海を隔てた米国と欧州のサイバーセキュリティ アプローチの違い

  • Article

2017 年 5 月 17 日 - Paul Nicholas - Trustworthy Computing、シニア ディレクター

このポストは「 More than just an ocean separates American and European approaches to cybersecurity 」の翻訳です。

 

米国国立標準技術研究所 (NIST) のサイバーセキュリティ フレームワークの最新版と、ネットワーク情報セキュリティ (NIS) 指令の導入に関する欧州ネットワーク情報セキュリティ庁 (ENISA) の提案の公開を受けて、私はふと一息ついて、これら 2 つの導入以降、 当社の重要なインフラストラクチャのセキュリティ保護の取り組みが進展してきたかどうかについて考えてみました。また、規制対象/影響下にある幅広いエコシステムから大きな支持を受けていたとしても、政治風土の違いがどれほど政策の結果に影響を及ぼすかということにも衝撃を受けました。

 

この 2 大経済圏の出発点は非常に似ていました。欧州の NIS 指令も米国の NIST フレームワークも、重要なインフラストラクチャのサイバーセキュリティの向上を目指すものです。これらは2013 年初め、ほぼ同時期に登場しました。まず、欧州委員会が NIS 指令を導入し、オバマ前米大統領がサイバーセキュリティ フレームワークの設立を目指すためのプロセスを定めた大統領命令に署名したのです。

米国と EU の政治、法律、執行をつかさどる各「機関」の大きな違いを考えれば、出発点が同じでも、両者がまったく異なる道を進んだことに何ら驚きはありません。現在、NIST フレームワークは、脅威の変化と世界中の導入者の経験に基づき、3 年ぶりの大幅な改訂を進めています。それに対して、NIS 指令は、EU 加盟国での履行段階がまだ始まったばかりです。

NIST によるフレームワークの構築は、官民の協力体制の成功例としてふさわしい支持を得てきました。オープンで、協調的かつ反復的な開発プロセスによって、サイバーセキュリティとそれ以外の関係者が持つ専門知識と経験を活かし、米国以外でも数多くのオープン ワークショップとコンサルティングが幅広く行われました。その結果、現在世界中で数々の企業や政府機関によって参照されているフレームワークが完成したのです。これは、ISO 27103 の出発点として考えられています。

一方、欧州では米国でのフレームワーク構築よりも、足並みを揃えるプロセスにはるかに長い期間がかかりました。28 の異なる国家サイバーセキュリティ政策を整合させ、4 ~ 6 つの主要政治会派で構成される欧州議会から共通認識を得なくてはならないからです。これは、欧州にとって膨大な取り組みかつ投資でした。作業グループやワークショップもありましたが、「トップ」で必要な合意をまとめようとしたためか、NIS 指令には、NIST フレームワークに見られる明確な「ボトムアップ」特性が若干欠けています。しかし、NIS 指令のおかげで、EU 加盟国の永続的な機関、協調プロセス、およびセキュリティ ベースラインが生まれたことから、NIST フレームワークとはまったく異なる投資収益をもたらすことが期待されます。

ただしこれは、サイバーセキュリティ政策へのアプローチの違いというだけで終わらせるべきではありません。機関の構築と機能要件の設定に対する EU のアプローチを実装し、進展させていけば、これまでにない豊かな協調とセキュリティが得られるでしょう。NIST フレームワークの自発的な特性とグローバルな普及は、官民問わず企業がリスク管理の対策を強化するうえでより優れています。

2 つのアプローチにおける企業と規制当局の両者の視点からすれば、ここには大きな違いがあります。とはいえ、最終的に 2 つのアプローチは現在の状況よりも相互に補完し合うようになることも考えられます。例えば、いくつかの EU 加盟国では、用語や標準を導入して利用しようと、既に自国のサイバーセキュリティへのアプローチで NIST フレームワークを参照するようになっています。そのため、今後は、2 つのアプローチが実用的な方法でまとめられる可能性があるわけです。NIST フレームワークの一部は、前述のように多くの国で利用できる国際標準へと発展するかもしれません。同様に、EU 加盟国レベルでの NIS 指令の実装で、参照標準が明確になり、他の地域も準拠するようなモデルが確立される可能性もあります。

世界のあらゆる場所で発生するサイバーセキュリティへのアプローチの深刻な相違によって、必然的にサイバー犯罪やサイバー攻撃が助長されてしまいます。したがって、米国と EU の双方でより緊密に協調するべく対策を講じて、お互いの状況を共に改善し、世界の他の国々の模範となれるようにすることが不可欠であると思われます。