メディア

MicrosoftとGoogleが賛同するセキュリティ政策とは

サイバー攻撃が国家の根幹を揺るがすまでに勢いを増している。企業には何が求められているのだろうか。

» 2023年04月04日 07時00分 公開
[David JonesCybersecurity Dive]
Cybersecurity Dive

 サイバー攻撃に対抗するには個別のソフトウェアに閉じた対策ではもはや力不足だ。では何をすればよいのだろうか。

MicrosoftとGoogleが協力するセキュリティ政策とは

 バイデン政権は国家サイバー戦略の野心的な目標を実施する計画を立案している。レジリエントな国家インフラを開発する責任の多くをテクノロジー産業に移管することが戦略に含まれている。

 政府関係者は民間企業や議会、学界の関係者と協力し、サイバーエコシステムを再編する最も効果的で効率的な手段を見つける必要がある。最終目標はより安全でレジリエントな製品を開発するための新しいサプライチェーンを構築することだ。政府だけで実現するのではなく、ソフトウェア開発者やコンピュータメーカー、クラウドサービスプロバイダーが協力する形だ。

 国家サイバーディレクター代理のケンバ・ウォルデン氏は、戦略国際問題研究所(CSIS:Center for Strategic and International Studies)が2023年3月2日に主催したフォーラムで次のように述べた。

 「われわれのデジタルエコシステムにおいて(構成比の上で)最大であり、最も有能かつ最も有利な立場にあるアクター(=クラウドサービスプロバイダーなどの企業)は、サイバーリスクを管理して安全を維持するためにより多くの負担を負うことができるし、そうすべきだ」

GoogleやMicrosoftはどう考えているのか

 このような発言に対して、大手IT企業はどのように考えているのだろうか。

 Google Cloudのフィル・ヴェナブルズ氏(CISO《最高情報セキュリティ責任者》)は、「国家サイバー戦略は最新のクラウドテクノロジーが果たす役割を認識したものだ」と述べた。Googleは2023年2月、システム開発の前工程でより安全な手法を推進するバイデン政権の計画を公に支持した(注1)。

 「われわれは世界最大のテクノロジープロバイダーの一社としての責任を非常に真剣に受け止めている。Googleのような企業と公共部門との協力関係を強化することが不可欠だということに同意する」(ヴェナブルズ氏)

 Microsoftのトム・バート氏(カスタマーセキュリティ&トラスト担当バイスプレジデント)は、国家サイバー戦略が発表されたことを「歓迎する」とツイートした(注2)。

 バート氏は報告書の提言について、「米国家サイバーディレクター室(ONCD:Office of the National Cyber Director)や他の機関、議会と建設的な対話をする機会を待ち望んでいる」と述べた。

開発スピード重視からの転換が必要

 Gartnerのカテル・ティーレマン氏(バイスプレジデントアナリスト)は、「テクノロジー産業がより安全な製品設計を開発するために、市場投入までのスピードを重視したアプローチから脱却する必要があることを行政が正しく指摘している」と述べた。

 しかし、そのような権限がどのように築き上げられ、実施されるのかについて、深刻な疑問が残る。

 「連邦政府へのソフトウェア納入以外の場面で、民間企業のテクノロジープロバイダーに対して、セキュアバイデザインやセキュアバイデフォルトといった開発手法への移行を強制する権限はあるのだろうか? 議会が立法化し、議員に与えられた(医療機器メーカーに対する米食品医薬品局《FDA》の関係のような)新しい権限を行使したり、何十年も続く訴訟で注意義務などの障害を立証したりしなければならないだろう」(ティーレマン氏)

 今回発表された戦略には、よりレジリエントな国家インフラや連邦機関のネットワークセキュリティへの投資、官民連携の強化などサイバースペースソラリウム委員会(Cyberspace Solarium Commission)が打ち出した主要優先事項が含まれる。サイバースペースソラリウム委員会の共同議長を務めるアンガス・キング上院議員(メイン州、無所属)とマイク・ギャラガー下院議員(ウィスコンシン州、共和党)は次の点を指摘した。

 「この戦略はクラウドコンピューティング分野を含む重要なインフラストラクチャのサイバーセキュリティを規制する、または奨励するための強力な論拠を示している。また、船頭が多過ぎる分野では、既存の規制を調和させる必要があることも認めている」(キング氏とギャラガー氏)

© Industry Dive. All rights reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。