「アメリカをサイバー強国に」――政権交代で、米国の「サイバーセキュリティ啓発月間」は変わったか？

　日本では毎年2月1日から3月18日までを「サイバーセキュリティ月間」とし、政府機関や企業、民間団体などが連携して、サイバーセキュリティに関する普及啓発活動を実施しています。これは2010年2月に新設された「情報セキュリティ月間」を起源としています。同様の取り組みは海外にも存在しており、欧米では毎年10月に行われています。具体的には、米国では「Cybersecurity Awareness Month（CAM：サイバーセキュリティ啓発月間）」、EUでは「European Cybersecurity Month（ECSM：欧州サイバーセキュリティ月間）」と称しています。

　今回は、米国の「サイバーセキュリティ啓発月間」について、特に中心的な役割を担っているサイバーセキュリティ・インフラセキュリティ庁（Cybersecurity & Infrastructure Security Agency、以降CISA）の取り組みを紹介します。

　米国の「サイバーセキュリティ啓発月間」は2004年から毎年10月に行われており、すでに20年以上の歴史があります。日本と同様に官民の連携による活動で、以前は「National Cybersecurity Awareness Month（国家サイバーセキュリティ啓発月間）」と称していました。また、毎年テーマを掲げており、近年は以下のようになっています。

• 2021年「Do Your Part. #BeCyberSmart.」
• 2022年「See Yourself in Cyber」
• 2023年「Secure Our World」
• 2024年「Secure Our World」
• 2025年「Building a Cyber Strong America」

　2023年からは「Secure Our World」を恒久的に用いる方針を示していましたが、政権交代に伴うCISAの体制変更があった2025年には、サイバー脅威に対する国内インフラの強化やレジリエンスとセキュリティの確保の必要性を強調する目的で「Building a Cyber Strong America」がテーマとなりました。

　2025年のキャンペーンの「Key Messages and Fast Facts（主なメッセージと概要）」は以下の9項目です。

基本を押さえる：ビジネスや政府機関を守るための4つの必須事項

1. 従業員にフィッシング詐欺の回避を指導する
フィッシングは、従業員を騙して悪意のある添付ファイルを開かせたり、機密情報を共有させたりする。不審なアクティビティを認識し、報告できるように従業員を教育する。

2. 強力なパスワードの使用を必須にする
強力なパスワードは、推測や自動攻撃を通じた犯罪者によるアカウントへのアクセスをブロックするシンプルかつ強力な手段である。すべてのユーザに対して強力なパスワードの使用を必須にする。

3. 多要素認証を必須にする
MFAはパスワードを超えたセキュリティ層を上乗せする。これを必須化することでアカウントの安全性を大幅に向上させる。利用可能な場合はフィッシング対策機能を備えたMFAを使用する。

4. ビジネスソフトウェアを更新する
古いソフトウェアには悪用され得る欠陥が含まれている可能性がある。システムを保護するために、セキュリティアップデートとパッチを速やかにインストールする。

次のステップ：防御力をレベルアップ

5. システムのログ記録を活用する
アクティビティをログに記録することで、脅威アクターがシステムにアクセスしようとしている兆候をチームが監視できるようになる。重要な情報を監視する方法を学ぶ。

6. データをバックアップする
インシデントは起こりえるが、重要な情報をバックアップしておけば、復旧はより迅速になり、ストレスも軽減される。組織の目標復旧時点（RPO:Recovery Point Objective）に沿ったバックアップ計画を策定し、システムを保護して円滑な運用を維持する。

7. データを暗号化する
データとデバイスを暗号化することで、攻撃に対する防御力を強化する。たとえ犯罪者がファイルにアクセスしたとしても、情報はロックされて読み取ることができない。暗号化をセキュリティ戦略の一環として組み込む。

追加対策

8. CISAとサイバーインシデント情報を共有する
組織とCISAが脅威情報を共有することで、誰もがより安全に過ごせるようになる。インシデントを報告することで、CISAが他組織に警告して情報を得るのを支援することになり、その結果として脅威に先手を打てるように支援してもらえる。cisa.gov/report

