はじめに

　米国のサイバー・セキュリティ政策は、9月11日を境に新たな展開を見せつつある。 　従来のサイバー・セキュリティ政策は、コンピュータ・ウィルスやハッキング（クラッキング）などコンピュータ・ネットワークの発達に伴い増加する「各種コンピュータ犯罪への対処」や、PKI整備やプライバシー保護など「電子商取引促進や電子政府実現のための環境整備」を中心に展開されてきたと言えるであろう。
　こうした中で起こった一連のテロ事件は、「重要インフラの保護」という観点からのサイバー・セキュリティ政策の重要性を改めて大きくクローズアップさせた。ブッシュ政権は、従来から実施してきた各種施策の一層の推進のための体制強化に加えて、政府専用ネットワーク「GOVNET」の構築構想まで打ち出している。

　本稿では以下に、従来の米国のサイバー・セキュリティ政策を踏まえつつ、9月11日以降の「重要インフラ保護」をめぐる新たな展開を中心に、その動向を概観してみたい。
　なお、本稿の執筆にあたっては、ワシントン日米コンサルタントとワシントン・コアの両社をはじめ多くの方々から情報を提供していただいた。

１．サイバー・セキュリティ政策の変遷

　米国のサイバー・セキュリティ政策の動向については、前任の長谷川氏が1998年6月、7月及び2000年10月の駐在員報告で詳細に取り上げている。これらも参考にしながら、まず以下に、米国におけるサイバー・セキュリティ政策のおおまかな流れを、法制面や組織面での対応を中心に書き出してみよう。

• 「1986年コンピュータ詐欺・悪用法」（1986 Computer Fraud and Abuse Act）：　コンピュータを使った窃盗や盗んだパスワードの悪用を処罰。法執行機関に取り締まり能力や捜査ノウハウが欠如しておりあまり機能せず。
  
  
• 「1987年コンピュータ・セキュリティ法」（Computer Security Act of 1987）：　国家標準技術院（NIST）を中心にセキュリティ関連の技術開発、標準化等を推進する振興法。
  
  
• 1988年、DARPAによりカーネギー・メロン大学内に「コンピュータ危機対応チーム・コーディネーション・センター」（Computer Emergency Response Team Coordination Center: CERT/CC）を設置。
  
  
• 「1994年凶悪犯罪防止と法執行法」（Violent Crime Control and Law Enforcement Act of 1994）：　「1986年コンピュータ詐欺・悪用法」を改正し、企業の内部関係者のセキュリティ破壊など非合法以外の合法アクセスでも特定の損害が認められれば処罰。
  
  
• 「1996年国家重要インフラ保護法」（National Information Infrastructure Protection Act of 1996）：　「1994年凶悪犯罪防止と法執行法」を更に改正し、外部からの侵入者と内部関係者について処罰の対象となる行為を整理。
  
  
• 「1996年経済スパイ法」（Economic Espionage Act of 1996）：　コンピュータ・ネットワークを使った経済スパイ活動を防止。
  
  
• 1996年、司法省の「コンピュータ犯罪班」（Computer Crimes Unit）を「コンピュータ犯罪・知的財産部」（Computer Crimes and Intellectual Property Section）に格上げ。また、FBIの「全米コンピュータ犯罪班」（National Computer Crimes Squad）を拡大し「コンピュータ捜査・インフラ脅威分析センター」（Computer Investigation and Infrastructure Threat Assessment Center: CITAC）を立ち上げ。
  
  
• 「1996年ITマネジメント改革法」（Information Technology Management Reform Act of 1996: いわゆるClinger-Cohen Act）：　各政府機関にCIO（Chief Information Officer）を設置し、IT投資に伴うセキュリティ確保の責任を明確化。
  
  
• 1996年、オクラホマ州の連邦政府ビル爆破事件等のテロリズムの脅威を背景に、大統領直轄の「重要インフラ保護委員会」（President's Commission on Critical Infrastructure Protection: PCCIP）を設置。
  
  
• 1997年、PCCIPが「Critical Foundations」と題する答申を大統領に提出。
  
  
• 1998年大統領令63号（PDD63）「米国の重要インフラの保護」（Protecting America's Critical Infrastructures）：　行政府に対し以下のような組織体制の構築を指示。
  
