バイデン・ハリス政権は本日、ソフトウェア製品とサービスに対する有意義な責任を確立し、重要なインフラストラクチャ部門で必須の最小限のサイバーセキュリティ要件を設定する、抜本的な新しい国家サイバーセキュリティ戦略を発表しました。

この戦略が完全に実施されると、連邦および民間部門の両方の組織が脅威アクターの作戦を妨害および解体する能力も強化され、個人に関するデータを扱うすべての組織がそのデータを保護する方法に細心の注意を払うことが求められます。

この戦略の主な目的の XNUMX つは、連邦規制当局が税制やその他のメカニズムを通じて、すべての利害関係者がより良いセキュリティ慣行を採用するよう奨励する機会を探すことです。

サイバーセキュリティの責任の再調整

バイデン大統領は、「（この戦略は）サイバーセキュリティに対する責任の多くが個人ユーザーや小規模ユーザーに委ねられているという体系的な課題に取り組んでいる」と述べた。 彼の新しい計画の紹介. 「産業界、市民社会、州政府、地方政府、部族政府、準州政府と協力して取り組むことで、サイバーセキュリティに対する責任のバランスを取り直し、より効果的かつ公平なものにしていきます。」

バイデンの戦略は、重要なインフラストラクチャの保護、脅威アクターの運用とインフラストラクチャの混乱、ソフトウェア ベンダーと個人データを処理する組織間のセキュリティの向上、より回復力のあるテクノロジへの投資、サイバーセキュリティに関する国際協力の XNUMX つの特定の分野で協力と勢いを構築することを目指しています。

これらのうち、重要なインフラストラクチャのセキュリティに関する提案されたイニシアチブと、ソフトウェア ベンダーとデータ プロセッサへの責任の転嫁が最も大きな影響を与える可能性があります。

バイデン氏の戦略の重要インフラの構成要素には、重要インフラのすべての事業者に対する最小のサイバーセキュリティ要件を拡大する提案が含まれています。 この規制は、米国国立標準技術研究所 (NIST) のクリティカル インフラストラクチャ サイバーセキュリティを改善するためのフレームワークや、サイバーセキュリティおよびインフラストラクチャ セキュリティ エージェンシー (CISA) のサイバーセキュリティ パフォーマンス目標など、既存のサイバーセキュリティ基準とガイダンスに基づいています。

セキュア・バイ・デザインへのフォーカス

要件はパフォーマンス ベースであり、変化する要件に適応可能であり、セキュア バイ デザインの原則の採用を促進することに重点を置いています。

「重要なインフラストラクチャのセキュリティに対する自発的なアプローチは有意義な改善をもたらしましたが、必須要件の欠如は不十分で一貫性のない結果をもたらしました」と戦略文書は述べています。 より良いセキュリティを実装するインセンティブが実際には存在しないため、事業者が他の事業者と競合してセキュリティに過小な支出をしている分野では、規制によって競争条件を公平にすることもできます。 この戦略は、新しい要件を満たすための財政的および技術的リソースを持たない可能性のある重要なインフラストラクチャ オペレーターに、それらのリソースを確保するための潜在的に新しい手段を提供します。

CISA の元チーフ ストラテジストであり、現在クラロティのサイバー安全担当副社長である Joshua Corman 氏は、バイデン政権が重要なインフラストラクチャのセキュリティを優先事項とすることを選択したことは重要であると述べています。

「国は、ほんの数例を挙げると、水、食料、燃料、患者ケアへのアクセスなど、多数のライフライン機能に大きな影響を与える重要なインフラストラクチャでのサイバー ディスラプションの成功を目の当たりにしてきました」とコーマンは言います。 「これらはますます混乱に見舞われている重要なシステムであり、この重要なインフラストラクチャの所有者と運用者の多くは、私が「ターゲットリッチ、サイバープア」と呼んでいるものです。」

これらは多くの場合、脅威アクターにとって最も魅力的なターゲットの XNUMX つですが、自分自身を保護するためのリソースが最も少ないと彼は指摘します。

Telos の政府業務担当マネージャーである Robert DuPree 氏は、重要インフラのサイバーセキュリティを強化するというバイデンの計画の鍵として、議会の支援を考えています。

「追加の重要インフラ部門に必須のサイバーセキュリティ要件を課すことを推進するには、場合によっては議会の承認が必要になるだろうが、現在の政治環境では、せいぜい遠回りだ」と彼は声明で述べた. 「共和党下院の過半数は哲学的に新しい政府の命令に反対しており、バイデン政権にそのような権限を与える可能性は低い.」

