米政府のサイバーセキュリティ指針公表　実効めぐって議論

強制力がない

　オバマ政権は、エネルギー、食品・農業など16の産業を重要なインフラと位置づけており、今後、該当する産業にフレームワークの受け入れを促す考えだ。一方、強制力を持たない指針であることから、効果には懐疑的な空気も強い。「標準が要求する責任を懸念する産業界が、自主的なフレームワークをどれだけ広く受け入れるのかは疑問」（Reuters）などが代表的な見方である。

　だが、期待する声もある。InformationWeekで行政とITを担当するWyatt Kash氏は「奨励策はないが、企業や株主にとっては最善の利益に訴求するに足る」「法制化せずとも、米国の弁護士や政治家にとっては、企業のサイバーセキュリティのデファクト標準になるだろう」と述べ、強制力がないことは、それほど問題ではないとみる。

　確かに、フレームワークの完成はそれなりの歓迎も受けている。産業界には当初、反発する動きもあったというが、サプライチェーンに安全対策を要求する際の指針になると述べたAT&TのCEOをはじめ、テレコムや財務系の企業が好意的だとReutersは伝えている。

　セキュリティ責任者向けのWebサイトCSOも幅広い意見を集めているが、「このガイドラインは柔軟な構造を持ち、企業は情報セキュリティ保護プログラムを改善し、リスクを管理できる」（製造のRockwell Automation）、「まだレビュー中だが、セキュリティという重要な課題に対してNISTと政府が無線業界と共同で作業したことを高く評価したい」（当初難色を見せた無線通信の業界団体CTIA）といった評価もある。

　フレームワークについては、こうした実効性のほかに内容面の問題もいくつか提起されている。例えば、セキュリティコンサルのWaterfall Security Solutionsの幹部は「“ファイアウォール”という言葉さえ用いていない。それぐらい抽象的だ」と批判している。半面、「技術に踏み込んではいないが、ガバナンスと行動をきちんと示している」（ITセキュリティベンダーQualysの幹部）と評価する専門家もいる。

　Information Weekは、同フレームワークが「既存のベストプラクティスと標準の寄せ集め」であり、サイバーセキュリティを前進させるものではない、との指摘も紹介している。なお、NIST側は、これを“生きたドキュメント”としており、適宜更新していくと説明している。