バイデン政権のサイバー担当国家安全保障副大統領補佐官、アン・ニューバーガー氏が、新たなサイバーセキュリティの脅威と、米国がそれに対してどのような対策を計画しているかについてWIREDに語った。
サイバー・新興技術担当国家安全保障担当副補佐官、アン・ニューバーガー氏。写真:ドリュー・アンゲラー/ゲッティイメージズ
アン・ニューバーガー氏がバイデン政権発足時にホワイトハウスの国家安全保障会議に新設されたサイバーおよび新興技術担当国家安全保障担当副大統領補佐官に就任した時、彼女はすでに政府で最も経験豊富なサイバーベテランの一人でした。
ニューバーガー氏は国家安全保障局(NSA)に10年間勤務し、初代最高リスク管理責任者、その後オペレーション担当次官補を務め、新設されたサイバーセキュリティ局を率いた。ホワイトハウスで着任からわずか数週間後、2021年5月に発生したコロニアル・パイプライン・ランサムウェア事件は、米国政府のオンライン犯罪者への重点を永遠に再編することとなった。それから約3年間、国家安全保障会議(NSC)における彼女のオフィスは、バイデン政権によるサイバーセキュリティに関する主要な大統領令と、最近の人工知能(AI)に関する大統領令の両方の推進に貢献してきた。
先週ミュンヘン安全保障会議に出席するニューバーガー氏は、WIREDのインタビューに応じ、現在オフィスで最優先事項となっている新興テクノロジー問題について語った。ジョン・ディア社のトラクターのブロードバンドニーズから、イスラエルにおけるハマスによる攻撃が交通カメラによる新たな国家安全保障上の脅威を如実に示していたこと、自動運転車のソフトウェアパッチに関するセキュリティ上の懸念、AIによる脅威の進化、量子耐性暗号の推進、そしてランサムウェア攻撃対策の今後の取り組みまで、多岐にわたる。本インタビューは、長さと読みやすさを考慮して若干の編集を加えている。
WIRED:あなたのような仕事をしている人はよく「夜眠れないのはなぜですか?」と聞かれますが、私は逆に聞きたいです。最近、よく眠れるようになった理由を一つ教えてください。以前はもっと心配していたのに、今はそれほど心配しなくなった問題や脅威は何ですか?何か改善されていることはありますか?
アン・ノイバーガー:ありがたいことに、1 つ以上あるので、3 つ挙げさせていただきます。
まず、私たちは長年、重要インフラに対する破壊的なサイバー攻撃を懸念してきました。パイプライン、発電所、銀行は民間企業が所有・運営しているため、歴史的に政府と企業の間で自主的な情報共有パートナーシップに依存してきました。しかし、これらのパートナーシップは、必要な規模とスピードでサイバーセキュリティの改善という成果を達成していません。米国東海岸の主要パイプラインが6日間オフラインになったコロニアル・パイプラインへのサイバー攻撃は、いかに大きな変化が必要だったかを如実に示しました。大統領の支援を得て、私たちは新たなアプローチを採用しました。既存の安全規則をサイバーセキュリティに適用できるように解釈することで、規制当局に行動力を与えるのです。現在、このアプローチは、全国のパイプライン、空港、航空会社、鉄道、エネルギーシステム全体におけるサイバーセキュリティの大幅な改善を推進しています。
2年前、私たちはパイプライン対策から着手しました。ホワイトハウスで機密情報に関するブリーフィングに全米のCEOを招き、行動を促しました。そして今、DHS(米国土安全保障省)とTSA(運輸保安局)から提供されたチャートがあります。これは、国内の重要なパイプライン97本を追跡し、それぞれのサイバーセキュリティ評価とTSAが義務付けた改善の進捗状況を示したものです。このモデル、そして企業との緊密な連携によって、現場で変化がもたらされると確信しています。私たちは規制当局や企業と協力し、あらゆる重要インフラセクターにこのモデルを拡大していく予定です。
