サイバー攻撃への対処には官民の協力が必要
By Guy Taylor – The Washington Times – Tuesday, June 29, 2021
近年、サイバー攻撃が急増していることを受けて、民間企業と連邦政府機関の間で、燃料、電力、水などの重要なインフラが機能不全に陥り、経済に甚大な損害を与えないようにするための責任の所在をめぐる非難合戦が繰り広げられている。
特に5月、南東部で1週間以上にわたってガソリンの供給が停止したコロニアル・パイプラインへのランサムウェア攻撃は、ハッカーが民間企業のコンピュータシステムに侵入した場合に、政府に警告することを義務付けるべきかどうかという長年の議論に新たな光を当てた。
民間企業は、政府による独自データへの侵入を制限したい、ハッキング事件が大きな注目を集めた場合の評判の低下を懸念するなどの理由から、長年このような義務化に反対してきた。
しかし、ハッキングの脅威に対する一般市民の認識が高まっていることや、大惨事を招く可能性のあるサイバー攻撃を防ぐためには、民間企業と連邦捜査局(FBI)や国土安全保障省などの連邦機関がより積極的に協力する必要があるというサイバーセキュリティー専門家の間でのコンセンサスが高まっていることから、このような懸念はますます後退している。
議会関係者によると、「報告義務」法の制定、ハッキング調査における政府の権限拡大、サイバー犯罪に対する連邦政府の罰則強化などへ、超党派の機運が高まっているという。
業界関係者は、コンピュータシステムや従業員によって攻撃を防ぐための備えができているかどうかにかかわらず、民間企業がハッキングについて黙っている時代は終わりにしなければならないと主張する。
フロリダ州を拠点とし、さまざまな業界の企業のリスク管理ソリューションの開発を支援しているRBアドバイザリー社の創設者兼CEOであるレジーヌ・ボノー氏は「政府のタスクフォースを立ち上げ、重要インフラに携わるあらゆるレベルの民間企業が、ハッキングされた場合には通知するよう義務付けるべきだ」と述べた。
ボノー氏はワシントン・タイムズに次のように述べた。「私たちは今、事前対応よりも事後の対応に追われ、混乱している。現時点では、政府は、民間企業に対するランサムウェアの攻撃の程度や、それらの攻撃が企業にどの程度の影響を与えているのかを把握していない」
また、コロニアル・パイプライン社への攻撃や昨年のソーラーウィンズ社のソフトを悪用したハッキングは、いずれもロシアの支援を受けたサイバー犯罪者の仕業とされており、民間のサイバー活動と連邦政府機関との間の強固な壁を取り払うための転換点となったと指摘する専門家もいる。
元国家安全保障局(NSA)の顧問弁護士であり、国土安全保障省の政策責任者を務め、現在は民間企業ステップトー・アンド・ジョンソン社でテクノロジー関連の法務を担当しているスチュワート・ベーカー氏は、「企業が重大な事故に遭遇した場合、政府に報告する必要があるという考え方に、政府は乗り気のようだ」と述べた。
毎週「サイバーロー・ポッドキャスト」のホストを務めているベーカー氏は、ワシントン・タイムズに次のように述べた。「しかし、現時点ではこの考え方が全面的に受け入れられているわけではない」
ベーカー氏は、「産業界は政府と何かを共有することに非常に慎重」だが、「それも、最近のランサムウェアを中心とした危機に直面し、崩れつつある」と述べた。
共和党のスーザン・コリンズ上院議員(メーン州)は、サイバー攻撃に関する民間企業と連邦政府機関の間のコミュニケーションを促進するための法案を10年近く前から提出してきた。この提案は現在、超党派の勢いを得ている。
2012年、コリンズ議員は、コネチカット州選出のジョー・リーバーマン上院議員(無党派)とともに、広範囲に及ぶサイバーセキュリティー法案を提出しました。しかし、保守的で企業寄りの共和党は、この法案が政府による規制強化につながり、官僚主義的なサイバーセキュリティー基準を満たすことで民間企業のコストが増大することを懸念して、法案を阻止した。
しかし、最近のランサムウェアによる攻撃で、そのような懸念は薄れたように思われる。両党の中道派の議員らは、2012年に提案された法案よりもはるかに進んだ内容の法案を提出しており、ハッキング事件の報告や、民間企業のネットワークの連邦捜査官への公開に関する業界基準を定めたり、義務付けたりしている。
民主党のマーク・R・ワーナー上院議員(バージニア州)が提出し、コリンズ議員と共和党のマルコ・ルビオ上院議員(フロリダ州)が共同提案している法案は、すべての連邦政府の請負業者と、民間の「重要インフラの所有者または運営者、およびサイバーセキュリティー事故対応サービスを提供する非政府組織」に対して、何らかのサイバー攻撃を受けた場合に政府に警告することを義務付けている。
