米国のサイバー脆弱性は北朝鮮の核兵器を助長しているが、解決策は近い---

DARPA関係者は、Breaking Defense Dailyで2025年02月11日に、DARPA情報イノベーション オフィスのディレクターのキャスリーン・フィッシャーは月曜日に、既存の技術のおかげでこれは簡単に回避できると国防高等研究計画局の職員に述べたと報告した。

つまり、北朝鮮は米国や他の国のシステムへのランサムウェア攻撃で得た資金を核兵器開発に充てることができると、DARPAの情報イノベーション局長キャスリーン・フィッシャー氏は月曜日の同局のイベントで述べた。

しかし、DARPAが資金提供し、業界と国防総省が開発できた先進技術のおかげで、ランサムウェア(Ransomware/身代金攻撃)攻撃(attacks)を阻止することは可能である。問題は技術を適切な人々の手に渡すことにあるが、それはしばしばATO(Authority to Action/処理権限)手続きなどの官僚的なプロセスによって行き詰まるとフィッシャーは述べた。

「我々は基本的に、不適切なソフトウェア慣行によって北朝鮮の核兵器開発に資金を提供している。」と同氏は述べた。「我々はもっと良い方法を知っています。まるで、北朝鮮のランサムウェア攻撃は、よりよい方法を知っているため、さらにひどいものになっているかのようです。私たちのソフトウェアがこれらの脆弱性に悩まされていない世界を想像してみてください。」

「現在のATOプロセスによって、この問題はさらに悪化しています。つまり、ATOプロセスが非常に遅いため、システムのソフトウェアを更新するのには長い時間がかかります。ATOプロセスが非常に遅いため、非常に長い間更新できない、既知の脆弱性、悪用可能な脆弱性を持つミッションクリティカルなシステム(Mission-Critical Systems)が多数あります」と彼女は言いました。「そのような慣行を続ける余裕はありません。その慣行で得られる学習性無力感です。」

ATO手順は、その冗長性のために、長い間、国防総省の調達プロセスの悩みの種と見なされてきました。通常、さまざまな組織には独自のAO(Approval Officer/承認担当者)がおり、ソフトウェアを実装する前に、そのソフトウェアに AOを与える必要があります。AOには異なる基準があることが多いため、このプロセスを実行するソフトウェア会社は毎回少しずつ異なる方法で作業する必要があり、隣のオフィスですでに同じソフトウェアの使用が許可されている可能性がある場合、プロセスの遅延が発生します。

関連: 国防総省がソフトウェアの適応を効率化するための新しい相互性ガイダンスを発表

2024年05月、国防総省はATOの「相互性」の概念を強化する新しいガイダンスを発行しました。これは基本的に、ある部署がシステムがサイバー セキュリティで保護されていると認定した場合、すべての部署がそれを受け入れることができ、認定プロセスをやり直す必要がないことを意味します。しかし、フィッシャーは、ソフトウェア・システムにおける相互性の欠如は依然として多く、サイバー・セキュリティ・ソフトウェアの進歩を妨げていると述べています。