米サイバーセキュリティー当局、ロシアのサイバー攻撃の脅威について勧告

米国のサイバーセキュリティー・インフラストラクチャー・セキュリティー庁（CISA）と、連邦捜査局（FBI）、国家安全保障局（NSA）は4月20日、ロシアによる重要インフラへのサイバー攻撃の脅威に関する勧告を発表した。オーストラリア、カナダ、ニュージーランド、英国のサイバーセキュリティー当局との共同勧告となっており、ロシアによるサイバー攻撃の脅威に関して政府が発出する勧告としては、ロシアのウクライナ侵攻以降、最も包括的な内容としている（注1）。

勧告では、ロシアのウクライナ侵攻に伴う各国の対ロシア制裁やウクライナ支援に対抗して、ロシア政府またはロシア政府を支援するサイバー犯罪集団によるサイバー攻撃が発生する可能性を指摘されている。その上で、起こり得るサイバー攻撃の詳細と企業などが取るべき対策を記している。具体的な対策としては、通信機器のソフトウエアのアップデート、多要素認証（MFA）の導入、リモートデスクトップ（注2）プロトコル（RDP）を使用している場合の安全対策、標的型攻撃に関する従業員への注意喚起などを挙げた。そのほか、サイバー攻撃が起きた場合を想定した準備などを行うよう推奨している。

CISAのジェン・イースタリー長官はプレスリリースで「ロシアは米国の重要インフラへの潜在的なサイバー攻撃の選択肢を探っている」と指摘し、全ての企業に対して、サイバーセキュリティー対策などを一元的にまとめたCISAのウェブページ「Shields Up」を参照するよう求めた。

バイデン政権は今回の勧告に先立って、3月にもロシアによるサイバー攻撃に警鐘を鳴らし、企業に対策を講じるよう促していた。ジョー・バイデン大統領も3月に行った米経営者団体ビジネス・ラウンドテーブルとの会合で「サイバー攻撃に対処するために技術的能力の向上に最大限投資することは愛国的義務」と言明した。連邦政府自身もサイバーセキュリティーに力を入れており、国務省は4月4日、サイバーやデジタル技術に関わる国家安全保障上の課題などに対応する「サイバー空間・デジタル政策局」を正式に発足させた。一方、連邦議会も3月15日に成立した2022会計年度予算の歳出法（H.R.2241）の一部として、重要インフラを担う企業に対し、サイバーセキュリティーに関わる事案が発生した場合に連邦政府への報告を義務付ける法律（Cyber Incident Reporting for Critical Infrastructure Act of 2022〕を盛り込んでいる（注3）。

（注1）今回の勧告はCISA、FBI、NSAが1月に発表した共同勧告を更新したものと位置付けられている。

（注2）遠隔環境にあるコンピュータを別のコンピュータを使って操作できるようにするサービス。

（注3）ただし、報告義務は未発効。法律成立後24カ月以内にCISAが報告義務の対象者と対象事案などに関する規則案を策定し、規則案の公表後18カ月以内に最終規則を公表する。

（甲斐野裕之）