統合サイバー防衛協力を機能させるには(CSCの記事)
写真出展:Pete LinforthによるPixabayからの画像https://pixabay.com/ja/users/thedigitalartist-202249/?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=3411499
2021年8月6日にサイバー空間ソラリウム委員会は、サイバーセキュリティ及びインフラセキュリティ庁(CISA)による、統合サイバー防衛協力の取り組みに関する記事を発表した。内容は、統合サイバー防衛協力を機能させるための提言となっている。バイデン政権になってからの具体的な動きがわかる内容であることから、本記事の概要を紹介させていただく。
↓リンク先(Making the Joint Cyber Defense Collaborative Work)
https://www.lawfareblog.com/making-joint-cyber-defense-collaborative-work
1.記事の内容について
・8月5日、CISA長官のジェン・イースターリーは、官民の国家サイバー防衛の取り組みを統合する、統合サイバー防衛協力(JCDC)を創設すると発表した。この発表は、最大級のサイバーセキュリティ専門家会議であるブラックハットでの講演時になされたものであり、JDCDに必要な人材に訴えかけるのにふさわしい場であった。
・このJCDCは、政府による民間部門との連携を更に推進するものであり、サイバー空間ソラリウム委員会白書の6つの柱の一つである。また、2021年国防権限法に定める、統合サイバー計画室創設及び統合サイバーセキュリティセンターの設計の義務を満たすものでもある。JCDCの創設に際し、以下の3つの事項が重要となる。
① JCDCは、サイバー計画及び能力行使発展させ、維持管理するべきである。またJCDCは、JCPOを包摂し、省庁間及び民間部門との意義ある計画策定を実施するべきである。
② JCDCは、連邦政府内及び官民のサイバー防衛作戦を統合するべきである。CISAはすでに官民サイバー防衛作戦の重要な組織となっているが、連携する能力はまだ未成熟である。場当たり的に設置されたワーキンググループが官民の作戦を実行しているが、この取り組みは組織化されたものには至っていない。国防権限法で2022年1月までに連邦レベルのサイバーセキュリティの取り組みを改善する計画を提出するよう求められており、JCDCがこの計画策定に重要な役割を果たすことが期待される。
③ JCDCは、官民の情報共有を促進するべきである。CSC白書において官民の情報共有環境である統合協力環境(JCE)の創設を提言しており、JCDCはこのJCEを包摂し、官民サイバー防衛の取り組みと共に情報共有を推進するべきである。
・JCDCが発足した後は、CISAは議会と協調し、組織の機能を強化し、権限を付与し、連邦省庁内の既存の取り組みを推進するべきである。まずJCDCは、国家リスク管理センター及び国家サイバー長官と協調し、国家経済継続計画を策定するべきである。次に、JCDCは統合サイバーセンターのための報告書作成に貢献し、更に進んで統合サイバーセンターの機能を担わせるべきである。最後に議会はJCE創設を法制化するべきである。このことにより、CISAは連邦政府内及び官民の情報共有の取り組みを融合することができるようになる。
2.本記事についての感想
バイデン政権になってからサイバー攻撃が頻発しており、全体として後手に回っている印象だったが、ここに来てようやと動きが見えてきた。CSCの提言はやや入り組んでおり、CISAの強化に関しては屋上屋を架すような提案もあると思っていたが、実際には手厚さを重視しているということが見て取れる。組織の複雑化や権限の重複などといった問題は出てくるかもしれないが、官民連携センターとしてのJCDC設置は非常に参考になる取り組みだろう。防衛と言うと機密保持の観点から民間部門を排するというのが通常であるが、サイバー空間は官民・軍民両用であり、殊更既存の区別を強調することの意味合いが薄れている状況である。日本はサイバー戦略などで官民連携が提唱されているものの、現場の職員の意識は旧態依然のものになっていると思われ、このような取り組みが具体化するにはまだ時間がかかるだろう。
英文を読んでわからないという方は、メールにて解説情報をご提供させていただきます。なにぶん素人の理解ですので、一部ご期待に沿えないかもしれませんので、その場合はご容赦願います。当方から提供した情報については、以下の条件を守ったうえで、ご利用いただきますようよろしくお願いいたします。
(1) 営利目的で利用しないこと。
(2) 個人の学習などの目的の範囲で利用し、集団での学習などで配布しないこと。
(3) 一部であっても不特定多数の者が閲覧可能な場所で掲載・公開する場合には、出典を明示すること。(リンク先及び提供者のサイト名)
(4) 著作元から著作権侵害という指摘があった場合、削除すること。
(5) 当方から提供した情報を用いて行う一切の行為(情報を編集・加工等した情報を利用することを含む。)について何ら責任を負わない。