バイデン政権は、SolarWindsのOrionプラットフォームとMicrosoft Exchangeへの攻撃を受けて、米国政府の安全保障に対処する計画の概要を示し、その対応の中心に民間部門との緊密な連携を据えた。
政権は、報道関係者と「政権高官」とされる発言者との間で行われた電話会談の記録でその計画を明らかにした。
「今日では、安全でない技術のコストは、インシデント対応とクリーンアップという最終段階で負担を強いられています。最初から正しく構築すれば、コストは大幅に削減されると確信しています」と匿名の当局者は述べ、政権はイノベーションとセキュリティのバランスを取りながら、米国におけるソフトウェアの開発と調達においてセキュリティを最優先にしたいと付け加えた。
政権が提示した解決策の一つは、ベンダーを格付けするサイバーセキュリティ格付け制度だ。当局者は、シンガポールのIoTデバイスに関するサイバーセキュリティ格付けを、米国の今後の取り組みのモデルとして具体的に挙げ、近いうちに大統領令で詳細が示される予定だと述べた。
政権はまた、国家安全保障会議(NSC)主導の統合調整グループ(UCG)に民間企業のメンバーも参加するよう要請した。ソフトウェアセキュリティタスクフォースにはこれまでも民間企業が参加してきたが、今回が初めての参加となる。
冷戦に代わってコード戦争が勃発した。そして今、我々は負けつつある。
続きを読む
「我々は、国内産業や民間セクターのネットワークを把握している米国政府と民間セクターとの連携を強化することに注力しており、脅威に関する情報を迅速に共有し、米国企業がこうした問題に対処したり、事件発生時に迅速に情報共有したりする上で妨げとなっている責任障壁や阻害要因に対処できるようにしたい」と当局者は述べた。
同当局者はまた、国家安全保障問題担当大統領補佐官がサイバーセキュリティ事件について初めてツイートしたことを引用し、データ侵害に関する警告や注意喚起を随時継続する意向を示した。
匿名の当局者はまた、ExchangeとSolar Windsの脆弱性に対する政府の対応についても詳細に説明した。
「連邦政府全体で4週間にわたる修復作業の3週目に入りました」と議長は述べた。「侵害を受けた機関はすべて、特定の一連の活動を行うよう指示され、その後、敵対勢力が根絶されたと確信できるよう、独立した機関による作業内容の検証を受けることになりました。」
「ほとんどの機関は独立した調査を完了しています。まだ完了していない機関も、3月末までに完了する予定です。」
連邦政府全体でサイバーセキュリティの近代化と技術に大きなギャップがあることがわかった。
「ホワイトハウスでは、この問題について、特に侵入を受けた9つの機関の副長官らによる定期的な副長官会議を開催し、その方法論について議論を重ねてきました。実際、これに基づいてインシデント対応の方法論を標準化しました。」
これらのレビューと議論により、「連邦政府全体におけるサイバーセキュリティの近代化と技術に大きなギャップがある」ことが判明した。
したがって、上記に述べた新しい計画が生まれました。
政権はMicrosoft Exchangeへの攻撃の責任者を名指ししていないが、攻撃の出所が中国にあるというMicrosoftの評価には異議を唱えていない。SolarWindsへの攻撃の背後には依然としてロシアが第一容疑者として残っている。®
