2021/05/13

バイデン米大統領、連邦政府機関セキュリティを大きく見直しへ

2021 年 5 月 13 日 Trevor Collins 著

昨今のサイバーセキュリティ事件、たとえば

  • SolarWinds のセキュリティ侵害
  • Microsoft Exchange Server の脆弱性
  • 米石油パイプライン大手Colonial のランサムウェア攻撃

…などを受けて、バイデン米大統領は、米国連邦政府および連邦政府が契約するすべての民間機関のサイバーセキュリティ態勢を強化する大統領令に署名しました。

34 ページに及ぶこの大統領令は、政府とその契約機関に、最低限のセキュリティ基準を課すものです。例えば連邦政府機関は、年内に多要素認証 (MFA) とゼロトラストアーキテクチャを採用することが求められます。
ゼロトラスト環境は、各サービス、システム、ワークフローに、不正なアクセスを防ぐためにそれぞれ独自のセキュリティ対策を設定するという原則に基づいて構築されます。すでに MFA を採用している企業もありますが、あまねく導入されているとはとても言えません。一方ゼロトラストアーキテクチャについては、完全に実装している組織はほとんどありません。サポートが不十分であることが原因で真のゼロトラストアーキテクチャの実装が困難になる可能性もあります。しかし、実装が困難であることを理由に MFA 導入が敬遠されるという事態は避けるべきです。今回の大統領令による施策は、適切に実施されれば、連邦政府のセキュリティを大幅に向上させるはずです。

また、政府と協力している IT プロバイダは、自社のシステムや使用しているシステムにセキュリティ侵害があった場合、政府に通知することも求められています。しかし本来なら、データを侵害された場合、すべての企業がその旨を顧客に通知することが義務であるべきです。欧州の GDPR はこれに対応していますが、米国では、連邦レベルでも同様の基準を導入するには至っていません。

この大統領令では、サイバーセキュリティ審査委員会の設置と、連邦政府機関におけるインシデント対応マニュアルも導入されています。優れたセキュリティポリシーには、ポリシーの適切な実施を保証するための審査委員会が必要です。さらに今回の大統領令では、ソフトウェアが最低限のセキュリティ基準を満たすことを審査する認証プログラムも導入されます。ホワイトハウスは、これを家電製品の消費電力に関する「Energy Star」評価になぞらえています。

一方で、今回の大統領令で見落とされているサイバーセキュリティ対策もあります。それは、すべての重要なシステムに対するバックアップの実施と点検です。重要なシステムが危険にさらされた場合に備え、一定のリスクを見込んでバックアップを用意してリスクを軽減することは、優れたセキュリティポリシーの要件です。一部の報道によれば先週、Colonial はランサムウェアの攻撃を受けて身代金を支払ったとのことですが、もしシステムのバックアップを取っていれば、500 万ドルの身代金を支払わずに済んだ可能性があります。

この大統領令の多くは、企業などであれば、一般的に実施するレベルのセキュリティ対策です。もっと早くから実現すべきだったと言えますが、少なくともようやくスタートラインに立ったと言えます。