ホワイトハウスは最悪の事態を阻止するための新たなマスタープランを策定

バイデン政権は、ハッカー、テロリスト、自然災害から国の最も重要なインフラを守るための米国政府の青写真を更新している。

ジョー・バイデン大統領は火曜日、病院、発電所、水道施設、学校、その他の重要インフラのセキュリティを向上させるために政府機関が民間企業、州政府、地方自治体とどのように連携するかを規定した2013年の指令を全面的に改訂する国家安全保障覚書に署名した。

バイデン大統領のメモには、オバマ政権時代の指令の改訂や連邦政府機関への新たな任務が満載されている。これは、米国が日常生活を支えるコンピュータシステムや産業機器に対する深刻な脅威に直面している中で発せられたものだ。重要なインフラを麻痺させることで米国社会の不安定化を企む外国政府のハッカーやサイバー犯罪者に加え、過激派グループや単独行動主義者がこれらのシステムを破壊しようと企み、気候変動が自然災害を引き起こし、基本的なサービスを定期的に圧倒している。

しかし、近い将来、最も大きな脅威となるのは外国からのサイバー脅威だ。「アメリカは戦略的競争の時代に直面しており、国家主体は引き続きアメリカの重要インフラを標的とし、非国家主体による悪意ある活動を容認あるいは助長するだろう」と、国土安全保障省のケイトリン・ダーコビッチ副補佐官（レジリエンス・対応担当）は月曜日の記者会見で述べた。

この覚書には、3つの主な目的がある。国土安全保障省のサイバーセキュリティ・インフラセキュリティ庁（CISA）の役割を、悪意のある行為者や自然災害からインフラを守る任務を負う主導機関として正式に定めること、より迅速かつ包括的な情報共有を通じて民間部門との連携を強化すること、そして、現在サイバーセキュリティ要件が不足している部門に最低限のサイバーセキュリティ要件の基礎を築くことである。

この規制強化は、10年前の政府のインフラ保護へのアプローチからの劇的な転換を表しています。バイデン政権は、自主的なパートナーシップでは不可欠なサービスへのリスクを十分に軽減できないと判断し、航空、パイプライン、鉄道、海運、医療機器業界に新たなサイバー規則を適用しました。また、保健福祉省は病院のセキュリティ要件の策定に取り組んでいます。現在、政権は新たな覚書に基づき、他のセクターへの規則適用に向けた取り組みを加速させる予定です。

「アメリカの生活様式と民主主義が依存しているライフライン分野の基本的なセキュリティ基準を設定するために協力することが重要だ」とダーコビッチ氏は言う。

この文書は、政府の「セクターリスク管理機関」（SRMA）（各機関は1つ以上のインフラセクターのサイバーセキュリティおよび物理セキュリティを監督・支援する）に対し、既存の規則が各業界の脆弱性に適切に対処しているかどうかを判断し、不十分な場合は新たな規則を策定する任務を課している。この覚書には、各機関が「これらの要件の効果的な実施を確保するために必要なツールや権限」を欠いていると判断した場合、支援するプロセスが含まれていると、ホワイトハウスの規定に基づき匿名で発言した政府高官が月曜日のブリーフィングで述べた。

このプロセスは、2023年に水道システムに対するサイバー要件を発行しようとしたものの、業界団体や共和党主導の州からの法的異議申し立てを受けてその取り組みを断念した環境保護庁などの機関を支援するために設計されている。

ホワイトハウスは、様々な分野で新たな規制に対する業界からのさらなる反発を予想し、企業との協力を約束している。「これらの要件は、インフラの所有者や運営者と緊密に連携し、脆弱性に見合った適切なものとなるよう策定する必要がある」と政府高官は述べている。

この覚書は、新たなサイバー基準に加え、政府機関と民間企業の間でより調和のとれた生産的な情報共有関係を促進することを目指しています。民間部門からは、政府機関による情報の機密解除が遅すぎる、あるいは機密情報の公開をセキュリティクリアランスを持つ幹部職員のみに厳しく制限しているという不満がしばしば寄せられています。多くの企業は、ハッカーの活動に関する政府の詳細な情報にタイムリーにアクセスできなければ、敵対勢力に先手を打つことは難しいと述べています。

