はじめに
本稿では、米国のニュースサイト「Cybersecurity Dive」に掲載された記事「Trump scraps Biden software security, AI, post-quantum encryption efforts in new executive order」を基に、トランプ政権によるサイバーセキュリティ政策の大きな転換点について、その背景と具体的な内容、そして考えられる影響を解説します。
引用元記事
- タイトル: Trump scraps Biden software security, AI, post-quantum encryption efforts in new executive order
- 著者: Eric Geller
- 発行元: Cybersecurity Dive
- 発行日: 2025年6月6日
- URL: https://www.cybersecuritydive.com/news/trump-cybersecurity-executive-order-eliminate-biden-programs/750119/
要点
- トランプ大統領は、バイデン前政権が推進した主要なサイバーセキュリティ関連の取り組みを撤回・修正する大統領令に署名した。
- 撤回されたのは、連邦政府の取引先ソフトウェアベンダーに対する新しいセキュリティ基準への準拠証明義務、サイバー防衛におけるAIの研究開発とテストの優先、そして耐量子計算機暗号(PQC)への移行加速などである。
- トランプ政権は、バイデン前政権の取り組みを「実績がなく、負担の大きい」ものであり、「真のセキュリティ投資よりもコンプライアンスのチェックリストを優先させている」と批判している。
- 一方で、IoTデバイスのセキュリティを評価・承認する「サイバースター」プログラムなど、一部のプログラムは維持される。
詳細解説
ソフトウェアサプライチェーンセキュリティ規制の大きな後退
今回の大統領令で最も大きな影響を持つのが、連邦政府と取引するソフトウェアベンダーに対するセキュリティ要件の撤回です。
近年、ソフトウェアのサプライチェーン、つまり開発から利用者に届くまでの過程で脆弱性が作りこまれ、大規模なサイバー攻撃に悪用される事件が多発しています。この問題に対処するため、バイデン前政権は2021年の大統領令を皮切りに、政府の調達力を利用してソフトウェア業界全体のセキュリティ水準を引き上げようと試みてきました。
具体的には、ベンダーに対して「セキュアなソフトウェア開発証明書(secure software development attestations)」の提出を義務付け、その技術的な裏付けデータも求めました。これは、ソフトウェアが安全な手順で開発されたことをベンダー自らが証明し、政府がそれを検証する仕組みです。さらに、この証明に不備があれば、司法省に通報される可能性も示唆されていました。
しかし、トランプ政権は今回の大統領令でこれらの要件をすべて撤廃しました。ホワイトハウスは、この仕組みを「実績がなく、負担の大きいソフトウェア会計プロセスであり、真のセキュリティ投資よりもコンプライアンスのチェックリストを優先するもの」と厳しく批判しています。
この変更により、NIST(米国国立標準技術研究所)が産業界と協力して進めてきた「ソフトウェア開発フレームワーク(SSDF)」の更新作業は継続されるものの、それが連邦政府の調達要件に直接結びつくことはなくなりました。これは、政府による市場への介入を減らし、規制よりも企業の自主的な取り組みを重視する姿勢への転換を意味します。しかし、セキュリティ専門家からは、業界全体のセキュリティレベル向上の機運が損なわれることへの懸念の声が上がる可能性があります。
AIセキュリティと耐量子計算機暗号(PQC)への取り組み縮小
未来のサイバーセキュリティを形作る二つの重要な技術分野、AIと耐量子計算機暗号(PQC)に関する取り組みも大幅に縮小されました。
AIを活用したサイバー防衛研究の停止
バイデン前政権は、AIを使って電力網などの重要インフラのサイバー防衛を強化するテストや、安全なAIシステムの設計手法に関する研究を優先するよう指示していました。また、国防総省に対しては、高度なAIモデルをサイバー防衛に利用することを求めていました。
これらAI関連のプロジェクトは、今回の大統領令によってすべて中止されました。AI技術の急速な発展に伴い、その悪用リスクも懸念される一方で、防衛能力を飛躍的に向上させる可能性も秘めています。この分野での政府主導の研究が停滞することは、米国の将来の技術的優位性に影響を与えるかもしれません。
耐量子計算機暗号(PQC)への移行が減速
現在主流の暗号技術は、将来登場するとされる量子コンピュータによって容易に解読されてしまう危険性が指摘されています。この「量子の脅威」に備えるため、世界中で新しい暗号方式「耐量子計算機暗号(Post-Quantum Cryptography: PQC)」の開発と移行が進められています。
バイデン前政権は、政府機関に対してPQCを「実行可能になり次第」導入し、ベンダーにも技術的に可能な場合はPQCの使用を要求するよう指示していました。また、同盟国や海外の産業界にもNISTが選定したPQCアルゴリズムの採用を働きかけるよう求めていました。
トランプ政権はこれらの移行を加速させる要件を撤廃しました。残されたのは、CISA(サイバーセキュリティ・社会基盤安全保障庁)がPQC対応製品のリストを維持するという、比較的受け身の要件のみです。PQCへの移行は、完了までに10年以上かかるとも言われる国家的な大事業です。政府の強力なリーダーシップが弱まることで、社会全体の移行スケジュールが遅延するリスクが考えられます。
維持されたプログラムとその他の変更点
一方で、すべてのプログラムが廃止されたわけではありません。バイデン前政権時代に始まった、IoT製品のセキュリティを評価し、安全な製品に政府公認のラベルを貼る「サイバースター(Cyber Trust Mark)」プログラムは維持されました。これにより、2027年1月までに連邦政府にIoTデバイスを販売する企業は、このプログラムによる認証を受ける必要があります。消費者が安全な製品を選びやすくなるこの取り組みは、継続されることになります。
その他、フィッシングに強い認証技術のテスト義務や、安全なメール暗号化の使用義務などが廃止されました。
まとめ
今回署名された大統領令は、トランプ政権のサイバーセキュリティに対するアプローチが、バイデン前政権とは根本的に異なることを明確に示しました。規制や政府主導の基準設定を通じて市場全体のセキュリティレベルを底上げしようとした前政権に対し、トランプ政権は規制を緩和し、技術的な専門性や組織のプロフェッショナリズムに焦点を当てるとしています。
この方針転換は、ソフトウェア業界やサイバーセキュリティ関連企業に大きな影響を与えるだけでなく、米国の国家的なサイバー防衛戦略、さらには同盟国である日本のセキュリティ政策にも間接的な影響を及ぼす可能性があります。特に、ソフトウェアサプライチェーンの安全性確保や、PQCへの移行といった長期的な課題に対する米国の取り組みがどのように変化していくのか、本稿で解説したポイントを踏まえ、今後も注意深く見守っていく必要があります。
