中央集権か、分散か? 米サイバーセキュリティ対策組織トップの辞任



 米政府機関の情報システムをサイバー攻撃から守る組織のトップが突然、辞任した。米国土安全保障省(DHS)国家サイバーセキュリティセンター(NCSC)の局長だったRod Beckstrom氏の辞任が明らかになったのは3月上旬。就任から1年足らずのことである。背景には官庁の縄張り争いがあり、同時に中央集権の国家と、分散・コラボレーションを重視するネット業界の考え方の違いも浮かび上がってくる。


 NCSCは、George Bush前大統領が政府の情報システム保安を目的にDHS内に設立した新組織だ。DHS、国防省(DoD)、国家安全保障局(NSA)、連邦捜査局(FBI)などの連邦政府組織のITセキュリティを担当する役割で、2008年1月に設立された。そのトップには、同3月、シリコンバレーの起業家であるBeckstrom氏が任命された。

 Beckstrom氏の辞任をいち早く報じたWired.comは、Beckstrom氏が上司にあたるDHS長官、Janet Napolitano氏に宛てて書いた辞表を入手してWebサイトで公開した。同氏はこのなかで、辞任の理由について、NCSCの資金不足と、NSAの支配という2点を挙げ、政府組織を強く批判している。

 まず資金不足では、NCSCが、国家のサイバーセキュリティに直接責任を持つDHSにとっての唯一の機関であるのに、NCSCに提供された資金は、この1年間でわずか5週間分しかなかったという。

 そしてNSAについては、「NSAが国家のサイバーセキュリティの取り組みを独占している」と告発。「情報(諜報)文化はネットワークオペレーションやセキュリティの文化とは異なる」「1つの組織がトップレベルの政府ネットワークのセキュリティとモニタリングの両方を行うことは、民主的プロセスにとって大きな脅威」とし、こうしたことは“悪い戦略”であると非難した。

 その後、Forbes誌のインタビューを受けたBeckstrom氏は、辞任の理由がこの2点であったことを認め、「NSAのような情報環境では、情報を探し出し、集めてから分類する。これはコラボレーションとは正反対のやり方」と説明した。こうした不均衡のため、サイバーセキュリティでは不可欠となる民間セクターとの協業が難しくなったのだという。

 また、縄張り争いについて、Beckstrom氏は辞表のなかで、NSAが自分たちの本拠地であるメリーランド州フォートミードにNCSCを移転させるよう提案した点にも触れた。Wired.comによると、Beckstrom氏が辞表を書いた前の週には、Dennis Blair国家情報局長官が「サイバーセキュリティはDHSではなく、NSAが担当すべき」と議会で発言していた。


 Beckstrom氏は、Twikiなどのベンチャー企業を立ち上げた経歴を持ち、中央集権型と比べた分権型の優位性を説いた「The Starfish and the Spider」(邦題:ヒトデはクモよりなぜ強い 21世紀はリーダーなき組織が勝つ)の共著者としても知られる。Forbes誌は、セキュリティでも分権型アプローチをとろうと試みたBeckstrom氏が、中央集権的な権力をふるおうとするNSAと対立した、と分析している。

 一方、DHSの広報担当はWired.comの取材に対し、「(Beckstrom氏が)なすべきことをせず、チームプレイができなかった」とコメント。原因がBeckstrom氏側にあったとの見解を示している。


 中央集権か分散かという問題は組織・経営論だ。だが、話が国家サイバーセキュリティ対策となると、民間企業とはまったく違った問題を含んでいる。NSAが諜報機関であることを懸念する声も多い。

 NSAの第一の役割は情報収集だ。セキュリティの一人者、Bruce Schneier氏は「システム保護と傍受という2つの役割は衝突する」とComputerworldに語っている。たとえば通信をモニタリングできるWindowsの脆弱性を発見した場合、「(NSAは)修正するだろうか? それとも利用するだろうか?」(Schneier氏)。

 Microsoftの“信頼できるコンピューティング”担当副社長のScott Charney氏も、3月10日に開かれた公聴会で、NSAに権力を集中することを問題視している。Computerworldによると、Charney氏は「透明性のある形でサイバーセキュリティを行うのであれば、このミッションはNSAでは無理だ」と証言している。

 元FBI長官のLouis Freeh氏も3月12日、「FOSE 2009」のスピーチ中にBeckstrom氏の意見に同意し、NSAが単独でサイバーセキュリティ対策を行うことに反対した。CNETによると、Freeh氏は、Beckstrom氏が提示した問題は古くからある問題だと指摘。サイバーセキュリティでは、Obama大統領が直接リーダーシップを取るべきだいう考えを示したという。


 そのObama大統領は今年2月、サイバーセキュリティに関する60日間のレビューを命じており、当面はこの結果に注目が集まりそうだ。CNETなどによると、3月10日の公聴会でも、サイバー・セキュリティ小委員会のYvette Clarke委員長がBush政権の強制力不足が失敗を招いたと指摘。「強制力がないと戦略は実装されない」とコメントし、レビューを待つ考えを示したという。なお、DHSは3月11日、Microsoftのシニアセキュリティ戦略担当Philip Reitinger氏を国家保護・プログラム理事会の副次官に任命している。

 DHSのサイバーセキュリティの取り組みは以前から議論の対象となっている。NSAまたはCIA(中央情報局)が担当すべきという意見は新しいものではない。だが、こうした議論が続く間にも肝心の取り組みが遅れていることを、第三者機関からも指摘されている。

 3月10日にMarkle FoundationのMarkle Task Forceが発表したサイバーセキュリティ報告書「Nation At Risk: Policy Makers Need Better Information to Protect the Country」によると、2001年の9.11事件後、政府がサイバーセキュリティへの取り組みを強化しているにもかかわらず、システムはいまだに脆弱だという。報告書では、脅威についての情報を共有すること、政府全体の取り組みを統括するリーダーシップを構築することなどを推奨している。

 サイバー空間が、国家間の戦い、“テロリストとの戦い”でも重要な戦場となり、Obama大統領は2010年の政府予算で、サイバーセキュリティに3億5500万ドルの枠を設けている。この分野でもObama政権のかじ取りは注目されている。

関連情報
(岡田陽子=Infostand)
2009/3/16 09:14