このプロセスは、セクターごとに成熟度が異なります。これは、DHS/CISA(米国サイバーセキュリティ・インフラセキュリティ庁)が脆弱性とサイバーセキュリティ対策について情報発信している取り組みを基盤としており、規制当局を関与させることで、現場への影響を確実に把握できるようにしています。サイバーセキュリティの要件は特定のセクターに合わせて調整されています(水道システムは鉄道信号システムとは異なります)。しかし、基本的な実践の一部は同じです。運用規模のシステムをデフォルトのパスワードでインターネットに接続すべきではありません。
これは私たちのアプローチ全体の転換であり、既存の規制当局の力を借りて実現しました。サイバー問題を単独の問題として扱うのではなく、システムの専門知識を活用し、執行措置と連携させています。これは現在も進行中の取り組みです。より迅速かつ効果的に進めたいと考えています。特に議会において、監督官が望ましい成果を実際に達成するためには、執行面にも資金を投入する必要があることを理解できるよう、啓発活動を行う必要があります。
これが、今回の変化が奏功し、顕著な進歩を遂げた点の一つです。改善が見られる二つ目の分野は、「資金の追跡」です。これは、仮想通貨を通じたマネーロンダリングへの対策です。マネーロンダリングは、特に北朝鮮をはじめとする各国によるサイバー攻撃や、ランサムウェアなどの犯罪行為を助長しています。9.11以降、情報機関と財務省は、ハワラ・システムにおいて、世界的なマネーロンダリング対策を回避している資金移動が存在することを認識しました。時間をかけて、私たちは可能な限りの対策を講じてきました。仮想通貨についても、世界中の国々や金融機関と協力しながら、同様の対策を講じています。
これには、米国政府全体の代表者を集めたFBI内に仮想通貨標的対策チームを設立し、ツールと分析能力を装備すること、VASP(仮想資産サービスプロバイダー)、ブロックチェーン分析企業などとの緊密な関係構築、そして特に韓国や日本といった新たな国際的パートナーシップの構築も含まれています。北朝鮮がハッキングで数十億ドル相当の仮想通貨を盗み出し、それをミサイル計画の資金源にしていることを考えると、これは彼らにとって個人的な問題です。北朝鮮は2023年に、これまでのどの年よりも多くの高性能ミサイルを発射しましたが、仮想通貨ハッキングがその資金源となっています。まだ開発途上ではありますが、新たな人脈、ツール、そして緊迫感によって、全員が活気づいています。最近のハッキング事件が発生した際には、FBI捜査官が夜通し情報収集にあたり、情報機関は関係を構築していました。そのため、外国政府からの支援が必要な場合は、電話で対応できることを私たちは知っていました。暗号通貨のKYCおよびAML(顧客確認およびマネーロンダリング防止)の実施に関しては、財務省がトレーニングを提供し、各国がそれを導入できるよう支援しています。
これが2つ目です。最後に国際的な取り組みとして挙げたいのは、ランサムウェア対策イニシアチブ(CRI)です。これはサイバーセキュリティにおける国際協力を一変させました。2021年10月にホワイトハウスが立ち上げて以来、56カ国が協力しています。各国がTTP(戦術、技術、手順)を共有し、ランサムウェア攻撃発生時に支援を要請できるプラットフォームも立ち上げました。CRIは初めて政策声明を発表し、各国政府は身代金を支払わないと発表しました。これは、国際サイバー協力においてこれまで経験したことのない、運用面と政策面でのパートナーシップです。私たちは意図的にサイバー犯罪に焦点を当てています。なぜなら、「中国の活動に対抗している」「イランの活動に対抗している」「ロシアの活動に対抗している」などと言うと、一部の国は尻込みしてしまうからです。私たちはサイバー犯罪に焦点を当てています。サイバー犯罪の多くがどこに潜んでいるかは、誰もがひそかに知っています。私たちは、国際空間において切実に必要とされていた運用政策パートナーシップを構築し、能力構築を調整してきました。
10月31日には、約40カ国が「身代金を支払わない」と表明しました。攻撃や脅威の運営者に関して、この発表は何か影響を及ぼしていますか?
