FCCのジェシカ・ローゼンウォーセルは戦わずして辞任するつもりはない

米国が通信ネットワークから中国を追い出そうと躍起になる中、退任する連邦通信委員会の民主党委員長ジェシカ・ローゼンウォーセル氏は、共和党の後任が通信業界への強力な監視を維持することが極めて重要だと述べている。

中国政府は、少なくとも9社の米国通信会社に侵入し、米国民の通話やテキストメッセージ、そして法執行機関が使用する盗聴システムへのアクセスを可能にした「ソルト・タイフーン」と呼ばれるハッキング作戦の余波に未だに苦しんでいる。この作戦は、基本的なセキュリティ保護が欠如していたAT&Tの管理者アカウントを含む、米国通信事業者の驚くほど脆弱なサイバーセキュリティを悪用した。

前例のない通信事業者への侵入の再発を防ぐため、ローゼンウォーセル氏はFCCの任期末期を利用して、通信事業者向けの新たなサイバーセキュリティ要件を提案した。木曜日、委員会は僅差で彼女の提案を承認した。しかし、これらの規則は暗い将来に直面している。次期大統領ドナルド・トランプ氏が就任の準備を進めており、FCCの権限はトランプ氏の側近でローゼンウォーセル氏の規制案に反対票を投じたブレンダン・カー委員に移譲されるからだ。

トランプ大統領就任式の数日前に行われたインタビューで、ローゼンウォーセル氏は、規制こそがアメリカの通信セキュリティ危機の解決策の一つであると断言した。そして、通信事業者に自主規制を委ねることが解決策だと考える共和党員に対し、厳しいメッセージを送っていた。

「私たちは、我が国史上最悪の通信ハッキング事件と闘っています」と彼女は言う。「真剣に行動するか、しないかのどちらかです。」

「正しいこと」

ローゼンウォーセル氏の計画は2つの段階から構成されている。まず、FCCは、1994年の通信法執行支援法（CALEA）が通信会社に対し、盗聴に対応できるよう電話およびインターネットシステムを設計することを義務付けているのと同様に、改ざん防止のための基本的なサイバー防御策の導入も義務付けていると正式に宣言した。次に、FCCは、委員会の規制対象となるより広範な企業に対し、詳細なサイバーリスク管理計画を策定し、その実施状況を毎年証明することを義務付けることを提案した。

退任する会長は、この規則は壊滅的な攻撃に対する常識的な対応策だと述べた。

「2025年のアメリカにおいて、ネットワークに最低限のサイバーセキュリティ基準が満たされていないと知ったら、ほとんどの消費者は衝撃を受けるでしょう」とローゼンウォーセル氏は言う。「通信事業者に対し、計画を策定し、その計画に従っていることを証明するよう求めています。それが正しい行動です。」

これらの標準がなければ、「私たちのネットワークは将来、このような国家による脅威から必要な保護を受けられなくなるだろう」と彼女は付け加えた。

しかし、共和党が通信ネットワークに関する新たな規制を受け入れる可能性は低い。強力な通信業界はいかなる新たな規制にも断固として反対する傾向があり、共和党はこうした議論においてほぼ常に業界側に立つからだ。

現在商務委員会の委員長を務めるテキサス州共和党のテッド・クルーズ上院議員は、12月の公聴会でローゼンウォーセル氏の計画を「良く言っても応急処置、最悪の場合、重大な盲点を隠すもの」と評した。

先月ソルト・タイフーンを「深刻な懸念」と評したカー委員長は、共和党のネイサン・シミントン委員と共に、ローゼンウォーセル委員長の提案に反対票を投じた。カー委員長の事務所は、新規制に関するコメント要請には応じなかった。しかし、カー委員長はローゼンウォーセル委員長による通信業界への規制執行のアプローチを繰り返し批判し、権限の行き過ぎを非難するとともに、FCCは自制しなければ裁判所からの反発に直面することになるだろうと警告している。

カー氏がFCC委員長に就任すれば、ローゼンウォーセル氏の規制を撤回するための新たな採決を委員会に求める可能性がある。あるいは、共和党議員に委ねるという選択肢もある。共和党が多数派を占める議会は既にFCCの別の規則を撤回する計画を立てており、今回の規則もそのリストに加えることを喜んで受け入れるかもしれない。

