12日オバマ大統領は、国家を支える「重要インフラ」を運営する組織や企業が自らに取り組むべきサイバー対策をまとめた、「自主的な枠組み:voluntary framework」を発表しました
昨年の一般教書演説でオバマ大統領が提唱した後、国立標準技術研究所(NIST)が中心となり、産業界や関係政府機関が協力してまとめられたモノです。
関連するのは、通信、エネルギー、金融、運輸、政府施設、原子炉、食品飲料など16の重要インフラ部門で、民間部門に多くを依存しながら、国家存続の基礎を支える重要分野ばかりです
この枠組みに関連して、関連企業や機関がこの「自主的枠組み」を尊重して取り組むよう「動機付け:インセンティブ」も検討されているようです
国防省web記事は「枠組み」発表について
●オバマ大統領は声明で「サイバー脅威は米国が直面する最も深刻な脅威の一つである。この課題から国家を守るため、1年前、私は民間部門とのサイバー関連の情報共有を改善し、重要インフラ関連組織の脅威への意識レベルを上げるため、またプライバシーと国民の自由を守るため、行政機関に枠組み作成の指示を出した」と述べ
●更に「この自主的枠組みは、民間部門と政府が、共通の課題に協力して取り組む偉大な事例である」と表現した
●この枠組みは、サイバー初心者の企業には何から手を付けるべきかを教えてくれる。既にある程度のレベルにある組織には、経営層や下請け企業をも含めた改善方向を示唆してくれる
●枠組みは3つの区分から出来ている。「framework core」、「profiles」と「tiers」の3つである
「framework core」は、重要インフラ分野に共通した活動や参考事項をしてしている。identifying, protecting, detecting, responding to and recovering from cyber intrusionsやcyber-risk management
「profiles」は、その業種に応じたサイバー対処活動を見いだす手助けをする。business requirements, risk tolerances and resourcesに関係する
「tiers」は、サイバー問題リスクに対するアプローチ法やプロセスを提供する
●国家安全保障省DHSは、「C3:Critical Infrastructure Cyber Community」と呼ばれる重要インフラ関連企業等のネットワークを立ち上げ、サイバーリスク管理の相互共有や支援を促進する
●オバマ大統領は同時に議会に対し、国家と市民のプライバシーや自由を守るサイバー関連法規への取り組みを促した
枠組みの紹介(By国立標準技術研究所)
→http://www.nist.gov/cyberframework/
米国防省サイバー専門ページ→http://www.defense.gov/home/features/2013/0713_cyberdomain/
////////////////////////////////////////////////////////////////////////////////////////////////////////////
ネット情報によると、米政府は以下のような「枠組み」推進インセンティブも討している模様です
●サイバーセキュリティ保険→保険業界に働きかけ、サイバー保険市場の活性化やリスクに基づく価格設定、リスク軽減手法の導入を実現するため、基準や手続き等を開発を促進。
●助成金→当該枠組みと任意プログラムへの参加を促進するため、助成金を設置
●規制の簡素化→既存の法律や規制と重複する部分は削除し、追加的監査が発生しないように、コンプライアンスが容易に進められるような工夫を行う。
●一般社会からの認知→重要インフラ企業が当該プログラムに参加していることが、社会的評価の向上につながるかどうかを調べる。
●料金規制業界における投資回収→当該枠組みや任意プログラムに参加し、必要な投資を行った際、公共料金を設定している規制当局がそのコストを回収できるかどうかを検討。
///////////////////////////////////////////////////////////////////////////////////////
当然、日本も対応しなければならない分野です
日本の現状をよく把握していませんが・・・・
サイバーと宇宙関連記事カテゴリー
→http://holyland.blog.so-net.ne.jp/archive/c2302888136-1