バイデン米大統領、サイバーセキュリティー強化の大統領令を発令、請負業者の報告要件も規定（米国）

米国のジョー・バイデン大統領は1月16日、米国のサイバーセキュリティーの強化に向けた大統領令を発令した。

ホワイトハウスが15日に発表したファクトシートでは、敵対国や犯罪者による米国政府や企業、国民を標的としたサイバー攻撃によって、米国の国家安全保障上の脅威が生じているなどと指摘した。特に中国について、最も活動的で常習的な米国のサイバーセキュリティー上の脅威だと位置付けた。その上で、同大統領令では、連邦政府機関の通信データの身元確認・暗号化の強化（第4条）や、重要インフラのサイバーセキュリティーへの人工知能（AI）の利用推進（第6条）、サイバー攻撃に対する制裁措置の執行強化（第9条）などの方針を規定した。また、連邦政府機関にソフトウエアを提供する請負業者のサイバーセキュリティーに関する報告義務の方針も規定した（第2条）。同条の主な内容は次のとおり。

第2条（b）：連邦調達規則（FAR）委員会は連邦政府機関請負業者に対し、2021年5月の大統領令（2021年5月14日記事参照）で規定したサイバーセキュリティー要件の順守を証明する書類の国土安全保障省傘下のサイバーセキュリティー・社会基盤安全保障庁（CISA）への提出を義務付けるよう、FARを改正する（大統領令発出から150日以内）。
第2条（c）：商務省傘下の国立標準技術研究所（NIST）は、連邦政府機関が調達するソフトウエア開発・運用実務の指針を作成（同60日以内）、パッチ・アップデートの指針を提供するための「情報システムと組織におけるセキュリティーおよびプライバシー管理策（NIST SP 800-53）」（同90日以内）を更新、「セキュアソフトウエア開発フレームワーク（SSDF、NIST SP 800-218）」を更新する（同300日以内）。

米国では、トランプ次期政権の発足まで1週間を切った。大統領令は一般的に、後任の大統領が同意できない内容ならば、撤回または修正できる。トランプ次期政権のサイバーセキュリティー政策の詳細は不明ながら、米国政治専門紙「ポリティコ」（1月16日）は、ドナルド・トランプ次期大統領がバイデン政権下の政策の多くを撤回する意向であることを踏まえ、「この大統領令を維持するかどうかは不明だ」と指摘している。他方で、トランプ前政権下の2018年11月にCISAが設置された実績などを踏まえれば、サイバーセキュリティー強化の基本的な路線は維持される可能性もある。

（葛西泰介）

（米国）