ローゼンウォーセル氏は、自身の計画が過激だという見方を否定する。「車輪の再発明ではありません」と彼女は言う。新たなサイバー要件は、米国立標準技術研究所（NIST）とサイバーセキュリティ・インフラセキュリティ庁（CISA）による既存のコンセンサス標準に準拠することになる。

「左派からも右派からも、これは我が国史上最悪の通信ハッキング事件だとの声が上がっています」とローゼンウォーセル氏は言う。「真剣な対応が必要だ」

古い法律の近代化

ローゼンウォーセル氏の計画が直面する潜在的な課題の一つは、その計画が30年前に制定されたCALEAに依存しており、サイバーセキュリティについてはほとんど何も言及されていないことだ。

同法第105条は、通信事業者に対し、盗聴が「裁判所命令またはその他の合法的な許可に基づいてのみ作動される」ことを保証する義務を課しており、ローゼンワーセル氏はこれを通信ネットワークを不正アクセスから保護するための要件と解釈している。しかし、米国最高裁判所が最近、裁判所は政策の専門家である政府機関の判断に委ねるべきではないとの判決を下したことから、FCCがローゼンワーセル氏の計画を実行に移そうとする際に、業界からの訴訟に直面することはほぼ確実だろう。

カー氏がこの提案に反対したのも、その理由の一つかもしれない。彼はバイデン政権の技術政策とFCC自身の過去の措置を無効にする判決を繰り返し支持してきた。また、昨年7月の議会証言では、学校や図書館のWi-Fiホットスポットに対するFCCの補助金（議会が無効化を準備しているFCCのプログラム）に反対することで、法廷で不利な立場に立たされるリスクを指摘した。「最高裁の判決を受けて、裁判所は、議会が付与していない権限を通信法に読み込ませるFCCの判決に従うことはないだろう」と彼は述べた。

ローゼンウォーセル氏はCALEAの適用を擁護し、「一歩引いて、より広い視点から見なければならない」と述べている。第105条は、「すべての通信事業者は、自社のネットワークを不正アクセスや傍受から保護する法的義務を負っている」という結論を明確に裏付けている、と彼女は主張する。

委員長は、自身の提案がCALEAについての「現代的な考え方」であることを認めているが、その合法性を確保するためにスタッフが「法務顧問事務所と緊密に協力した」と述べている。

「これは、私たちが今いる状況と私たちが直面している脅威に見合った、正しく適切な法の解釈です」と彼女は言う。

町に新しい保安官がやってきた

FCC でローゼンウォーセル時代が終わり、カー時代に移行するなか、委員会と通信業界の関係がどのように変化するのか、そしてそれが企業のサイバーセキュリティ向上への取り組みにどのような影響を与えるのか、という疑問が残る。

企業は通常、共和党が率いる独立規制当局とより良好な関係を築く。共和党は業界への監督において不干渉主義的なアプローチを好む傾向があるからだ。こうした観点から、FCCによるネット中立性復活の試みが最近頓挫したことで同機関を激しく非難した通信会社は、カー委員長がFCCの「行き過ぎ」を抑制すると約束したことを歓迎するだろう。

しかし、この変化が、通信事業者によるサイバーセキュリティ対策強化への投資を促すインセンティブにどのような影響を与えるかは不透明です。セキュリティ専門家は既に、トランプ政権がバイデン政権時代の重要インフラ事業者に対するサイバー規制から撤退する可能性について懸念を表明しています。同様の傾向が、通信業界におけるFCCにも見られる可能性があります。

野心的な課題の不確かな未来

ソルト・タイフーンによる米国の通信システムへの侵入以外にも、ローゼンウォーセル氏の退任後、FCCがサイバーセキュリティにどう取り組むかについては多くの疑問が残る。

「私の在任期間の特徴の一つは、ネットワークセキュリティと国家安全保障を最優先に据えてきたことです」と彼女は語る。「私は長年FCCに関わってきましたが、私が在任中ほどこの問題がトップレベルで取り上げられたことはかつてありませんでした。」

ローゼンウォーセル氏の取り組みには、中国の無線通信会社による米国内でのサービス提供の禁止、外国の敵対国とつながりのある通信機器メーカーによる米国内での製品販売の禁止、そして米国の通信事業者が危険な機器を「撤去して交換」するのを支援する数十億ドル規模のプログラムの実施などが含まれていた。

