海の向こうの“セキュリティ”

米CISAが「初の国際戦略計画」発表。3つの最終目標と、それに向けた短期・中期目標を簡単に紹介

  • 山賀 正人

2024年12月10日 06:00

「CISA Releases Its First Ever International Strategic Plan」

 米サイバーセキュリティ・インフラセキュリティ庁(Cybersecurity & Infrastructure Security Agency、以降CISA)は、同庁の国際的な活動と成果を補完するガイドとして「FY2025-2026 CISA International Strategic Plan(2025~2026年度 CISA国際戦略計画)」を策定・公開しました。ちなみに、CISAは2022年9月に包括的な戦略計画として「2023-2025 Strategic Plan(2023~2025年戦略計画)」を公開しています。

 あくまで米国を守ることを目的としたものですが、CISAの国際的な活動は、米国の製品やインターネットサービスに強く依存している日本(を含めたさまざまな国々)にも少なからず影響を与えると考えるべきでしょう。

 今回公開された国際戦略計画の最終目標(goal)は以下の3つです。

  1. 米国が依存する海外インフラのレジリエンスを強化
  2. 統合サイバー防衛を強化
  3. 国際活動に関する機関の調整を統一

 公開された文書では、上記3つの最終目標に対して、それぞれ3つの短期・中期目標(objective)を設定し、それらの短期・中期目標を達成するための「Enabling Measure(実現策)」と、その「Measure of Effectiveness(効果測定)」を提示しています。なお、CISAは四半期ごとに進捗をレビューし、国際的なセキュリティ環境における予測不可能性、あるいは進捗に対する障害によって軌道修正を余儀なくされる可能性があるとしたうえで、「機敏性を維持」して「進化し続ける」としています。

 ここからは、全9項目の短期・中期目標を簡単に紹介します。

1. 米国が依存する海外インフラのレジリエンスを強化

1.1. 国家が依存している外国の重要インフラを特定して優先順位を決定し、その安全性とレジリエンスを強化

実現策

  • 国務省および関連する米国政府のパートナーと連携し、米国が依存する優先的な外国の重要インフラのインフラとサプライチェーンの脆弱性に対する可視性を拡大することで、体系的なリスクに対する理解を深める。

効果測定

  1. 優先される外国の重要インフラとサプライチェーンのセキュリティとレジリエンスを向上させるために、CISAが調整する米国政府の活動の数を増やす。
  2. 優先される外国の重要インフラに対するリスクに対処するために講じられるグローバルパートナーの活動の数を増やす。
  3. 外国の資産、システム、サプライチェーンへの依存から生じる米国の重要インフラ運用の潜在的な混乱を軽減するために講じられる国内パートナーの活動の数を増やす。

1.2. 米国の重要インフラの優先事項と海外における利益を促進する国際パートナーシップを強化

実現策

  • サイバー空間の防衛と米国の重要インフラの保護に関する米国の優先事項を推進する共同作戦活動、能力(capacity)開発努力、および共通の政策枠組みを実行する能力を拡大する。

効果測定

  1. 重要インフラに対するインシデントの抑止、防止、保護、対応のための公的および民間の能力(capacity)を構築するために、世界のパートナーと実施する共同作戦活動の数を増やす。
  2. 米国のセキュリティとレジリエンスの優先事項を推進し、CISAのプログラム、サービス、製品を強化するために、世界のパートナーとの情報共有交換を増やす。

1.3. セキュリティを強化するために、運用および技術に関するグローバル標準、規制、ポリシー、ガイドライン、ベストプラクティスを策定

実現策

  1. 世界的に重要な標準が米国の国家安全保障上の重要インフラ要件を確実に満たすようにオープンで透明性のあるルールに基づいた標準化プロセスを推進する。
  2. パートナーと協力し、国家安全保障に対する脅威となるようなかたちで標準を不当に形成しようとする敵対勢力の影響に対抗する。

効果測定

  1. 政府、業界、学術界のパートナーと連携し、米国の重要インフラの保護、相互運用性、レジリエンスを向上させる国際標準および政策設定機関による採用に向けた技術標準の開発と公開を促進する。

2. 統合サイバー防衛を強化

2.1. パートナーと協力してサイバー防御を実現し、集団的リスクを軽減

実現策

  • CSIRT-CSIRT間の活動への参加を拡大することで、国際パートナーとの二国間および多国間の活動を通じて信頼を高め、運用上の連携を強化する。

効果測定

  1. 信頼できる国際CSIRTパートナーの数を増やす。
  2. 複合リスクを軽減する二国間および多国間のCSIRT関与の割合を増やす。
  3. 悪用される前に推奨されるリスク軽減策を適用するCSIRTパートナーの数を増やす。

