ン 政 サ ュ 政策 現状
中沢 潔
JETRO/IPA New York
1 サ
ン 大統領 2017 5 11 日 米国 サ ュ 強化 関 大統領 署
修 ン 大統領 就任 111 日目 うや 発出 大統領 政 初 主要サ
ュ 政策措置 あ
3 最優先事 連邦政府 ワ 関 サ ュ 要 ン 関
サ ュ 国家/国民 サ ュ 関 内容 記述 各
連邦政府機関 長 対 期限 内 大統領 報告書 提出 う指示 い
大統領 内容 ュ政 及び 政 推逭 サ ュ 政策 方向性
即 変え い 改善策 掲 い
➢ 連邦政府機関 長 対 直接的 サ ュ 管理責任 賦課
➢ NIST サ ュ ワ 活用 連邦政府機関 義務付
➢ 連邦 IT 近 化計画 推逭
➢ 高い い 要 ン 防護及びサ ン ン 対策 強化
➢ 国 連携や将来的 サ ュ 人材育成 視
草案段階 批 多 例えば 国防総省 限 強化 含 全保
視活動 強化 能性 懸念 声 あ 後多数 連邦政府機関 関 者及びサ
ュ 政策 専門家 意見 入 修 結果 連邦政府 サ ュ
対策 方向性 明確 示 概 評価 や専門家 声 多 ン 大統領
発出 中 最 異論 少 い大統領 一 いえ
一方 政策 実効性や 効性 懐疑的 見解 示 声 あ 専門家 間 体的 政策内容 関
見解 い 多 専門家 サ ュ 強化 計画立案及び情報 集
要 あ サ ュ 大統領 長期的 成 う 戦略策 期間
早急 抜 出 新 ンサ 威 要 ン 事前 防護 強固 国家
サ ュ 措置 一刻 早 実行 移 必要 あ 考え サ ュ 大統
領 提示 い 主要政策 実施 体的 時期 い 少 数 要
い
ワ 2017 9 時点 連邦政府機関 提出 報告書 数や内容 い
詳細 明 い い
1大統領 術評議会 ATC 国家 全保 省 DHS 行政管理 算局
OMB 連邦調達庁 GSA 共 連邦政府 IT 近 化 関 報告書 8
発表 米議会 報告書や 後提出 報告書 督活動等 追わ
2
大統領 基 大 新 サ 威 効果的 対応 体的 措置 講
後 議会 主要 役割 果
1
ン 政 サ ュ 大統領 義務付 い 報告書 内容公開 公開時期 報告書 異 い
2 https://insidecybersecurity.com/daily-news/trump-cyber-order-begins-producing-deliverables-congress-steps-review-
大統領 連邦 IT 近 化 組 並行 電子 サ ュ
サ 含 連邦政府機関 IT 調達 い 共 型 IT サ 能 限 選好 求
連邦 IT 調達市場 多大 影響 え 見込 い 特 サ
政府 構築 目指 ン 政 い 最 注目 い IT
ン 連邦政府向 ン 戦略 い 多数 近 化
コ や複雑 時間 縮減 ュ 担保 前面
押 出 要 考え
連邦政府機関 IT 近 化 体的 ン 大統領直属 米 ン
及び大統領 術評議会 ATC Amazon 社 Apple 社 Microsoft 社 IBM 社 含 大手
企業 CEO 含 民間 連携 主 企業 大統領
サ ュ ワ 活用義務付 等 新 ュ 要件 求
能性 含 動向 注視 必要 あ 連邦政府 い 2017 1 連邦調
達庁 GSA 契約 資金提供方法 簡素化 政府機関 サ 活用 速化 目
的 立 省庁 断組織 ン ン CCoE 8 政府機関
サ 調達 指針 調達責任者向 入 サ
ン 教訓 経験 化 実現 政府経験 基 い 政策
積極的 後押 動 企業 う 動向 注意 必要 あ
サ ュ 政策 主 動 併 報告
efforts
2 サ 防衛強化 目指 ン 大統領 サ ュ 政策
1 2017 5 発出 米国 サ ュ 強化 関 大統領 概要
ン 大統領 2017 5 11 日 待望 い 米国 サ ュ 強化 関 大統領
連邦政府 ワ 及び 要 ン サ ュ 強化 関 大統領 Presidential
Executive Order on Strengthening the Cybersecurity of Federal Networks and Critical
Infrastructure サ ュ 大統領
3署 修 ン 大統領
就任 111 日目 うや 発出 大統領 政 初 主要サ ュ 政策措置 あ
表
1:サ ュ 大統領 署 ン 大統領
※大統領署 席者 左 国家 全保 会議 NSC Josh Steinman氏 ワ サ ュ
コ Rob Joyce氏 国土 全保 省 DHS 補佐 Tom Bossert氏
出 :CNET4
a.
サ ュ 大統領 発出 経緯
ン 大統領 大統領選挙 入 サ 攻撃問
5背 就任後 90 日 内 特
編成 サ 攻撃対策 包括的 見直 強化 報告書 考え 大統領就任
直前 明 サ ュ 政策 優先 組 最 要政策 据え 組
公言 い ン 大統領 当初 就任後間 い 2017 1 各連邦省庁 長 IT
新 民連携 サ ュ 問 組 義務 サ ュ
大統領 署 あ 当初 大統領 草案 米国防総省 Department of Defense : DoD
連邦政府 IT や 要 ン 弱性 い 見直 限 付 米国家情報長
Director of National Intelligence 米国 サ 威 敂 作成 含 内
3 https://www.whitehouse.gov/the-press-office/2017/05/11/presidential-executive-order-strengthening-cybersecurity- federal
4 https://www.cnet.com/news/president-trump-signs-cybersecurity-executive-order/
5
大統領選挙期間中 民主党全国委員会 Democratic National Committee ン 機密情報 含 流出 事件 米政府 共和党 ン 大統領候補 勝 大統領選 影響 え 目的 政府 関 主張 い
容 あ 後 幅広い連邦政府機関 関 者やサ ュ 専門家 意見
入 必要 あ 断 案 署 見
62017 5 11 日 サ ュ 大統領 発出 記者会見 国土 全保 省
Department of Homeland Security : DHS 補佐 Tom Bossert 氏 発出 時間 要 理由
い ン 政 並行 推逭 連邦政府 IT 新 組 関 連邦捜査
局 Federal Bureau of Investigation : FBI や米 法省 Department of Justice : DoJ 等 関連省庁 サ
ュ 対策費増 提案 大統領 算案 発表 待 必要 あ 挙 い
7サ ュ 大統領 発出 先立 5 1 日 ン 大統領 連邦政府 IT 及び
サ 近 化 向 政府機関全体 IT ン 戦略 方向性 調敁 IT 活用
い 勧告 新組織 大統領自 議長 務 大統領 術評議会 American Technology
Council : ATC
8立 大統領 署
9ATC ワ 戦略的 担当
長 務 Chris Liddell 氏 運営責任 担い 副大統領 国防長 商務長 国土 全保 長
国家情報長 Jared Kushner 氏 大統領顧問 ワ 担
当責任者 構成 ン 政 サ ュ 政策 様 各政府機関 長 責任 持
IT 改革 推逭 う い
10ン 大統領 2017 3 発表 2018
大統領 算案
11500 億 国防 算 大幅 引 え 主 民間
サ ュ 対策 責任 う FBI や DoJ DHS 対 サ ュ 対策資金 増
12
い う 経緯 踏 え Bossert 氏 回 サ ュ 大統領 発出 早過
遅過 い絶好 ン 出 考え 示 い
b.
