2015年に制定された法律が9月末に失効すると、業界内および企業と連邦政府間でのサイバー脅威情報の共有が劇的に減少し、ほとんど消滅する可能性があると、一部の専門家や業界関係者は警告しています。
サイバーセキュリティ情報共有法(CISA 2015)は、議会が延長しない限り、来月終了する予定です。再認可の責任を持つ下院と上院の両委員会のリーダーは、来月法案に取り組む意向を示していますが、迅速な両院合意がなければ、法律はまもなく失効する可能性があります。
2015年の元の法律は、組織が他の組織や連邦政府と脅威データを共有するための法的保護を提供しました。
「もしこれが失効した場合、サイバー脅威情報の流れ、特に生データの流れが約80~90%減少する可能性があります」と、上院国土安全保障・政府問題委員会の民主党スタッフ、エミリー・パーク氏は先月あるイベントで語りました。「しかし、それは信頼の断絶については何も語っていません。CISA 2015の本質は信頼にあり、周囲の企業や組織、そして連邦政府があなたが共有した情報を適切に扱うと信じられることが重要なのです。」
この80~90%という推計は、政策立案者などによる警告の中でも高い方ですが、失効しても壊滅的な事態にはならないと考える人もいます。また、法律の失効による影響を警告している組織の中には、その条項から恩恵を受けているところもあります。しかし、法律が失効すれば、サイバー脅威情報の共有に関する意思決定が各組織の最高情報セキュリティ責任者(CISO)から法務部門に大きく移る可能性が高いという点では、ほぼ意見が一致しています。
「企業の立場から考えると、法律が失効すると情報共有の決定権がCISOから法務部長室に移ることになります」と、ビジネス・ラウンドテーブルの技術・イノベーション担当副社長エイミー・シュアート氏は述べました。同団体はこの問題を重視し、加盟企業のCISOを議員と面会させるために今夏ワシントンに呼び寄せ、行動を促しました。「優秀な法務部長なら、『以前はここに独占禁止法から守る権限があったが、今はもうない。今は懸念がある』と言うでしょう。したがって、もし法律が失効すれば、民間部門の情報共有の大部分は法的リスクのために停止すると予想しています。」
多くの関係者の共通認識として、議会は現会計年度末、つまり9月末までに、短期延長を継続決議と呼ばれる年次予算案に付随させて可決する可能性が高いと見られています。しかし、それでも議員に与えられる時間は短く、たとえ短期延長が可決されても、議会の予算担当者は長期延長に対して忍耐強くなく、12月末以降の延長には非協力的になるでしょう。
上院国土安全保障・政府問題委員会の委員長であるランド・ポール議員(共和党、ケンタッキー州)は、先月、CISA 2015延長法案の審議を9月に行う意向を示しました。彼は、サイバーセキュリティ・インフラセキュリティ庁(CISA)が選挙セキュリティやCOVID-19データの検閲をソーシャルメディアに促したという疑惑(当時のCISA幹部は否定)を理由に同庁を批判しており、延長にはCISAによる検閲を禁止する文言を盛り込みたいと述べています。
下院国土安全保障委員会の新委員長アンドリュー・ガルバリーノ議員(共和党、ニューヨーク州)も再認可を優先事項としていますが、法律に他の変更も加えたいと考えています。
「サイバーセキュリティ情報共有法の再認可は、期限が迫り脅威が進化する中で不可欠です」とガルバリーノ氏はCyberScoopへの声明で述べました。「下院国土安全保障委員会は、9月の議会再開後すぐに再認可法案の審議を行う予定です。10年延長の中で、法律のプライバシー保護を維持し、進化する脅威環境により良く対応できるよう、既存の一部条項の明確化を目指します。」
2015年の法律とは別に、司法省と国土安全保障省は、サイバー脅威情報共有に関する法的ガイダンスを発行・更新しており、業界特化型の情報共有・分析センターは、企業間の情報交換の基盤になっていると述べています。
しかし、昨年の連邦規制権限に関する最高裁判決は、CISA 2015が失効した場合、そのガイダンスに影響を及ぼす可能性があると、サイバー脅威アライアンスのリーダー、マイケル・ダニエル氏は警告しています。さらに、議会が行動しなければ、裁判所へのメッセージとなる可能性もあります。
「議会が民間企業に対し、ネットワーク監視や防御策の展開、情報共有を『他のいかなる法律にかかわらず』認める再認可を行わない場合、情報共有がコンピュータ詐欺・乱用防止法や保存通信法などの刑事法に抵触したり、集団的サイバー防御への参加時に独占禁止法違反となる可能性があり、不確実性が生じます」と彼は最近記しています。「要するに、この不確実性は情報共有の量を減らし、システムに摩擦を再導入し、サイバー脅威の特定、検知、追跡、準備、対応能力を妨げることになります。」
ダニエル氏はCyberScoopに対し、失効による影響に関する議論の一部は現時点では仮定の話だが、法的専門家は現実的だと述べていると語りました。
トランプ政権の当局者や指名者は、2015年の法律の再認可を支持すると述べています。最近の人工知能アクションプランにも関連しており、AI-ISACの設立を求めています。
「私たちが安心した点の一つは、政権がクリーンな再認可を概ね支持していると聞いたことです」とシュアート氏は述べました。「政権が[AI]アクションプランに関してかなり明確に述べているのは、既存の権限内で何ができるかを考えているということです。したがって、CISA 2015はアクションプランを成功させるために非常に重要な既存権限です。」
それでも、2015年の法律の将来は不透明です。
「多くの人がどうすればいいか模索しています。正直、合意があるとは言えません」とインターネットセキュリティアライアンスのラリー・クリントン会長は述べました。「複数の委員会――国土安全保障、軍事、予算、情報――で多くの人がどうすればいいか考えているのは良いことです。なぜなら、私たちはその支援をすべて望んでいるからです。しかし同時に、関わる人が多すぎて、何をすべきかの具体的な合意がないと、期限が迫る中で物事を進めるのが難しくなるのも事実です。」
翻訳元: https://cyberscoop.com/cisa-2015-expiration-industry-warning-threat-information-sharing/