オースティン・バーグラス氏は、FBI ニューヨークサイバー部門の元責任者であり、現在はBlueVoyantのグローバルプロフェッショナルサービス責任者を務めている。
米国政府のサイバーセキュリティへのアプローチは不確実な時期を迎えている。連邦政府の人員削減、不安定な地政学的環境、AIの広範な普及により、国家安全保障態勢がどのように適応していくかという疑問が生じている。
サイバーセキュリティにおける民間部門と公共部門の役割の区別は常に変化している。これらのセクターは相互依存関係にあり、それぞれが国家安全保障とサイバー防衛に貢献している。民間組織は、この広範な状況における自らの役割を認識し、米国政府との唯一のつながりが国内に物理的に存在することだけであっても、国家支援型攻撃の標的となることを理解する必要がある。
公共部門と民間部門の関係は複雑に絡み合っている。FBIニューヨークサイバー部門の元責任者として、そして後にBlueVoyantの設立時にプロアクティブディフェンスチームのグローバル責任者として加わった経験から、私はこのダイナミクスを直接体験してきた。これらのダイナミクスを理解することは、特にサプライチェーンやサードパーティのリスクに関する計画、リソース配分、リスク管理において重要である。民間部門のリーダーは、政府の支援がより信頼性が低く、より断片化する可能性のある状況に適応しなければならない。
官民パートナーシップ
政府の情報収集能力と民間部門の運用リソースを結びつけることで、各セクターは独自の能力と限界を持ち、米国、その資産、市民を保護することを目的とした複合戦略のために協力することが重要となる。
米国政府は広範な情報収集能力を持っている。FBI、CISA、NSAは機密技術を通じて情報を入手するが、これは民間組織にとってアクセス不可能なものである。
機密解除プロセスには数週間から数カ月かかる可能性があり、リアルタイムの防御に実装する有用性が制限される。この情報が実行可能であるためには、機械速度で迅速に共有される必要がある。重要インフラを標的とする高度な持続的脅威など、脅威活動が高まる期間中に対策を講じるため、政府は必要な防御情報(侵害の兆候や戦術、技術、手順など)を提供するために機密ブリーフィングを実施することがある。
この情報収集と共有へのアクセスを維持することは、特に地政学的緊張が国家サイバーセキュリティに影響を与える中で重要である。しかし、米国政府にはすべての組織を積極的に保護する能力に限界があり、これはさらに民間部門の役割を浮き彫りにしている。
政府の限界と能力
米国政府はすべての組織のサイバー防衛力となることはできない。彼らはすべての侵害やサプライチェーン攻撃に対して徹底的な調査を提供する構造になっていない。直接的な対応は通常、2010年のNASDAQハッキングや最近の通信会社への攻撃のように、重要インフラが脅かされた場合に発生する。これらの重要産業は、予算や人員削減があっても、何百万人ものアメリカ人の健康、安全、福祉に影響を与えるため、政府の優先事項であり続ける。
この状況は民間企業の役割を浮き彫りにしている。政府内の人員不足と縮小が続く中、彼らの重要性は増す可能性がある。侵害やサプライチェーン攻撃が発生した場合、民間のインシデント対応者は完全な調査を実施し、ネットワークセキュリティの弱点を特定し、企業の変更と改善をサポートするための根本原因分析を提供できる。
民間企業はまた、あらゆる規模、あらゆるセクターの組織がサイバーセキュリティの成熟度を向上させ、強化するために必要な専門知識を提供することができる。これらの専任の対応・セキュリティチームは、リソースの制約やミッションの優先事項のために政府機関が提供できない集中的な注意を提供できる。それにもかかわらず、インテリジェンス収集と進行中の作戦を妨害する取り組みをサポートするために、サイバー犯罪はFBIに報告されるべきであり、これによりウェブサイトの閉鎖、妨害、解体につながる可能性がある。
米国政府の態勢縮小は、国際的なパートナーシップにも影響を与える。米国は歴史的に、広範な情報共有に依存するファイブアイズ情報コミュニティ(米国、英国、オーストラリア、ニュージーランド、カナダ)内で重要な役割を果たしてきた。米国のリソース削減は、これらの情報機関や協調的なグローバルサイバー犯罪対策に影響を与える可能性が高い。
民間部門の限界と能力
政府の役割が縮小する中、アメリカ企業が自社の積極的な取り組みを強化する可能性が高い。しかし、民間企業の管理下にあるものと権限の範囲を知ることが重要である。例えば、「ハックバック」(民間企業が実施する攻撃的サイバー作戦)は技術的に違法であり、追加の損害や法的問題を引き起こす可能性がある。
これらのより極端な例を超えて、一般的な課題は、重要な資産を保有しているがサイバーセキュリティリソースが限られている組織に関わるものである。人、機密データ、運用稼働時間の観点から最も保護すべきものを持つことが多いこれらの組織は、政府の関与の減少により、サポートが少なくなる可能性がある。この状況は、小規模なサイバーセキュリティ企業がこれらのサービスが行き届いていない市場のニーズに応えるチャンスを生み出している。
保護を維持するために、あらゆる規模の民間企業は、基本的なサイバーセキュリティ慣行に焦点を当て、全体的なサイバー態勢を強化すべきである。これには、セキュリティプロバイダー、態勢、緊急時対応計画、サードパーティベンダーとの関係、技術契約の定期的な評価が含まれる。
変化への準備
現在の政府縮小の時期は、より少ない人員が新しいツール、知識、AIを通じてより効率を達成することが期待されるテクノロジーとサイバーセキュリティにおける広範なトレンドと一致している。しかし、このアプローチはサイバーセキュリティにおいて課題をもたらす。公共部門と民間部門の両方のリーダーは、人材の維持、トレーニング、開発のための長期的な戦略に焦点を当てる必要がある。十分な注意がなければ、知識ギャップが拡大する可能性がある。
政府は最終的にサイバーセキュリティと人材に再投資する必要性を認識するかもしれないが、それは成長の痛みの期間を経た後になるだろう。大きな出来事の後に国家安全保障を強化する必要性には歴史的な傾向がある。現在、脅威はよりデジタル化しており、サイバー態勢を再調整する前に悲劇を目撃する必要がないことを願っている。
従来のステータスクオは、政府がサイバーセキュリティスタッフを維持するのに苦労していたことであり、民間部門の利点が政府が労働者に提供できるものを上回っていた。現在、公共部門のサポートが減少する時期に、民間部門ができることをすべて行う負担が民間部門にかかっている。
政府の能力がより制約されるようになるにつれて、企業はますます社内チーム、ベンダー、戦略的パートナーに依存するようになるだろう。