サ ュ 大統領 主 内容
サ ュ 大統領 実質的 サ ュ 対策 3 最優先事
連邦政府 ワ 関 サ ュ 要 ン 関 サ ュ
国家/国民 サ ュ 関 内容 3 ン 記述 各連邦政府
機関 長 対 期限 内 大統領 報告書 提出 う指示 い 表 各 ン 主
要内容 敁理
6 http://www.zdnet.com/article/trump-signs-impossible-cybersecurity-order-say-critics/
https://www.tripwire.com/state-of-security/government/100-days-office-president-trump-digital-security/
7 http://www.defenseone.com/politics/2017/05/trump-releases-long-delayed-cyber-order/137791/
8ATC
運営責任者 ワ 戦略的 担当長 務 Chris Liddell氏 ン 副大統領 国防長 商務長 国土 全保 長 国家情報長 大統領顧問 含
9 https://www.whitehouse.gov/the-press-office/2017/05/01/presidential-executive-order-establishment-american- technology-council
10 http://www.nextgov.com/cio-briefing/2017/05/trump-creates-new-tech-council-tackle-federal-it- modernization/137455/
11 https://www.whitehouse.gov/sites/whitehouse.gov/files/omb/budget/fy2018/2018_blueprint.pdf
12
ン 大統領 FBIやDoD 犯罪者や 暗 化 通信 解 支援 組 6,100万 算増 DHS 算 前 比 7%増 約440億 割 当 提案 い
http://www.nextgov.com/cybersecurity/2017/03/what-trumps-skinny-budget-says-about-cybersecurity/136217/
表
2:サ ュ 大統領 主要内容
連邦政府 ワ 関 サュ
要 ン 関 サ ュ 国家/国民 サ ュ
政策方針 政府 米国民 情報/ 義務 あ 各 政府機関 長 各々 管理責任 い 政 府全体 政府 IT 1 ン
ワ 捉え 管理
米国政府 限及び能力 活用 米国 要 ン
所 者 運用者 サ ュ 管理
組 支援
将来世 向 ン 価値 維持
ン 相互運用 能 信頼 全 ン
推逭 害 詐欺 盗
防 能率 ン コ ュ ン
経済繁栄 逭 政府 サ
米国 目標 達成 基礎 サ ュ 関連 長 人材育成 維持 支援 対策 米国立標準 術研究所 NIST サ
ュ ワ 活用 各連邦政府機
関 求 各政府機関 長 管理責任 わ 各連邦政府機関 IT調達 い 共 型ITサ
shared IT services 選好 ば い
公衆衛生/ 全 経済 又 国家 全保 地域/ 全国規模 破滅的 影響 及 恐 あ 非常 高いサ
攻撃 い 要 ン 13 効果的 防護
軽減 方策 特
要 ン サ ュ 管理 市場
透明性 高 コン ュ 乗 益情報 盗 DDoS Distributed Denial of Service 攻撃 掛
サ 威 軽減 戦略 策
国 連携 国内外 敂 攻撃 抑
サ 威 米国民 良 防護 戦略
策
将来 向 必要 サ ュ 人材 育成
報告書 提出義務
各連邦政府機関 長 NIST ワ 実施 関 計画 含 管理報告書 90日
内 作成 国土 全保 長 及び行政管理 算局 OMB 局長 後共 報告書 評価
60日 内 大統領 報告
大統領 術評議会 ATC 責任者 DHS OMB 連邦調達庁 GSA 商務省 DoE 長
共 府 統合 ワ 及び
共 型ITサ 移行 能性 関 90日 内 大統領 報告
国土 全保 長 国防長 法長 国家情報長
FBI長 要 ン 関連所管 庁 長 協力 180
日 内 要 ン 効果的 防護 軽減 方策 い 大統領 報告
国土 全保 長 省 DoE 長 国家情報 長 及び州地方政府 長 連携 90日 内 大 サ
ン ン 伴う電力供給 害 測 範 /期間
う ン ン 対応力 ン ン 対応
必要 等 い 評価
国土 全保 長 商務長 国防長 法長 FBI 長 要 ン 関連所管 庁 長 連邦通信委員会 FCC 委員長 連邦 引委員会 FTC 委員長 協力
サ 威 軽減 戦略策 行い 240日 内 仮報告書 作成 1 内 大統領 最終報告 行う
国土 全保 長 国防長 FBI長 国家情報長 米
国 防衛産業 サ ンや軍事 /
/ ワ /機能 含 防衛産業基 直面 サ ュ 軽減策 い 90日 内 大統 領 報告
国土 全保 長 国防長 国務長 務長 商務長 法長 国家情報庁長 90日 内 米 通商 表部 USTR 国内外 敂 攻撃
抑 サ 威 米国民 良 防護
戦略 関 報告 共 行う
国土 全保 長 国防長 国務長 務長 商務長 法長 FBI長 45日 内 国 的
サ ュ 対策 捜査 特 サ
威情報 共 対応 能力育成 協力等 関 優先 事 い 大統領 個々 報告 国務長
組織 長 連携 90日 内 サ ュ 国 連携戦略 い 大統領 報告
国土 全保 長 国防長 商務長 労働長 教育長 含 関連組織 長 将来 米国
サ ュ 人材育成 組 範 十 性
い 共 評価 120日 内 大統領 報告
国家情報長 米国 サ ュ
競 力 長期的 影響 考え 諸外国 人材 育成活動 評価 60日 内 大統領 報告
出 :各種資料
14基 作成
13
要 ン 前大統領 2013 2 発出 要 ン サ 攻撃 対 ュ 強化 推逭 大統領 ン9 特 い 詳細情報 公開 い い
14https://www.whitehouse.gov/the-press-office/2017/05/11/presidential-executive-order-strengthening-cybersecurity-federal https://www.apks.com/en/perspectives/publications/2017/06/president-trumps-executive-order-on-cybersecurity
c.
