新しい国家サイバーセキュリティ戦略実施計画について知っておくべきこと

今日の複雑なサイバーセキュリティ環境において、ランサムウェアや侵害が日常茶飯事になっているのは事実です。

2023年3月、バイデン政権は待望の 国家サイバーセキュリティ戦略を発表した。私は、国のサイバーレジリエンスを強化するための強力なビジョンを提示する一方で、この計画の即時的な影響と説明責任の欠如、特に10年間の見通しにどれほど深く圧倒されたかについてThe Hillに寄稿 しました。連邦政府は、ランサムウェアや侵害に対してより迅速に行動するためにアクセルを踏む必要があります。

バイデン大統領は、政府機関に実践的なサイバーセキュリティ戦略を提供することの重要性を認識し、最近、新しい 国家サイバーセキュリティ戦略実施計画 (NCSIP)を発表しました。この計画は、サイバーセキュリティの役割、責任、リソースの割り当て方法を変更するためのロードマップを政府機関に提供します。

新しいプランについて知っておくべきことは次のとおりです。

NCSIPの5つの戦略的柱

この計画は 5 つの柱に分かれており、それぞれに特定のサイバーセキュリティ イニシアチブが含まれています。これらの柱とその取り組みを以下に概説し、まとめました。

• 第1の柱:重要インフラの防御 – この柱は、国家安全保障と公共の安全を守るサイバーセキュリティ要件を確立することを目的としており、官民部門間の協力を拡大することの重要性を強調しています。連邦サイバーセキュリティセンターを統合して、調整と情報共有を改善することを目指しています。さらに、連邦政府のインシデント対応計画とプロセスを更新しながら、連邦政府のサイバーセキュリティ防御を最新化して進化する脅威に先んじることを目指しています。

• 第2の柱:脅威アクターの破壊と解体 – この柱は、サイバー犯罪活動を阻止し、敵対者を阻止するために官民部門間の協力を強化するための連邦政府の取り組みを統合することを目指しています。この柱は、インテリジェンスを迅速かつ広範囲に共有し、サイバー攻撃の被害者に通知することの重要性を強調しています。また、米国を拠点とするインフラストラクチャの悪用を防止し、特に ランサムウェア攻撃を標的としたサイバー犯罪と闘うことも目的としています。
• 第3の柱:セキュリティとレジリエンスを促進するための市場の力の形成 – この柱は、安全なモノのインターネット(IoT)デバイスの開発を推進することを目的としており、メーカーとプロバイダー間の説明責任を促進するために、安全でないソフトウェア製品およびサービスに対する責任を転嫁する必要性を強調しています。連邦政府の助成金や奨励金を利用してセキュリティ対策を優先することを提案している。さらに、説明責任を改善し、サイバーセキュリティの実践を促進するために連邦調達を活用することも提案しています。大規模なサイバーインシデントが発生した場合にサポートを提供する連邦サイバー保険のバックストップの可能性を探ることについても言及されています。
• 第 4 の柱: 回復力のある未来への投資 – この柱には、サイバーセキュリティにおける連邦政府の研究開発の活性化に重点を置くことから始めて、インターネットの基礎要素を強化する取り組みが含まれています。また、ポスト量子の未来の課題に備え、クリーンエネルギー部門の安全を確保することの重要性も強調しています。さらに、将来の脅威に対処する上でのその重要性を認識し、サイバーセキュリティ労働力を強化するための国家戦略の策定を強調しています。
• 第5の柱:共通の目標を追求するための国際パートナーシップの構築 – この柱には、デジタルエコシステムに対する脅威に対処するための国際連合の構築が含まれます。これは、国際パートナーの能力を強化し、同盟国やパートナーを支援する米国の能力を拡大することに焦点を当てている。また、サイバー空間における責任ある国家行動の世界規範を強化する連合の設立も目指している。さらに、この柱は、情報、通信、運用技術製品とサービスのグローバルサプライチェーンを保護する必要性を強調しています。

