国土安全保障省は2020年大統領選のセキュリティー計画を立てていない

国土安全保障省のサイバーセキュリティー諮問機関は2020年大統領選挙のセキュリティー計画が「まだ出来ていない」と政府監視機関が発表した。その報告書は、米国時間2月65日に政府監査院が発表したもので、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA、Cybersecurity and Infrastructure Security Agency)は、「2020年の選挙期間が始まる前に、選挙基盤のセキュリティーを確保するための戦略を実行する準備ができていない」と指摘した。

監査院は、同部門は州や自治体が各選挙基盤を堅牢にするための計画を「早急にまとめる」必要があると語った。しかしCISAは、政治運動を保護し、海外からの脅威への注意を喚起する運用計画の半分も完成できそうにないと語った。

これは2016年大統領選挙で重大な障害の原因となったのと同じ問題であり、当時はヒラリー・クリントン陣営がハッキングされたり、ロシア政府が大規模な情報操作を行うなどの事件が起きた。

報告書によると、11月時点でCISAが完了した脆弱性評価はわずか161件であり、これは選挙システムの遠隔操作を防止することを目的としており、全米の数千カ所に上る地方自治体で実施する必要がある作業だ。監査院は、CISAが投票日にセキュリティー問題が起きたときにどう対応するかの「計画を立てていない」ことも指摘している。

監査院は、CISAで現在進行中の組織変更も無計画の一因であると言う。同部門は士気の低さとに加え、少なくとも一名の要職が辞任している。昨年、CISAのサイバーセキュリティ担当次官補で、選挙システムのセキュリティーの責任者でもあったJeanette Manfra(ジャネット・マンフラ)氏は政府を離れてGoogleで新たな職に就いた

同報告書の悪事の証拠が公表されるわずか数日前、アイオワ州民主党が使用した投票集計アプリ悲惨な障害のために投票結果を予定通り公表することができなかった。この党員集会は、民主党がトランプ現大統領と戦う候補を指名する最初の取り組みだった。

CISAの広報担当者であるSara Sendek(サラ・センデク)氏は、同局は厳重な選挙体制を構築するために3年を費やし、サイバーセキュリティー部門は選挙支援の「準備を完了」していたと語った。

「CISAの仕事は終わっておらず、毎日開発と改善を続けているが、脅威の問題やシステムの安全を守るために必要な行動が何かは認識している」と広報担当者は語った。

画像クレジット:Bloomberg (opens in a new window)/ Getty Images

[原文へ]

(翻訳:Nob Takahashi / facebook

米国土安全保障省が脆弱システムの利用者開示をISPに義務づけへ、法改正を準備中

TechCrunchの情報源によれば、米国の国土安全保障省(DHS)はインターネットプロバイダー(ISP)に対して脆弱性あるシステムの利用者が誰であるか明かすよう義務付けることができるようにする法改正を準備中だという。

昨年11月に議会は満場一致でCISA法を成立させた。これにより国土安全保障省内に、CISA(サイバーセキュリティおよびインフラストラクチャ庁)を設置。CISAはISPおよび重要なインフラストラクチャを運営する企業に関する電子的セキュリティの維持、向上を図ることが目的であり、脆弱性あるシステムのユーザーの身元を含め、脆弱性情報を合法的に取得できる権限が与えられた。

この権限に基づき、システムに脆弱性がある場合、CISAは政府機関、民間企業の双方に対して警告を発してきた。一方で、脆弱性あるシステムを利用しているユーザー企業に対し直接その危険性を通知できない場合が多いことに対して密かに不満を訴えていた。これは脆弱性あるシステムを誰が使っているか明らかでない場合が多いためだった。

CISAが準備している改正案は、CISA法に盛り込まれた権限を生かし、脆弱性あるシステムを利用しているインフラ運営者に対して直接に危険性を通知できるようにするものだという。ハッカーは発電所、電力グリッド、水道、石油コンビナートなどのインフラ産業のシステムをターゲットにしつつある。こうしたインフラ企業のシステムはますます複雑化しており、被害が及ぶ範囲もますます拡大している。

法の定めるところによれば一部の連邦機関は、裁判所に図ることなく召喚状などの強制力ある手続きによって、ISPから利用者に関するデータを得ることができる。ところがCISAはこの強制力を欠いているため、現在は他の連邦捜査機関に依頼して脆弱性あるシステムのユーザーを特定している。さらに捜査機関が召喚状を発することができるのは現に行っている捜査に関連した場合に限られる。そのため、CISAは特定の犯罪を捜査していない場合でも脆弱性あるシステムのユーザーを特定し警告する合法的な権限を得たいとしている。

CISAの法改正の動きは、連邦政府は民間セクターのインターネットの安全性にどこまで関与すべきなのかという以前からある議論にまた直面することになるだろう。連邦政府は独自のイニシアチブで民間企業に対して安全性の警告ができるのかという問題だ。