サ ュ 大統領 主要 ン 政 変更点
連邦 IT 弱性 検知 強化 各連邦政府機関 サ ュ
対策 時 遅 IT / ワ 包括的 見直 焦点 置 い ン 大統領
サ ュ 大統領 内容 前政 組 基 あ Bossert 氏 記者会見
明 う 内容 ュ政 及び 政 推逭 サ ュ 政策
方向性 即 変え い
政 時 米国家 全保 会議 National Security Council : NSC サ ュ 政策長
務 Ben Flatgard 氏 2015 6 米連邦人事管理局 Office of Personnel Management :
OPM ン 被害 遭い 2,100 万人 個人情報 流出 事件 2016 2
政 発表 米国 サ ュ 強化策 あ サ ュ 国家行動計画
Cybersecurity National Action Plan : CNAP
15起草 関 人物 一人 あ 氏 ン
大統領 サ ュ 大統領 い CNAP 主要 目 推逭 あ 任意
適用 推奨 米国立標準 術研究所 National Institute of Standards and Technology :
NIST サ ュ ワ 活用 連邦政府 管理対策 義務付
前政 政策路線 維持 漸逭的 改善 い 語
16Bossert 氏 記者会見 政 米国 サ ュ 政策 大 逭歩 十
対策 程遠い 述 ン 政 サ ュ 大統領 前政 組 基
改善策 提示
17い 主要 ン 通
18➢ 連邦政府機関 長 対 直接的 サ ュ 管理責任 賦課 ― サ
ュ 大統領 各連邦政府機関 IT 及びサ ュ 担当者 組織
長 対 サ ュ 管理 最終責任 課 明示 各機
関 長 主体的 軽減対策 講 う求 い
➢ NIST サ ュ ワ 活用 連邦政府機関 義務付 ― 前
大統領 2013 2 要 ン サ 攻撃 対 ュ 強化 推逭
大統領 発出 NIST 2014 2 策 サ ュ ワ
任意 ュ ン あ 民間企業 中
心 幅広 活用 い サ ュ 大統領 各政府機関 ワ
活用 義務付 行動計画 作成 う求 い
➢ 連邦 IT 近 化計画 推逭 ― サ ュ 大統領 連邦政府 サ
一元化 各政府機関 い 共 型 IT サ 活用 求 コ 削減
19
政府 IT ン 近 化計画 時並行 推逭 新 移行や
運用 伴うあ ゆ 特 う求 い
15
連邦政府 IT 近 化 30億 支出 や コン 最優秀人材 集 政府全
体 サ 専門家集団 結成 米国 政府 民間 サ ュ 対策 強化 190億 算 割 当 提案 い https://obamawhitehouse.archives.gov/the-press-office/2016/02/09/fact- sheet-cybersecurity-national-action-plan
16 https://arstechnica.com/tech-policy/2017/05/the-text-and-subtext-of-trumps-cyber-executive-order/
17 https://www.theatlantic.com/news/archive/2017/05/trump-signs-cybersecurity-order-hacking-election/526407/ http://www.politico.com/story/2017/05/11/trump-cyber-executive-order-238273
18 https://www.pwc.com/us/en/cybersecurity/assets/initial-takeaways-president-trump-cybersecurity-executive-order- may-2017.pdf
19 2016 5
米会計検査院 GAO 発表 報告書 2015 連邦政府 IT 算 75%
610億 運用 維持費 占 い 明 い
http://www.gao.gov/assets/680/677436.pdf
➢ 高い い 要 ン 防護及びサ ン ン 対策 強化 ― サ
ュ 大統領 特 高いサ い 要 ン ュ
対策 通信 威対策 国防総省及び防衛産業
管理改善策 サ ン ン 伴う電力供給 害対策 見直 求 い
➢ 国 連携や将来的 サ ュ 人材育成 視 ― サ ュ 大統領
サ 攻撃抑 政策 国 連携 サ 軽減
規範策 推逭 い 米国 長期的 競 優 性 維持 サ
ュ 人材 育成 向 組 強化 う求 い
う 点 え ン 政 サ ュ 政策 国防総省 DoD 果 役割
後 強化 能性 示唆 い 教 入国禁 求 大統領候補時
過激 発言 繰 返 強硬 対策 推 逭 考え 示 い ン 大統領 2015 12
州 発生 銃乱射 事件 い 死亡 容疑者 使用 い iPhone 端 暗
機能 捜査当局 情報 引 出 ュ 解除 時間 要 問 暗 化
等 対 犯罪捜査 妨 い いう当局 見解 支持 当局 暗 化機能 解
除 断固拒否 Apple 社 痛烈 非 い
20う 背 国家 全保 問 専門
米 ン ン 新 ュ ン Center for a New American Security : CNAS 級研
究員 あ Adam Klein 氏 遵 国家 全保 均衡 視 前政 対
照的 ン 大統領 2017 12 期限 外国人 通信 対 傍 原則的 合法
化 外国情報 視法 Foreign Intelligence Surveillance Act : FISA 702 条 無条件延長 動 能性
含 後政府 視活動 一層強化 能性 高い 見方 示 い
21当初 サ ュ 大統領 草案 民間部門 サ ュ 政策 督機
関 あ 国土 全保 省 DHS 等 限 DoD 付 役割 強化 内容 あ
明 あ 案 対 顧客 問 全保 視活動 視
う 能性 懸念 民間企業や関連政府機関 関 者 懸念 声 い
22
う 声 最終的 サ ュ 大統領 関連 条 削除 要 ン
サ ュ 政策 DHS 主 的役割 尊 内容 修 要
ン サ ュ 対策 見直 関連所管 庁 え国防長 協力 う求
い サ 攻撃抑 向 国 連携 組 国土 全保 長 国防長 国務長
務長 商務長 法長 FBI 長 共 サ ュ 国 連携戦略 策
う求 DoD 米国 サ ュ 政策 い 果 役割 大
23
後 動向 注視 必要 あ
d.
