米政府のサイバーセキュリティ指針公表　実効めぐって議論

　米政府が、1年がかりで作成を進めてきたサイバーセキュリティのガイドライン「Framework for Improving Critical Infrastructure Cybersecurity」が完成した。サイバー攻撃は、もはや戦争の様相を見せており、公的機関や企業のインフラを守る体制づくりは急務となっている。重要なインフラのセキュリティを強化するため、大統領の肝いりで作成されたガイドラインだが、効果には懐疑的な意見も多い。

サイバーセキュリティのガイドライン

　「重要なインフラのサイバーセキュリティを改善する必要がある」という危機感の下、オバマ大統領は2013年2月12日に大統領令（Executive Order）を出した。それまでサイバーセキュリティ対策を義務づける立法の方向を探ってきたが失敗したため、指針の作成に切り替えたものだ。以来、商務省下にある米国立標準技術研究所（NIST：National Institute of Standards and Technology）が主導する官民の取り組みとして、このフレームワークを開発した。全部で3000以上のセキュリティ専門家や企業が貢献する大規模なプロジェクトになったという。

　41ページからなる文書は、既存のグローバル標準やベストプラクティスを集めた内容となっている。サイバーセキュリティのリスクを管理するというリスクベースのアプローチという姿勢をとり、コア、実装層、プロファイルの3つで構成される。中核のコアはセキュリティ対策に必要な機能（識別、保護、検出、対応、復旧）を定義し、各機能ごとにカテゴリを設け、標準、ガイドライン、ベストプラクティスを紹介する。これによって企業は、サイバーセキュリティの活動とその結果を、実装や執行の担当部門に伝えることができるという。

　実装層は、自社のリスク管理の観点から実装すべきレベルを4段階の層から選択して、必要なアプローチとプロセスを把握できる。プロファイルは結果にフォーカスしたもので、現在のプロファイルとターゲットプロファイルを知り、サイバーセキュリティ対策の効果を知ることができるという。

　NISTによると、どこからサイバーセキュリティ対策を始めてよいか分からない企業にはロードマップを、すでに対策に乗り出している企業にはサプライヤーなどの取引先向けのガイドラインを提供。また、米国以外の企業もセキュリティ対策の評価や改善に利用できるとしている。

　この成果にはオバマ大統領も満足しており、「（サイバーセキュリティにとっての）転換点になる」と胸を張っている。