バイデン政権へのサイバー政策に関する政権移行白書(2)(CSC白書)
写真出展:MediamodifierによるPixabayからの画像https://pixabay.com/ja/users/mediamodifier-1567646/?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=6345762
今回の記事は、前回(1)の続きである。前回の内容を確認したい場合は、以下のリンクを参照
政権移行白書(1)
https://note.com/karzy_kemaru/n/na740ca680824
2.白書の内容(100日間後に大統領府が取るべき行動)について
① アメリカの国際サイバーリーダーシップを取り戻す
サイバーセキュリティ問題に関する国際的なリーダーとしての地位が衰えている。
バイデン-ハリス政権はこのことを認識し、十分な資源を投入し、優先的にサイバー外交に取り組むべきである。同盟国や友好国等で連合を組み、集団的にサイバー空間における責任ある行動にインセンティブを与え、有害な行動を抑止するべきである。
A. サイバー空間政策及び新興技術室の新設
バイデン-ハリス政権は、国務省にサイバー空間政策及び新興技術室(CPET)を新設するべきである。サイバー空間における行動規範の提唱、サイバー外交、デジタル経済実現のための国際協調確保などの権限を付与されるべきである。
B. 能力構築、規範、信頼性構築措置への政府支援を拡張する
国連を含む複数のフォーラムにおいて、サイバーセキュリティの議論を 先導すると共に、複数の関係者と共に部門別の取り組みを推進するべきである。CPETはは、信頼性構築措置(CBMs)を実施し、民間組織などとも連携するべきである。また、国際的なサイバー能力構築を重視するべきであり、このことによりアメリカのリーダーシップを取り戻すことができるようになる。
C. 国際ICT標準化団体に積極的かつ効果的に取り組む
アメリカ政府は国際ICT標準化団体の取り組みを先導するべきである。こ のためには、アメリカ国内から広く参加者を募り、連邦省庁に必要な人材、資源、権限を与えることが必要になる。ICT基準の議論の前及び同時進行的に、部門横断的に参加者間で議論を進めるなど、効果的に取り組むべきである。
② 悪意あるサイバー攻撃から守る必要がある人々により投資する
公的部門において、37,000名ものサイバーセキュリティ職員が不足しているが、連邦政府には効果的なサイバー人材戦略を策定し、実行する明確なリーダーがいない。
A. 専門職員のリーダーシップ及び協調構造の確立
政府全体に渡って、多くの省庁はサイバー専門職員を育成する取り組みを行っているが、その取り組みは区々のものとなっており、調整するリーダー役がおらず、戦略もない。このため、サイバー人材指揮委員会を設立するべきである。この委員会は、戦略ガイダンスと人材育成の資源を提供する機能を持つべきである。国家サイバー長官は省庁間の調整を行い、資源を適切に配分し、人材の取り合いなどを制限するべきである。
B. 政府全体で、サイバー人材への特別採用権限及び柔軟な賃金体系を適用可能とする
連邦政府の採用権限はそれぞれ区々となっており、柔軟な運用が可能な省庁もあれば、複雑かつ硬直的な採用システムに苦慮している省庁もある。このことから、バイデン-ハリス政権は、特別採用手続き及び柔軟な賃金体系に関する規制を撤廃するべきである。具体的には、政権は会計検査院が連邦管理者を支援し、既存のシステムが十分なものとなっていくよう、評価するべきである。
C. CyberCorpsのサイバー職員育成奨学金制度を拡充する
CyberCorpsのサイバー職員育成奨学金制度(SFS)は、予算が十分に配 賦されていないことから、十分に生かされていない。このためバイデン-ハリス政権は、対照となる大額を拡充し、奨学金を増額するよう議会に予算要求するべきである。また、サイバー職員の多様性確保のため、少数派の組織の参加も奨励するよう尽力するべきである。
③ インフラ強靭化に投資する
サイバー攻撃の対象となるインフラ等の所有者の大半は民間人である。従って、サイバー防衛は、民間の所有者や管理者の取り組みにかかっているのである。
A. 経済継続計画の開始
2021年国防権限法は、大統領が経済継続計画を策定するよう求めている。業務継続や政府の継続計画は存在するものの、経済の継続計画は存在していないのである。また、計画策定手続きには、国土安全保障省、国防総省、商務省、財務省、エネルギー省、厚生省、信用保証協会及び大統領によって決定された他省庁を含めたものとするべきである。
