サイバー・セキュリティの強化を推進する米国Internet Security Alliance（ISA）は11月18日、次期大統領バラク・オバマ（Barack Obama）氏に対し、政府が民間企業の情報セキュリティ対策を奨励するという新たなアプローチの導入を求める提言を発表した。

米国ISAの会長、Larry Clinton氏

　これによると、ISAは、過去8年間ジョージ・ブッシュ（George Bush）大統領の政権が推し進めてきた（情報セキュリティ対策を）企業の自主性に任せるというアプローチを転換するよう呼びかけている。

　ISA会長のラリー・クリントン（Larry Clinton）氏は、「ブッシュ政権の自発的パートナー・モデルは、適切に機能していない。しかし、政府が上から規制を押しつけるというやり方も、国際化など急速な変化を遂げているこの問題には対処できず、むしろ有害となる可能性もある」と指摘する。

　ブッシュ政権は、2002年にサイバー・スペースの安全確保に向けた国家戦略を発表したが、その後の取り組みの中に、民間企業によるサイバー・セキュリティ投資を促進する有効な施策が盛り込まれることはなかったという。

　ISAによると、企業の上級幹部のおよそ半分は、サイバー攻撃によって自社が被った損害額さえ把握していないという。また、3分の1の企業がファイアウォールを使っておらず、半数近くの企業が暗号技術を使っていないという数字もある。

　ISAが18日に発表したリポート『The Cyber Security Social Contract』は、民間企業のサイバー・セキュリティ投資を促すため、税額控除や小規模企業向けの貸し出し、訴訟保護といった奨励策を米国政府として打ち出すよう提言している。

ISAが18日に発表したリポート『The Cyber Security Social Contract』（PDFファイル：296KB）

　ISAは、「サイバー・インフラストラクチャ・セキュリティの整備について、企業が自ら投資を行うと期待していれば済むという時代は終わった」と説明する。

　ただし、ISAは提言を実施するのに必要な財政支出額については明らかにしていない。

　ISAのリポートは、政府に対して、企業の上級幹部を対象とする包括的かつ積極的なサイバー・セキュリティ啓発プログラムを実施することも求めている。

　また、連邦政府自身も取り組みを強化し、連邦情報セキュリティ・マネジメント法（FISMA：Federal Information Security Management Act）に基づいて年1回発行される報告書で低い評価を受けた政府機関の問題解決に力を入れる必要性を説いている。

　政府があらゆるサイバー・システムに対して実効性のある改善プログラムを実施することで、対応が遅れている業界に模範を示すと同時に、民間企業の投資拡大を促すための基盤を整備することができるというわけだ。

　さらにISAのリポートは、銀行や通信、製造などの業界が直面しているサイバー・セキュリティ上の課題についても指摘し、それぞれの業界にとって必要な施策をオバマ政権に伝えるよう各業界の代表者に求めている。

　ある銀行業界の関係者は、サイバー・セキュリティに関する米国政府の現在の施策について、従来の思考の枠組みを改めさせるような効果はないと断言する。そのうえで同氏は、ソフトウェアの品質向上や保証、訴訟保護、有効なサイバー保険プログラム、優れた啓発プログラムなどの必要性を指摘した。

　ISAの幹部は、オバマ政権への強い期待感を示している。Clinton氏は、「我が国のサイバー・システムの安全性に対する理解が深まっていることは評価できる。独立した調査や情報セキュリティ当局の報告書などにより、有効性が実証されているセキュリティ・プラクティスを人々が採用するだけで、今起きている問題の80％から90％に対処できることがわかっている」と述べている。