対応支援改善などが提言されている。最も重視されているのは情報共有体制であり、機密指定の情報であっても有用な情報については、民間部門に提供できるようにする方法を考えるべきとしている。
　　日本の場合は機密の範囲が曖昧かつ広範であり、情報共有はほとんどなされていないが、ことサイバーセキュリティに関しては要件をある程度緩和してもいいのではないかと思われる。本白書の提言を参考にしてもいいのではないだろうか。

４．アメリカのハイテクサプライチェーンを守る
　　重要技術や資源の確保、生産能力の確保、政府投資の拡大、各国への支援などが提言されている。
　バイデン政権は5月にサプライチェーンに関する大統領令を発出するなど、積極的に取り組んでおり、本件については進んでいる方の政策である。これには日本も歩調を合わせながら進めており、良い方向に進展していくことを期待したい。

５．アメリカの軍事サイバーの優位性を維持する
　　サイバー作戦部隊の増強が提言されており、作戦の見直し、予算の増額、予備役の創出などが提示されている。日本は自衛隊の規模や組織が大きくことなっていることから、学べそうなことはあまりないだろう。
　　また本提言の中で最も特殊なものは、前方防衛（forward defense）という概念である。積極的な防衛、攻撃を含んだ概念でもあり、日本語で前方防衛というだけでは表現しきれない部分もある。この概念の拡大は相手国への先制攻撃も含みうる危険性もはらんでいる。この規範は国際社会の中で受け入れられる可能性が低いため、適切な運用を図っていくことが期待される。日本の立場では到底受け入れられないものでもあることから、国際的な枠組みで共通の規範を形成していくことが必要だろう。

６．アメリカのサイバーの脅威との戦争及び抑止能力全般を守り抜く
　　核兵器システム、防衛業界への情報共有、防衛産業内の脆弱性の調査などが提言されている。核兵器をサイバー攻撃から防衛するだけでなく、国防総省と契約している防衛産業との情報共有や脆弱性対策など、防衛業界全体での底上げが必要であるとしている。
　　　　これは日本にも当てはまることであるが、防衛産業が閉じた系の中で独自の発展を遂げていることから、新しいものを取り込むことができるかどうかは不明である。防衛産業全体の改革も必要になるだろう。

　　最後に、新政権の前向きなサイバー政策は以下の通り。
１．政府のサイバー専門性を改善する
　　サイバー統計室という提言が興味深い。日本ではサイバーの経済企画庁に相当するのだろうが、省庁再編や定員削減などで、統計部門を大幅に削減してしまっており、数値に基づいた行政がそもそもできていない。内閣サイバーセキュリティセンターを強化し、統計的な分析ができる部署を新設することが重要だろう。
　　また、サイバー攻撃の分析やサイバー犯の特定などを担当するサイバー脅威インテリジェンス統一センターの法制化も重要である。日本は他の民主国家と共同でサイバー攻撃の分析などにも従事しており、同様の組織を立ち上げることは可能である。内閣サイバーセキュリティセンターの強化でも、JPCERTの強化でも、そういった組織の創設が急務である。　　
　　
２．国際的なサイバーの取り組みを組織化する
　　サイバー外交を国務省に担わせるという点においては、的確であるが、反面専門性は低いと思われる。このため、必要な人員を割り当てることも提言している。アメリカは猟官制で幹部が一斉に交替することから、組織へのこだわりが低く、柔軟な運用が可能である。ただ、日本だと省庁縦割りが強すぎる傾向にあり、他省庁の人間が入っていっても外様扱いにしかならないだろう。官邸で主導する形がいいのではないだろうか。
　　また、サイバー能力構築事業はファイブアイズでそれぞれの近郊国を担当しているようであり、日本もクアッドで若干コミットしている。日本の防衛能力はそれなりのレベルであり、アジア地域のリーダーシップを取る資格があると思われる。後は政治の決断である。　　

３．より安全な国家サイバー生態系を促進する
　　サイバー認証制度、モノのインターネットのセキュリティ法、政府のIT現代化、企業の製造者責任、データ侵害の通知に関する法律が提言されている。
　　パンデミックに伴い、在宅勤務が急増し、家庭の機器がサイバー攻撃の主な標的になっている。モノのインターネット、企業の製造者責任は、待ち望まれている政策である。民法の製造者責任に類似した制度をできうる限り早期に法制化するべきだろう。また、政府のIT現代化も重要課題である。デジタル庁が発注者としてイノベーティブに振る舞うことが重要である。
　　最後に、データ侵害通知法は大きな課題になるだろう。現在の状況では、責任回避を優先してサイバー攻撃の被害を報告しない傾向にある。報告しないことに対して罰則を適用するといった厳しい方向になりがちであるが、報告した場合に利益があるようにすることが重要である。日本だと財務省辺りが邪魔をして、補償などをしないという判断が優勢になりそうだが、こういった抵抗に負けずに、総合的に有益なものとなるよう判断してもらいたい。

４．サイバー強靭化に投資する
　　重要インフラが明確に定義されていないことから、条文化することを提言している。日本の重要インフラは、発電所、光熱水関係のインフラ、石油コンビナート、パイプラインなどがあり、これらに対するサイバーセキュリティ上の対策は不十分である。アナログからデジタルへの移行に伴い、これまでのBCPなどの考え方を劇的に変更していく必要がある。日本もこの動きに追随するべきである。
　　その他、国家リスク管理の見直しサイクルに言及している点も興味深い。見直しに関しては日本が割合得意とする所だと思われるため、現場からの声を取り込む努力をしていただきたい。

５．サイバー犯罪の被害者支援事業を創設する
　　アメリカにはサイバー犯罪の犠牲者を支援するNPOがあり、この機能を強化することが提言されている。国が直接救済するという枠組みが困難な案件であることから、日本もNPOを創設するべきだろう。

６．アメリカの民主主義を守り抜く
　　主に選挙のサイバー防衛が提言されている。過去に何度もハッキングを受けてきたことから、選挙のシステムを改善することが急務である。特に2020年の大統領選での混乱を鑑みれば、海外からの攻撃のみならず、国内の企業や国民の動向にも目を光らせなくてはならない。また、民主主義教育について言及している点が興味深い。情報工作対策、民主主義への信頼回復、これは日本に最も必要とされている政策ではないだろうか。

　　これら政策が実現されるか否かは、今後の推移を見守る他はないが、サイバーインシデントが頻発している現状を受けて、おそらくそれなりの動きを見せてくることになるだろう。
　　これに対して日本の動きは極めて鈍く、かつ、不十分である。せいぜいできることは、アメリカの動きに追随すること、国際的な取り組みでアメリカに協力していくことぐらいだろう。まず、日本はしっかりとした戦略を描くことである。政府には省庁の権限を気にせず、将来の構想を大胆に示していただきたい。

　英文を読んでわからないという方は、メールにて解説情報をご提供させていただきます。なにぶん素人の理解ですので、一部ご期待に沿えないかもしれませんので、その場合はご容赦願います。当方から提供した情報については、以下の条件を守ったうえで、ご利用いただきますようよろしくお願いいたします。

(1) 営利目的で利用しないこと。
(2) 個人の学習などの目的の範囲で利用し、集団での学習などで配布しないこと。
(3) 一部であっても不特定多数の者が閲覧可能な場所で掲載・公開する場合には、出典を
明示すること。（リンク先及び提供者のサイト名）
(4) 著作元から著作権侵害という指摘があった場合、削除すること。
(5) 当方から提供した情報を用いて行う一切の行為（情報を編集・加工等した情報を利用
することを含む。）について何ら責任を負わない。