XとYを結びつけるのはいつも難しいものです。チームが各国で承認を得るために活動していく様子を見るのは、刺激的でした。サイバー空間が豊富な国と乏しい国の格差、そして世界中の企業や人々に影響を与えるサイバー犯罪との戦いにおいて、私たちが他国にどれだけ貢献できるかが明らかになったからです。ブロックチェーン分析の講座を複数回実施しました。各国が2日間のランサムウェア対策イニシアチブの会合に集まった3日目には、ブロックチェーン分析に関する半日ワークショップと、デジタルフォレンジックに関する半日ワークショップを自主的に実施しました。予想通り、ラテンアメリカ、アフリカ、アジアの大部分、そしてヨーロッパの一部の国から、ほぼ全ての国が参加しました。このように、私たちが直接的に貢献できる影響を目の当たりにするのは、非常にやりがいを感じます。
イランが米国の水道システムを標的にしているという最近の警告と、国家情報長官による世界規模の年次脅威評価で中国が米国の石油・ガスインフラを標的にしていると具体的に言及されたことを受けて、政権は重要インフラへの侵入についてより率直な姿勢を取ろうとしているように見えます。これまでよりも公にこれらのコメントを発表するという決定の背景には、どのような戦略があるのでしょうか?
私たちの戦略には2つの目標があります。1つ目は、これらの声明には常に実践的なサイバーセキュリティのアドバイス、つまり安全を確保するために必要な行動を添えることです。そして、それを重要インフラ企業やサイバーセキュリティ企業による行動喚起と組み合わせることです。米国の重要サービスの規模を考えると、これはメッセージを発信する良い方法です。これらの製品の作成にあたり、CISA、FBI、NSA、そして複数の外国情報機関との緊密な連携を特筆したいと思います。
これらの発表は、サイバー分野における国際的なパートナーシップの構築にも役立ちます。なぜなら、中国はインド太平洋地域における主要な同盟国やパートナー国を標的としているからです。情報発信の一環として、日本、台湾、韓国との緊密な二国間パートナーシップを通じて、非公開のブリーフィングも行っています。この助言は彼らにも有効であり、私たちはそのように情報を共有しています。
同時に、より広範なアプローチの一環として、中国に対し、大統領、ジェイク・サリバン(国家安全保障問題担当大統領補佐官)、アントニー・ブリンケン国務長官がそれぞれ伝えたように、重要インフラに対するいかなる破壊的なサイバー活動もエスカレーションと見なすと伝えました。予想に反して、国家の優先課題と考える分野への関与は控えるという姿勢は、むしろエスカレーションと捉え、それに応じた対応を取るとしています。これもメッセージの一部です。「我々はこの状況を認識しています。防衛関係者に対し、これはデジタルドアを閉めるための行動喚起だと伝えていますが、中国へのメッセージの一環として、我々はこれを真剣に受け止めています」と伝えることもメッセージの一部です。
紅海での船舶攻撃、ヨルダンでのドローン攻撃による米兵3名の死亡、そしてイスラム革命防衛隊への報復空爆を受けて、米軍は中東でイラン支援のフーシ派反政府勢力と交戦しています。イランの新たな動きについて懸念はありますか?
イランによる水道システムへの攻撃は、私たちが「これはイラン政府であり、『ハクティビスト』ではない」と公言し、「皆さん、もっと厳しくしなければなりません。本当に?アメリカ人の水道を守るシステムのデフォルトパスワードが1111になっているなんて?」というガイドラインを発表した後、止まりました。その後、イランによる米国へのサイバー攻撃は確認されていません。この地域の他の国々に対する攻撃は確かに確認されていますが、米国に対する攻撃は確認されていません。しかし、状況はいつでも変わる可能性があることを私たちは知っています。
10 月 7 日のイスラエルでのハマスによる攻撃と中東での紛争の展開を受けて、物理的な運動空間での活動はサイバーに対するあなたの考え方をどのように変えましたか?