この広範な法案は、2001年の重要インフラ保護法に言及している。この法律は、重要インフラを、「物理的、仮想的を問わず、米国にとって極めて重要なシステムおよび資産であり、これらのシステムおよび資産の無能力化または破壊は、安全保障、国家経済安全保障、国民の公衆衛生もしくは安全、またはこれらの事項の組み合わせを損ねる」と定義されている。
この法案は、企業に対し、ハッキング事件を24時間以内に国土安全保障省傘下のサイバーセキュリティー・インフラストラクチャー・ セキュリティー庁(CISA)に報告することを義務付けている。同局は毎年、重要インフラ企業への攻撃状況を「必要に応じて機密扱いにした上で」議会に報告することが義務付けられる。
この法案によって、民間企業とのコミュニケーションに最も責任を負っていると考えられているCISAが刷新される。CISAの長官ポストは、昨年から上院議員の承認が得られず、空席が続いている。CISAは、2020年の大統領選で不正があったと、トランプ前大統領の主張に異議を唱える声明を発表。これを受けてトランプ氏はクリストファー・クレブス長官を解雇した。
バイデン大統領は、国家安全保障局(NSA)のテロ対策センターの責任者だったジェン・イースタリー氏をCISAの責任者に指名しているが、上院はまだ指名を承認していない。
企業によるサイバー攻撃の政府への報告義務付けに賛同する保守派が今後、増えるかどうかはわからないが、多くの共和党員が、何らかの形で積極的なサイバーセキュリティー法案に意欲をしている。共和党のリンゼイ・グラム上院議員(サウスカロライナ州)とトム・ティリス上院議員(ノースカロライナ州)は、民主党のリチャード・ブルーメンタール議員(コネチカット州)とシェルダン・ホワイトハウス議員(ロードアイランド州)の支持を得て、サイバー攻撃調査における連邦政府の権限拡大を目的とした2018年の法案を再提出した。
この議員らは声明で、この国際サイバー犯罪防止法によって、連邦捜査官が容疑者の財産を差し押さえる権限が強化され、いわゆるボットネット(サイバー攻撃に使用されるマルウェアに感染したコンピューターのネットワーク)の対策、破壊が容易になると述べている。また、「ダム、発電所、病院、選挙基盤などの重要インフラを故意に標的とした個人に対して、新たな刑事罰を設置する」としている。
このような法案が、米当局がコロニアル・パイプライン攻撃を行ったと非難しているロシアを拠点とする組織「ダークサイド」のような、国際的ハッキンググループを捜査するFBIの能力にどのような影響を与えるかは明確になっていない。
法執行機関や情報機関の関係者は、ワシントン・タイムズとの最近のインタビューで、このような組織とロシア情報機関との関係を強調した。彼らは、バイデン政権は、ダークサイドのような組織への支援をやめるようにモスクワに圧力をかけるために、制裁や米国による反撃など、より積極的な手段を取るべきだと述べている。
国家防諜・セキュリティセンター所長を退任したばかりで、CIAの防諜グループのチーフでもあったウィリアム・F・エバニナ氏は、コロニアル・パイプラインへの攻撃のようなランサムウェア攻撃は、米国の民主主義と経済力を弱体化させようとするロシアのウラジーミル・プーチン大統領の戦略に合致すると、今月、ワシントン・タイムズ紙に語った。
これらのサイバー攻撃についてエバニナ氏は、「その気になれば、ロシア政府は一瞬にしてこの活動を停止させることができる」と語っている。
その一方でエバニナ氏は、民間企業と連邦政府機関の情報共有を飛躍的に拡大する必要があると強調。「本格的な官民のパートナーシップが必要だ」と述べた。
ボノー氏もこれに同意している。連邦政府機関が迅速かつ積極的に犯罪捜査に取り組めるようにするためには、民間企業の透明性を高める必要があると述べている。
「企業がハッキングされたという情報を提供するか、誰かがその情報を暴露しなければ、政府機関は民間企業のサイバー攻撃を知ることはできない。企業がハッキングされた場合、政府機関が、脅威の変遷の全容を明確に把握できるように、企業は報告しなければならない」
ベイカー氏は、サイバー攻撃に対する情報と防御のほとんどは、「政府と深く連携していない」民間企業の手に委ねられていると語った。
ベイカー氏は、連邦政府の捜査官は、政府機関のネットワークに対するハッキングをリアルタイムで観察・調査することで、ハッカーがどのように活動し、どのような能力を持っているのかを「驚くほどよく把握している」が、民間のネットワークの中で警告を受けたり見たりすることに関しては、「確かに盲点がある」と指摘した。
「政府は、多くの(民間)ネットワークの内部で何が起こっているのかについてそれほど多くの知見を持っておらず、政府と産業界の現在の関係を変えずに、その知見を手に入れられるかどうかは明らかではない。これは難しい問題ですが、サイバー攻撃に対する国家の防衛において、本当の問題はそこにある」