  
  • National Coordinator for Security, Infrastructure Protection, and Counter-Terrorism：　行政府全体の調整を図る総責任者。初代コーディネータとしてリチャード・クラーク氏を指名。
  • National Infrastructure Protection Center（NIPC）：　CITACの機能を拡充・強化したFBI内組織。
  • Information Sharing and Analysis Center（ISAC）：　サイバー・セキュリティに関する官民の情報共有のため民間セクターによる新組織を要請。（金融、公益事業、情報産業など産業別に設立。情報産業のIT-ISACは2001年1月設立。）
  • National Infrastructure Assurance Council（NIAC）：　国家戦略の形成をガイドするための審議会。
  • Critical Infrastructure Assurance Office（CIAO）：　PCCIPを引き継いで重要インフラ保護のための事務作業を統括する省庁横断的組織で、商務省内に設置。
  
  
  
• 2000年1月「国家情報システム保護計画（第1版）」（National Plan for Information Systems Protection - Version 1.0）：　PDD63の指示に基づきナショナル・コーディネータが取りまとめ。

　もちろんこれらの法制面や組織面の整備と並行して、暗号やセキュリティ評価等に関する技術開発や標準化、諸外国との国際協力、教育・人材育成等に相当の予算投入が行なわれてきている。
　そして、1990年代のインターネットの急速な普及もあって米国の経済社会が情報ネットワークへの依存度を高めるのに伴い、上記の「流れ」からもわかるように1996年前後から、サイバー・セキュリティ確保のねらいとして「重要インフラ保護」という観点が強調されるようになってきている。

２．連邦政府のサイバー・セキュリティ対策の現状

(1) 基本戦略
　上述のように、「重要インフラ保護」のためのサイバー・セキュリティ対策の基本的枠組みは、現状では1998年の大統領令63号（PDD63）と2000年の国家情報システム保護計画（第1版）によって規定されている。
　2000年10月の長谷川氏の駐在員報告と重複するが、国家情報システム保護計画（第1版）の概要を表1に掲げておく。同計画では、表1のように3つの大きな目標とそのための10の活動が提示されており、それぞれの活動について詳細な行動計画と目標時期が明記されている。

　国家情報システム保護計画については、ブッシュ政権下で見直しが行なわれ、改訂版が2001年後半に出されることになっていた。しかし、9月11日のテロ事件を境に状況が変わってしまったためか、11月現在では未だ改訂版は公表されていない。

　なお、PDD63については、日本の情報処理振興事業協会（IPA）(http://www.ipa.go.jp/)のウェブサイトに詳細な調査報告が多数出ているので、御参考まで。
(http://www.ipa.go.jp/security/fy12/contents/crack/sekitoku/cyber/127kadono.pdf 等)

(2) 各省庁の取り組み
　重要インフラ保護に関する連邦政府各省庁の具体的な取り組みについては、事務作業を統括している重要インフラ保護局（CIAO）が取りまとめ、2001年1月に「Report of the President of the United States on the Status of Federal Critical Infrastructure Protection Activities」（連邦政府の重要インフラ保護活動の現状に関する大統領報告）(http://www.ciao.gov/CIAO_Document_Library/final.pdf)として公表している。

• 各省庁ごとの取り組み
• 教育訓練
• 分野別の研究開発
• 業種別の産業界の取り組み
• 業種別の官民協力

３．サイバー・セキュリティ政策に関する最近のトピックス

　さて、冒頭に「米国のサイバー・セキュリティ政策は9月11日を境に新たな展開を見せつつある」と書いたが、具体的にはどのような動きがあるのであろうか。以下に最近のトピックスを列記する。

(1) 本土安全保障庁（OHS）
　ブッシュ大統領は10月8日付けで、本土安全保障庁（Office of Homeland Security: OHS）及び本土安全保障会議（Homeland Security Council: HSC）を設置する行政命令(http://www.whitehouse.gov/news/releases/2001/10/20011008-2.html)を発出した。
　OHS(http://www.whitehouse.gov/homeland/)は、テロリストの脅威又は攻撃から米国を守るための包括的国家戦略の構築とその実施にあたっての総合調整を行なうことを使命としている。本土安全保障担当大統領補佐官を通じ大統領に直接報告する責任体系に入ることになるOHSの長官（閣僚級）には、トム・リッジ氏（ペンシルバニア州知事）が指名された。（現職の州知事が連邦政府の閣僚として引き抜かれてしまうというのは、考えてみればすごいことですね。それだけ一連のテロ事件に米国が危機感を抱いているということなのでしょう。）
　また、HSCは、本土安全保障に関しあらゆる角度から大統領に助言・支援を行なうもので、大統領、副大統領をはじめ関係省庁・機関の長などで構成される。

