LayerX エンジニアブログ

LayerX の エンジニアブログです。

暇だし過去15年間のサイバーセキュリティな大統領令を見る(2017~2024) #LayerXテックアドカレ

LayerX Tech Advent Calendar 2024 の8日目の記事です。

LayerX Fintech事業部(三井物産デジタル・アセットマネジメント(MDM)に出向)で、セキュリティ、インフラ、情シス、ヘルプデスク、ガバナンス・コンプライアンスエンジニアリングなどを担当している @ken5scal です。

前回は第1次および第2次オバマ政権が発したサイバーセキュリティ系の大統領令をみていきました。 tech.layerx.co.jp

今回は、第1次トランプ政権および、現時点でのバイデン政権の大統領令を紹介します。

第1次トランプ政権 (2017〜2020)

EO13800: Strengthening the Cybersecurity of Federal Networks and Critical Infrastructure(2017)

さて、大きな政権交代にもかかわらず、サイバーセキュリティへの関心は低下しませんでした。NIST CSF(サイバーセキュリティフレームワーク)を用いたリスク管理において、リスクの緩和や受容策、対応策をまとめたレポートを国土安全保障長官(Secretary of Homeland Security)および行政管理予算局(OMB)に90日以内に報告するよう、各連邦機関の長に指示したことがその姿勢を顕著に示しています。

さらに、省庁の長(agency heads)に対してリスク管理を主導する責任を明確にし、連邦ITのモダン化を要求するなどの取り組みも行われています。

また、本命令ではサプライチェーンに関する言及は少なかったものの、この命令をきっかけにアップグレードされたCSFバージョン1.1には、サプライチェーンリスク管理の重要性の強調やサイバーセキュリティリスクの自己評価(Self-Assessing Cybersecurity Risk) が追加されています。

NIST SP800-171とは何か? 防衛省が手本にした米国防総省の情報管理規則を解説 |ビジネス+IT

EO 13833: Enhancing the Effectiveness of Agency Chief Information Officers (2017)

これは、先の大統領令で言及された連邦ITのモダン化に関する具体的な指示です。各連邦機関のCIOにモダンIT化とサイバーセキュリティの確保を担当させることで、CIOの権限と責任を強化しています。

EO 13870: America's Cybersecurity Workforce (2019)

サイバーセキュリティ専門家の不足に対応するため、学校、大学、職業訓練プログラムなどでサイバーセキュリティ教育と訓練を推進し、スキルと多様性を備えたサイバーセキュリティワークフォースを育成することを目的とした発令です。さらに、成果メトリクスの開発および報告を求め、その推進を徹底しています。

EO 13873: Securing the Information and Communications Technology and Services Supply Chain (2019)

これは、情報通信技術および情報通信サービスの安全保障的側面からサプライチェーンセキュリティを強化するために発令されたものです。米国は2019年に、サプライチェーンが海外の敵対的なアクター(cyber-enabledアクターを含む)による脅威にさらされているとして、国家緊急事態(national emergecncy)を宣言しました。そこで、これらのアクターに関連する取引の種類を定義し、審査し、禁止できるようにしました。

EO 13942: Addressing the Threat Posed by TikTok, and Taking Additional Steps To Address the National Emergency With Respect to the Information and Communications Technology and Services Supply Chain(2020)

大統領令13873に基づき、中国共産党が米国市民のプライバシーにアクセスし、投稿内容を検閲する恐れがあることから、TikTokの使用を禁止しました。

EO 13943: Addressing the Threat Posed by WeChat, and Taking Additional Steps To Address the National Emergency With Respect to the Information and Communications Technology and Services Supply Chain

同様に、大統領令13873に基づき、WeChatを禁止しました。

バイデン政権(2021~2024)

基本的に第一次トランプ政権から大きく変わるものではありません。 また、サイバーセキュリティ系の大統領令は数こそ1つだけであるものの、 2021年のSolarWinds事件に端を発したEO 14028は非常に大きな影響を与えています

EO 14028: Improving the Nation's Cybersecurity

この大統領令は、ソフトウェアサプライチェーンの文脈で、integrity of “critical software” にフォーカスをあてた点で重要と思われます。 それぞれ具体的な侵害経路は異なるものの、SolarwindsのORIONも、Oktaの侵害事例も、log4jやXZ Utilsもサービスを提供するソフトウェアを構成するエコシステムにおける危機という観点では共通しています。 今後、エコシステム全体の完全性や真正性はこれまで以上に重要になることから、発令されるべくして出た発令といえるでしょう。

この大統領令は、ソフトウェアサプライチェーンの文脈で「クリティカルソフトウェア」の完全性(integrity of “critical software”) に焦点を当てている点で重要です。

具体的な侵害経路は異なりますが、SolarWinds、Okta、log4j、XZ Utilsといった2021~2024にかけて世を賑わせた侵害事例は、ソフトウェアサービスを構成するエコシステムにおける危機という共通点があります。

エコシステム全体の完全性や真正性がこれまで以上に重要になることから、この大統領令の発令は避けられなかったと、私は捉えています。

一方、SBOMの運用を含め、発令された内容を効果的に具体化・実装するには、まだ時間がかかると考えられます。

なお、本発令はソフトウェアのサプライチェーンに言及していますが、国家安全保障の文脈になりますので、 EO 14081: Advancing Biotechnology and Biomanufacturing Innovation for a Sustainable, Safe, and Secure American Bioeconomy や EO 14083: Ensuring Robust Consideration of Evolving National Security Risks by the Committee on Foreign Investment in the United Statesといったエネルギー施策や国外調査においても参照されています。

第2次トランプ政権をこの先生きのこるには

前編とあわせて過去約15年間の大統領令を見てきました。この間、どの政権も前政権の方針を踏襲してきたように見えますが、今後どうなるかは実はわかりません。

現時点で、トランプ政権はサイバーセキュリティ周りの民間事業に対する規制を緩和すると宣言しています。実際のところは具体的な政策が出るまではわかりませんが、宣言どおりの舵取りになる場合、これまでのセキュリティ強化施策(例:重要インフラ企業へのインシデント報告義務化、Secure by Designやログ提供を求める企業責任)が一部変更になる可能性もあります。

米国そしてそれに影響を受ける我々として、今後のサイバーセキュリティ戦略がどうなるか注視したいところです。例えば、Secure by Designは、そのワードが金融分野におけるサイバーセキュリティに関するガイドラインにも登場してしまっていますので、仮に後退する場合は、我々独自の解釈を考えねばならなくなります。

個人的には、EO 14028を契機として始まったサプライチェーン保護自体は継続してほしく、特に「GitHub Secure Open Source Fund」をはじめとしたOSS開発者に対するセキュリティ対応の支援動向が推進され続けることを祈るばかりです。