米国土安全保障省は、官民のサイバーセキュリティ専門家を集めて重大なサイバーセキュリティ事件をレビューし検証する「Cyber Safety Review Board(CSRB)」を新たに設置すると発表した。
この委員会の設置は、Joe Biden米大統領が2021年に署名した大統領令に基づくものだ。専門家らは以前から米連邦政府に対して、航空機の墜落事故や交通機関の事故を調査する国家運輸安全委員会と同様の、サイバーセキュリティインシデントを取り扱う組織を設置するよう求めていた。
国土安全保障省のAlejandro Mayorkas長官はCSRBについて、「過去の出来事を徹底的に評価し、厳しい質問を投げかけ、官民を問わず改善を促す」組織になるとした。
同省によると、CSRBが最初に扱う問題はLog4jに関するものになる。これは、Log4jの脆弱性が「現在悪用されており、この脆弱性を悪用する脅威アクターが増加している」ためであり、「ネットワークを防衛する主体にとって喫緊の課題になっている」ためだという。
米ZDNetが同省に対して、SolarWindsのスキャンダルに関するさまざまな問題よりも先にLog4jの問題に取り組む理由を尋ねたところ、同省の広報担当者から、連邦政府と民間企業はこの1年間SolarWindsの問題についてすでに「さまざまな検討」を行っており、CSRBの専門能力を用いる最善の方法は、最初の審査対象として、Log4jのソフトウェアライブラリーと関連する緩和プロセスに注力することだと判断したという回答があった。
CSRBは15名の委員で構成され、国土安全保障省とホワイトハウスに対して勧告を行う。委員長は同省のRobert Silvers政策担当次官が務め、副委員長はGoogleのセキュリティエンジニアリング担当シニアディレクターであるHeather Adkins氏が務める。
CSRBの最初の報告書は夏までに完成する予定で、Log4jの問題を緩和するために取られた政府と民間部門の両方の対策などをまとめるという。
同省によると、報告書の編集されたバージョンは一般に公開される予定だ。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
