米国政府は大手IT企業にサイバーセキュリティ強化を約束するよう求めている

バイデン政権は、世界最大のテクノロジー企業に対し、ソフトウェアとクラウドサービスのデジタルセキュリティを強化することを公約するよう求めている。

WIREDが最初に報じたこの自主的な誓約は、国土安全保障省のサイバーセキュリティおよびインフラストラクチャセキュリティ庁（CISA）による、製品の開発と構成時にサイバーセキュリティを優先するようテクノロジーベンダーに奨励する「Secure by Design」イニシアチブへの支持を構築するための最新の取り組みを表しています。

誓約書に署名することで、企業は自社製品の脆弱性に関する報告の要請から、従来のパスワードにさらにログイン手順を追加する技術である多要素認証の利用拡大に至るまで、7つの重要なサイバーセキュリティ改善策の実施に「誠意を持って努力」することを約束する。

CISAが来週サンフランシスコで開催されるRSAサイバーセキュリティカンファレンスで発表する予定のこの誓約は、先週「Secure by Design」キャンペーン開​​始から1周年を迎えたCISAにとって大きな試練となる。この取り組みはCISA幹部の最重要課題であるが、一部の企業は依然としてCISAの緊急の勧告を無視しており、成果はまちまちである。この誓約に対するテクノロジー業界の反応、特に署名する大手ソフトウェア企業の数は、CISAによるサイバーセキュリティへの企業投資拡大の継続的な推進を民間セクターがどのように受け止めているかを示す試金石となるだろう。

「参加している企業には本当に興奮しています」と、CISAのサイバーセキュリティ担当エグゼクティブ・アシスタントディレクター、エリック・ゴールドスタイン氏はWIREDに語った。ゴールドスタイン氏は、すでに何社のベンダーが誓約に署名しているかについては明言を避けたが、その中にはテクノロジー業界の「非常に重要な」企業も含まれていると述べた。

WIREDは、30社以上の大手ソフトウェア企業に対し、この誓約に署名したか、あるいは署名する予定があるかを尋ねた。回答したのはほんの一握りだった。ログイン技術プロバイダーのOktaは署名済み、セキュリティベンダーのBlackBerryは署名を検討中だと回答した。注目すべきは、ソフトウェア大手のAmazon、Google、Microsoftが署名の有無を明らかにしなかったことだ。

「CISAによると、50社が署名し、ウェブサイトに掲載する見積書を提出しているとのことだ」と、事情に詳しいテクノロジー業界関係者は匿名を条件に率直に語った。「署名した企業は一社も知らない」

誓約書に示された7つの目標は、企業のサイバー防御を劇的に向上させ、顧客が製品を安全に使用しやすくなると専門家が指摘するセキュリティ対策を表している。

目標には、多要素認証を自動的に有効化するか、ユーザーに有効化を促すなどしてユーザーの多要素認証の使用を大幅に増やすこと、製品のセットアップ時にユーザーに強力なパスワードの選択を要求するなどしてデフォルトのパスワードを排除すること、疑わしいネットワークアクティビティのログを無料で確認できるようにすることで顧客が使用している製品のハッキングを理解しやすくすることなどが含まれます。

この誓約に署名する企業は、メモリベースの攻撃を完全にブロックするメモリセーフなプログラミング言語の使用、パッチ適用の簡素化と可能な場合は自動化を含むソフトウェアパッチ適用の改善の促進、ユーザーが製品の欠陥を見つけて報告することを奨励する脆弱性開示プログラムの作成、主要な新しい脆弱性に関するアラートのタイムリーな発行、およびすべての新しい脆弱性アラートに詳細情報を含めることなど、あらゆる種類の脆弱性に対して自社製品を強化させることにも尽力することになります。

この誓約は、企業が目標を達成するための方法の例を示していますが、企業には「最善の方法を決定する裁量権」があると明記しています。また、企業が目標達成に向けた「測定可能な進捗状況」を公に示すこと、そして「他者が学ぶことができるように」自社の技術を文書化することの重要性も強調しています。

ゴールドスタイン氏によると、CISAはテクノロジー企業と協議しながら誓約を策定し、CISAの目標達成と並行して、企業にとって何が実現可能かを探ったという。つまり、シリコンバレーの大企業だけでなく、あらゆる規模の企業にとって、この誓約が実現可能であることを確認する必要があったのだ。

同ハイテク業界関係者によると、当初同局は共同サイバー防衛協力組織を利用して企業に誓約書への署名を促そうとしたが、企業が実務上のサイバー防衛協力グループを「政策上および法律上の問題」のために利用することに疑問を呈したため、裏目に出たという。