特に着目するべきは、経済機能に必要となる国家レベルの物資、サービスに貢献している基幹的な部門等の分析である。同時に、これら部門に属する組織に、継続計画上の責任を持たせるべきである。
B. 迅速な情報共有の実施計画を模索する
国土安全保障長官及び国家情報長官が、クラウドベースの情報共有環境を新設することの実現可能性及び推奨度についての報告書を作成するよう指示するべきである。この情報共有環境は、連邦政府のサイバー脅威の情報等を共有できるものにするべきである。
C. 民間部門へのインテリジェンス支援の改善
インテリジェンス業界は、機密保持などの制約のため、保有している有用な情報を民間などに提供することができないでいる。このため、バイデン-ハリス政権は、6か月間でインテリジェンス権限等について、包括的な見直しを実施するべきである。また民間部門のサイバーセキュリティ作戦支援のため、民間部門の助言を受け具体的な手続きを取りまとめるべきである。
④ アメリカのハイテクサプライチェーンを守る
アメリカは、ICTのサプライチェーンのリスクを特定し、管理するために資源を割かなければならない。
A. ICT産業の基本戦略を策定、公表する
アメリカの産業戦略は、以下の5つの柱によって支えられるべきである。
・官民の検証により、重要技術、機器、天然資源を抽出する
・重要工業等への官民投資などにより、工業生産能力を確保する
・重要技術の脆弱性テストで弱点を抽出し、サプライチェーンのセキュリティ確保の取り組み行う。
・相互運用可能な分野へも政府投資を開放し、ICT市場を刺激する。
・既存の組織(輸出入銀行など)を戦略的に活用し、世界でアメリカ企業・友好国企業が競争可能となるようにする。
⑤ アメリカの軍事サイバーの優位性を維持する
アメリカは、世界で最も成熟した先進的な軍事サイバー能力を有する国の一つであり、今後もこの優位性を維持しなくてはならない。
A. サイバー作戦部隊の勢力図評価を実施する
サイバー作戦部隊(CMF)は2013年に定義されたものであり、前方防衛戦略という概念が生まれる前の考えに基づいている。作戦規模が拡大しており、作戦群の戦力構造の評価を実施するべきである。
B. サイバー部隊の主要戦力事業の構築
バイデン-ハリス政権は、アメリカサイバー部隊の訓練、人員配置、装備を分類した主要戦力事業(MFP)を含む予算書を提出するべきである。2021年国防権限法では、既存の予算制限を撤廃したが、主要戦力事業の詳細は定めていないため、明確に分類されたMFPを含めたものとするべきである。
C. サイバー軍の利用に関する規約及びガイダンスを更新する
標準規約(SROE)及び戦力行使基準(SRUF)は、制定後10年以上経過していることから、サイバー軍に与えられた作戦群を考慮した、各種関係性を考慮したものとするよう、改正の準備を進めるべきである。
D. サイバー軍予備役の創設を評価する
2021年国防権限法により、大統領府が軍におけるサイバー予備役を設立する必要性の再検討することが義務付けられた。人材の幅、多様性、軍歴の要否、長期間の在職などについて検討するべきである。同時に、民間からの人材登用により起こる影響や、危機対応におけるサイバー専門性に関する欠点を抽出するべきである。
E. 前方防衛の概念及び攻撃的サイバー作戦の権限移譲を再検証する
国防総省は、悪意あるサイバー活動を自身の資源により妨害ないしは軽減する「前方防衛」戦略を明確化し、サイバー戦におけるアメリカの地位改善に役割を果たした。バイデン-ハリス政権は、前方防衛の概念、攻撃的サイバー作戦の権限移譲を再評価し、精緻化させ、損益を十分評価できるようにするべきである。
6.アメリカのサイバーの脅威との戦争及び抑止能力全般を守り抜く
サイバー戦争及び抑止能力全般は、安全保障の根幹であり、大統領府が是が非でも確保しなければならないものである。以下の2021年国防権限法の提言は、迅速に実施する必要がある。
A. サイバー攻撃から核指令統制システム、核情報伝達システムを防衛する計画を策定する
サイバー攻撃から核指令統制システム、核情報伝達システムを防衛する作戦上の構想を策定する義務を履行するべきである。
B. 脅威のインテリジェンス共有事業に防衛産業基盤の参加を求める
防衛産業企業が、国防総省の各部署レベルで管理されているインテリジェンス共有事業に参加することを求める政策指令を発出するべきである。
C. 防衛産業基盤のネットワークに関する脅威の探索を求める
防衛産業企業が、DIBネットワークにおける脅威の義務的な探索を認める仕組みを構築することを求める政策指令を発出するべきである。