バイデン米大統領、サイバーセキュリティを強化する大統領令に署名

ジョー・バイデン米国大統領は5月12日、サイバーセキュリティ強化のための大統領令に署名した。同月に起きたコロニアル・パイプラインへのサイバー攻撃（2021年5月14日記事参照）などに対応すべく、政府と契約する情報通信サービス企業との間で、サイバーセキュリティ分野での官民連携を深め、同分野の発展を目指す。

政権が同日公表したファクトシートによると、大統領令は、連邦政府と契約する情報通信サービス企業に対し、政府機関に情報を共有し、またサイバー攻撃の情報を開示するよう義務付ける。バイデン大統領は行政予算管理局（OMB）に対し、関係省庁と協議しながら、情報開示を妨げる規制を撤廃すべく、今後60日以内に連邦調達規則（FAR）や連邦政府の契約フォーマットの見直しに関する提言を行うよう、指示している。その後、FAR協議会が提言の受領から90日以内にさらなる検討を実施し、規制の変更を行う予定だ。

加えて、政府機関に提供されるソフトウエアに関して、サプライチェーン上の安全性を向上する目的で、事業者が順守すべきガイドラインを策定する。具体的には、商務省と国立標準技術研究所（NIST）などが、関係者と協議の上、安全な開発環境の確保やソフトウエアの構成要素に関する詳細（注1）の開示などについて、ガイドラインを順次（注2）公表していく。また、商務省は、一般消費者がモノのインターネット（Internet of Things：IoT）製品の安全性を判断できるよう、ラベル表示に関わるパイロット制度を開始するよう、指示を受けている。

連邦政府の対応としては、全政府機関による多要素認証（MFA、注3）システムと暗号化の導入、サイバー対応に関するマニュアルの作成などが行われる。マニュアルは民間企業向けにも提供され、対応策に関するテンプレートも示される見通しだ。また、官民合同の「サイバーセキュリティ安全検証委員会」を設置し、過去の重大な攻撃事例を分析することで、提言につなげる。

大統領令の発表翌日、バイデン大統領は記者会見で、サイバーセキュリティ分野における民間部門の重要性を強調し、大統領令を通じて、「市場の活性化や製品向上のために、連邦政府の購買力を活用していく」と述べた。大統領令は、数カ月かけて準備された、と報じられており（「NPR」5月12日）、オバマ政権でサイバーセキュリティを担当していたアリ・シュワルツ氏は「過去数十年で最も野心的な取り組み」と評価する（「ワシントン・ポスト」紙電子版5月12日）。戦略国際問題研究所（CSIS）のジェームス・ルイス上級副所長は「企業は事実を伝えないと法的責任に問われることになる」と述べ、大統領令を「鞭（むち）」と形容している（「ニューヨークタイムズ」紙電子版5月9日）。

（注1）SBOM（Software Bill of Materials）を指し、ソフトウエア構築で使用されるオープンソースやソフトウエア部品を列挙したもの。ソフトウエアの脆弱（ぜいじゃく）性への対応に活用される。

（注2）ガイドラインについては、大統領令の発令から180日以内に暫定版、360日以内に追加版がNISTからそれぞれ公表される予定。それ以前にも、商務省が用語の定義や基準などを複数回発表する見通しになっている。詳細は大統領令Sec.4を参照。

（注3）パスワード認証のみでは安全性確保の限界が指摘されている中、認証の3要素である「知識情報」「所持情報」「生体情報」のうち、2つ以上を組み合わせて認証することを指す。

（藪恭兵）