LayerX エンジニアブログ

LayerX の エンジニアブログです。

暇だし過去15年間のサイバーセキュリティな大統領令を見る(~2017)

Fintech事業部 セキュリティ

LayerX Tech Advent Calendar 2024 の4日目の記事です。

LayerX Fintech事業部(三井物産デジタル・アセットマネジメント(MDM)に出向)で、セキュリティ、インフラ、情シス、ヘルプデスク、ガバナンス・コンプライアンスエンジニアリングなどを担当している @ken5scal です。

来年度1月より米国 大統領の新政権が始まりますね。 大統領の持つ特権の一つに、大統領令があります。 これは、法的な拘束力を持ち、議会の承認を得ずに実施することができる *1 権限です。

対象は様々な分野に及び、昨今?はサイバーセキュリティ(Cybersecurity)にも及びます。 CSF、Zero Trustアーキテクチャ、サプライチェーン等からみられるように、良くも悪くも本邦におけるサイバーセキュリティは米国のそれを、大体、2〜5年経過してからキャッチアップする傾向があるように見えます。個人の感想です。 そこでこの機会に2010年以降のサイバーセキュリティ・情報セキュリティ系の大統領令をおさらいしてみましょう。 ※思ったより多くて時間消費がやばかったので、オバマ政権の2017とそれ以降に分割します。

オバマ政権時

EO 13526: Classified National Security Information (2009)

国家安全保障情報(Classified National Security Information、以降CI)の分類、保護、および機密解除を管理し、国家安全保障(National Security)と透明性を促進します。特に、情報がもはや保護を必要としない場合に機密解除されるよう、定期的な分類ガイダンスの見直しを義務付けています。

これ自体はEO 13292(ブッシュ政権, 2003)や EO 12958(クリントン政権, 1995)を廃止し、特に機密情報の解除する統一的な手続きを規程したことが新しいです

EO 13549: Classified National Security Information Program for State, Local, Tribal, and Private Sector Entities(2010)

EO 13526で定義づけられたCIを州、地方、部族、民間セクターといった非連邦機関にも拡大する大統領令です。

EO 13556: Controlled Unclassified Information(2010)

これは、政府内部の機密情報(CI)ではないが一定の保護を必要とする情報(Controlled Unclassified Information(CUI))を定義し、その取り扱いを標準化することを目指したものです。

なお、これに伴いCUIを管理するためのガイドラインであるSP800-171 Protecting Controlled Unclassified Information in Nonfederal Systems and Organizationsが作成されました。*2

これは防衛省が調達基準として2019年に参考にしたことから国内でもやや話題になりました

EO 13587: Structural Reforms To Improve the Security of Classified Networks and the Responsible Sharing and Safeguarding of Classified Information(2011)

2010年のWikileaksに対する機密情報(CI)流出に応じて、CIに対する内部不正対策強化の目的で出された大統領令です。 Senior Information Sharing and Safeguarding Steering Committee (SISS SC)を設立し、インサイダー・スレット・タスク・フォースを創設しました。

EO 13636: Improving Critical Infrastructure Cybersecurity(2013)

ついに「Cybersecurity」という単語が登場します。 日本のセキュリティ界隈でも有名な大統領令ではないでしょうか。 この大統領令では重要インフラのサイバーセキュリティを向上させることを目的とし、次のことが命じられます。

  • NISTが技術中立な「The Cybersecurity Framework」を開発する。
  • サイバーセキュリティの実践の採用を促進し、インセンティブを提供する。
  • サイバーセキュリティ脅威情報の共有の量、タイムリネス、品質を増やす
  • プライバシーと市民的自由の保護を、 クリティカルなインフラストラクチャーのセキュリティ確保を目的とした全イニシアチブに組み込む
  • 現行の規制を利用してサイバーセキュリティを促進する

そして一点目により、今日v2になっているCSF*3につながりました。

そして改めて気づきましたが「Cyber Security」ではなく「Cybersecurity」なのですね。また、「Information Security」はCISOやFederal Chief Information Securityといった名詞の一部ではでてきますが、「Cybersecurity」のように大統領令のタイトルそのもにでてくることがありません。

EO13681: Improving the Security of Consumer Financial Transactions (2014)

Identity Theftに端を発する不正カード利用などの背景から、金融機関のデータセキュリティ標準の向上や支払い技術の向上をするための大統領令です。この大統領令の先進的な点としては、今の多要素認証を指すであろう「multiple factors of authentication」及び身元確認(identity proofing)を市民の個人データにアクセスする際に必須化するよう命じていることです。

これはNIST SP800-63「Digital Identity Guidelines」*4でも言及されています。

EO13691: Promoting Private Sector Cybersecurity Information Sharing(2015)

民間セクターのサイバーセキュリティ情報共有を促進することを目的とし、サイバーセキュリティリスクとインシデントに関する情報を共有するための情報共有および分析組織(Information Sharing and Analysis Organization, ISAO)の設置を推奨しています。ISAC(Information Sharing and Analysis Center)との違いは特定の産業セクターに焦点を当ているか否かです。あまり日本国内でISAOは普及してないかも?

EO13718: Commission on Enhancing National Cybersecurity(2016)

最も緊急度の高いサイバーセキュリティ上の課題を特定し、これらの課題に対処するための戦略を提案し、アウェアネスと教育を推進する 国家サイバーセキュリティ強化委員会を設置する大統領令です。 委員会は、大統領が指定したサイバーセキュリティ、デジタル経済、法執行、IT 技術等に関する知識・経験を持つ 12 名の委員から構成されます*5。実際の構成員のリストはこちらです(Wikiで恐縮です)。

この委員会の一つの成果物として「Report on Securing and Growing the Digital Economy」があります。 このレポートは次の6つの課題に対し、16の勧告と53の行動計画を提案しました。

  1. 情報インフラストラクチャーとデジタルネットワークの保護、防衛、セキュリティ強化
  2. デジタルネットワークとデジタル経済のセキュリティと成長のための投資の革新と加速
  3. エンドユーザーをデジタル時代に適応させる
  4. サイバーセキュリティワークフォースの能力を構築する
  5. 政府をデジタル時代に効果的に、安全に機能させる
  6. オープンで、公平、競争的、安全なグローバルデジタル経済を確保する

一旦、前編は以上です。

おまけ

世界的にはCybersecurity Frameworkの参照数が圧倒的ですが、日本ではNIST SP800-171が多く参照されてるようです。

*1:https://www.nikkei.com/topics/22A00417

*2:https://xtech.nikkei.com/atcl/nxt/column/18/00001/00311/

*3:https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf

*4:https://openid-foundation-japan.github.io/800-63-4/sp800-63.ja.html

*5:https://dl.ndl.go.jp/view/download/digidepo_9929064_po_02670112.pdf?contentNo=1