米国のサイバーセキュリティ戦略について、企業が知っておくべき3つのポイント自社の脆弱性とリスクを明らかにする

　39ページから成るこの文書には、「調和させる」「ステークホルダー」「多国間」といった官僚用語が目立つが、この新戦略についてビジネスリーダーが知っておくべき3つの明確な事項を筆者らは特定した。

　第1に、すべての企業は自社固有の脆弱性とリスクを明らかにする必要がある。バイデン政権の戦略が明示しているのは、企業がサイバーセキュリティに取り組むか否かを自主的に選ぶ時代はとうに過ぎたということだ。

　自社を取り巻く脅威の状況をテストして理解すべく、企業は積極的に措置を講じる必要がある。潜在的なアクセスポイントを特定するための脆弱性診断と、実際に侵入を試みるペネトレーションテストを正式に実施すべきだ。

　可能であれば、「倫理的ハッカー」または「レッドチーム」と呼ばれる人々を雇うとよい。彼らの役割は、高度なサイバー攻撃のシミュレーションを行い、敵対者によるセンシティブデータへのアクセスやネットワークの破壊が可能か否か、可能ならばどのような方法を通じて行われるのかを明らかにすることだ。

　企業はまた、サプライチェーンを介しての攻撃のリスクを最小限に抑えるために、サードパーティのベンダーおよびソフトウェア企業を十分に吟味しなくてはならない。

　第2に、上記を経たうえで、サプライチェーンの脆弱性への対策を講じる必要がある。その一環として、本戦略で約束されている情報共有を通じての官民連携、およびサイバー脅威環境への対処方法に関する実践的なガイダンスと支援を活用すべきだ。

　より一般的には、明らかにされている弱点の修正や、従業員への定期的なセキュリティ訓練の実施、異常検出ツールの導入といった予防手段を講じる必要がある。同時に、ハッキングが成功した場合の規模と被害を最小限に抑えることができる対応策を、しっかり備えておく必要もある。

　第3に、サイバーセキュリティに関しては、一つの万能の解決法はないことを企業は認識しなくてはならない。本戦略における重要な示唆は、大規模ビジネス、重要インフラ、ソフトウェア企業に対するより厳しい規制基準の確立に重点が置かれることだ。

　本戦略は、サイバーセキュリティに関する「強制的な要件がないため、不十分で一貫性のない結果につながっている」と断定的に述べている。そして「企業が消費者、事業者、重要インフラの提供者に対して負う注意義務を果たさない場合には、それらの企業に責任を負わせる」法整備を推進するとしている。

　これを受け、企業側は法案と法的責任のあり方に影響を及ぼそうとするかもしれない。ただし本戦略では、脆弱性の発見と修正に関しては、より大きな利害と豊富なリソースを持つ大企業が、より多くの責任を負うことになると明示している。

　中小企業は厳しい規制の対象にはまだなっていないが、責任を免れるわけではない。協働の機会を模索すべきであり、米国立標準技術研究所が先頃立ち上げた、中小企業間のコミュニケーションを促進するイニシアティブなどがその一例だ。

　バイデン政権の新たな国家サイバーセキュリティ戦略が米国の産業界にもたらす具体的な影響を考えるうえでは、その詳細が注目される。

　サイバー空間はいまや間違いなく米国経済のバックボーンであるため、同文書は期待に見合った核となる原則と崇高な目標を盛り込んでいる。

　難しいのは、あらゆる脆弱性を特定して修正するうえでの現実的な課題、および不十分な対処が個人だけでなく世界経済全体に影響を及ぼすリスクを考慮する形で、戦略を実行することである。

米国のサイバーセキュリティ戦略について、企業が知っておくべき3つのポイント