　バイデン政権は退任前の2025年1月16日、サイバーセキュリティに関する大統領令「14144」も発令した。この大統領令「14144」はまだ撤回していない。しかしサイバー安全性審査委員会（CSRB）を含む、国土安全保障省（DHS）の全諮問委員会はトランプ大統領の就任後に解散した。サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）の解散も議論されている。

　オープンソースソフトウェア（OSS）の安全利用を目指す団体Open Source Security Foundationの理事会メンバー、ブライアン・フォックス氏は「CSRBは解散されたが、連邦レベルでのサイバーセキュリティの取り組みを継続することが重要だ」と主張する。「特にCISAの活動は、われわれが失ってはならない安全網だ。同庁は、サイバーセキュリティに携わる民間組織の指針として機能している」（同氏）

　フォックス氏は、中国のサイバー犯罪集団「Salt Typhoon」の攻撃や、米国の医療法人Ascensionを標的にしたランサムウェア（身代金要求型マルウェア）攻撃を引き合いに出し、次のように述べる。

　「CISAの指針がなければ、国家を後ろ盾にする高度な脅威アクター（攻撃者）が米国企業のネットワークに侵入しやくなる。Salt Typhoonの攻撃や、Ascensionへのランサムウェア攻撃と類似の事件が頻発する恐れがある」（フォックス氏）

規制の厳格化が進むEU

　一方、EUは2024年12月にサイバーレジリエンス法（Cyber Resilience Act：CRA）を発効した。CRAは、オープンソースライブラリから取得したソースコードを含む、安全でないソースコードに対する責任をIT製品の製造者に課している。2025年1月にはデジタルオペレーショナルレジリエンス法（Digital Operational Resilience Act：DORA）の運用も始まった。金融機関は、事業継続性とサイバーセキュリティに関する追加要件への準拠が求められる。

　EUの一般データ保護規則（GDPR）と同様、グローバル企業はこうした厳格な規制に従う可能性があると、調査会社HyperFrame Researchの主任アナリスト、スティーヴン・ディケンス氏は指摘する。

　「米国が規制を緩和する方針を取ったとしても、Fortune 500（経済誌Fortuneが発表する企業の売上高ランキング）に名を連ねる大手企業は、EUの規制法に従う可能性がある」（ディケンズ氏）

　ディケンス氏は、米国の大企業だけでなく中小企業も、利用中のソフトウェアの内容や開発元に関する情報を把握しておくべきだと言い添えた。

　フォックス氏は、米国の国内規制が発展する中で、サイバー防衛と国家安全保障は重要な課題だと指摘している。

　「サイバーセキュリティは、かつてないほど国家安全保障の重要な要素となっている」と同氏は述べる。「CISAの将来がどうなるにせよ、業界や部門を超えた協力が不可欠だ。民間企業や公的機関は情報共有を強化し、AIシステムのセキュリティ対策指針の策定を継続する必要がある」

TechTarget.AIとは

TechTarget.AI編集部は生成AIなどのサービスを利用し、米国Informa TechTargetの記事を翻訳して国内向けにお届けします。

TechTargetジャパントップセキュリティ