ロシアによるウクライナ侵攻、ハマスによるイスラエルへの攻撃、そしてイランのサイバー活動は、サイバーが今日のあらゆる紛争の一部となっていることを示しています。これには、ロシアがドローン攻撃の一環としてウクライナの街頭カメラを標的にしたことや、ヒズボラが物流の動きを監視するために道路カメラを標的にしたことなど、独創的なスパイ活動が含まれます。私たちの家庭、街路、都市には、インターネットに接続されたデバイスが数多く存在しており、かつて考えられていたサイバーセキュリティからどれほど進歩してきたかを浮き彫りにしています。私たちは、道路交通カメラを国家安全保障のインフラと必ずしも考えていません。現実には、国境付近、あるいは防衛物流拠点付近に交通カメラがあれば、それは情報収集の好機となります。これらのカメラの安全確保は、国家安全保障上の優先事項である必要があります。
サイバートラストマーク・プログラムは、IoTデバイスの数を、管理可能な方法で拡大していく上で重要な役割を果たします。このプログラムは、特にEUと締結したばかりのように、他の国々と協定を展開し、市場を可能な限り拡大していく上で、私たちの最も重要な取り組みの一つです。
もう一つ私たちが目にしたのは、スパイ活動と効果のトレードオフです。集中的なサイバー攻撃を仕掛けると予想していた諜報機関が、実際にはそうしなかったのです。私たちはこれを分析した結果、「これらのプラットフォーム上でのスパイ活動は非常に価値があったため、ダウンさせる価値はなかったかもしれない」と考えました。むしろ、そこから情報を集めることの方が重要だったのです。
話題を変えて、全体像と新たな課題についてお話ししましょう。あなたのオフィスは、バイデン政権のAIに関する大統領令の策定に大きな役割を果たしました。そこで注目すべき点は何でしょうか?
まず、全体像から見ていきましょう。AIは、私たちが可能性と危険性を同時に認識している典型的な例です。私たちの仕事は、AIを社会の利益と国家安全保障のために真に活用する方法を見つけ出すと同時に、最初からリスクに真摯に対処し、アメリカ国民が私たちの取り組みに安心感を持てるようにすることです。
3つの例を挙げましょう。教育分野では、学生がChatGPTを使ってエッセイを書き、学習に支障をきたすのではないかと大学は非常に懸念しています。一方、30人の生徒がそれぞれ異なる学習スタイルで学んでいる教室を考えてみましょう。私自身も2人の子供を見ていますが、それぞれ学習スタイルが異なります。ですから、教師がAIを活用して学習スタイルに基づいて学習をカスタマイズできる機会は非常に魅力的です。私たちは、AIを活用しつつ、その分野で子供たちを守るために、その両方を実現する方法を見つけ出す必要があります。
音声クローンの分野では、もう一つの有望な例として、夫と私はALS患者のための「音声バンキング」を行う慈善団体に関わっています。ALS患者が話す能力を失い、まばたきや頭をぶつけることでしかコミュニケーションが取れない場合でも、家族はそれらの動作を音声に変換して受け取ることができます。これにより、家族はまるで生きている人間のように、家族の一員がまだそこにいるかのように感じることができるのです。
一方、ニューハンプシャー州ではバイデン大統領のフェイク音声が見られました。テイラー・スウィフトのAIフェイクがソーシャルメディアに溢れかえりましたが、これは別の種類のディープフェイクです。実は、同意のない性的な画像に関する別の取り組みも検討しており、自発的な取り組みを求める可能性もあるのですが、今はそれについては触れないことにします。
