サイバーセキュリティの世界は、静的な脅威に対する一度きりの防御策が通用する場所ではありません。攻撃者の手口は日々巧妙化し、人工知能(AI)やIoT(モノのインターネット)といった新たな技術は、社会に多大な便益をもたらすと同時に、これまで想定されてこなかった新たな攻撃対象領域(アタックサーフェス)を生み出しています。この急速な変化に対応するため、アメリカのサイバーセキュリティ政策もまた、常に進化を続けています。
8-1. 新興技術に関する規制動向
サイバーセキュリティの課題は、既存のITシステムだけでなく、社会を大きく変革しつつある新興技術の分野でも急速に顕在化しています。アメリカ政府、特にNISTは、これらの新たな技術が安全かつ信頼できる形で社会に実装されるよう、標準化とガバナンスの枠組み作りに積極的に取り組んでいます。
AI(人工知能)ガバナンスとセキュリティ(NIST AI RMF)
人工知知能(AI)の急速な普及は、新たなセキュリティリスクを生み出しています。AIモデル自体への攻撃や、AIを利用した高度なサイバー攻撃といった脅威に対応するため、NISTは2023年に「AIリスクマネジメントフレームワーク(AI Risk Management Framework, AI RMF)」を発表しました。これは、組織がAIシステムを設計・開発・展開する際に、そのリスクを管理するための自主的なガイドラインです。
IoTデバイスのセキュリティ基準(Cyber Trust Mark構想)
家庭やオフィス、工場など、あらゆる場所に存在するIoT(モノのインターネット)デバイスは、その多くが十分なセキュリティ対策なしに出荷されており、サイバー空間全体の大きな脆弱性となっています。消費者が個々の製品のセキュリティレベルを判断することは極めて困難です。
この課題に対処するため、「U.S. Cyber Trust Mark」という、IoTデバイス向けの自主的なサイバーセキュリティ認証・ラベリングプログラム構想がバイデン前政権下で推進されていました。これは、連邦通信委員会(FCC)が主導するもので、NISTが策定したセキュリティ基準を満たすIoT製品に対し、信頼の証として「マーク」の表示を許可するというものです。消費者は、このマークを見ることで、その製品が基本的なセキュリティ要件を満たしていることを一目で確認できるようになることを目的としたものです。
8-2. ゼロトラスト・アーキテクチャの推進
最新の政策動向を語る上で欠かせないもう一つの重要な概念が、ゼロトラスト・アーキテクチャ(Zero Trust Architecture)です。これは、従来のネットワークセキュリティの考え方を根本から覆す、次世代のパラダイムです。
従来の「城と堀」モデルがネットワークの境界線を信頼の基準としていたのに対し、ゼロトラストは「決して信頼せず、常に検証せよ(Never Trust, Always Verify)」という原則に基づいています 。
ゼロトラストの主要な原則:
- アイデンティティ中心のアクセス制御:ネットワーク上の場所に関わらず、すべてのリソースへのアクセス要求をその都度、厳格に認証・認可する。
- 最小権限の原則の徹底:ユーザーやアプリケーションには、タスク遂行に必要最小限の権限のみを与える。
- マイクロセグメンテーション:ネットワークを小さなセグメントに分割し、侵害の横展開を防ぐ。
- 継続的な監視と分析:すべてのネットワークトラフィックを継続的に監視・分析し、異常を検知する。
2021年の大統領令14028号は、すべての連邦政府機関に対し、ゼロトラスト・アーキテクチャへの移行計画を策定し、実行することを明確に義務付けました 。政府がこの先進的なモデルを全面的に採用したことで、ゼロトラストは政府調達における新たな標準となり、関連する技術やサービスを提供する民間企業にも大きな影響を与えています。