9. .Govドメインへ移行する （対象組織の場合）
CISAは正当な政府機関のみが.govウェブアドレスを使用できることを保証している。ウェブサイトとメールを移行することで、社会からの信頼を高め、なりすまし攻撃のリスクを軽減できる。資格要件と詳細についてはget.govを参照。

　CISAは、連携する企業や組織向けにツールキットを公開しています。これはキャンペーンの実施を支援するもので、すぐに使える（ready-to-go）カスタマイズ可能なツールとテンプレートで構成されており、2025年は以下が提供されています。

●メール署名バナー （PNGファイル）
組織内のリーダーや影響力のある人材に、この画像をメールの署名に1ヶ月間使用するよう促す。

●仮想背景 （PNGファイル）
10月中、ビデオ会議（Teams、Zoomなど）の背景として使用する。

●通知メールのサンプル （DOCXファイル）
サイバーセキュリティ啓発月間に向けて、組織内の全員にメールを送信し、従業員の意識向上を促す。カスタマイズして利用する。

●プレスリリースのサンプル （PDFファイル）
サイバーセキュリティ啓発月間キャンペーンについて、世の中に発信する。カスタマイズして利用する。

●PowerPointプレゼンテーション （PPTXファイル）
以下の3つのPPTXファイルが提供されている。

1. 組織向けサイバーセキュリティのベストプラクティス
   このプレゼンテーションを経営陣およびIT／セキュリティチームと共有し、CISAが中小企業および州（state）・地方（local）・部族（tribal）・準州（territorial）組織向けに策定したサイバーセキュリティのベストプラクティスを確認する。自組織のサイバーセキュリティポリシーを見直し、更新の必要性について議論する。自組織が「サイバーセキュリティ啓発月間」に参加することへの合意形成を図る。
2. オンラインで安全を確保するための9つの方法
   このプレゼンテーションを使用して、職場だけでなく個人デバイスでも実践できる簡単な手順を従業員に理解してもらう。また、このプレゼンテーションは基本的なサイバーセキュリティ情報が役立つと思われる一般ユーザー向けのコミュニティ啓発活動にも活用できる。
3. PowerPointテンプレート（独自の内容で作成）
   このテンプレートを使用して、特定のグループ向けにカスタマイズしたプレゼンテーションを作成する。

●ソーシャルメディアに関する提案
CISAのソーシャルメディアのアカウント（Facebook、Instagram、LinkedIn、X、YouTube）を紹介し、CISAの投稿に対して「いいね！」やシェア、コメントなどのかたちで参加することや、CISAのアカウントをフォローすることを提案。

●ポスター （PDFファイル）
組織の休憩室にポスターを掲示することを提案。3種類のポスターをPDFで提供。それぞれ四隅にクロップマーク（いわゆる「トンボ」）を付けたバージョンも提供されている。

　なお、PPTXファイルで提供されている「2. オンラインで安全を確保するための9つの方法」は以下であり、基本的には上記の「主なメッセージと概要」の9項目と順番が異なるだけで内容は同じです。また、そのPPTXファイルを使ったプレゼンテーション動画はCISAのYouTubeチャンネルで公開されています。

●オンラインで安全を確保するための4つの重要な行動
1. ソフトウェアを更新する
2. 強力なパスワードとパスワードマネージャを使用する
3. 多要素認証（MFA）を有効にする
4. フィッシングを認識して報告する

●防御力をレベルアップ
5. ログ記録とモニタリングを活用する
6. データをバックアップする
7. データを暗号化する

●追加対策
8. サイバーインシデント情報をCISAに報告する
9. .govドメインに移行する

　政府主導のサイバーセキュリティに関する啓発キャンペーンとしては至極真っ当な内容であり、特に気を衒ったものはありませんし、2024年までの取り組みと基本的には変わりありません。しかし、前政権時のキャンペーンのテーマが対象を「Your」「Our」と表現し、2023年からは「Secure Our World」を恒久的に用いる方針を示していたにもかかわらず、政権交代後に「America」を全面に出したテーマに変わったことには、驚きは全くないものの、米国の「変化」がストレートに反映されているように感じました。