先週、音声クローンに関する会合をここで開催し、主要な通信会社、主要な研究者、この分野の学術研究者(バークレーのハニー・ファリド氏など)、そしてFCC(連邦通信委員会)とFTC(連邦取引委員会)を招きました。FCCはこの取り組みに積極的に取り組んでおり、FTCは、この分野で何が実現可能かについて議論するコンテストを開催し、85件の応募がありました。通信業界がスパム電話対策に取り組んできた歴史を踏まえ、非常に優れたアイデアがいくつか出てきました。
そして3つ目に、サイバーセキュリティの分野では、AIモデルを活用して個人がより安全なコードを書くのを支援する可能性があります。GitHub上のコードの約46%がAIによって生成されたというデータがあります。しかし、もしそれが既存のコードで学習されたものであれば、良い面と悪い面が混在することになります。もし、より安全だと分かっているコードと、それを識別するマルウェアで学習されたものであれば、経済を支えるより安全なコードを生成する上で大きな変化をもたらす可能性があると考えています。一方で、脆弱性を見つけるように学習されたモデルもあります。これには長所と短所があります。
悪意のある攻撃者がAIを利用してマルウェアをより迅速に構築していることは既に確認されています。だからこそ、AI駆動型防御を活性化させるためのDarpa AIサイバーチャレンジや、AI自律エージェントを活性化させるためのDarpaのCASTLEプロジェクトのような取り組みは、常に一歩先を行くために非常に必要なのです。
あなたの仕事の観点から、人々が注目していない AI に関する大統領令の最も重要な部分は何だと思いますか?
重要インフラ規制当局向けに実施しているリスク評価、つまりAIモデルの導入による重要インフラへのデルタリスクについて言及したいと思います。例えば、列車運行の最適化や水道システムの塩素処理の最適化といった観点から、大雨後の最適な状態、風邪などの季節ごとの最適な状態を判断するように訓練されたモデルが存在するかもしれません。そして、そのようなモデルを導入する前に、訓練に使用するデータやレッドチーム演習の基準などが確立されていることを確認する必要があります。これは、サイバーセキュリティで学んだ教訓を活かす上で非常に重要な方法だと考えています。
2023年に、私たちは重要インフラにおいて初めて、義務付けられた最低限のサイバーセキュリティ対策を展開する予定です。私たちは、これを実行する最後の国の一つです。
これらのモデルを展開する前に、レッドチーム、テスト、人間参加を組み込むことは、サイバーセキュリティから学んだ重要な教訓であり、私たちはそれを AI 分野で生かしたいと考えています。
AIに関する大統領令において、規制当局は、既存の規制(例えば安全性に関する規制)がAIを取り巻くリスクをどの程度考慮しているか、そしてどのような点で差異が生じているかを判断することが求められました。これらの最初のリスク評価はすでに提出されており、私たちはそれを議会の作業に役立てるとともに、先ほどお話しした規制当局が実施しているサイバーセキュリティの最低限の実践にどのように組み込むかを検討していきます。
脅威アクターが米国への攻撃にAIを実際に利用し始めている地域はどこですか?脅威アクターが既にこの技術を展開している地域はありますか?
先ほど、音声クローンとディープフェイクについて触れました。一部の犯罪者、あるいは一部の国が実験を行っていると言えるでしょう。犯罪行為を促進するとされるFraudGPTもご覧いただきました。現時点で私たちが公開しているのは、ほぼこれだけです。
最近、自動運転車に力を入れているようですが、なぜ興味を持ったのですか?