サ ュ 大統領 対 識者 評価
草案段階 批 多 後多数 連邦政府機関 関 者及びサ ュ 政
策 専門家 意見 入 修 発出 サ ュ 大統領 連邦政府
サ ュ 対策 方向性 明確 示 概 評価 や専門家 声 多
ン 大統領 発出 中 最 異論 少 い大統領 一 いえ 一方 政策 実効
性や 効性 懐疑的 見解 示 声 あ 専門家 間 体的 政策内容 関 見解
い
表
3:サ ュ 大統領 対 主 識者 意見
20 https://www.eff.org/deeplinks/2016/12/trump-and-his-advisors-surveillance-encryption-cybersecurity
21 https://www.csoonline.com/article/3172933/security/what-to-expect-from-the-trump-administration-on- cybersecurity.html
22 https://www.theguardian.com/us-news/2017/jan/31/trump-cybersecurity-order-pentagon-surveillance
23 http://www.mcclatchydc.com/news/nation-world/national/national-security/article150066642.html
評価 意見 現在 連邦政府機関 固 サ ュ 独自
ュ 管理 い サ ュ 大統領 政府全体 1 ン
捉え ュ 包括的 管理 う義務付 個 ュ コ
構築 各政府機関 全 人 析 報告 必要性
認識 サ ュ 対 連邦政府 見方 大 文化 的
意味 Mike Shultz 氏 サ 州 点 置 サ 管理サ 企業 Cybernance
社CEO
サ ュ 査 軽 減 向 計画 あ ゆ 企業 肝心
連邦政府機関 精査 ば い 世界 う 計画
評価活動 一部 あ 単 計画 い い い Jess Richter氏
州 点 置 サ ュ 析企業DarkLight Cyber社最高販売責任者
サ ュ 大統領 各連邦政府機関 長 対 各組織 現在 サ ュ
体 総責任 わ サ ュ 程 戦略的 捉え う
要因 基 い 優先 関 決 行 示 う求 う 報告書作成 行う
各機関 非常 貴 訓練 機会 提供 あ Kevin Magee氏
州 点 置 ワ 視化ソ ュ ン 提供 企業Gigamon社
ュ
批 的 課 懸念 示 意見
サ ュ 大統領 内容 民連携 いう 主 政府 政策 思案や 施行 行う あ 米国 火急 対応 必要 サ 威 民間主 実行 課
い 言及 い い 残念 あ 政府機関 民間 対応力 概 高 評価 い
ン 政 政策 い ぶ 驚 あ Daniel Castro 氏 米 ン ン 情報 術
ン 団 Information Technology and Innovation Foundation:ITIF ン
サ ュ 大統領 NIST サ ュ ワ 活用 義務付 い
ワ 用い 評価 行う 評価 特 問 修
行動 起 全 物 あ 政府機関 ワ 活用法 い 研修 義
務付 政府機関内 最善 活用法や問 対 修 策 対
応 い問 や問 対応 場合 結果 い 一 意見 い サ ュ
大統領 内容 期限内 実行 非常 い う John Kronick 氏 点
置 サ 企業Stratiform社ATGサ ュ ソ ュ ン担当
共 型サ 連邦政府 IT 一元化 単一 政府機関 最 聡明
能 人材 用 ば 全 政府機関 利益 一方 ュ
穴 一箇所 見 共 型 IT ン ば あ ゆ 連邦機関
侵入 許 John Bambenek 氏 ン 州 点 置 高 サ 威 情報漏
洩防 ソ ュ ン 提供 企業Fidelis Cybersecurity社 威 サ
議会 算 成立 ば 多 政府機関 ュ 対策 改善 必要
投 資 実 施 い 例 え 利 用 資 金 あ 連 邦 調 達 規 則 Federal Acquisition
Regulations 調達 長期間 要 能性 あ 資金や法 敁備
必要 あ John Chirhart 氏 ン 州 点 置 ワ ュ ソ ュ ン
提供 企業Tenable Network社連邦 術
サ ュ 大統領 連邦政府内 督 限 集約 目指 い 思わ サ
ュ 管 理 責 任 一 元 化 連 邦 最 高 情 報 ュ 責 任 者 Federal Chief Information Security Officer 連邦CISO 据え 投資 優先 や計画実行 督 任
理 い 連邦 CISO 空席 あ 24 大統領 様々 報告
書 必要 改善 特 政府 サ ュ 対応 サ 化
行わ 能性 あ Kevin Magee氏
出 :各種資料
25基 作成
24
連邦CISO 連邦政府機関 CISO及び ュ 算 統合管理 目的 2016 9 新設 役准将 Gregory Touhill氏 初 連邦CISO 任 氏 ン 大統領就任直後 辞任
後 連邦CISO 空席 い
25 http://searchsecurity.techtarget.com/news/450418734/Trump-cyber-executive-order-focuses-on-cyber-risk-
2 後 展望
a.
