アレシア総研株式会社

Alesia Research & Consulting, Inc.

サイバーセキュリティに関する 大統領令第14306号(2025年6月)

in

 2025年6月11日、トランプ政権になってから初めてのサイバーセキュリティに関する大統領令が発出されました。大統領令第14306号”Sustaining Select Efforts to Strengthen the Nation’s Cybersecurity and Amending Executive Order 13694 and Executive Order 14144”(「国家のサイバーセキュリティ強化のための重点的な取組みを継続し、大統領令13694号および大統領令14144号を改正する」)です。

 結論から言えば、今回の大統領令は、大統領令14144号を土台に若干の修正を加えたものとなっており、大幅な変更はありません。この大統領令14144号は、バイデン政権がその終了直前の2025年1月16日に発出されたものです。したがって、今回の大統領令は、バイデン政権からトランプ政権への移行によって米サイバーセキュリティ政策がどの程度変更されるかを分析する好材料の一つであるわけですが、少なくとも今回大統領令においてはそれほど大きな変更はないという結果になりました(もっとも、政権の予算削減のために、サイバーセキュリティ関係の職員も大幅に削減されていますので、その影響も含めて、実際に政策運営等に変更があるのかは複合的に判断する必要がありますが、それはまた別の機会に。)。

 ほぼ変更はない中で、今回の大統領令の概要は以下のとおりです。

 ・安全なソフトウェア開発、サイバー防衛におけるAIの活用、外国の脅威への対応に重点

 ・政府機関に対するコンプライアンス要件を緩和

 ・デジタルID(モバイル免許証など)の推進についての条項は削除

 ・宇宙システムのサイバーセキュリティへの言及

 ・耐量子暗号 (PQC)への言及

 米国には、Login.govという政府系デジタルIDがありますが、政府デジタルIDの推進はなかなか進まないですね。  

 下表では、今回の大統領令の内容をまとめました。ご参考になりましたら幸いです。

/

表題内容 / EO 14144からの変更
1条ポリシー
  • 中国のほか、露、イラン、北朝鮮も名指し
    • 2条サードパーティソフトウェアのサプライチェーンにおける透明性とセキュリティの運用化
  • 削除変更はあるが概要は不変
  • 安全なソフトウェア開発慣行の推進(その政府調達)
  • NIST SP800-218(セキュアなソフトウェア開発のフレームワーク: SSDF)のガイダンス作成(8/1まで)
  • パッチとアップデートについてNIST SP800-53を更新する(9/2まで)
  • NIST SP800–161(サプライチェーンリスク管理プラクティス)を政府機関に実装
  • オープンソースソフトウェアのセキュリティのベストプラクティスにかかる勧告を発行
    • 3条連邦システムのサイバーセキュリティの向上
  • 商用フィッシング耐性標準の使用は削除
  • その他は概要は不変
  • CISAの能力を強化して、政府機関における脅威ハンティングを実施
  • エンドポイント検出および対応 (EDR)・継続的診断/緩和(CDM)プログラムの活用
  • FedRAMPの活用
  • 宇宙システムのサイバーセキュリティの向上
    • 4条連邦通信のセキュリティ保護
  • 削除変更はあるが概要は不変
  • 強力な ID 認証と暗号化を実施
  • 送信中のドメイン ネーム システム (DNS) トラフィックの暗号化、送信中の電子メールメッセージの暗号化
  • インターネットベースの音声・ビデオ会議およびインスタントメッセージについて、エンドツーエンドの暗号化をデフォルトに
  • 暗号解読関連量子コンピュータ(CRQC)への対応(耐量子暗号 (PQC))
  • ライフサイクルが延長された暗号鍵へのアクセスを保護および監査
  • ガイドラインの策定(NIST、OMB)、FedRAMP要件への組込み
    • 旧5条サイバー犯罪や詐欺に対抗するソリューション
  • 公的給付制度からの詐取を防止するためにデジタルID(モバイル免許証など)を導入するとしていたEO 14144の条項がすべて削除
    • 5条AIを活用したセキュリティの推進
  • 削除変更はあるが概要は不変
  • 機密情報を保護しつつ、サイバー防衛研究のための既存のデータセットを、学術研究コミュニティに開放
  • AI ソフトウェアの脆弱性管理を政府機関のメカニズムに組み込む
    • 6条政策と実践の整合
  • 削除変更はあるが概要は不変
  • ネットワークの可視性とセキュリティ管理の向上を図る
  • OMB Circular A-130 を適宜改訂
  • サイバー セキュリティのポリシーとガイダンスの機械可読バージョン についてルール‧アズ‧コード‧アプローチのパイロットプログラムを確⽴
  • FAR(連邦調達規則)を 改正
  • 連邦政府が調達する消費者向け IoT製品にはトラストマークの表示を義務づけ(2027/1/4まで)
    • 7条国家安全保障システム(NSS)とDebilitating Impact Systems(※)
  • 削除変更はあるが概要は不変
  • NSSやDebilitating Impact Systemsについての特別規定
  • これらについては1条から6条は適用されず、国防長官が主体となって、要件を策定し、その要件を国家安全保障覚書に組み込む
  • 宇宙NSSを保護するために、適宜ガイダンス等をアップデート
    • 8条重大な悪意のあるサイバー活動に対抗するための追加手順
  • 大統領令13694号の改正
  • 重大かつ悪意のあるサイバー活動に従事する外国人やそれによって取得した情報を悪用する外国人について、経済制裁(資産凍結など)を課す
    • 9条定義N/A
    10条一般条項N/A

     ※Debilitating Impact Systems:国防総省・諜報機関等によって運用されるシステムであって、不正アクセス等が国防総省の任務に重大な影響を及ぼす可能性のある情報を処理するもの(44 U.S.C. 3553(e)(2))

    以上