2/05/2017

オバマのサイバー・レガシー

NextGovより。インターネット・セキュリティに関するオバマ大統領のレガシーをまとめたもの。シュナイアー氏が良い記事だと書いている。

オバマ政権はサイバー空間を安全にすることに前例のないあらゆる面で努力を行った。それでは、なぜ安全性が低下したのだろうか?

8年間、オバマ政権を最も予測できない敵であることがはっきりしたサイバー空間は常に新しい方向にねじれて、思いも寄らない打撃を与えた。

政権は初日からサイバー脅威を真摯に受け止め、再調査を開始し、政策を公布し、防衛を強化し、サイバー空間の最も危険な関係者に罰則を科した。これはロシアと北朝鮮に対する制裁と、中国とイランからの政府関連のハッカーを起訴することを含んでいた。

しかし、結局はサイバー空間が勝った。

ロシアのウラジミール・プーチン大統領によって命令されたデジタル侵害がヒラリー・クリントン候補を弱体化させ敗北した、勝者となったドナルド・トランプの正当性について疑いを広め、国の民主主義機構への信頼にダメージを与えた選挙に続いて、バラク・オバマ大統領は今週ホワイトハウスを離れるだろう。

オバマ政権のサイバー政策の歴史が書かれた時、おそらくその事実は他よりも大きく立ちはだかるだろうと、多数のサイバー専門家や元当局者がNextgovに語った。デジタル不安の時代に政府や国家を整備するのが年々難しくなっていることが影を投げ掛けている。多かれ少なかれ、おそらくオバマ政権が大きなサイバー問題を抱えていた数十の事例にも影を落としている。

「彼は全ての手段で備えたが、彼はこれに失敗した。」と、ブッシュ政権時代に国土安全保障省で国務副次官補だったポール・ローゼンツヴァイクは言った。

「最後を迎えるに当たり、彼らはBプラスの評価だ。」とホワイトハウスや金融部門でサイバー構想を指導した30年のサイバー政策のベテラン、ジェイソン・ヒーリーは言った。「残念ながら、彼らは結局は失敗した。」

この評価は、政府、軍、警察、民間部門に新たな信じられないほどの複雑な領域で活動する準備を進めるのにオバマ政権を信用する多くのトップサイバーウォッチャーを狼狽させている。

「オバマ政権は配慮を持った政策検討を行う伝統的な政府マーカーを計画する素晴らしい仕事を行ってきた ... 伝統的なアメリカの政策組織を機能させる基本的な構成単位。」とローゼンツヴァイクが言った。「彼らは知的資本とそれらの多くの努力と時間を投資してきた。否定的な面では、これらの努力にもかかわらず、我々は実際にはサイバーセキュリティに関して良くはなっていない。」

8年前より良くなったのか?

それらの答えは全般的に条件付きのノーだった。

「我々はサイバーセキュリティに取り組むための政策や制度に関して良くなっているが、脅威の状況や実際のセキュリティ環境に関しては悪くなっている。」と、カーネギー国際平和基金でサイバー政策構想の共同リーダであるティム・モーラーは言った。

「重要なインフラへの攻撃から我々を守ることに関しては改善されている。」と、外交問題評議会のデジタルサイバー空間政策プログラムの理事アダム・シーガルは言った。「私は前よりもずっと少なくなっているように思う。しかし、全体として、進歩が脅威のペースに追い付いていない。」

大統領のサイバセキュリティ調整役のマイケル・ダニエルでさえも、多くの専門家が4年半の間で大きな進歩を遂げたと信じられていたのは、完全に楽天的というわけではなかった。

「色々な点で、我々は明らかにもっと能力があると思うし、色々な点で、よく分かっているし、安全であると思う。」ダニエルはNextgovに語った。「しかし、脆弱性はなおも拡大し続けている... その展望はより深刻で危険である。」

良い面

オバマ政権のサイバセキュリティ資産のプラス面は多くある。

多くの前の関係者のリスト上には、オバマと中国総書記の習近平との間の2015年9月の、民間へのハッキングを停止することへの合意がある。

合意に先立って、キース・アレクサンダー元国家安全保障局長は米国企業の企業秘密や知的財産の中国のサイバー窃盗を「歴史上で最大の富の移転」と説明した。FBI長官 ジェームズ・コメイは、「米国には2週類の巨大企業がある... 中国によってハッキングされた人と、中国によってハッキングされたことを知らない人」と公表した。

合意後の数ヶ月以内で、米諜報機関や民間サイバーセキュリティ企業によると、中国企業のハッキングは急激に減少した。

合意前の数年間に渡って様々なクライアント向けに月平均35件の中国のサイバースパイの調査を行ってきたサイバー企業FireEyeは、今も月に10件の調査を行っていると、FireEyeのグレイディ・サマーズCTOはNextgovに最近語った。

それは多くの成果のうち最高のものである。

国土安全保障省(DHS)は、連邦政府機関の90パーセント以上を保護するアインシュタイン・サイバー脅威検知予防システムを構築し、継続的にアップグレードした。

ホワイトハウスは、サイバーインシデントや攻撃に対応するための政府のサイバーセキュリティ政策や手続きを策定するための命令を出した。

国立標準技術研究所は民間企業で広く採用されているサイバーセキュリティのベスト・プラクティス・フレームワークを確立した。

国防総省は攻撃力と防衛力をもつ独立したサイバー司令部を立ち上げ、6千人以上のサイバー兵士を配置し、10月には初期運用段階に到達した。

国務省はサイバースペースでの平時の基準を確立するため数十の他の国と協力し、国際法がどのように適用されるかを検討した。

そして、財務省はホワイトハウスが12月にロシアのハッカーを罰するために使われた一連のサイバー固有の制裁措置を開発した。

悪い面と見苦しい面

プーチンの選挙干渉を超えた悪い時期もあった。

伝えられるところによれば、ホワイトハウス、国務省、統合参謀本部ではロシア政府と結び付きのあるハッカーが関与したメールシステムのセキュリティ侵害があった。伝えられるところによれば、中国政府と結び付きのあるハッカーが人事局から連邦政府の現職及び元職員及びその家族に関する2千万以上の機密の人物調査文書が盗み出された。