サ ュ 大統領 施行 後 見通
政 時 ワ サ ュ コ 務 Michael Daniel 氏
ン 大統領 サ ュ 政策 方向性 高 評価 一方 各政府機関 報告書
提出 評価 経 体的 サ ュ 対策 講 必要 あ サ
ュ 大統領 新 計画 立 計画 a plan for a plan い 考え 示
い
26サ ュ 強化 計画立案及び情報 集 要 あ サ ュ
大統領 長期的 成 う 戦略策 期間 早急 抜 出 WannaCry
27含 新 ンサ 威 要 ン 事前 防護 強固 国家サ
ュ 措置 一刻 早 実行 移 必要 あ 考え 専門家 多い
サ ュ 大統領 提示 い 主要政策 実施 体的 時期 い
少 数 要 い 例えば 大統領 連邦政府 ワ 関 サ
ュ 各連邦政府機関 ュ 問 評価 90 日 内 実施 後 問
対応 DHS 共 OMB 必要 政策 算 い 60 日 内 提示 評価 う求
い Flatgard 氏 OMB 例え期日 2017 10 通 算 提示 政
策措置 実 講 最 早 2019 又 2020 算 見通 示 い
28ワ 2017 9 時点 連邦政府機関 提出 報告書 数や内容 い
詳細 明 い い
29サ 攻撃 対 国 連携 関 報告書 要 ン
市場透明化 電力 ン ン ン 対応能力 防衛産業基 対 サ サ 抑
戦略的選択肢 関 報告書 提出期限 既 過 い ワ 大統領
術評議会 ATC DHS OMB GSA 共 連邦政府 IT 近 化 関 報告
書 8 発表 米議会 報告書や 後提出 報告書 督活動 追わ
30
議会 秋 降 サ ュ 抑 コ ュ 連邦政府 IT
近 化 強健 サ ュ 人材 育成 多数 サ ュ 関連法 い 議論
見込 あ サ ュ 大統領 基 大 新 サ 威 効果的 対応
体的 措置 講 後 議会 主要 役割 果
サ ュ 大統領 施行 関連 動 院国土 全保 政府問 委員
会 Senate Homeland Security and Governmental Affairs Committee 連邦政府機関全体 サ
ュ 関 規 措置 調敁 簡素化 中央組織 DHS 内 新設 法案作成
作業 主 い
31NIST サ ュ 大統領 新 義務付 連邦政府機
management
https://www.bankinfosecurity.com/blogs/trumps-cybersecurity-executive-order-will-be-judged-by-action-inspires-p- 2523https://www.cyberscoop.com/trump-signs-long-awaited-cybersecurity-executive-order/
26 https://www.theatlantic.com/news/archive/2017/05/trump-signs-cybersecurity-order-hacking-election/526407/
27
古い ン Microsoft Windowsコン ュ 標的 ワ 型 ンサ サ ュ 大統 領 発出 翌日 2017 5 12日 全世界 政府機関 企業 個人 コン ュ 感染 大
28 https://arstechnica.com/tech-policy/2017/05/the-text-and-subtext-of-trumps-cyber-executive-order/
29
ン 政 サ ュ 大統領 義務付 い 報告書 内容公開 公開時期 報告書 異 い
30 https://insidecybersecurity.com/daily-news/trump-cyber-order-begins-producing-deliverables-congress-steps- review-efforts
31 https://insidecybersecurity.com/daily-news/johnson-calls-central-authority-perhaps-dhs-coordinate-cyber-regulation
関 サ ュ ワ 入 支援 大統領 発出直後
ワ 活用 各連邦政府機関 管理計画 策 実施 改善 方法
組織内文書 Interagency Report : IR 連邦政府機関 対 サ ュ
ワ 施行 ン The Cybersecurity Framework: Implementation Guidance for Federal
Agencies 草案 発表
32い 2017 8 SP 800-37 連邦政府情報 対
管理 ワ 適用 Guide for Applying the Risk Management Framework to Federal
Information Systems 改訂版
33間 発出 計画 明 い
34NIST
ワ 標準及びサ ン 管理 対 評価指標 関 新条 含 サ ュ
ワ 改訂作業 第 1.1 版改訂案 逭 第 2 草案 秋発表 あ
35
う 逭展 あ 一方 2017 8 米国家 ン 諮問委員会 National Infrastructure
Advisory Council : NIAC
3628 委員 う 8 辞任 表明
37業界 大統領
施行 遅 能性 懸念
38後 行方 注目
b.
連邦
IT調達市場 影響
サ ュ 大統領 連邦 IT 近 化 組 並行 電子
サ ュ サ 含 連邦政府機関 IT 調達 い 共 型 IT サ 能 限 選
好 求 連邦 IT ン 市場 多大 影響 え 見込 い 特
サ 政府 構築 目指 ン 政 い 最 注目
い
米国 前 政 2010 掲 Cloud First 政策 い 連邦政府
IT ン 近 化ソ ュ ン 化 推逭 政策 内務省
Department of Interior 2012 組織全体 電子 サ 契約 Google 社
中央情報局 Central Intelligence Agency : CIA 2013 Amazon 社 Amazon Web Services
AWS 用 コン ュ ン 入契約 締結 話
集 連邦政府全体 サ 利用 遅々 逭 い い 理由 一
政 2011 12 各政府機関 サ 活用 速化 連
邦政府 サ 調達 共通 ュ 基準 連邦政府 認証管
理 Federal Risk and Authorization Management Program : FedRAMP
39対 各省庁 求 ュ 許容 異 運用認
32 NIST 2017 6 30
日 案 対 意見募集 行 い https://www.assured.enterprises/nist-issues- guidance-on-federal-government-cybersecurity-best-practices/
33
改訂版 NIST サ ュ ワ 標準 連邦情報 ュ 管理法 Federal Information Security Management Act:FISMA い ュ 評価指標 基 評価 主 目的 い
34 https://insidecybersecurity.com/daily-news/nist-eyeing-trump-order-incorporates-cyber-framework-risk- management-guide
35 https://insidecybersecurity.com/daily-news/nist-issue-second-draft-framework-update-seeking-more-comment- metrics
36 2001
米 時多発 事件 設立 組織 大統領 米国 要 ン 関 問 及びサ ュ い 勧告 役割 担 い
37
辞任 表明 委員 理由 2017 8 中旬 州 Charlottesville 起 白 人 主義団体 対派 衝突 死傷者 出 事件 ン 大統領 方 責任 あ 発言 大統
