国家ぐるみのサイバー攻撃に焦るバイデン政権 政府が脅威から学んだ今後の課題

国家主導と思われるサイバー攻撃が後を絶たない。米国のソフトウェア企業もその標的となったが、その中でセキュリティ能力の低さが露呈されたという見方もある。

[David Jones，Cybersecurity Dive]

　連邦政府サイバーセキュリティ担当副長官兼連邦政府CISO（最高情報セキュリティ責任者）であるクリストファー・デルーシャ（Christopher DeRusha）氏の下院での証言によると、連邦政府機関はジョー・バイデン大統領の2021年の大統領令で義務付けられたサイバーセキュリティ強化の実施に向けて大きな進展を遂げたという。

　連邦政府は26の政府機関に商用グレードのEDR（Endpoint Detection and Response）を展開中であると米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）のエリック・ゴールドスタイン氏（サイバーセキュリティ担当執行補佐官）は証言した。ゴールドスタイン氏によると、2022年度末にはEDRを53の政府機関に展開する予定だという。

　CISAはパートナー機関と協力し、連邦政府の請負業者に脅威情報の共有を義務付ける新たな契約文言を追加した。また、ゴールドスタイン氏の書面での証言によると、CISAは国立標準技術研究所（NIST）と協力して、重要なソフトウェアの目録を作成し、ソフトウェアプロバイダーに対して厳格な開発およびセキュリティ管理を課したという。

役に立たない「時代遅れのセキュリティ対策」には頼れない

　デルーシャ氏とゴールドスタイン氏は国土安全保障委員会のサイバーセキュリティ・基盤保護・イノベーション小委員会（委員長：イヴェット・クラーク氏、ニューヨーク州・民主党）に先駆けて行われた公聴会に参加した。

　この公聴会は、2020年に起こったロシア主導のSolarWindsへのサプライチェーン攻撃や、2021年3月の中国主導による「Microsoft Exchange Server」攻撃、2021年5月のColonial Pipelineへのランサムウェア攻撃を受け、米国のサイバーセキュリティを強化する大統領令にバイデン大統領が署名してから1年後に行われたものだ。

　SolarWindsへの攻撃は、米国のITインフラとサイバー防衛能力に内在する弱点を露呈させた。Microsoftが「Nobelium」と名付けた国家とつながりのある脅威アクターは、Mandiantによって検知されるまでの数カ月間、米国の主要政府機関や民間の主要テクノロジー企業のITシステム内に潜伏していた。

　「ここで重要なのは、システムへの不正アクセスを防ぐために使われてきた時代遅れの境界線型のセキュリティ対策にはもはや頼れないということだ」とデルーシャ氏は述べる。

　CISAは、CDM（Continuous Diagnostics and Mitigation）プログラムの改善により、連邦機関のセキュリティに対する可視性を向上させた。ゴールドスタイン氏の書面での証言によれば、同機関はCDMシステムをダッシュボードで更新し、65の連邦機関の脆弱（ぜいじゃく）性と設定の不備、資産の状態に関する詳細な情報を提供するようにした。

　政府関係者は、政府のITシステムを近代化するためにさらに多くの投資が必要であり、多要素認証の導入やモバイル化が連邦職員の安全を確保するための追加措置が取られていることを強調した。

　Gartnerのカーテル・ティーレマン（Katell Thielemann）氏（セキュリティ・リスク管理担当バイスプレジデントアナリスト）は「この大統領令はバイデン政権にとって長い旅の始まりだ。政府と民間企業が国家を後ろ盾とする現代の敵に対抗するにはまだやるべきことがある」と述べる。

　またティーレマン氏は「進展があれば、政府機関のリスクプロファイルを改善するのに役立つはずだ。しかし、脅威は進化し続けている」と語った。

出典：Biden administration makes inroads amid zero trust rollout（Cybersecurity Dive）