米ホワイトハウスは現地時間2014年2月12日、重要インフラのサイバーセキュリティ強化に向けたガイドライン「Cybersecurity Framework」(PDF文書)を公開した。2013年の一般教書演説でBarack Obama米大統領が発布した行政命令に基づき、米商務省の国立標準技術研究所(NIST)が政府機関や民間企業などから集めた意見をまとめた。
同ガイドラインには、重要インフラ分野の組織や企業がサイバーリスクに関する理解やコミュニケーション、およびサイバーリスクの管理を向上するための世界的標準規格やベストプラクティスなどが盛り込まれている。「米国外の組織にとってもサイバーセキュリティの取り組みに役立つ」としている。
さまざまなサイバーセキュリティプログラムに共通する基本的な対策の手順をまとめた「Framework Core」、自社におけるサイバーセキュリティの現状把握、優先事項の判断、進捗状況の確認などの参考となる「Framework Profile」、サイバーリスク管理の手段とプロセスを考察するための仕組みを提供する「Framework Implementation Tiers」の3部構成となっている。
また、サイバーセキュリティの取り組みによる影響が考慮されるプライバシーや市民的自由に関するガイダンスも提供する。
Cybersecurity Frameworkに強制力はなく、参加については各組織および企業の判断に任せられる。
米Wall Street Journalなどは、同ガイドラインが企業のネットワーク保護対策に、大した影響をもたらさないとするセキュリティ専門家の意見を伝えている。
Obama大統領は同日発表した声明で、「Cybersecurity Frameworkの公開は1つの転換期を示すものだが、我々のサイバーセキュリティ強化に向けてまだ多くのやるべきことがあるのは明らかだ。米国の重要インフラは引き続きサイバー脅威のリスクにさらされ、米国経済は知的財産の窃盗による損害を受けている」と述べ、米国議会に対してサイバーセキュリティ関連の法案成立に向けて再び働きかける意向を示した。
Obama政権は2011年から2012年にかけてサイバーセキュリティ法案の立法化を進めたが、プライバシーに関する強い懸念などに阻まれ、最終的に上院で否決されている。
[発表資料へ]