民間部門でも、ソニー・ピクチャーズ・エンターテイメントに対する北朝鮮の破壊的なサイバー攻撃、ターゲット、JPモーガン、Yahooで大きなデータ侵害、インターネット最適化企業のDynに対するサービス不能攻撃、NetflixやNYタイムズのウェブサイトを数時間に渡ってオフラインにするセキュリティ侵害はあった。

NSAのエドワード・スノーデンによる暴露はサイバーセキュリティでシリコンバレーとの協力の試みを根本的なダメージを与えた。また、敵国や一部の同盟国は著しく複雑になったサイバーセキュリティ上の協力体制を構築するためのインターネットを管理の考え方が小さく狭くする方向に向かうよう推し進めた。

消費者や民間企業に対するサイバー犯罪は過去8年間で全く低下しなかった。OPM(連邦人事管理局)違反の結果、連邦政府のネットワークを強化するサイバー・スプリントにも関わらず、政府はいまだに時代遅れのテクノロジーに頼っている。そして、政府の技術獲得における数十年間の効率の悪さは実質的に直っていない。

サイバーウォッチーが言うには、最も重要なのは政府がサイバー攻撃者を防ぐための幅広いポリシーを決して確立しないと言う。どちらかといえば、ロシアの選挙妨害が示唆するのは、攻撃者が大胆に成長しただけだった。

「彼らは反発する側から積極的な側に抜け出せない。」と、DHSで元サイバーセキュリティ担当副次官で、現在イースト・ウエスト研究所を率いるブルース・マコーネルは語った。

「私は政権が実行に移したと思う多くの良いものがあるようように、実際に起こった悪い出来事があるし、現実性は全てをより安全にすると言う点でゲームチェンジャーがなかったことだ。」現在はサイバーセキュリティ・リスク・コンサルタントのBitSightで副社長で、下院国土安全保障委員会の元弁護士のジェイコブ・オルコットは語った。

「あなたは最高のパフォーマーになることができる。しかし、もしも嫌な1日を持てば、悪いことが繰り返されるだろう。」オルコットは語った。

複雑な展望

オバマ政権のサイバーセキュリティの努力はいくつかの基本的な事実によって阻まれた。

そもそも、空あるいは海での戦闘と違い、紛争の領域としてのインターネットは民間企業によってコントロールされている。セキュリティ基準を強制するために政府ができること、特にDHSが重要なインフラと分類しているエネルギー、電気、輸送などの産業以外は制限されている。

サイバー空間は、医療あるいはホームレスのような自分だけの問題というより紛争の領域としてよく見られている。その結果、純粋なサイバー的な失敗というよりも、クリミアなどへのロシアの武力侵攻を含む幅広い失敗の一部として、ロシアの選挙干渉を終わらせるあるいは対抗するのに政権は失敗したと考え方が納得がいくと、専門家は言っている。

最後に、ターゲットは絶えず変化している。

諜報機関の職員や議会のリーダーによって表されるオバマ政権の前半での最大の恐怖は、人命の損失や財産の破壊を引き起こす重要なインフラに対する破壊的なサイバー攻撃であった。それは決して起こらなかったし、もし起こったとしても、発生したセキュリティ侵害と影響は比べると見劣りする。

脅威よりも速く動くこと

もし、サイバーセキュリティにおいて勝利宣言できない根本的理由がオバマ政権の無能さにあるなら、専門家や元関係者はNextgovにこう言っている: 脅威は、解決のための政権の能力を超えて拡大し、急速に変異している。

「政府は時速60マイルで移動しているが、インターネットの技術革新は時速6000マイルで移動している。」と、元DHS職員ポール・ローゼンツヴァイクは言った。「ハッカーは防御側より進んでいる、防御側は国会議員より進んでいる、国会議員は規制よりは進んでいる。」

トランプ政権あるいは将来の政権がその脅威より進むには、サイバー空間をどのように安全にするかの根本的な再考が求められるだろう。

サイバー保護やサイバー予防策についての政府の規制当局と一緒にさらに多くの情報を共有するため、重要インフラ部門を必要とすることを意味すると、元DHS職員のブルース・マコーネルは言った。

オルコットによると、閣僚の秘書官を含む職員で構成された部署を作り、最終的にそれらの部署にサイバーセキュリティの責任を確実に持たせ、より効率的な政府調達システムで最高位のテクノロジーに多額の投資を行う必要があるだろう。

おそらく最も重要なことは、オバマ政権が管理できたものよりも、より網羅的なサイバー政策を展開させて、プライバシーとセキュリティ、他の国との関係、民間部門との間でトレードオフがある時の政府の立場を明確にする必要があるだろうと、コロンビア大学で上級研究員のジェイソン・ヒーリーは言った。

「我々はこのようなことをするのに何十年も掛けてはいけない。」、カーネギー基金のティム・マウラーは言った。「これまでの政府の活動は遅れずに付いていくのが精一杯だったが、我々は加速する必要がある。」