(2) サイバー安全保障局
　上記OHSの創設と併せて、サイバー・スペースの安全保障を担当する部署として「サイバー安全保障局」（Office of Cyber Security）が設置され、大統領サイバー・セキュリティ特別顧問に指名されたリチャード・クラーク氏が同局を率いることとなった。同氏は、ライス国家安全保障担当大統領補佐官とリッジ本土安全保障庁長官の2人に報告を行なう責任体系に入るという。
　リチャード・クラーク氏は、上述のように、クリントン政権下でPDD63を受けて設置された重要インフラ保護のためのコーディネータとして「国家情報システム保護計画（第1版）」を策定した人物であるが、ジョージ・ブッシュ元大統領の下で活躍した経験もあるという。退役陸軍少将で元々はテロリスト対策の専門家であり、従来から「electronic - Pearl Harbor」（何にでも"e-"を付ける風潮ここに極まれり！）の脅威を唱えている。

(3) 大統領重要インフラ保護会議
　10月16日、ブッシュ大統領は「情報化時代における重要インフラ保護」と題する行政命令(http://www.whitehouse.gov/news/releases/2001/10/20011016-12.html)を発出し、重要インフラとしての情報システムの保護のため、新たに「大統領重要インフラ保護会議」（President's Critical Infrastructure Protection Board）を設置するなどの体制強化を行なった。
　この「大統領重要インフラ保護会議」は、関係省庁・機関等の代表者で構成され、各省庁・機関の取り組みの相互理解や調整、民間や州・地方政府との協力等を目的としている。同会議の議長は、大統領サイバー・セキュリティ特別顧問であるリチャード・クラーク氏が務める。

(4) ギルモア委員会勧告
　国防省他からの委託によりテロリズム対策の評価・勧告を行なう「大量殺戮兵器によるテロリズムへの米国内対応能力を評価する諮問パネル」（委員長はバージニア州知事のジェームズ・ギルモア氏。通称「ギルモア委員会」）(http://www.rand.org/nsrd/terrpanel/)は10月31日、例年は12月15日までに取りまとめられる年次報告書の2001年版の要約(http://www.rand.org/nsrd/terrpanel/terror3execsumscreen.pdf)を公表した。

• 計23の連邦機関の代表から成る、サイバー・セキュリティに関する関係機関間のパネルを創設する。
  
  
• ギルモア委員会と同様の独立諮問パネルを設定し、サイバー・セキュリティ促進のためのプログラムを評価し、大統領と議会に戦略を勧告する。
  
  
• 公共および民間の両セクターの利害を代表できる非営利の機構を設置する。これらの代表者には、国家安全保障、法執行機関、他の政府機関、ビジネスや産業界の利益関係者を含み、サイバー探知、警戒、警報等の専門能力を提供する。
  
  
• サイバー・セキュリティの確保のために必要な連邦法の改正を早急に検討するため、議会と行政府が共同で「サミット」を召集する。
  
  
• 外国諜報監視法（Foreign Intelligence Surveillance Act: FISA）の下で設置された裁判機構のパターンに従った特別「サイバー裁判所」を設置する。
  
  
• サイバー・セキュリティを強化・向上させるために、研究・開発・試験・評価の包括的なプランを構築し実施するための機関を設置する。

　上述のように、既にサイバー・セキュリティに関する関係機関間のパネルとして「大統領重要インフラ保護会議」が設置されるなど、勧告にはブッシュ政権が既に手を打ったものも含まれているが、それでも勧告には広範かつ具体的な内容が含まれており、危機感が表れたものとなっている。（実は、このギルモア委員会のメンバーであるニューヨーク市消防局（FDNY）のレイ・ドゥニー長官は、世界貿易センタービル南館崩壊後も同北館で陣頭指揮をとり続けて、北館崩壊の犠牲になっている。）

　下院科学委員会が10月17日に開いた公聴会において、ギルモア委員長（バージニア州知事）がこの報告書のアウトラインについて証言を行なっている。(http://www.house.gov/science/full/oct17/gilmore.htm)
　この証言で、ギルモア委員長は、
「2001年9月11日以前は、多くの人々は国家又は悪徳無法なテロリスト達が広範なスケールで米国の重要なインフラを阻害する能力を有するか否かを疑問としていた。しかし、9月11日以降は、我々は"有している"と想定せざるを得ない。」
と述べている。重要インフラ保護対策は、従来から掛け声はかかるものの関係者の足並みが揃わず、有効に機能していないとの批判があったが、これが正直なところであろう。