検討すべきリスクは山ほどあります。収集されるデータ、パッチ適用、つまり一括パッチ適用など、何百万台もの車にソフトウェアパッチを適用する前に、安全性を確認するためのチェックを行うべきでしょうか?政権は、意見を求めるとともに、新たな基準の必要性を評価する取り組みを進めています。そして近い将来、理想的には欧州の同盟国と協力して、これらの基準をテストする計画を策定できる可能性が非常に高いでしょう。これは私たち双方にとって重要な問題であり、「先手を打とう」という姿勢を示すもう一つの例です。
AVではすでに大量のデータが収集されています。例えば、いくつかの州では中国製の車種が走行してデータを収集することを許可しています。私たちはこれを検討し、「ちょっと待ってください。軍事基地や機密性の高い施設の周辺でこのようなデータ収集を許可する前に、もっと慎重に検討したい」と考えています。私たちは、どのようなデータが収集されているのか、どのようなデータが収集されても問題ないのか、そしてアメリカ車と外国車の安全な製造を保証するためにどのような新しい基準が必要なのかという両方の観点から関心を持っています。かつて自動車はハードウェアでしたが、今では多くのソフトウェアを含むように変化しており、セキュリティと長期的な安全性に対する考え方を根本から見直す必要があります。
周波数帯についても多くの取り組みをされていらっしゃいますね。昨年は6G規格に関する大規模な会合も開催されましたね。今後の取り組みはどのようにお考えですか?また、今後の展開についてお聞かせください。
まず、国内と海外の両方の側面があると思います。これは、無線通信が経済成長の中核を成すという根本的な信念に基づいています。スマート製造工場における製造ロボットもその一つです。先日、CESに行ったのですが、ジョンディアがスマートトラクターを展示していました。このトラクターは、コネクティビティを活用して天候に応じて灌漑を調整します。CESの会場で、農業にAIを統合するには、米国の周波数帯域に関する政策の変更が必要だと指摘されていました。私は「理解できません。アメリカのブロードバンド計画は地方にまで展開するものですから」と言いました。すると彼は「ええ、農場に展開するわけですが、コネクティビティのない広大な畑があります。これをどうやって実現するのですか?」と言いました。まさか、トラクターの話を会場でしているときに、周波数帯域について指摘されるとは思っていませんでした。しかし、これは私たちがやりたいことの核心であることを示しています。嵐の後にドローンで電力インフラを監視し、回線がダウンしているかどうかを判断し、メンテナンスをはるかに効率的にするという大きな可能性を秘めており、そのすべてにコネクティビティが必要です。
我が国の周波数帯は混雑し、競争が激化しています。最も利用可能な周波数帯のほとんどは既に使用されています。最大の利用者は米国政府、国防総省です。これは歴史的に見て、弾道ミサイル防衛、訓練、そして将来の衛星接続など、非常に多くのプラットフォームを抱えているからです。国家スペクトル戦略では、周波数帯に対する戦略的なアプローチが必要だと提言しました。軍事コミュニティの国家安全保障はイノベーションに大きく依存しており、スターバックスのWi-Fiから大規模な周波数オークションまで、企業がこの分野でイノベーションを起こす必要があるからです。
戦略的なアプローチが必要です。周波数利用の規模が膨大であるため、複雑な問題です。1年前のクリスマスには、5Gをめぐって航空業界と通信業界の間で争いがありました。ご存知の方もいらっしゃるかもしれませんが、国家スペクトル戦略(NSPS)には、今後これらの紛争をどう解決していくかについての大統領覚書が含まれていました。飛行機に乗るアメリカ人が不安を感じるのは誰も望んでいないからです。今後はホワイトハウスがこれらの紛争を直接管理することになります。私たちは多くの時間を費やして関係機関を招集し、これらの問題は非常に難しく、非常に技術的なため、協力して解決する必要があると訴えています。これは私たちのイノベーションだけでなく、世界的なリーダーシップの核となるからです。
国家スペクトル戦略が国連世界ラジオ会議の直前に発表されたのは偶然ではありません。4年に一度のこの国際会議に戦略を盛り込むという意図的な意図があったからです。各国はこれに沿って結束することができます。結局のところ、最大の市場こそが正しいアプローチを確立するからです。私たちと中国が会議に臨むとき、私たちに同調する国々は「はい、どの帯域で企業を建設させるか、私たちも同意します」と言うのです。