2.2. サイバーの安全性を高めるために標準とセキュリティを大規模に推進

実現策

  • 国際的な官民セクターのパートナーと協力して、安全でセキュアなソフトウェアの開発と展開に対する世界的な取り組みを推進する。

効果測定

  1. ソフトウェア開発ライフサイクルの初期段階において安全なソフトウェア開発のためのフレームワークを推奨する国際標準を増やす。
  2. セキュア・バイ・デザインの原則を採用して実装するパートナー国、国際機関、および業界の数を増やす。

2.3. 主要パートナーのサイバーおよび物理的レジリエンス能力を強化

実現策

  • 国務省と連携し、国際的なサイバーセキュリティとレジリエンスを積極的かつ協調的に強化するCISAサービスの重点的な提供を通じて、共通のサイバーセキュリティの優先事項を推進し、これらの優先事項をサポートする国際パートナーの能力(capacity)を強化する。

効果測定

  1. 特定されたセキュリティとレジリエンスのギャップに対処するために国際パートナーに提供されるCISAサービスの数を増やす。
  2. サイバーまたは物理セキュリティとレジリエンスに関する必要な能力を備えたプログラム参加者の割合を増やす。
  3. 各地域内でCISAベースのトレーニングを提供する能力を有し、かつ承認された海外のトレーナー養成パートナーのネットワークを拡大する。
  4. 自らのリスクを管理する能力が強化されたと報告するパートナーの割合を増やす。

3. 国際活動に関する機関の調整を統一

3.1. CISAの国際活動のガバナンスを強化して制度化

実現策

  • 「One CISA」のアプローチを用いて国際活動を管理するための庁内プロセスと手順を確立する。

効果測定

  1. 機関の国際活動の標準化と透明性を向上させるガバナンス文書とプロセスの数を増やす。

3.2. CISAの国際的な機能、能力、リソースを整合させて同期

実現策

  • サイバー空間の防衛と米国の重要インフラのセキュリティとレジリエンスを効果的に向上させる製品とサービスを国際パートナーに協調して提供できるように庁内の業務運営を最適化する。

効果測定

  1. CISAの国際業務を通じて調整される分野横断的な活動の割合を増やす。
  2. 主要な国際サイバーセキュリティと重要インフラのセキュリティとレジリエンスの問題に関する広範な認識を向上させる庁内製品とサービスを増やす。

3.3. トレーニングと教育を通じてCISAの職員を育成してCISAの能力を世界規模で推進

実現策

  • CISAは、その職員を通じて、サイバー空間の防衛、安全でセキュアな技術の開発と展開、重要インフラのセキュリティとレジリエンスの向上に向けた国際的な取り組みに積極的かつ効果的に関与する用意がある。

効果測定

  1. 国際サービスを提供するためのトレーニングを受け、リソースを提供されるCISA職員の割合を増やす。
  2. 国際活動を行う際に機関を効果的に代表する能力(capability)が専門トレーニングによって向上したと報告するCISA職員の割合を増やす。

 CISAにとって「初の国際戦略計画」と謳っており、事実そうなのですが、実際の内容のほとんどは、これまでにCISAが何らかのかたちで行なってきた国際的な活動を整理してまとめたもので、特に目新しい斬新なものはありません。今回の国際戦略計画の発表は、国際的な活動に今まで以上に力を入れていくとの「宣言」と捉えるべきであり、結果的に、CISAが国際的な活動としてどのようなことを行なっているのか、今後はどこに注力していくのかを知るにはちょうどよい資料となっています。

 その一方で、2025年1月の米国の政権交代に伴って、CISAの第2代長官であるジェン・イースタリー氏をはじめとするバイデン政権によって任命されたスタッフが退任することになっただけでなく、かねてより数十億ドルの年間予算に見合った成果を挙げていないとの批判も一部にはあり、CISAの国際戦略が変わるのか、変わるとすればどの程度なのか、気になるところではあります。

URL
CISA(2024年10月29日)
CISA Releases Its First Ever International Strategic Plan
https://www.cisa.gov/news-events/news/cisa-releases-its-first-ever-international-strategic-plan
CISA(2024年10月29日)
FY2025-2026 CISA International Strategic Plan
https://www.cisa.gov/2025-2026-cisa-international-strategic-plan
CISA(2024年9月1日)
2023-2025 Strategic Plan
https://www.cisa.gov/resources-tools/resources/2023-2025-strategic-plan
Infosecurity Magazine(2024年10月30日)
CISA Launches First International Cybersecurity Plan
https://www.infosecurity-magazine.com/news/cisa-international-cybersecurity/
まるちゃんの情報セキュリティ気まぐれ日記(2024年11月8日)
米国 CISA 国際戦略計画 2025-2026 (2024.10.29)
http://maruyama-mitsuhiko.cocolog-nifty.com/security/2024/11/post-ccba42.html
SecurityWeek(2024年11月19日)
CISA Director Jen Easterly to Step Down
https://www.securityweek.com/cisa-director-jen-easterly-to-step-down/
山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。