米国商務省下のNISTが取り組むセキュリティ対策

　NISTの所管省庁である米国商務省は、日本の経済産業省に相当する機関だ。米国の経済成長、技術競争力、持続的発展を促進するインフラを整備する任務を担う。NIST内には情報技術に関する研究を行う「情報技術ラボラトリ（ITL：Information Technology Laboratory）」があり、「セキュリティ」「情報アクセス」「数学・計算科学」「ソフトウエア・テスト」「ネットワーク・リサーチ」「統計工学」の6分野を研究している。

　また、NISTは政府の技術基準（標準）や調達基準（標準）を策定し、民間団体による規格の利用を促進する活動も実施している。民間企業の提供するサービスが、国の求める基準とニーズに合致しているかを確認し、業界団体と話し合いながら調整する役割も担っているという。

　米国に限らず、政府の調達品は、民間企業が開発した技術に依存している。そのため、政府が一定の基準を策定することで、製品サービスを「信頼できる」と認証し、“水準”を保っているわけだ。例えば、NIST推奨の認証暗号化方式である「GCM：Galois/Counter Mode」は、SA（米国国防総省国家安全保障局）やインターネット上のデータ保護などで活用されている。

　セジェウィック氏は、「NISTは産業界全体だけでなく、消費者レベルでのサイバーセキュリティ上の安全保障もカバーしている」と説明する。ある調査では、米国人の41％が「セキュリティ上のリスクが恐いので、過去1年間はオンライン決済をしなかった」と回答したことが明らかになった。「オンライン決済の活性化を支援する」という観点から、経済にマイナスインパクトを与えるサイバー犯罪に対応するのもNISTの役割だという。

標準化はグローバル企業が参画してこそ意味がある

　では、NISTはどのようにして標準化を推進しているのか。セジェウィック氏は、「グローバルな競争によって標準化を進めている。多くの国の機関や業界が標準に準拠した製品を使うことで、標準の裾野が広がるからだ。そのためにNISTでは、標準化に関する研究開発の情報を公開し、誰でも参照できるよう、オープンかつ透明性の維持に努めている」と説明する。


　サイバーセキュリティ分野の国際標準化でNISTが注力しているのは、「ヘルスケア」の領域だ。実際、複数のセキュリティ研究者は、心臓ペースメーカーや不整脈を治療する「体内植え込み型の電気刺激装置」がハッキング可能であることを指摘し、具体的なハッキングのデモも披露している。もし、体内に埋め込まれている機器がサイバー攻撃によって誤作動を起こしたら、人命に関わる。

　米国は2009年2月、米国経済再生法の一部として、「経済的および臨床的健全性のための医療情報技術に関する法律」を制定した。同法律では「医療ITの促進」「医療ITの実証」「インフラ等に対する補助金と融資の提供」「プライバシー保護をめぐる取り組み」に関する条文が盛り込まれている。

　しかし、法律を制定しただけでは、それが有効に機能しない場合が多い。セジェウィック氏は、「（法律を制定し）ベストプラクティスや標準を策定しても、業界が使いこなせていなかった」と語る。

【次ページ】米国政府がイニシアチブを取るFedRAMPの有用性