連邦 CTO としての計画から得た重要なポイント

NCSIPから得られる最も重要なポイントは、現在および将来の サイバーレジリエンス を向上させるために、政府機関に切望されているガイダンスを提供していることです。これは、従来の予防および検出ツールでは、今日の複雑で進化し続けるサイバー脅威に対抗するには十分ではないことを認識しています。  

侵害は避けられません。組織は、 ゼロトラストセグメンテーション(ZTS) などのテクノロジーを使用して、侵害が発生した場合ではなく、侵害の拡大を阻止および封じ込め、妨げられることなく運用を継続できるようにするために、ゼロトラストセグメンテーション(ZTS)などのテクノロジーを使用してプロアクティブな侵害封じ込め戦略を優先する必要があります。実際、 イルミオZTS を活用している組織は、侵害の影響(または爆発半径)を 66% 削減し、停止やダウンタイムが減ったため、 380万ドル を節約しました。

また、この計画では、期限 付きの目標と取り組み を各機関に割り当て、戦略の明確な目標を達成する方法についての方向性を与えます。これらの目標と取り組みは、テクノロジーのペースが3年、5年、または10年後にセキュリティに与える影響を想像できないため、重要な緊急性を示しています。

この計画は、これらの危険を克服するために 政府機関が直面する資源と財政の課題 を理解していることを示しています。NCSIPには直接的な資金は含まれていませんが、政府機関が目的を達成し、サイバー攻撃に対抗するためのより良い立場にあるという政権のサイバー予算の優先事項と一致しています。政府機関が予算上の責任とリソースをこれらの取り組みに合わせることができれば、現在および将来のサイバーレジリエンスを強化するための十分な準備が整います。

特に、イニシアティブ3.5.1と3.5.2、連邦調達を活用して 説明責任を向上させることは、規制サイバーセキュリティ機能にとって大きな前進です。ドルの力を活用することで、政府は企業にコンプライアンスを強制することができます。これにより、連邦政府は新しい法律を必要とせずに、新しい戦略を迅速に実施できるようになります。

何が欠けているのでしょうか?説明責任のメカニズムと大胆な取り組み

他の多くの政府計画と同様に、含まれていない主な部分は説明責任メカニズムです。これらの計画には、成功するために政府機関を測定し、責任を負わせる方法が必要です。政府機関は、これらの目標を達成できなかった場合の結果を知る必要があります。

そして、ランサムウェアとの戦いにおいてゲームを本当に変えるような大きくて大胆なアイデアのいくつかがまだ欠けています。これは、サイバー犯罪者がこれらの攻撃から利益を得るのを阻止するために、ランサムウェアの支払いを禁止するように見えるかもしれません。政府はまた、民間機関や政府機関に対し、侵害から72時間以内に顧客に公に通知することを義務付けることもできます。この種のムーンショットイニシアチブは、ランサムウェアの阻止に即座に影響を与え、数年後や10年後ではなく、今すぐ問題の緊急性に対処するでしょう。

新しいNCSIPは、サイバーレジリエンスを強化し、進化する脅威に対抗するための連邦政府の共同の取り組みにおける重要なマイルストーンとなる。この計画は、ほとんどの場合、政府機関の明確な方向性を示しています。プロアクティブな侵害封じ込めアプローチを採用し、NCSIPの取り組みに沿うことで、公共部門と民間部門の両方の組織が今日の複雑なサイバーセキュリティ環境を乗り越え、重要な資産を効果的に保護することができます。私たちは力を合わせて、より回復力のある安全なデジタルの未来を築くことができます。

イルミオZTSが連邦政府機関のNCSIPイニシアチブの実施にどのように役立つかについて詳しく学びましょう。

今すぐお問い合わせいただき、当社のサイバーセキュリティ専門家にご連絡ください。

‍