2023年、米国政府は新たな「国家サイバーセキュリティ戦略」を発表しました。この戦略は、従来の「防御」に重点を置いたアプローチから、「回復力」と「責任共有」を重視する新しいパラダイムへの転換を示しています。サイバー攻撃を完全に防ぐことは不可能という現実を受け入れ、攻撃を受けても迅速に回復し、事業を継続できる能力を強化することが、これからのセキュリティ戦略の核心です。
回復力(Resilience)の重視
米国の新戦略では、「レジリエンス(回復力)」が重要なキーワードとなっています。これは、サイバー攻撃を受けることを前提とし、被害を最小限に抑え、迅速に通常業務を回復する能力を指します。具体的には、データバックアップの徹底、インシデント対応計画の策定と訓練、冗長化されたシステム構成などが含まれます。
CISA(米国サイバーセキュリティ・インフラストラクチャセキュリティ庁)は、「Cyber Resilience」に関する詳細なガイドラインを公開しており、企業や組織がレジリエンスを高めるための具体的な施策を提示しています。https://www.cisa.gov/cyber-resilience
責任共有(Shared Responsibility)モデル
新戦略のもう一つの柱は「責任共有」です。これまで、セキュリティは各組織が個別に対応すべき課題と捉えられてきました。しかし、サイバー空間は相互に接続されており、一つの組織の脆弱性が他の組織にも影響を及ぼします。そのため、政府、民間企業、個人が協力し、セキュリティの責任を共有することが求められます。
特に、ソフトウェアベンダーには「セキュア・バイ・デザイン」の原則に基づき、初期段階からセキュリティを組み込んだ製品を提供する責任があるとされています。また、クラウドサービスプロバイダーには、セキュリティ設定のデフォルト化や、透明性のあるセキュリティレポートの提供が求められます。
ゼロトラストアーキテクチャの推進
米国政府は、連邦機関に対してゼロトラストアーキテクチャの導入を義務付けています。ゼロトラストとは、「信頼するな、常に検証せよ」という原則に基づき、ネットワーク内外を問わず、すべてのアクセスを検証するセキュリティモデルです。従来の境界防御モデルでは、内部ネットワークを信頼できる領域と見なしていましたが、ゼロトラストでは内部からの脅威も想定し、すべての通信を監視・検証します。
日本でも、総務省が「ゼロトラストセキュリティの実装に向けたガイドライン」を公表し、官民問わずゼロトラストの導入を推奨しています。https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00164.html
サプライチェーンセキュリティの強化
近年、サプライチェーンを狙った攻撃が増加しています。大手企業を直接攻撃するのではなく、セキュリティ対策が手薄な取引先企業を経由して侵入する手法です。米国の新戦略では、サプライチェーン全体のセキュリティ強化が重要な課題とされています。
具体的には、取引先企業のセキュリティレベルを評価し、リスクの高い企業との取引を見直すことや、ソフトウェアのSBOM(Software Bill of Materials)を要求し、使用されているコンポーネントの脆弱性を把握することが推奨されています。
国際協力とサイバー外交
サイバー攻撃は国境を越えて行われるため、国際的な協力が不可欠です。米国は、同盟国とのサイバーセキュリティ協力を強化し、攻撃を行う国家や犯罪組織に対して共同で対処する方針を打ち出しています。また、サイバー空間における国際ルールの策定にも積極的に取り組んでいます。
日本も、米国や欧州諸国と連携し、サイバーセキュリティ分野での国際協力を深めています。外務省のサイバー政策に関するページでは、最新の国際動向が紹介されています。https://www.mofa.go.jp/mofaj/gaiko/cyber/
新しいパラダイムへの適応
米国のサイバーセキュリティ戦略が示す「回復力」と「責任共有」の考え方は、日本企業にとっても重要な指針となります。完璧な防御は不可能という前提に立ち、攻撃を受けても事業を継続できる体制を構築すること。そして、自社だけでなく、サプライチェーン全体、さらには社会全体のセキュリティを高めるために協力すること。これらが、これからのサイバーセキュリティ経営の基本です。
新しいパラダイムに適応し、レジリエンスを高めることが、企業の持続的成長の鍵となります。