情報セキュリティ専門家の一人は先週、米議会の小委員会で、米議会は新たな義務を設けるのではなく、民間企業がより強力なサイバーセキュリティ対策を導入するよう奨励策を講じるよう検討すべきだと述べた。
セキュリティ擁護団体インターネット・セキュリティ・アライアンスのラリー・クリントン会長兼CEOは、企業が確立されたベストプラクティスに従えば、サイバーセキュリティ問題の80~90%は解決可能であり、政府は中小企業向け融資、保険、表彰プログラムなどのインセンティブを提供することで支援できると述べた。
ここ数週間、一部の議員やサイバーセキュリティ専門家は新たなサイバーセキュリティ規制の導入を求めているが、急速に変化する分野において規制は固定的なものとなり、米国産業の競争上の不利を招く可能性があるとクリントン氏は指摘した。さらに、米国の規制は国境内に限られると付け加えた。
「これは国際的な問題だ」とクリントン氏は下院エネルギー・商業委員会の通信・技術・インターネット小委員会の公聴会で述べた。「より優れたシステム、21世紀のシステムが必要だ」
官民連携の促進
クリントン氏は、ジョージ・W・ブッシュ前大統領政権下では、政府は概して不干渉の姿勢を取り、民間市場のインセンティブを待ち望んでいたが、結局実現しなかったと述べた。政府は民間企業と協力して、賠償責任保護や調達優遇措置など、サイバーセキュリティへのインセンティブを提供する必要があると同氏は述べた。
「私たちがここで目指しているのは、民間組織が自らの経済的利益のためにサイバーセキュリティに継続的に投資したくなるような市場を構築することで、サイバーセキュリティの経済構造を変えることです」とクリントン氏は述べた。「そうして初めて、私たちが必要とする持続可能で進化し続けるサイバーセキュリティシステムを構築できるのです。」
クリントン氏と民主主義技術センターの上級顧問グレッグ・ノジェイム氏は名指しはしなかったが、両者ともウェストバージニア州の民主党上院議員ジェイ・ロックフェラー氏とメイン州の共和党上院議員オリンピア・スノー氏が4月1日に提出したサイバーセキュリティ法案を標的にしているようだ。
サイバーセキュリティ法は、とりわけ民間企業に対して強制力のあるサイバーセキュリティ基準を確立し、米国大統領がサイバーセキュリティの緊急事態を宣言し、侵害を受けた公共ネットワークと一部の民間ネットワークの両方をシャットダウンできるようにする。
ロックフェラー氏は3月の公聴会で、米国はサイバーセキュリティへの注力不足によって重大な結果に直面していると述べた。「私は(サイバーセキュリティを)非常に深刻で深刻な問題だと捉えていますが、我々は十分な注意を払っていません」と当時述べた。「問題は、米国が受け入れがたいほど大規模なサイバー犯罪にさらされていることです。」
パワーバランス
しかし、政府に民間ネットワークの閉鎖、ひいては民間ネットワーク上のトラフィック監視を認めることは、政府に過大な権限を与えることになるとノジェイム氏は述べた。こうした権限は、米国における言論の自由の是非を問う問題を引き起こすだろうと同氏は述べた。
「パイプラインの制御システムのセキュリティ確保に適切な対策が、インターネットのセキュリティ確保には必ずしも適さない可能性がある」とノジェイム氏は付け加えた。「政府は民間ネットワーク自体を監視するべきではないし、民間部門の侵害された情報システムへのインターネットトラフィックを遮断するべきでもない。」
大統領が民間システムをシャットダウンできるなら、その権限を強制力として行使できるだろうとノジェイム氏は述べた。「我々の知る限り、民間の重要インフラシステムへのインターネットトラフィックを遮断するという大統領命令を正当化するような状況はまだ発生していない」と同氏は述べた。
政府の役割の一つは、インターネット・ドメイン・ネーム・システムのセキュリティ修正パッケージであるDNSセキュリティ拡張(DNSSec)の開発を継続的に促進することだと、サイバーセキュリティ・ベンダーIOActiveの侵入テスト担当ディレクター、ダン・カミンスキー氏は述べた。
DNSSecによって、組織は外部からのインターネットトラフィックをより信頼できるようになると彼は述べた。「そのためにはある程度の、そして多くの労力が必要になるだろう」とカミンスキー氏は付け加えた。
