|
はじめに
今回は久しぶりにセキュリティを取り上げる。99年中はY2Kの陰に隠れてあまり見えてこなかった連邦政府における情報セキュリティの議論も、2000年に入って1月の「国家情報システム保護計画(National Plan for Information Systems Protection)」の第1版の発表、2月の2001年度予算要求における各種セキュリティ予算の新規要求などで再び焦点が当てられ始めた。それを加速したのが、2月に起きたヤフーやアマゾンなどをターゲットとした大規模な「サービス妨害(Distributed Denial-of Service = DDoS)」事件である。2月15日には、クリントン大統領がIT企業の首脳と会談を持ち、「Partnership for Critical Infrastructure Security」の設立や、2001年度の20億ドルのセキュリティ予算要求の詳細、2000年度補正で900万ドルのセキュリティ予算の確保、などを発表している。その内訳は、
2001年度予算要求、総額20億ドル(前年度17.5億ドルの15%増)
- 「Federal Cyber Services Training and Education initiative」(2,500万ドル)
- NIST内に「Expert Review Team = ERT」を常設(500万ドル)
- 「Federal Intrusion Detection Network = FIDNET」の設計(1,000万ドル)
- 7つのPKIパイロット・プログラム(700万ドル)
- 連邦クリティカル・インフラストラクチャー保護R&D(6億600万ドル)
- 「Institute for Information Infrastructure Protection = I3P」の設置(5,000万ドル)
2000年度補正予算、総額900万ドル
- I3P設置準備(400万ドル)
- FIDNET共同オフィス(200万ドル)
- Federal Cyber Services(200万ドル)
- NISTのERT設置準備(100万ドル)
さて、これらの2001年度要求の結果は2001年度が始まった10月1日の段階でわかっていなければならないはずであるが、未だ通っていない歳出予算法案もあり、関係者に聞いてみたが、あと数週間かからなければ全体が明らかにならないとのことである。
さて、サイバー・セキュリティの世界のリーダーはもちろん民間企業であるが、法制度や法執行、研究開発などにおいて、政府の果たすべき役割がますます重要になってきていることも事実である。また、多くの官民のグローバルな会議が頻繁に開催されていることにも鑑み、それらの参考に資すべく、本稿では、1.において、米国政府におけるサイバー・セキュリティ関連政策を俯瞰するとともに、2.以降において、上述の予算要求の内容も含め2000年に入ってからの政府の関連政策の最新の動きをトピック的に紹介してみることにしたい。
- サイバー・セキュリティ関連政策の背景
98年7月の本報告でも示したように、クリントン政権はサイバー・テロリズムとコンピュータ犯罪の潜在的な脅威に対し、主に(1)諸外国の法執行機関との国際協力、(2)暗号政策の推進、(3)セキュリティ研究開発、(4)重要インフラ保護の4分野において対応を進めて来た。焦点は少しづつ移りつつも、大きな流れは変わっていない。
(1) 諸外国の法執行機関との国際協力
サイバー・セキュリティに関して議論をしている国際的なフォーラムは数多くあるが、サイバー・クライムに焦点を当てたものとしては、G8の枠組内のリヨングループ(国際組織犯罪上級専門家会合)のサブグループの一つであるハイテク犯罪サブグループがある。同グループでは、通信網へのアクセス記録が簡単に消去されうることなどのハイテク犯罪捜査特有の問題に着目し、24時間体制のコンタクトポイント設置、ハイテク犯罪捜査促進のための法制度の検討、捜査共助要請に対する迅速な対応、国境を越えたデータに対するアクセスのあり方等について議論がなされてきた。この5月にはパリにおいて、同グループと産業界の合同会合が開かれ、ハイテク犯罪に関する産業界・政府側共通の課題及びその課題の解決手段について議論されている。さらに10月にはベルリンでワークショップが開催され、別に欧州委員会が提案しているサイバー犯罪に関する条約案などについて議論されることになっている。
それとは別にこの9月19日には、世界の主要IT産業団体の集まりであるIIIC(International Information Industry Congress)(http://www.iiicongress.org)(日本はJEIDAが代表)がケベックにおいて開催され、私も出席する機会があったが、ここにおいてもセキュリティは重要案件であり、サイバー犯罪に関するコモンビュー・ペーパーについて真剣な議論が行われた。IT産業界自体の行動計画を中心とするペーパーでは、サイバー犯罪への認識を高め、人材、知識ベース、情報交換メカニズムなどのリソースを拡充し、必要な刑法改正などを行い、国境を越えた捜査などに係る国際協力を行う、などを盛り込んでいる。
続いて9月26日にはマイアミで、第2回のGBDe(Global Business Dialogue on electronic commerce)(http://www.gbde.org)総会が開催され、幸いこれも聴くことができたが、EDSのリチャード・ブラウンCEOをイシュー議長として、サイバー・セキュリティとサイバー・クライムというコンテクストで幅広い勧告をまとめている。中でも産業界による自発的な情報共有メカニズムの確立に焦点が当てられており、2001年9月の東京での第3回総会までに、GBDeメンバー企業は所在国におけるメカニズムの確立をリードするとともに、その世界的な所在地、組織、目的などに係る報告書を提出する予定とされている。