(5) "GOVNET"
　10月10日、連邦調達庁（General Services Administration）(http://www.gsa.gov/)は、大統領サイバー・セキュリティ特別顧問のリチャード・クラーク氏からの要請に基づいて、商用インターネットとは切り離された政府専用のIP（インターネット・プロトコル）ベースのネットワーク「GOVNET」の構築に向けた情報要請書（Request For Information）を発出した。
　その内容はGSAのウェブサイト内(http://www.fts.gsa.gov/govnet/govnet.doc)に掲載されているので、詳細はそちらをご覧いただくとして、GOVNETとは要するに、「インターネット等の他のネットワークとは接続されない政府専用の情報通信ネットワークで、インターネット・プロトコルを用い、商用レベルの音声通話（つまりVoIP）が可能で動画像をやりとりする機能を追加するポテンシャルを有するもの」ということになろうか。ただし、GOVNETの他のネットワークからの独立性については未定であり、RFIではとりあえず物理的にも管理面でも完全に独立したネットワークを想定する一方で、その一部を他のネットワークと共有する選択肢も想定している。
　RFIは、2001年11月21日までに、技術的選択肢、概算コスト、スケジュール見込みに関する情報のほか、GOVNETの設計、開発、調達、運用、管理のためのアイデアの提供を求めている。また、活用可能な未利用通信設備に関する情報提供も求めており、ITバブル崩壊後の遊休資産の有効活用とGOVNET建設のコスト削減・早期実現の一石二鳥を図るというしたたかさも見せている。
　なお、私のアシスタントのMatthew Vetrini君に取材してもらったところによると、GOVNETのシステムとサービスは政府が契約企業（複数企業の協力を奨励）からリースを受ける形態を想定しており、また予算面の手当てはもちろんこれからであり白紙とのことであった。

　私がこのGOVNETの構想を最初に聞いた時は、もちろんコスト・パフォーマンスの問題もさることながら、物理的に独立した政府専用ネットワークは冗長性を持ったインターネットに比べるとかえって物理的な攻撃に対して弱くなると思われるので、案になっていないのではないかという気がした。しかし確かに、猛威をふるうウィルスやDoS（Denial of Service）攻撃から確実にネットワークを守るためには、独立したネットワークを構築するしか方法がないのかもしれない。率直に言って「詰まっていないな」という感のある今回のRFI発出であるが、見方を変えれば、「重要インフラ保護」が米国政府にとってますます重要で困難な課題になってきているという政府関係者の危機感が、彼らを広く外部からのインプットを求めるという行動に駆り立てたということなのであろう。
　実はこのGOVNET構想は、リチャード・クラーク氏が前クリントン政権時代から提唱していた構想だとのことであるが、当時は政府も業界も非現実的として関心を示さなかったらしい。もちろん現時点でも、同構想には否定的な声も強く、クリントン政権時代のCIA長官が「問題なのは政府職員のすべてが味方だとは限らないということであって、政府専用ネットワークを作っても問題の解決にはなっていない」などと批判したりしている。今後の展開は予断を許さないが、同構想が少なくとも議論の対象になっていること自体が、9月11日のテロ事件が「需要インフラ保護」の相場観を劇的に変えたことを物語っていると言えるのであろう。

　なお、余談になるが、日本では地震等の災害時の政府内情報伝達手段として政府専用電話網が構築されており、また平時の政府内情報通信網としては、各省庁のLANを接続した「霞ヶ関WAN」が稼動している。テロ攻撃を現実の脅威とする米国と、地震が現実的な最大の脅威である日本とでは、「重要インフラ保護」の考え方も異なってしかるべきであろうが、日本でも今後の電子政府の進展に伴い、有事における総合的なネットワーク保全の重要性がますます高まるであろう。

(6) 米国愛国者法
　サイバー・セキュリティとは厳密に言うと別の問題であるが、非常に密接な関係を有する問題として、プライバシーの問題が挙げられる。9月11日のテロ事件は、オンライン・プライバシー問題にも大きな影響を与えているので、その一端をここに紹介する。

　ブッシュ大統領は10月26日、テロリズム対策の強化を図るための法律「米国愛国者法」（USA PATRIOT Act ）(H.R.3162)(http://thomas.loc.gov/cgi-bin/bdquery/z?d107:h.r.03162:)に署名した。
　同法は、情報の収集や政府機関による共有、移民の拘束、テロ協力者の取調べ、テロ組織と関連のある銀行口座や資産の凍結等に関する法執行機関や諜報機関の権限を拡大するものであり、