企業にインターネットの安全情報や防衛研修を提供するRendition Infosecの創業者で元NSAの専門家であるJake Williams(ジェイク・ウィリアム)氏はCISAの動きを「権限強化が狙いだ」とし、不適切に利用される危険性があると主張する。ウィリアム氏はTechCrunchに対して「これは議会がCISA設置法を通過させたときに想定していた権限ではない」と述べた。

ただし、CISAが求めている行政機関が召喚状を発する権限はさほど異例なものではない。米国では多くの省庁部局が民間企業に情報提供を義務付ける権限を持っている。もちろんこうした権限には行政機関に司法の審査、監督なしに大量の情報を収集を許すものだという批判が出ている。

FBIはこの種の安全保障を理由とする行政命令(NSL、National security letter)発行権限を有しており、電話会社や大手テクノロジー企業から密かに加入者データを得ている。電子フロンティア財団はNSLを合法だとした連邦地裁の決定に不満を表明している。

TechchCrunchに背景を説明したCISA担当者は、この改正案はすでに議会の送付済みであり、「インフラ企業は政府担当部局から直接警告を受けた場合、(脆弱性対策に)より積極的になるはずだ」と述べた。担当者によれば「CISAは不当、不正な権限の利用が起きないよう(予防措置を盛り込むために)議員と密接に協力している」という。

国土安全保障省事案を監督する下院委員会の広報担当者、Adam Comis(アダム・コミス)氏コメントを求めたがまだ回答がない。

【Japan編集部追記】subpoena(サピーナ)は暫定的に「召喚状」としたが、英米法の手続きで「人に証言を義務付ける命令」と「人または組織に物理的証拠の持参を義務付ける命令」の2種類がある。正確にいえば証言を求めるのは前者であり、記事中のsubpoenaはISPに対してユーザーの身元情報を明かすよう義務付ける命令であるため後者となる。ただし後者に定訳はない。subpenaはラテン語で「制裁の下に」の意味で、従わない場合は法廷侮辱罪などの罪となる可能性がある。

原文へ

(翻訳:滑川海彦@Facebook

ブロックチェーンでハッカーから電力網を保護する、Xageのセキュリティ自動化ツール

ブロックチェーンを利用して、インフラをよりセキュアなものすることを目指すXageが、ユーティリティ(電気、ガス、水道など)やその他の重要なインフラを保護するための、新しいポリシー管理ツールを発表した。

XageのCEO、Duncan Greatwoodによれば、この製品は製品ポートフォリオのニーズの一部を満たすためのものであるが、同時に顧客が電力網を(特に敵対国からの)ハッキングから保護するために、国土安全保障省(DHS:Department of Homeland Security)によって策定された新しい規制を、遵守することを助けるようにデザインされているという。

Greatwoodは、これまでは政府はコアネットワーク資産だけを心配していたのだが、時間が経つにつれて、ハッカーたちが、ユーティリティネットワークのセンサーや電圧制御装置といった端点を攻撃する技術に注力していることが明らかになってきたという。

今年のはじめにニューヨークタイムズは、ロシアのハッカーたちが米国の電力網を標的にしていたことを報じた。このことが、DHSがパスワードローテションやリモートアクセス制御を扱う方法のアップグレードを、優先的に推進している大きな理由だ。

これは大掛かりな問題だ。なぜなら1つのユーティリティ施設は1万から2万のサブステーションを持ち、それぞれが数百のコンポーネントを内蔵している可能性があるからだ。来年、新しいDHS規制が発効することを受けて、企業はそれをどのように実現するのかを、今考え始める必要がある。

「これから来年末までの間に、ユーティリティたちは、システムを自動化する方法を実現しなければなりません」とGreatwoodは説明する。Xageは、米国政府の新しい規制に準拠するようにポリシーを設定し、それが改ざんされていないことを保証するために、ブロックチェーンに適用する方法を提供する。

Xage Policy Manager. 画像提供:Xage

問題の一部は、エンドユーザーたちが、ラップトップ、タブレット、そしてスマートフォンなどの、ネットワークにアクセスするためのデバイスを持っていることだ。Xageのポリシー管理ツールは、誰がどのデバイスでシステムにアクセスできるかを明確に定義し、ハッカーをブロックすることを助ける。

「私たちのデータポリシー管理の一部は、誰がどのデバイスからのアクセスを許可されているのかを定義することです。すべてのラップトップがネットワークに接続できるわけではありません」と彼は言う。それが正しいマシンだと認められるためには、正しく承認されたMACアドレスを持ち、承認されたフィンガープリントと証明書がインストールされ、適切な部署からアクセスされることが要求される。

ブロックチェーンは、悪者がシステムに侵入した場合(またはしようとする時)に、ネットワーク全体に対して自由に移動することができないようにする。「もし何か悪いことが起きた場合には、その部分が局所化されます。ブロックチェーン内に悪い行動をとるノードがある場合、それは検知され、そのセクタをロックダウンすることができるのです。このことによって、その悪いソフトウェアをグリッドや地域を越えて全体に広げることが難しくなるのです」と彼は言った。

[原文へ]
(翻訳:sako)

写真提供: xuanhuongho / Getty Images