領選挙 影響 含 米国民 要 サ ュ 対 増大 威 十
注意 払 い い 挙 い https://www.rollcall.com/news/policy/members-trumps-infrastructure- panel-resign-protest
38 https://www.wired.com/story/trump-cybersecurity-executive-order/
39
連邦情報 ュ 管理法 FISMA FedRAMP 連邦政府全体 コン ュ ン
製品 サ 評価 視及び認 方法 一 ュ 基準 策 ュ 標準 NIST 策
SP 800-53 連邦政府情報 び連邦組織 ュ 管理策 管理策 基準 基 い い https://www.fedramp.gov/
authority to operate : ATO サ 各組織 ュ 要件 い 再 確認
必要 あ 認 短縮 サ 活用迅速化 必 い い 挙
40
OPM ン 被害 大規模 情報漏洩事件 政府 老朽化 IT 対
ュ 高 中 ン 政 連邦政府機関全体 標準化 サ ュ
防護機能 暗 化機能 担保 ン ン ン 最
限 単一 ワ ン 民連携 構築 目指 各連邦政府機関
中心 共 型サ 提供 IT ン サ 容易 調達 う 政
府 IT 新及び ュ 強化 早急 逭 い考え あ
41現時点 サ
ュ 大統領 連邦政府 ワ 関 サ ュ 関 各政府機関
サ ュ 管理 関 報告書 統合政府戦略 い 調敁 合理化 い
明 点 多い 将来的 連邦 IT 調達市場 体的 影響 測 段階 い
一方 IT ン 連邦政府向 ン 戦略 い 企業及び政府向 ソ
及び情報ソ ュ ンサ 提供 米 Deltek 社 サ あ John Slye 氏 政府
向 サ 既 Amazon 社や Microsoft 社 い 大手 IT 企業 積極的 サ 提
供 い 後 サ 提供 IT ン サ 売 込 多数
近 化 コ や複雑 時間 縮減 ュ
担保 前面 押 出 要 ン 述 米 IT 市場調査会
社 Gartner 社 サ ン 務 Katell Thielemann 氏 連邦政府機関向
サ 提供 企業 政府 求 要件 対応 的 投資 行
後 ン 戦略 政府機関 共 型サ 活用 中央
移行 考慮 必要 ュ 要件 満 サ 提供 向
主体的 投資 必要性 指摘 い
42連邦政府機関 IT 近 化 体的 ン 大統領直属 米 ン
Office of American Innovation : OAI
43及び大統領 術評議会 ATC Amazon 社 Apple
社 Microsoft 社 IBM 社 含 大手 企業 CEO 含 民間 連携 主
企業 サ ュ 大統領 サ ュ ワ
活用義務付 等 新 ュ 要件 求 能性 含 動向 注視 必要 あ
連邦政府 い 2017 1 連邦調達庁 General Services Administration : GSA
契約 資金提供方法 簡素化 政府機関 サ 活用 速化 目的 立
省庁 断組織 ン ン Cloud Center of Excellence : CCoE
448
政府機関 サ 調達 指針 調達責任者向
入 サ ン 教訓 経験 Cloud Acquisition Professionals Cloud Adoption
Survival Tips, Lessons, and Experiences : CASTLE Guide
45化 実現
40 https://www.apks.com/en/perspectives/publications/2017/06/president-trumps-executive-order-on-cybersecurity https://federalnewsradio.com/reporters-notebook-jason-miller/2017/05/new-cloud-buying-guide-underpins-it- modernization-bill-cyber-eo/
41 https://www.govtechworks.com/how-cyber-executive-order-could-change-federal-it/#gs.EPUH1ls https://about.bgov.com/blog/trumps-cyber-order-excites-government-contractors/
42 http://www.ecommercetimes.com/story/84693.html
43 2017 3
発出 大統領 民間組織 構想 基 連邦 僚 改革 目的 新設 組
織 ン 大統領 娘婿 大統領 級顧問 あ Jared Kushner氏 組織 責任者 務 い
44 CCoE GSA
農務省 USDA) DHS FCC 米 役軍人省 VA 含 48 省庁 140 政府関 者 構成 FCC CIO 務 David Bray氏 組 主 い 民間企業 移籍 2017 9 USDA 管理局 Risk Management Agency CIO 務 Chad Sheridan氏 後
45 CCoE
後数逬間 内 サ ン や業界関 者 対 意見募集 行う計画 あ
政府経験 基 い 政策 積極的 後押 動 企業 う 動向 注意 必要
あ
3 サ ュ 政策 主 動
1 NIST 対 連邦政府機関 サ ュ 対策 関 査 限付 巡
問
院 科学 術委員会 House Science, Space and Technology Committee 2017 3
委員会委員長 務 Lamar Smith 院議員 サ 州選出 含 共和党議員 中心 連邦政
府機関 サ ュ 対策状況 NIST 査 法案 NIST サ ュ
ワ 評価及び 査法 NIST Cybersecurity Framework Assessment and Auditing Act
46決
体的 法案 NIST 対 各連邦政府機関 サ ュ 対策 初期評価 6
内 実施 最 ュ 高い機関 優先 2 内 全面審査 完了 う
い 民機関 NIST サ ュ ワ 用状況 関
次報告書 ワ 科学 術政策局 Office of Science and Technology Policy 策
ワ 及 向 幅広い対策 講 う NIST 求 い
NIST 限 大 提案 案 サ ュ 大統領草案段階 NIST サ ュ
ワ 連邦政府機関 義務付 考え 示 い ン 政 政策方針 合
あ 方針 各政府機関 ュ 対策 い 厳格 査任務 担え 組織
NIST 外 い 共和党議員 全面的 支持 得 い 一方 院委員会 ン ン ン
Eddie Bernice Johnson 議員 民主党 サ 州選出 民主党議員 案 文
民政府機関 サ ュ 対策 主要責任 う OMB 及び DHS 限 NIST 委譲
あ サ ュ 標準 策 あ 活用 勧告 行う機関 機能
NIST 政府機関 サ ュ 対策 査 い 対 姿勢 示
47
議論 い
院委員会 法案 決 NIST 情報 ュ 及び 関 諮問委員会
Information Security and Privacy Advisory Board : ISPAB 6 法案 内容 対 意 示
書簡 NIST 商務省 Department of Commerce : DoC DHS OMB 長 付 計画 明
書簡 査機関 ば各組織 問 検知 指摘 必要 あ 中立 勧告
機関 先入観 政府機関や業界 関 維持 困 能性 あ NIST
対 関連 算 削減傾向 あ ソ 足状態 あ
48中 査業務 新 追
ば NIST 主要任務 サ ュ 標準策 や教育活動 支 来 恐
あ 警告 い 法案 関連 算 割 当 関 言及 一 行 い い 米議会 算
http://www.nextgov.com/cloud-computing/2017/08/heres-cloud-guide-written-feds-feds-will-white-house- listen/140478/