ローゼンウォーセル氏の下、FCCはインターネットのトラフィックルーティングシステムのセキュリティ確保、海底ケーブルの改ざん防止、16年前のデータ侵害通知手順の更新に関する規則を提案したほか、プライバシーおよびデータ保護タスクフォースを立ち上げ、学校や図書館のサイバー防御強化を支援するパイロットプログラムを作成し、顧客の位置情報へのアクセスを販売した米国の大手無線通信事業者に罰金を科した。直近では、ローゼンウォーセル氏はホワイトハウスと協力し、FCCが運営するIoTデバイス向けのセキュリティラベリングプログラムを立ち上げた。

機器の撤去・交換プログラムは、特に野心的な取り組みです。米国の100社以上の無線通信事業者が、中国のファーウェイのようなリスクの高い企業製の機器を使用していると報告しています。しかし、ローゼンウォーセル氏は、最近議会から30億ドルの予算が承認されたこのプログラムは正しい方向に進んでいると確信しています。「通信事業者と協力して、これらの機器の撤去に取り組んでいます」と彼女は言います。

ローゼンウォーセル氏は、通信事業者が参加を拒否するのではないかと心配していない。「ネットワークにこの機器を導入すれば、FCCのプログラムから資金を得ることはできません」と彼女は言う。「まさにそこに、非常に強力なインセンティブがあるのです」。彼女は、このインセンティブは、連邦政府の補助金に大きく依存している、最も脆弱な組織、つまり小規模で地方の通信事業者にとって特に強力になると考えている。

米国サイバートラストマークとして知られるIoTラベリングプログラムは、家電製品におけるサイバーセキュリティの重要性について、消費者と企業の考え方を根本的に変えることを目指していることを考えると、さらに野心的と言えるかもしれません。しかし、ローゼンウォーセル氏によると、多くのメーカーは自社製品のテストと連邦認証マークの取得に「非常に期待している」とのことです。「彼らはこれを市場で自社製品を差別化する手段と捉えているからです」

消費者に関しては、ローゼンウォーセル氏は、すぐに安全性を重視した買い物をし始めるわけではないことを認めつつも、このプログラムを1992年に開始され、今では誰もが知る存在となったEnergy Starと比較しています。「これは反復的なプロセスです」と彼女は言います。「時間の経過とともに、独自の勢いが生まれていくでしょう。そして、今はまだ始まったばかりです。」

FCC指定の組織グループがプログラムの具体的な試験基準を策定する一方で、ローゼンウォーセル氏は、他国が独自のセキュリティラベルで先行する可能性があることを懸念している。韓国とシンガポールは2023年12月に、互いのラベルを相互承認する協定に署名した。米国と欧州連合も同様の相互承認に向けて取り組んでいる。「この種のラベルの開発をめぐっては、世界的に競争が繰り広げられるだろう」とローゼンウォーセル氏は語る。「米国は、この分野に時間とエネルギーと労力を投入すべきだと考えている。なぜなら、米国が主導権を握りたいと考えているからだ。」

「アナログ時代」からの脱出

FCCのトップとしての最後の日々が刻一刻と近づく中、ローゼンウォーセル氏は、ソルト・タイフーンがアメリカの繁栄を支えるシステムの驚くべき脆弱性をいかに浮き彫りにしたかということに心を奪われている。

「ネットワークセキュリティは国家安全保障です」と彼女は言います。「通信は私たちの日常生活のあらゆる活動に欠かせない要素です。安全な通信がなければ、医療、製造、エネルギー、交通など、あらゆる分野は成り立ちません。」

こうした依存関係により、外国政府のハッカーがこれらのネットワークの複雑さと不一致を悪用し、米国はますます危険にさらされている。

「ネットワークの一部は真新しいもので、インターネットプロトコルで運用されていますが、アナログ時代に構築されたものもあります」とローゼンウォーセル氏は指摘する。「このようなネットワークを商業主体が管理していることには、いくつかの問題があります。一部の機器や施設は更新されていません。」

共和党は、こうした脆弱性の補強を業界に任せようという誘惑に駆られるかもしれない。しかし、ローゼンウォーセル氏は、それは高くつく間違いだと指摘する。

「私たちには選択を迫られています」と彼女は言う。「将来このようなことが起こらないように行動を起こすか、それとも目を背け、指を交差させて、二度とこのようなことが起こらないように祈るか。私は希望を持つことは大切ですが、希望は計画ではありません。私たちが直面している脅威の規模を考えれば、現時点で希望だけに頼るのは無謀と言えるでしょう。」