国際的な側面としては、トランプ政権が5Gへの抵抗を本格的に開始したことです。私たちの戦略における大きな課題は、(中国の5G規格に代わる)選択肢がなかったことです。「ファーウェイ、国家安全保障上のリスクを負っている。貴社の知的財産権や国家機密が盗まれる可能性がある」と訴えることができました。しかし、多くの国が私たちを見て、「わかった。でも、ファーウェイは30%も安い。どうするつもりだ?」と聞いてきました。インドとのパートナーシップを強力に推進してきました。インド、中国、そして米国は3大通信市場であり、インドは大規模な通信技術革新を誇っています。彼らは5Gの大規模な展開を実現しました。米国とインドが戦略的アプローチで足並みを揃えれば、世界市場を牽引し、世界的なイノベーションを推進できると確信しました。そのため、2つのタスクフォースを立ち上げました。1つは通信事業者との政府間タスクフォース、もう1つは6Gに特化したタスクフォースです。標準化作業に直接参加し、協力して取り組みたいと考えていたからです。私たちはその分野で共同で革新を起こしています。
CHIPs法に基づき、商務省は15億ドルのオープンイノベーション基金の設立を発表しました。オープンスタンダードに基づく5Gを強力に推進する理由の一つは、より多様なプレーヤーの参加を可能にするためです。商務省は先日、大規模で透明性の高い相互運用性試験の実施に多額の助成金を交付しました。これにより、世界中の通信事業者が様々な機器を用いて試験を実施できるようになります。これにより、アメリカ企業が現場に積極的に参加できるようになり、これまでイノベーションが不足していた通信業界にイノベーションをもたらすことができます。デジタルインフラは、同盟国の経済力の中核を成すものです。
最後に、量子の問題にも取り組んでいらっしゃいますが、それについてはどのようなお考えをお持ちですか?
米国における耐量子暗号の展開について、私たちは真剣に検討しています。暗号技術のアップグレードには10年かかります。NIST(米国国立標準技術研究所)は今春、一連の標準規格の最終版を発行する予定です。大統領の国家安全保障覚書(NSM)第10号では、米国政府が暗号資産の目録から着手し、その取り組みを開始することが発表されました。また、兵器システムと国家安全保障情報の移行はすでに開始しています。現在、私たちは世界中の同盟国と緊密に協力し、量子技術の革新に取り組んでいます。そして同時に、この移行を開始する必要があると主張しています。結局のところ、暗号技術はすべてのサイバーセキュリティの基盤となるからです。今後数週間のうちに、主要企業をホワイトハウスに招集し、国家移行計画について議論する予定です。
重要なインフラストラクチャ標準の取り組みにおける次のステップは何ですか?
間もなく、沿岸警備隊に港湾の物理的な規則に加えて、サイバーセキュリティの規則を定める権限を与える大統領令が公布される予定です。実質的には既に署名済みですが、公的な規則制定の通知を発行したいと考えていたため、準備は万端です。今後2~3週間で明らかになるでしょう。HHS(米国保健福祉省)―メディケアとメディケイドには、病院向けの「参加条件」と呼ばれるものがあります。これは基本的に、床に血がこぼれた場合、どのくらい迅速に清掃しなければならないか、看護師はどのくらい迅速に通報に対応しなければならないかといった規則を定めています。これまで、サイバーセキュリティに関する規則はありませんでした。HHSは今、病院向けのサイバーセキュリティ規則に関する最初の「参加条件」を発表しようとしています。そこに至るまでには、実に2年もの歳月が費やされました。
病院に対する大規模なランサムウェア攻撃が繰り返されたことで、医療業界は自らの問題を真に認識したと思います。私たちは米国病院協会や保健福祉省(HHS)と連携し、私たちが持つ権限を活用すべく、積極的に働きかけてきました。しかし、それは画期的な方法で行われなければなりません。慎重に、思慮深く行う必要があります。そして、一部の分野、特にCISA(情報セキュリティ専門家)部門には、権限を付与する権限が不足しており、議会に働きかけて権限を付与してもらわなければなりません。まさにまさに、まさにこの取り組みがこれから始まる分野です。例えば、911番通報(911)です。信じられないかもしれませんが、まさにまさに、権限付与の能力が求められている分野です。