こうした緊張に対処するため、バイデン大統領は米国の諜報機関に対し、インフラ運営者と「情報の収集、作成、共有」の取り組みを強化するよう指示しているとダーコビッチ氏は語る。

この覚書は、国家情報長官室（ODNI）に対し、政府と民間部門との情報共有の現状に関する報告書の作成を求めている。政府高官によると、このプロセスの一環として、ODNIはCISA（情報安全保障情報局）などの機関と協力し、企業へのより効果的なアウトリーチのための手順を策定する予定だ。

政府は、機密情報源や収集方法を損なうことなく有用な情報を共有する最善の方法について、最近の2つの事例研究を参考にすることができる。ロシアが2022年にウクライナへの侵攻拡大を開始すると、情報機関はクレムリンの計画に関する情報を非常に速いペースで機密解除・公開し、多くの元政府関係者を驚愕させた。また、政府関係者は、中国による米国インフラへの最近のサイバー侵入の深刻さについて企業に警告しようとした際に、機密文書を用いたブリーフィングを開催し、戦争が発生した場合に北京が及ぼし得る潜在的な損害を厳しく説明していた。

「この政権の最初の3年間に起こったことから、多くの有益な新たな実践や教訓が得られました」と高官は語る。

情報共有に関する報告書に加え、メモではODNIに対し、アメリカのインフラに対する脅威に関する正式な情報評価を作成する期間を180日間としており、政府高官は、政府は可能な限り企業と「その情報を共有するよう努める」と述べている。

新たな覚書は、主要な実質的な変更点に加え、以前の計画策定時には存在しなかったCISAの地位を大幅に向上させます。この覚書は、インフラセキュリティ業務に関する政府全体のコーディネーターとしてのCISAの役割と、16セクターのうち8セクターにおける指定SRMAとしてのCISAの役割を明文化しています。

CISAは主導的なインフラ保護機関としての役割をさまざまな方法で果たしてきたと、同局のジェン・イースタリー局長は月曜日の記者会見で語った。

まず、CISAは、リスクへの対応における機関間の連携方法に関する重要な決定を行う上級職員会議を再設置しました。次に、イースタリー氏によると、CISAは各機関に対し、各セクターのリスク評価とリスク管理計画の策定を支援するための「ガイダンスとテンプレート」を提供してきました。さらに、CISAは、日常生活に根本的な影響を与える「システム上重要な主体」のリストを最終決定しています。

政府は重要企業リストに掲載されている企業（500社未満）と協力し、「リスク管理に必要なリソースを確保する」と、別の政府高官が月曜日に記者団に述べた。これらの企業は規制の優先対象にもなる。

この覚書は政府の防衛戦略の主要部分を更新するものであるものの、その基盤となる基本構造、すなわち16のセクター（それぞれ関連産業の集合体を含み、全体として国の重要インフラを構成する）を変更するものではない。2021年末に公表されたCISA報告書は、宇宙産業とバイオエコノミー産業のための新たなセクターの追加を検討するよう政府に勧告したが、当局はこれを見送った。

「宇宙は実際には非常に多くの異なるセクターの一部であるため、現時点では宇宙を独立したセクターとして切り離すことは理にかなっていません」と、2人目の高官は述べています。（ただし、CISAは宇宙のサイバーセキュリティに重点を置いています。）政府指導者も同様に、バイオエコノミーのリスクは新しいセクターを設けるほど特異なものではないと判断しました。しかし、2人目の高官は、両産業が直面するリスクに「大きな変化」があれば、将来的にそれぞれ独自のセクターが設けられる可能性があると述べています。

こうしたリスクやその他の状況がいかに急速に変化するかを考慮し、メモは国土安全保障省に対し、政府が危害を防ぐために何をしているかをまとめた「国家リスク管理計画」を2年ごとにホワイトハウスに提出するよう指示している。

バイデン政権当局者は、この新たな文書を単なる戦略の改訂版以上のものと捉えている。彼らにとって、これは汚染された水、広範囲にわたる停電、その他のインフラ災害からアメリカ国民を守るために政府が組織を運営する上で、画期的な出来事となる。

ダーコビッチ氏は、この新しいメモは「大統領が決定的な10年と呼ぶ次の10年、そしてその先に待ち受けているものに向けて我々を準備させるものだ」と述べている。