　アシュクロフト司法長官がテロリスト捜索等のため法執行機関の権限拡大を求めて以来、同法案は議会で調整が重ねられてきた。
　当初の案では「ハッカーは全てテロリストとみなして厳罰に処す」ということになっていたが、さすがにこれは市民権擁護団体等からの猛反発で修正を余儀なくされ、最終的には法執行機関の権限を限定し、また一部（例えば上記のうち�Aと�B）について2005年12月末までを期限とする旨のサンセット条項を盛り込むなどして成立した。
　司法省は、同法への大統領署名が行なわれた10月26日、さっそく同法の施行のための詳細な「米国愛国者法で制定されたコンピュータ犯罪と電子的証拠に係る新たな権限に関する手引き」(http://www.cybercrime.gov/PatriotAct.htm)を発表して、さも「待ちかねた」と言わんばかりである。
　しかし、例えば上記�@などのように恒久的に法執行機関の権限を拡大した条項も含まれていることなどから、「民主主義と技術センター」（Center for Democracy & Technology）(http://www.cdt.org/)などは引き続き同法を非難している。

　そもそもインターネットは、全くの民間主導で発達したネットワークであり、産業界には従来から国家権力の介入を嫌忌する傾向が非常に強かった。こうした中で、限定的とはいえ"Carnivore"の設置を正式に認めた今回の法律は、大きな意味を持つものである。「どさくさまぎれに成立させた」との批判もあるが、インターネットが真に経済社会のインフラとして定着しつつあるという現実を反映したものであるとの評価もできるであろう。
　「核戦争の脅威」から発案され、1990年代の「平和の配当」を受けて発達し"インフラ"となったインターネットが、曲がり角に差し掛かっているということかもしれない。

４．テロ事件以降のサイバー・セキュリティ政策の変化

　結局、9月11日以降、サイバー・セキュリティを巡る状況はどのように変化したのであろうか。

　まず、サイバー・テロリズムが現実の脅威として強く認識されるようになったことが挙げられる。　下院科学委員会のボーラート委員長は、サイバー・テロリズムの脅威に関して、
「炭疽菌攻撃と9月11日の攻撃は、我々の日常生活における基本的システム、すなわち郵便システムと運輸システムを、我々に対する攻撃手段に利用した。我々のコンピュータ・システムを攻撃手段に利用することは、こうした手口の論理的延長上にある。」 と述べているが、これは、サイバー・セキュリティ確保の必要性を訴える非常にわかりやすい論理である。

　これらを一言で言うと、米国経済社会が"インフラ"としての情報ネットワークへの依存度をますます高めているという現状が再認識され、国家安全保障のための重要インフラ保護という観点からサイバー・セキュリティの確保が一層重要な課題になっている、と言うことができるであろう。

おわりに

　今回は、連邦政府の政策が中心と言うこともあって、文章ばかりの駐在員報告になってしまった。そこで、蛇足ながら（？）去る2001年11月11〜14日にラスベガスで開催された「COMDEX Fall 2001」の写真を掲載しておく。

　今回のCOMDEXは、IT不況やテロの影響で入場者数が「昨年の半分の10万人前後」とも言われ、日本人の姿も少なく、今年初めて見に行った私にとっては「これが本当に米国最大のコンピュータのイベントなの？」と若干拍子抜けする感じであった。
　こうした中で、注目すべきトレンドの一つに、バイオ・メトリクス（生物測定学）を活用したセキュリティシステムがあった。写真にあるように、展示会場の一画に「Biometropolis」（BiometrixのMetropolis）というコーナーが設けられ、指紋、顔のパターンなど様々な生体情報に基づくセキュリティ・システムが展示され注目を集めていた。

図1　「COMDEX Fall 2001」における「Biometropolis」

　ちなみに、この「Biometropolis」に出展していた企業の一つに「SecuGen」(http://www.secugen.com/)という1998年創設のベンチャー企業があったが、同社は韓国で研究開発と製造を行ないながら、本社はシリコンバレーに置き、トロント、東京、香港にも営業拠点を持っているとのこと。日本セキュジェン社のホームページ(http://www.secugen.co.jp/)を覗いてみると、この分野ではある程度知られた存在のようである。日本発でこのように世界展開を進めるベンチャー企業を、来年のCOMDEXでは見てみたいな、とつい思ってしまった。（了）

　本稿に対する御質問、御意見、御要望がございましたら、Ryohei_Arata@jetro.go.jpまでお願いします。