ソフトウェア セキュリティの説明責任をベンダーに持たせる

バイデン氏の新しい国家サイバーセキュリティ戦略は、物議を醸す可能性が高い動きであり、ソフトウェアベンダーに自社の技術のセキュリティに対するより直接的な責任を負わせることにも重点を置いています。 この計画は、安全でないソフトウェアとサービスに対する責任をベンダーに明確に移し、安全でないソフトウェアの結果を負うエンド ユーザーから遠ざけます。

この取り組みの一環として、バイデン政権は議会と協力して、市場支配力を持つソフトウェア メーカーやパブリッシャーが契約によって責任を放棄することを防止する法案を通過させようとしています。 この戦略は、ソフトウェアの開発と保守のための明確に安全な慣行を備えた組織にセーフ ハーバーを提供します。

「あまりにも多くのベンダーが、安全な開発のベスト プラクティスを無視し、安全でないデフォルト構成や既知の脆弱性を備えた製品を出荷している」と、安全でないサードパーティ製コンポーネントを使用していると述べています。

ソフトウェア ベンダーに責任を転嫁することに加えて、新しい戦略では、個々のデータ、特に地理位置情報と健康データを扱うすべての組織に対して最低限のセキュリティ要件を要求しています。

ソフトウェア ベンダーに責任を転嫁する取り組みに対する議会での支持は、2013 年以上にわたって一貫して現れてきた、と Sonatype の CTO 兼共同創設者である Brian Fox 氏は述べています。 "XNUMX年に、 HR5793 — サイバー サプライ チェーン管理および透明性に関する法律 Royce Bill として知られる、ソフトウェア部品表 (SBOM) の導入に関する会話が始まりました」と彼は言います。

最終的にその提案は前進しませんでしたが、連邦政府へのすべてのソフトウェア サプライヤーが必要に応じて SBOM を作成するという要件は、最終的には 2021 年 XNUMX 月の行政命令 バイデン大統領から、と彼は言います。 「最近では、 2022 年のオープン ソース ソフトウェア保護法 委員会を通じてその道を進んでいます。 議会が業界を前進させる方法を模索していることは明らかであり、戦略は考慮すべき特定の新しい要素を示しています。」

ニンジンとスティック

より良いセキュリティ行動を導く取り組みの一環として、連邦政府は膨大な購買力を利用して、ソフトウェアとサービスのサプライヤーに契約上、最低限のセキュリティ要件を順守させる予定です。 助成金やその他のメカニズム (料金設定プロセスや税制など) を使用して、組織がサイバーセキュリティにより多く投資するようにします。

Allegro Solutions のサイバーセキュリティ コンプライアンス エキスパートである Karen Walsh 氏は、計画が意図したとおりに機能する場合、企業の考え方を「セキュリティは罰則を意味する」から「セキュリティは報酬を得ることを意味する」という考え方に変えることができると述べています。

「多くの点で、これは政府がすでにクリーン エネルギー イニシアチブにインセンティブを提供している方法と似ています」と Walsh 氏は言います。

反撃

新しい戦略の主な焦点の XNUMX つは、連邦および民間部門の能力を強化して、攻撃者の作戦とインフラストラクチャを混乱させることです。 この計画には、政府全体の混乱機能の開発、犯罪インフラとリソースのより協調的な削除、および攻撃者がサイバー脅威作戦に米国のインフラを使用することをより困難にすることが含まれます。

Forrester のシニア アナリストである Allie Mellen 氏は、次のように述べています。 「これは『ハックバック』のアイデアに似ています — 仮説としては素晴らしいですが、実行するのは難しいです。」

メレン氏は、重要なインフラストラクチャ プロバイダーに対する規制の拡大案が、新しい戦略の最も重要な要素であると考えています。

「一連の最小サイバーセキュリティ要件を確立しようとしているだけでなく、IaaS (サービスとしてのインフラストラクチャ) 企業などのテクノロジー プロバイダーをこれらの要件に結びつけ始め、その範囲を広げています」と彼女は言います。

Claroty の Corman 氏は、新しい戦略の提案のいくつかは、難しい議論を引き起こす可能性が高いと述べています。 しかし、それらを手に入れる時が来たと彼は指摘します。

「ソフトウェアの責任など、より論争の的となるトピックは、達成するのがより困難になることは間違いありません」とコーマンは述べています。 しかし、その努力は非常に重要だと彼は言います。

「重要なインフラストラクチャのサイバー レジリエンスの現状と望ましい状態との間には大きなギャップがあります。そのギャップを埋めるためには、大胆な思考と大胆な行動が必要です。」

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/ics-ot/bidens-cybersecurity-strategy-calls-for-software-liability-tighter-critical-infastructure-security