「業界は、JCDCを利用して誓約を得ようとすることに不満を表明した」と当局者は語り、CISAは「賢明にもその取り組みを中止した」という。

その後、CISAは情報技術セクター調整評議会（ITSC）を通じて企業と協議を行い、フィードバックに基づいて誓約を修正しました。業界関係者によると、当初誓約には7つ以上の目標が含まれており、CISAは署名企業に対し、進捗状況を示すための「明確な指標」の策定を求めていました。最終的に、CISAはいくつかの目標を削除し、進捗状況の測定に関する「表現を拡大」したと、この関係者は述べています。

業界の大手業界団体である情報技術産業協議会の政策、信頼、データ、技術担当上級副社長、ジョン・ミラー氏は、多要素認証を使用しているユーザー数などの具体的な進捗指標は「簡単に誤解される可能性がある」ため、この変更は賢明だったと述べています。

ゴールドスタイン氏は、誓約署名者の数が現時点で「予想をはるかに上回っている」と述べている。業界関係者は、誓約への署名を明確に拒否した企業は把握していないと述べ、その理由の一つとして、ベンダー各社がRSAでのCISA発表イベント後も「署名の選択肢を残しておきたい」と考えていることを挙げている。「誰もが様子見の姿勢をとっている」という。

法的責任は、署名を検討している企業にとって最大の懸念事項です。「万が一、何らかのセキュリティインシデントが発生した場合、企業が公表した内容はすべて訴訟に利用される可能性があります」とミラー氏は指摘します。

とはいえ、ミラー氏は、欧州の新たな厳格なセキュリティ要件に直面しているグローバル企業の中には、すでにやらなければならないことに対して「その功績を認めてもらう」ために米国の誓約書に署名するところもあるだろうと予測している。

CISAの「セキュア・バイ・デザイン」キャンペーンは、バイデン政権の国家サイバーセキュリティ戦略の中核テーマである、サイバーセキュリティの負担をユーザーからベンダーへ移行するという野心的な計画の中核を成すものです。企業のサイバー責任の推進は、Microsoft、SolarWinds、Kaseya、Change Healthcareといった重要なソフトウェアメーカーに対する長年にわたるサプライチェーン攻撃、そして学校、病院、その他の生活必需サービスに対するランサムウェア攻撃の根幹を成す広範なソフトウェア脆弱性の増加を受けて進められています。ホワイトハウス関係者は、コストのかかる、そして多くの場合予防可能な侵害のパターンは、企業の説明責任を強化する必要性を示していると述べています。

バイデン政権は、連邦政府の契約権限を活用し、政府機関が購入するソフトウェアの新たな最低セキュリティ基準を設定し、業界全体に責任ある行動のモデルを示すことを目指しています。ホワイトハウス当局はまた、連邦政府の請負業者だけでなく、すべてのベンダーにセキュリティ違反の責任を負わせる提案も検討していますが、この取り組みは議会で困難な道のりに直面しています。

ホワイトハウスは、ソフトウェア業界全体にサイバーセキュリティの強化を要求する権限を持たないため、CISAに企業に自主的な改善を促す任務を与えました。この取り組みは昨年4月、製品の設計、開発、構成プロセスにサイバーセキュリティを組み込むための具体的な推奨事項を発表したことから始まりました。CISAは、この文書の改訂についてテクノロジー業界およびセキュリティ研究コミュニティと協議し、昨年10月に改訂版をリリースしました。ほぼ同時期に、CISAはK-12教育テクノロジー分野の主要ベンダー6社から「Secure by Design」へのコミットメントを獲得したことを発表しました。この動きは特定の業界に限定されたものの、CISAがガイダンスを企業による公約へと転換するという明確な意欲を示しています。

「長年の目標は、ホワイトペーパーやガイダンスの提供だけにとどまらず、企業に『はい、同意します。そして、私たちはこうしています』と言ってもらうことです」とゴールドスタイン氏は語る。「この誓約は、まさに私たちが1年間かけて策定してきたガイダンスを具体的に表明したものなのです。」

しかし、この自主的な誓約の有効性はまだ分からない。「誓約を表明した企業は自己評価と自己報告を行うことになります」と、ルータ・セキュリティのCEO兼創設者であるケイティ・ムスーリス氏は言う。「ですから、彼らが対策を効果的に適用したかどうか、そしてこの誓約が効果的な説明責任のメカニズムとして機能したかどうかは、時が経てば分かるでしょう。」

ミラー氏は、約束した改善を怠った場合の潜在的な法的責任を問われる可能性があるため、この誓約によって企業の責任が問われることを期待していると述べた。一方、政府当局は、顧客がベンダーに対し、誓約に署名し遵守するよう圧力をかけることを期待している。

「今、安全で安心な製品への需要が非常に高まっていると感じています」とゴールドスタイン氏は語る。「お客様のご要望が、私たちの進歩を牽引していくと考えています。」