Googleが1兆円・Microsoftは2兆円規模のセキュリティ対策を政府と約束、新たなフレームワークも構築へ

by Blue Coat Photos

バイデン大統領が2021年8月25日(水)にGoogle・Microsoft・IBM・Apple・Amazonといったテクノロジー企業のリーダーと会議を行い、昨今のサイバーセキュリティの脅威に対処するための取り組みについて議論しました。この中でGoogle・Microsoft・IBMなどと協力し、テクノロジーサプライチェーンのセキュリティを向上させる新たなフレームワークが構築されることが発表。Googleは今後5年でセキュリティ対策に100億ドル(約1兆1000億円)、Microsoftは200億ドル(約2兆2000億円)を投じると述べました。

FACT SHEET: Biden Administration and Private Sector Leaders Announce Ambitious Initiatives to Bolster the Nation’s Cybersecurity | The White House
https://www.whitehouse.gov/briefing-room/statements-releases/2021/08/25/fact-sheet-biden-administration-and-private-sector-leaders-announce-ambitious-initiatives-to-bolster-the-nations-cybersecurity/

U.S. to work with Big Tech, finance sector on new cybersecurity guidelines | Reuters
https://www.reuters.com/world/us/cyber-threats-top-agenda-white-house-meeting-with-big-tech-finance-executives-2021-08-25/

アメリカではサイバー攻撃が頻発しており、2020年にはMicrosoftやCiscoなどの大企業が「過去10年で最も深刻なサイバー攻撃の1つ」と言われる攻撃の被害を受けました。

Microsoft社長が「過去10年で最も深刻なサイバー攻撃の1つ」と語るSolarWindsの「Orion Platform」に対する攻撃とは？ - GIGAZINE

また2021年5月にはアメリカ最大の石油パイプラインがランサムウェア攻撃で停止。

アメリカ最大の石油パイプラインがランサムウェア攻撃で停止、バイデン政権は緊急事態を宣言 - GIGAZINE

6月には、世界最大の食肉業者JBSがランサムウェア攻撃を受けアメリカの全牛肉工場が操業停止するなど、いずれも標的は主に多くの人に影響が及ぶ、ライフラインに直結した企業となっています。

世界最大の食肉業者JBSがランサムウェア攻撃を受けアメリカの全牛肉工場が操業停止、復旧の見通しが立つも影響は甚大 - GIGAZINE

このような被害を受けて、バイデン大統領はサイバーセキュリティの水準を引き上げることを目的とした会議を実施。2021年8月25日(水)にApple・Google・IBM・Microsoft・Amazonといったテクノロジー企業や、サイバー保険プロバイダーであるCoalitionおよびResilience、非営利団体のCode.org、テキサス大学などとサイバーセキュリティ強化と今後の取り組みについて話合ったとのことです。

会議後、バイデン政権はアメリカ国立標準技術研究所(NIST)が業界のパートナーと提携し、テクノロジーサプライチェーンのセキュリティと完全性を高めるための新たなフレームワークを構築すると発表しました。このアプローチにより、公的機関や民間企業がオープンソースソフトウェアを含む技術製品を構築したり、技術の安全性を評価したりする際のガイドラインが作られることになります。記事作成時点ではMicrosoft・Google・IBMのほか、保険会社のTravelersやCoalitionが取り組みへの参加を表明しています。

例えばGoogleは5年間で100億ドル(約1兆1000億円)を投じてゼロトラストプログラムを拡大し、ソフトウェアのサプライチェーンを保護し、オープンソースソフトウェアのセキュリティ強化を約束したほか、ITサポートやデータ分析などの分野で10万人のアメリカ人をトレーニングし、「デジタルスキル証明書」を取得できるようにすると発表しました。

会議後、Googleは「サイバーセキュリティを推進するために私たちが100億ドルを投じる理由」と題するブログ記事を公開。Googleはまず、多くの企業が現状において最新のセキュリティ手法を採用せず、既存の知名度があるソフトウェアやインフラを利用しているために、コストが膨らみセキュリティ・リスクが生まれていると指摘。加えて、攻撃者はソフトウェアサプライチェーンの弱点を標的にしており、ベンダーが攻撃を阻止するツールや専門知識を持っていないことに加え、問題に対処するための訓練を受けた人が各国に存在しないことを問題点としました。

Why we’re committing $10 billion to advance cybersecurity
https://blog.google/technology/safety-security/why-were-committing-10-billion-to-advance-cybersecurity/

またIBMは今後3年間で1万5000人に対しサイバーセキュリティの訓練を施し、20の歴史的黒人大学と協力して「サイバーセキュリティ・リーダーシップ・センター」を設立することでサイバーセキュリティ関連の労働力に多様性をもたらすことを約束しました。

Microsoftは、設計の時点でサイバーセキュリティを統合し、高度なセキュリティソリューションを提供するために、今後5年間で200億ドル(約2兆2000億円)の投資を行うと発表。加えて、テクニカルサービスの分野で連邦政府・州政府・地方政府がセキュリティ保護をアップグレードするために1億5000万ドル(約160億円)をただちに投じることや、サイバーセキュリティ・トレーニングのためにコミュニティ・カレッジや非営利団体と協力することを約束しました。

Appleは、テクノロジー・サプライチェーン全体で継続的なセキュリティ改善を推進するための新しいプログラムを確立すると発表。プログラムの一環として、多要素認証の拡大、セキュリティトレーニング、脆弱性修復、イベントログ、問題に対応する雇用の拡大を推進するとのこと。

Amazonは従業員に提供しているセキュリティ意識向上トレーニングの内容を一般に無料公開すると発表しました。また、Amazonはフィッシング詐欺やパスワード漏えいなどのリスクから保護するため、全てのAmazon Web Servicesアカウント所有者に対し、追加コストなしで多要素認証デバイスを提供するとも発表しています。