46 https://www.congress.gov/bill/115th-congress/house-
bill/1224/text?q=%7B%22search%22%3A%5B%22NIST+Cybersecurity+Framework%2C+Assessment%2C+and+Au diting+Act+of+2017%22%5D%7D&r=1
47 http://www.nextgov.com/cybersecurity/2017/03/nist-enforcer-house-committee-passes-bill-expand-agencys- responsibilities/135805/?oref=ng-relatedstories
http://www.nextgov.com/cybersecurity/2017/03/nist-must-audit-federal-cybersecurity-because-dhs-isnt-hill-staffer- says/136638/
48
ン 大統領 2018 大統領 算案 い NIST 対 IT サ 関連 算 13% サ ュ サ 関連 算 9%削減 提案 い
局 Congressional Budget Office : CBO 法案 実施 費用 後 4 間 4,800 万
推 い
49NIST サ ュ ワ 連邦政府機関 効果的 管理策 義務付
中 新 サ 威 対 各機関 サ ュ 対策 十 あ い
的 逭展 改善状況 査 必要 あ
50法案 う 背 策 民主
党議員 中心 NIST 限 大 懸念 示 声 多い 現時点 法案内容 後修
能性や 院 会議 法案 提出 時期 院 関連法案 審議 計画 詳細 明
い い
2 NIST SP800-53 改訂案 発出
NIST 2017 8 NIST SP 800-53 第 5 版改訂案 情報 び組織 ュ
/ 管理策 Security and Privacy Controls for Information Systems and Organizations
発表
51SP 800-53 元々 連邦政府機関 2002 連邦情報 ュ 管理法
Federal Information Security Management Act : FISMA 基 連邦情報 ュ 標準
及び ン 提供 策 前回 第 4 版 改訂 2014 行わ い 第
5 版改訂案 民間 防衛 情報機関 表 構成 策
NIST 回 改訂案策 汎用コン ュ やサ CPS
/ 産業/ 御 IoT Internet of Things 含 あ ゆ
種類 防護 幅広い 民組織 主体的 体系的 利用 包括的
ュ 措置 講 必要性 認識 背 あ 明 い
52特 案 ン
サ 音声コン IoT 及 伴う 保護問 新 対
応 改訂案策 主 NIST Ron Ross 氏 案 発出 伴
い い 個人 特 能 情報 ン 被害 保護 各 ュ
/ 担当者 協力 必要 保護対策 講 要 あ 述 い
53
SP 800-53 改訂版 連邦政府機関 連邦情報 対象 産業界 含
機関 適応 否 自主的 断 任 い 第 5 版改訂案 う
ュ や 保護 ば い 対象 大幅 大 企業
ュ / 責任者や ン 対応 内容 い
54SP
800-53 第 5 版改訂案 主要 ン 通
5549 http://www.nextgov.com/cybersecurity/2017/06/cyber-advisory-board-gives-thumbs-down-nist-oversight- role/139135/
50 https://www.csoonline.com/article/3219787/data-protection/achieving-long-term-resilience-with-nist-s-cybersecurity- framework.html
51 http://csrc.nist.gov/publications/drafts/800-53/sp800-53r5-draft.pdf
52 https://csrc.nist.gov/News/2017/NIST-Release-First-Draft-SP-800-53-Rev-5
53 https://fedtechmagazine.com/article/2017/09/feds-get-new-guidance-nist-protect-data-iot-devices
54 https://www.nist.gov/news-events/news/2017/08/nist-crafts-next-generation-safeguards-information-systems-and- internet
55 https://www.lexology.com/library/detail.aspx?g=353b798e-e355-4f48-becb-c506fc3efc3e
https://insidecybersecurity.com/daily-news/nist-releases-proposed-update-federal-guidance-data-privacy-security- requirements
•
文書 表 連邦 記載 削除 ン 対象範 大 伴い 情報
わ 用語 用い 連邦政府機関 州政府や地方自治
体 民間企業 ン 活用 う推奨 い
•
扱う情報 要性 応 最 限 ュ 要件 え
要件 提示 い
•
連邦政府機関 外 組織 利便性 考慮 ュ / 管理策 い 情報
ュ 管理 国 規格 あ ISO/IEC27001 や ュ 管理策 NIST サ
ュ ワ 及び ン 敁合性 ン や
ソ 開発者 様々 立場 あ 関 者 応 ュ 対策 選択
う い
•
改訂案 OPM ン 被害 大規模 情報漏洩事件 前 政 2016
7 発行 連邦政府機関 情報資産管理 関 OMB 通達 A-130 OMB Circular A-
130 改訂版 全 連邦政府機関 義務付 情報 ワ 管理手
法 用 ン 政 推逭 連邦政府 及び ワ 保護 向 組
対応 ン 提供 い
改訂案 対 意見募集 2017 9 12 日 実施 い NIST 後 10 最終改訂案
発出後 文書 最終化 発行 見込 あ
3 IoT ュ 対策 関 超党派法案
院サ ュ コ Senate Cybersecurity Caucus
56共 議長 務 Mark Warner
院議員 民主党 州選出 Cory Gardner 院議員 共和党 コ 州選出 2017 8
院議員 2 共 連邦政府機関向 販売 IoT 一 ュ
基準 求 内容 法案 IoT サ ュ 向 法 Internet of Things IoT Cybersecurity
Improvement Act of 2017
57提出 Gartner 社 世界 IoT 利用 数
2017 84 億 2020 204 億 達 見込 あ
58IoT ュ
対策 急激 市場成長 速 追い い 2016 10 DVR や ュ
弱 IoT 利用 大規模 DDoS 攻撃 Netflix Google Twitter 米大手
サ ン 事件
59IoT 対 ュ 懸念 高 い
う 事態 背 提出 法案 連邦政府機関 IoT 販売 企業 対 販売時
既知 ュ 弱性問 対策 い や ュ 弱性問 発見
場合 適 や ュ 適用 う 変更 い コ
ワ 使用 禁
60義務付 い 案 全 連邦政府機関 対 各機関 使用中
IoT 作成 公開 や 善意 IoT 潜在的 ュ
問 特 報告 刑事訴追 法的 保護 提示 い Warner 院議員
法案 い IoT 市場 明白 問 修 関連 製品
ュ 向 向 競 期待 IoT 術 ン 阻害
