理由は明白なものから意外なものまでさまざまありますが、政府や地方自治体が日常業務をサポートするソフトウェアを開発することを期待するのは非現実的であり、これらの機関は民間企業が提供するソリューションに目を向けています。この動向は双方にとって利益があります。政府機関は経験豊富な企業が開発した優れたソリューションを利用でき、ベンダーは公共部門と民間部門の両方のイノベーションの促進に役立つ資金を確保できます。結果として、政府資金提供のプロジェクトが、今日よく知られ、愛用されているインターネットの発展につながりました。しかし、この関係はセキュリティにどのような影響をもたらすでしょうか。
最近の出来事によって、米国国防総省や国土安全保障省などの政府機関が使用するソフトウェアは安全であるはずだという前提は打ち砕かれました。そして、これは必ずしも政府側の不注意によるものではなく、サプライチェーンのより上流で脅威が入り込み、政府の管理の範疇を超えていました。
SolarWindsでのセキュリティ侵害は、以前からよく引き合いに出されていますが、それには相応の理由があります。このインシデントは、アプリケーションが実際にデプロイされている場所から幾つかの隔たりの先から引き起こされた攻撃の影響の典型例です。これは間違いなくサプライチェーン攻撃の定義そのものです。このような攻撃によって政府の活動と重要インフラが危険にさらされ、バイデン大統領が介入するに至りました。
2021年5月12日、バイデン大統領は大統領令(EO)14028を発令し、サプライチェーンの早い段階で侵入した潜在的な脅威への注意喚起のための取り組みを始動しました。この命令で複数の機関に課された指令は現在も履行の過程にあり、今後予想される進路の基礎となりました。政府と取引していない民間企業は自社組織に影響があるのか疑問に思うことでしょうが、あらゆる企業に影響はあると私は確信しています。先例となる過去の例をいくつかご紹介します。
もちろん、政府がサイバーセキュリティの脅威と戦うための支援に踏み込んだのは、この最近の行政命令が初めてではありません。2013年、オバマ政権は大統領令(EO)13636を発令し、重要インフラのサイバーセキュリティ強化に向けた連邦政府機関の責任の概要を公表しました。その結果を受け、NISTは複数の主要関係者を集めて今日サイバーセキュリティ・フレームワーク(CSF)として知られている枠組みを策定しました。このフレームワークは、組織が現在のサイバーセキュリティ体制を理解・管理するための共通言語を提示しています。基本的に、CSFは企業が直面するリスクの種類と、リスクへの対処の体制を整える方法を理解するために役立ちます。この情報を参考にすることで、リスクを軽減するために必要な改善を行うことができます。
従来、CSFのステークホルダーはパイプラインや電力網などの重要インフラを運用する民間企業が主体でしたが、その後CSFは発展を遂げ、世界中の多様な組織や政府機関に採用されるようになりました。JP Morgan Chase、Microsoft、Boeing、Intel、Bank of England、Ontario Energy Boardなどの著名な企業もCSFを採用しています。各社はCSFの遵守を義務付けられてはいませんが、プログラムを構築し、事業運営上のセキュリティを強化するためにCSFを利用しています。最新のEOが業界の専門家からの意見を求めていることからも、ソフトウェアベンダーやコンシューマーがEOに指針を求めていると客観的に想定できます。
連邦政府の政策が民間部門に取り入れられたもう一つの例として、NIST Special Publication(SP)800-161があります。NIST SP 800シリーズでは、米国連邦政府によって一連の方針、手順、ガイドラインが規定されています。2015年に初めて公開された800-161は、もともと連邦政府機関が使用するソフトウェアのサプライチェーンの整合性を確保することを目的としていました。それ以来、サプライチェーン・リスク管理プログラムを強化することを目指すさまざまな政府および非政府機関によって改訂され、応用されています。この刊行物は重要性が高まり、ISO 20243に対応する国際規格にも取り入れられました。
詳細はさておき、簡単に言うと、サイバーセキュリティに関する最新の大統領令の効果を得るために、公共部門や重要インフラの事業に参入したり、これらの事業者と提携する必要はありません。このような取り組みの成果が、やがてそれらが適用される業界の指導原則となり、事実上の標準になっていく傾向があります。これには相応の理由があります。通常、こうした取り組みの過程で、対象トピックに関する優れた知性と経験を持った達人が集まり、1つの大義に共同で取り組みます。その結果を活用することは、賢明で効率的な方法です。
ソフトウェアの製造や販売に携わる企業は、製品に対するコンシューマーニーズに応える準備をいち早く始めたいと考えていることでしょう。EO 14028を参考にすることで、何を目標にし、どこから着手するべきかを確実に把握できます。