トランプ氏の「サイバーセキュリティ大統領令」を褒める人、けなす人、それぞれの見方：方針は適切だが実効性に不安も（1/2 ページ）

トランプ米大統領が出した連邦政府のサイバーセキュリティに関する大統領令は、連邦政府のセキュリティ対策の方向性を示すものとして専門家が評価する一方、実効性に疑問を呈する声もある。

[Michael Heller，TechTarget]

トランプ氏が署名したサイバーセキュリティ大統領令に関する専門家の見方は

　待望されていた米連邦政府のサイバーセキュリティに関する米新政権の大統領令（以下、サイバーセキュリティ大統領令）が、再三の延期を経て、ついに署名された。専門家は、大統領令がサイバーリスク管理にスポットを当てている点を称賛している。一方で「“悪魔”は細部に宿る」という指摘も少なくない。

　米大統領ドナルド・トランプ氏は2017年5月11日（現地時間）、当初予定より数カ月遅れてサイバーセキュリティ大統領令に署名した。専門家は、このサイバーセキュリティ大統領令が、連邦政府によるサイバーセキュリティの取り組みの新たな方向を提示していると指摘する。

　サイバーセキュリティ大統領令は、連邦政府の各省庁や機関のトップがサイバーセキュリティの責任を負うことをあらためて明記し、各省庁や機関が作成する詳細な報告書と計画の要件を明示している。これらの報告書と計画は、米行政管理予算局（OMB）と米国土安全保障省（DHS）の監査を受ける。

　サイバーリスク管理を手掛けるCybernanceでCEOを務めるマイク・シュルツ氏は、サイバーセキュリティ大統領令は「サイバーセキュリティに対する連邦政府の捉え方の大きな文化的シフト」を示していると説明する。

　シュルツ氏によると現在、連邦政府機関は皆、独自のサイバーセキュリティプロセスによって自組織のシステムを保護している。だがサイバーセキュリティ大統領令は、連邦政府機関のセキュリティについて、包括的なエンタープライズレベルで管理されなければならないと定めているという。「特定のシステム用にセキュリティプロトコルを開発するのではなく、政府機関内の全ての人、プロセス、ポリシーが分析され、報告されなければならない」（同氏）

　政府機関に対し、リスクとその軽減に関する包括的な報告書を作成し、国土安全保障省と行政管理予算局長に提出するよう命じたのは、このサイバーセキュリティ大統領令が初めてだとシュルツ氏は説明する。

　サイバーセキュリティ大統領令によると、連邦政府の省庁と機関は90日以内に、サイバーリスク管理の取り組みについての報告書を提出する必要がある。OMBは個々の報告書を基に、NIST（米国立標準技術研究所）のサイバーセキュリティフレームワーク（CSF）の実施に必要となるリスク管理や予算不足への対処、ポリシーの変更点の特定に必要な予算要件の説明と計画を、60日以内に大統領に提出することになっている。

　「DarkLight Cyber」の名称で事業展開するサイバーセキュリティ分析ベンダー、Champion Technology Companyで最高収入責任者を務めるジェス・リクター氏は、こうした計画は極めて有益であり「何年も前に策定されているべきだった」と語る。

　サイバーセキュリティ監査とリスク軽減計画は「全ての企業が避けて通れなくなっており、連邦政府の省庁や機関も、この分野の取り組みについて精査を受けなければならない」とリクター氏は指摘する。「ビジネスの世界では、こうした計画はビジネスリスク評価の対象の一部であり、持っているだけではいけない」（同氏）

　一方でネットワーク／セキュリティベンダーGigamonのグローバルセキュリティストラテジストを務めるケビン・マギー氏は、こうした報告書の作成作業は、報告書そのものよりも重要な意味を持ち得ると指摘する。

併せて読みたいお薦め記事

トランプ大統領を取り巻くセキュリティ問題

• トランプ大統領は5年前の「Android」スマホをまだ愛用か　セキュリティ専門家が懸念
• トランプ大統領就任式前に監視カメラがハッキング、未解決の謎が残る

米国政府とセキュリティに関する議論

• 全米が割れた「政府の暗号解読を許すか、許さないか」問題
• 「WannaCry」を巡りMicrosoftがNSAを批判、混迷深めるIT企業と政府の関係
• 「米国政府はあなたのデータを見ていない」と言い切れない理由

会員登録（無料）が必要です

驍ｯ螢ｹ窶ｳ郢ｧ螳夲ｽｪ�ｭ郢ｧﾂ€