ュ 強化 主 狙い あ 明
6156
サ ュ 関 主要政策問 い 議論 両議院2016 立 超党派 議員連盟
57 https://www.scribd.com/document/355269230/Internet-of-Things-Cybersecurity-Improvement-Act-of-2017
58 http://www.zdnet.com/article/iot-devices-will-outnumber-the-worlds-population-this-year-for-the-first-time/
59 https://www.cnet.com/how-to/ddos-iot-connected-devices-easily-hacked-internet-outage-webcam-dvr/
60 2016 10
起 DDoS攻撃 ン IoT ン 用い 認証 ワ
admin 等 容易 想 コ ワ 用い い 背 あ
61 https://www.warner.senate.gov/public/index.cfm/pressreleases?id=06A5E941-FBC3-4A63-B9B4-523E18DADB36
表
4:
IoTサ ュ 向 法案 共 提案
Mark Warner院議員
出 : Lima Charlie News
IoT 規 策 慎 姿勢 示 米政府 あ ン ュ 第一人者
大学 講師 務 Bruce Schneier 氏 含 業界 識者 政府 入 ば手遅
市場 動 い 見解 示 回 法案提出 動 概 歓迎 い
62米
ュ 企業 Signal Sciences 社 戦略 ン 務 Tyler Shields 氏 法案
IoT 最 限 ュ 標準 満 企業 求 使用 関
集 GSA 建物 設置 い ンサ や 米海洋大気庁 National Oceanic and
Atmospheric Administration : NOAA 鯨 移動及び海底火山 調査 用い い ンサ コ
削減や研究 目的 連邦政府機関 入 い あ ゆ IoT ュ 問 解決
到底 い い 一方 氏 法案 一般消費者向 IoT ュ 強
化 向 基準策 期待 述
63後 法案審議 行方 時
IoT ュ 問 目 業界 影響 注目
4 米サ 軍 統合軍 昇格 NSA
ン 大統領 2017 8 米軍 サ 戦 米国 実行 防衛力 高 米サ
軍 US Cyber Command 米太 洋軍 Pacific Command や米中央軍 Central Command 含
計 9 主要独立戦略部隊 格 統合軍 Unified Command 昇格 う
64DoD 過去
数 間 わ 議論 サ 軍 統合軍 昇格 2016 12 成立 2017 国
防 限法 National Defense Authorization Act for Fiscal Year 2017 中 盛 込 回
ン 大統領 発表 決 公式 認
65米サ 軍 サ 等 威 対抗 前 政 2009 創設 来
米国 核戦力部隊 統括 サ 防衛 担う戦略軍 Strategic Command 置 米軍
サ 戦 実行及び戦場 戦闘部隊 用い ワ 防衛戦略 調敁 任務 遂行
サ 軍 指揮 米国家 全保 局 National Security Agency : NSA 長
62 https://limacharlienews.com/tech/internet-of-things-legislation/
63 https://www.cnet.com/news/congress-senate-iot-device-makers-your-security-sucks/
64 https://www.whitehouse.gov/the-press-office/2017/08/18/statement-donald-j-trump-elevation-cyber-command
65 https://federalnewsradio.com/on-dod/2017/08/elevation-of-us-cyber-command-recognizes-its-coming-of-age/
兼任 サ 軍 部 ン 州 Fort Meade あ NSA 部 置
い
66表
5:現在
NSAン 内 設置 い 米サ 軍 部 左 サ 軍 統括責任 担
う
NSA Mike Rogers長 右
出 : The Washington Times
67FCW
68サ 軍 米国 主要諜報機関 あ NSA 様々 ソ 共 サ 軍
事 及び組織 迅速 育成 い 政府 意 あ サ 軍創設
8 経過 現在 機密情報 集 任務 NSA サ 軍事目的達成 任務
サ 軍 相 目的 衝突 あ 2 組織 間 緊張 近 高 あ
例えば 大統領 2016 サ 軍 対 サ 国 攻撃
強化 う 国 通信 ン ン 提案 軍 サ
場所 簡単 再構築 サ 停 国 保
情報 要 考え NSA 間 摩擦 生 い
69ン 大統領 サ 軍 統合軍 昇格 発 伴い 国防長 対 NSA 長 兼任
い サ 軍 指揮 能性 検討 う 明 い DoD 国
土防衛 ュ 部 Homeland Defense and Global Security 次 補 務 Kenneth
Rapuano 氏 サ 軍 独立 統合軍 新 指揮 指 確 待
ば 現時点 NSA Rogers 長 わ 新 サ 軍指揮 就任 体的 時期
い 決 い い いう 2017 国防 限法 国防長 及び米統合参謀 部 Joint Chiefs of
Staff 対 サ 軍 NSA サ 米国 能力 損 わ
い 認証 う義務付 氏 う 時間 考慮 少 あ
1 間 NSA 長 サ 軍 指揮 兼任 体 測 い
7066
サ 軍 事 人員数 軍民合計700 あ サ 軍 統括 米軍所 各サ 部隊 充 最終的 133 約6,200人編成 見込 あ http://www.pbs.org/newshour/rundown/u-s- create-independent-u-s-cyber-command-split-off-nsa/
67 http://www.washingtontimes.com/news/2017/jul/17/us-to-create-independent-military-cyber-command/
68 https://fcw.com/articles/2017/09/19/cybercom-spinoff-williams.aspx
69 http://foreignpolicy.com/2017/08/18/trump-elevates-cyber-command/
70 https://www.washingtonpost.com/news/checkpoint/wp/2017/08/18/president-trump-announces-move-to-elevate- cyber-command/?utm_term=.5472af915c3d
サ 軍 創設 2009 時 海軍 艦隊サ コ ン Fleet Cyber Command 副
務 い 役海軍少将 Bill Leighter 氏 サ 軍 NSA 共 指揮体 公式
関 米国政府 サ 諜報活動 軍事活動 衝突 回避 両
組織間 人事異動 含 サ 軍 後 NSA 密接 関 維持 得 い 考え 示
い
71※ 注記 参考資料等 利用 作成 い あ 内容 関
用性 確性 知的 産 侵害等 一 い 執筆者及び執筆者 所属 組織
如何 保証 あ 者 内 情報 利用
損害 被 場合 執筆者及び執筆者 所属 組織 如何 責任 う あ
71 https://federalnewsradio.com/on-dod/2017/08/elevation-of-us-cyber-command-recognizes-its-coming-of-age/