ハッキングとサイバーセキュリティは本当に成功した主流2014 年には、ほぼ毎週見出しを飾りました。
有名なインターネット脆弱性が発生した年ハートブリード、大規模なデータ侵害ホームデポそしてJPモルガン、そしてハッキングソニー・ピクチャーズ, バラク・オバマ大統領は、政府がサイバーセキュリティの改善にさらに関与することを望んでいる。
大統領は演説中にサイバーセキュリティに言及したのは偶然だった一般教書しかし先週、同氏は演説に先立って一連の提案を発表した。
1. オバマ大統領は企業がサイバー攻撃に関するより多くの情報を共有することを望んでいる
さまざまな企業や政府機関を同時に標的にする可能性がある、ますます巧妙化するサイバー攻撃に対処するため、オバマ大統領は企業が自社のシステムへの攻撃に関するデータを共有する際に、より率直になるよう求めている。
オバマ氏の提案これは企業が国土安全保障省の国家サイバーセキュリティ通信統合センター(NCCIC)にデータを送信することを奨励(つまり任意)し、企業が共有データから個人情報を削除する限り責任保護を約束するものだ。
この提案により、NCCIC はサイバー攻撃に対応する必要がある場合、またはサイバー攻撃を認識する必要がある場合に他の連邦機関とこの情報を共有することも可能になります。
この提案の背後にある考え方は新しいものではありません。
同様の法案である悪名高いサイバーインテリジェンス共有および保護法 (CISPA) は、2012 年以来 3 回議会に提出されています。再導入されたばかりです企業も、プライバシー擁護団体も、ホワイトハウスも、この法案が誰も幸せにしていないという事実にもかかわらず。
しかしオバマ政権は、同法案はプライバシー保護が強化されており、内容はCISPAよりも狭いと考えている。ホワイトハウスによれば、共有される情報は、IPアドレス、ルーティング情報、日時スタンプなどの「狭い」技術データのみになるという。
ホワイトハウスはまた、他の連邦機関がこの情報を使用できるのは、サイバー犯罪、未成年者に対する重大な脅迫、または「死亡または重大な身体的危害」の脅迫が含まれる場合に限ると約束している。
2. オバマ大統領は企業にデータ侵害を開示するよう求めている
現在、米国にはデータ侵害を扱う連邦法がありません。多くの州には、企業がハッキングされた場合にその開示を義務付ける法律があるが、それは一律ではない。
それを解決するために、オバマは、と呼ばれる新しい連邦法の制定を推進している。個人情報の届出及び保護法、これにより企業はデータ侵害があった場合に30日以内に顧客に通知することが義務付けられる。
3. オバマ大統領はサイバー犯罪者を追い詰めたいと考えている
政府は、米国の法執行機関にはサイバー犯罪者と戦うための設備が整っていないと考えている。
だからこそオバマは提案ボットネット(ハッカーがサイバー攻撃を開始するために使用できるマルウェアに感染したコンピューターの大群)、スパイソフトウェア、または盗んだ米国民のクレジットカードや銀行口座番号を販売する犯罪者を訴追するための、より大きな権限をアメリカの捜査官に与える一連の改革である。
この新たな推進の一環として、オバマ大統領は一連の改革を提案している。物議を醸すコンピュータ詐欺および濫用法と呼ばれるハッキング防止法 (CFAA)、とりわけ、訴追するために使用された法律アーロン・スワーツ。この提案は基本的にサイバー犯罪に対する罰則を引き上げ、誰が法律に違反するのかを明確にすることを目的としている。
4. プライバシー専門家はオバマ大統領の提案をまったく好まない
オバマ氏の提案はプライバシー擁護派からの支持を得ることができていない。
アメリカ自由人権協会の主任技術者であるクリストファー・ソゴイアン氏は、言った大統領が提案している「何も」は「実際にサイバーセキュリティを改善することにはならない」。
主要なデジタル権利擁護団体である電子フロンティア財団 (EFF) は、大統領のサイバーセキュリティ提案と呼ばれる「古くて時代遅れの政策解決策の寄せ集め」であり、情報共有提案はアメリカ人の個人情報を暴露する危険があると主張した。
5. サイバーセキュリティの専門家も好まない
プライバシー擁護派だけではありません。サイバーセキュリティの専門家もオバマ大統領の提案の大ファンではない。
セキュリティ企業ウェーブ・システムズの最高経営責任者(CEO)ビル・ソルムズ氏にとって、オバマ大統領の提案は「そもそもデータ侵害を阻止するのにはほとんど役に立たない」という。
「それは、より優れた金庫を購入する代わりに、さらに多くの監視カメラを設置するのと同じだ」と同氏はハフィントンポストに書き、より重要な問題にはセキュリティパッチがタイムリーに提供されないコンピュータシステムやソフトウェアの欠陥が含まれると主張した。オバマ大統領は提案の中で全く言及しなかった。
大統領はサイバー攻撃をテーマにこの国に演説しようとしている -- そしておそらくソフトウェアについては一度も言及しないだろう。— マシュー・グリーン (@matthew_d_green)2015 年 1 月 21 日
おそらく来年、彼は薬には触れずにガンの治療について語ることになるだろう。— Matthew Green (@matthew_d_green)2015 年 1 月 21 日
おそらく何よりも、サイバーセキュリティの専門家は CFAA の改革を懸念しています。
Errata Security社の創設者であるロバート・グラハム氏は、サイバー犯罪と戦うための新しい提案を「ハッカーとの戦い」と定義したこれは、盗まれたパスワードのリストへのリンクを共有するなど、合法的または無害な活動を犯罪とします。
ホワイトハウスのサイバー犯罪提案には反対だ。裁判所による改革を後退させ、法律を曖昧なままにし、厳重な刑罰を強化する。— ジョナサン・メイヤー (@jonathanmayer)2015 年 1 月 14 日
のためにオリン・カー元連邦検察官でコンピューター犯罪法の専門家である同氏は、今回のCFAA改革はこれまでの他の提案よりも「合理的」だとしながらも、新たな刑罰は「厳しすぎる」としている。