米国サイバーセキュリティ&インフラセキュリティ局(CISA)は、敵対国が米国人の個人データや政府関連情報にアクセスするのを防ぐためのセキュリティ要件を提案している。
この要件は、特に “懸念国 “または “対象者 “に情報が公開される場合、米国の機密個人データまたは米国政府関連データを大量に含む制限付き取引に従事する事業体を対象としている。
この提案は、今年初めにバイデン大統領によって署名された大統領令14117の実施に関連するもので、国家安全保障上のリスクに拡大または増幅させる深刻なデータセキュリティ上の責任に対処することを目的としている。
影響を受ける組織には、AI開発者やクラウドサービスプロバイダーなどのテクノロジービジネス、電気通信会社、医療・バイオテクノロジー組織、金融機関、防衛請負業者などが含まれる可能性がある。
懸念国とは通常、米国政府が敵対的であるとみなしたり、サイバースパイ、データ漏洩、国家主導のハッキングキャンペーンの歴史によりセキュリティリスクをもたらすとみなしたりする国を指す。
セキュリティ要件
CISAは、組織・システムレベルの要件とデータレベルの要件に分類したセキュリティ対策を提案している。以下にその一部を要約する:
- IPアドレスとハードウェアのMACアドレスを記載した資産目録を毎月維持・更新する。
- 悪用された既知の脆弱性を14日以内に修復する。
- 重大な脆弱性(悪用状況が不明なもの)は 15 日以内に、重大性の高い欠陥は 30 日以内に修復する。
- インシデントの特定と対応を容易にするため、正確なネットワーク・トポロジーを維持する
- すべての重要なシステムで多要素認証(MFA)を実施し、16 文字以上のパスワードを要求する。
- USB デバイスなどの未承認のハードウェアが、対象システムに接続されないようにする
- アクセスおよびセキュリティ関連イベントのログを収集する(IDS/IPS、ファイアウォール、データ損失防止、VPN、ログインイベント)。
- 不正アクセスや米国人へのリンクを防止するため、収集するデータ量を減らすかマスキングし、制限されたトランザクション中に対象データを保護するために暗号化を適用する。
- 暗号化キーを対象データと共に、または懸念される国に保管しない。
- 処理されたデータから機密データを復元できないように、同形暗号化や差分プライバシーなどの技術を適用する。
CISAは、この提案を最終形に発展させるため、一般からの意見を求めている。この意見に関心のある方は、regulations.govにアクセスし、検索フィールドにCISA-2024-0029と入力し、”Comment Now!”アイコンをクリックし、各フィールドにコメントを入力することができる。
Comments