このほかに、10月15、16日にはWITSA(World Information Technology and Services Alliance )による「Global InfoSec Summit」(http://www.itaa.org/infosec/summit.htm)が開催され、その場においても情報共有メカニズムの議論がなされることが予定されている。WITSAの事務局をしているITAA(Information Technology Association of America)では、Y2Kの際に民間による国際的な情報のセンターとなったIY2KCC(International Year 2000 Cooperation Center)を下敷きにして、ワシントンDCに「International Information Security Coordinating Center」を置くという案を提示するようである。
(2) 暗号政策の推進
ここ数年、セキュリティの議論の中心でもあった暗号製品の輸出緩和は、民間と輸出規制当局、法執行当局などの間の様々な議論を経て、漸くこの7月17日にほぼ最終的な決定が発表された。すなわち、鍵長を問わず、あらゆる暗号製品について、EU諸国、オーストラリア、ノルウェー、チェコ、ハンガリー、ポーランド、日本、ニュージーランド、スイス向けは、DOCによる一度の技術レビューさえ受ければ、ライセンス無しで輸出可能となるというものである。これを通すためには、FBIなど法執行当局に対して、盗聴や暗号解読などのための見返りが、法律などの形で手当てされなければならないだろうと予想されてきたが、後述のカーニボーなどのツールが既に用意されていることなどによるのか、ひとまず法的手当てなど無しで、輸出規制緩和は実現された。
また1977年から連邦政府の暗号の標準となってきた「Data Encryption Standard(DES)」に代わる次期暗号標準としてNIST(National Institute of Standards and Technology)が97年初から選考を進めてきた「Advanced Encryption Standard(AES)」(http://csrc.nist.gov/encryption/aes)も、10月2日、ベルギーのJoan Daemen、Vincent Rijmen両氏提案の「The Rijndael Block Cipher」が最終選考されたとの発表があった。
広い意味での暗号政策である電子署名法「Electronic Signatures in Global and National Commerce Act(PL#106-229)」も9月末に発効するが、連邦政府における公開鍵暗号インフラストラクチャー(PKI)の一つのプログラムである「Access Certificates for Electronic Services(ACES)」においても、9月にAT&TをCAとして、学生が奨学金申請などで政府機関にアクセスする際の認証をスタートするとしているなど、制度やツールも着々と整備されつつある。
(3) セキュリティ研究開発(後述)
(4) 重要インフラ保護
クリントン大統領は98年5月、重要インフラ保護(情報の他に、エネルギー、金融、運輸、サービス(医療、水道など))への連邦政策のフレームワークを示した大統領通達第63号を発表し、2003年までに「信頼性が高く、相互接続された、安全な情報システム・インフラストラクチャー」を構築し、かつ2000年までに「政府情報システムの安全性を著しく高める」ことを要求している。新たな組織体制として、ホワイトハウスに行政府全体の調整を図る総責任者「National Coordinator for Security, Infrastructure Protection, and Counter-Terrorism」(リチャード・クラーク氏)が置かれるとともに、通達の実行のための中心的な組織として商務省内に「Critical Infrastructure Assurance Office = CIAO」(http://www.ciao.gov)が設立され、実行計画が検討されて来た。この1月に「国家情報システム保護計画(National Plan for Information Systems Protection)」の第1版が公表され、以下のように3つの大きな目標とそのための10の作業が提示されている。
国家情報システム保護計画の詳細
|
目標 1: 準備と防衛: 重要インフラ・ネットワークへの大規模な攻撃が遂行される可能性を最小限に食い止めるために必要な措置を取り、攻撃が仕掛けられても持ちこたえるインフラを構築する。 |
作業 1: 重要インフラ資産及び共有されている相互依存部分の特定と脆弱性への取組み |
|
目標 2: 検知と対応: 攻撃をタイムリーに検知・査定、その制圧、迅速な回復、被害を受けたシステムを再編成するような手段を講ずる。 |
作業 2: 攻撃・不正アクセス検知
作業 3:法律との整合性を保ちながら重要情報システムを守る強固な諜報・警察機能を開発
作業 4: 攻撃予報や情報をタイムリーに告知
作業 5: 対応・再編成・回復の能力の創生 |
|
目標 3: 強固な基盤の構築:
国の重要情報ネットワークへの攻撃に対する準備と防衛、検知と対応の能力を高めるための人材養成、組織・法制度の整備を行う。 |
作業 6: 作業1_5までを支える研究開発の拡充
作業 7: 充分な数のセキュリティ専門家の訓練と雇用
作業 8: サイバー・セキュリティ充実の必要性を米国民に啓蒙
作業 9: 作業1_8に向けての法律や予算歳出の実現
作業 10: これらの作業遂行にあたり、米国民の自由・プライバシーの権利・個人データ保護の権利を保証 |
|
