米国土安全保障省(DHS)のサイバーセキュリティ・インフラセキュリティ庁(CISA)は、「重要インフラのための国家国土運用レジリエンス評議会連合(Alliance of National Councils for Homeland Operational Resilience–Critical Infrastructure)」、略称ANCHOR-CIの設立を発表しました。ANCHOR-CIは当初2年間の運用を予定していますが、国土安全保障法第871条の権限に基づき、DHS長官が延長することも可能です。
ANCHOR-CIは、重要インフラ事業者が物理的・サイバー的リスクに関する機密情報を連邦政府と共有できる枠組みとして機能してきた「重要インフラ・パートナーシップ諮問評議会(CIPAC)」の後継にあたります。CIPACは2006年3月にDHSによって設立され、約20年にわたり官民協力によるセキュリティ確保の枠組みとして機能してきましたが、2025年3月に当時のDHS長官クリスティ・ノーム氏によって廃止されました。それ以来1年以上にわたり、重要インフラのサイバーセキュリティに関する政府と産業界の正式な協力枠組みは存在せず、CIPACや同等の枠組みが提供していた法的保護がなくなったことで、一部の重要インフラ分野では連邦政府とのサイバーセキュリティデータの共有を停止する動きも見られました。
ANCHOR-CIはCIPACの法的保護を引き継ぎつつ、政府と産業界にまたがる情報共有とパートナーシップを強化する新たな枠組みを構築するものです。DHS長官のマークウェイン・マリン氏は次のように述べています。「この新しく革新的なANCHOR-CIフレームワークは、官民の協力と情報共有のあり方を一変させるものになるでしょう。急速に変化する脅威環境の中で、ANCHOR-CIは適切な関係者が一堂に会し、米国人が依存する重要インフラの安全性とレジリエンスを守るために協働できる体制を確保します。これは今日そして明日の脅威に立ち向かうために必要なパートナーシップの、また一つの実例です」
ANCHOR-CIでは、4種類の評議会の設立が認められています。重要インフラ分野別評議会、分野横断評議会、重要インフラ業界評議会、そして地域調整評議会です。これらの評議会は、重要インフラのサイバーセキュリティを強化するための全国的な連携を確保すべく、戦略的かつ実行可能な提言を行います。 評議会のメンバーは、次の4つのグループから募られます。重要インフラの所有者・運営者およびその業界団体、連邦・州・地方・部族・準州の各政府機関、サイバーセキュリティとインフラのレジリエンスに直接的な責任を負う組織、そしてその他の民間セクター団体です。
この新たな枠組みは前身の制度よりも柔軟性が高く、機密情報について率直かつ開かれた議論を可能にし、政府と産業界の連携を強化するとともに、より多くの重要インフラ関係者の参加を促すものです。一方で、CIPACの重要な特徴の一つであった参加者向けの責任保護は、ANCHOR-CIでは廃止されています。この保護は、経営幹部が独占禁止法上あるいは規制上のリスクを負うことなく、グループの場でインシデントについて話し合うことを可能にする重要な要素でした。
新たな枠組みの下では、CISAが評議会メンバー候補を承認し、さらに追加メンバーを任命することもできます。CIPACの下では、民間セクターの評議会が自らの代表者を選出していました。会合の一部は一般公開されることもありますが、機密性の高い議論は保護される仕組みになっています。これは、ANCHOR-CIが連邦諮問委員会法(Federal Advisory Committee Act)の適用対象外とされているためです。
ANCHOR-CI評議会のガバナンスはDHSとCISAが管理し、運営はCISAが担い、必要な資金と事務的支援を提供します。保健福祉省(HHS)のサイバーセキュリティ・インフラ保護室(CIP)はDHSおよびCISAと緊密に連携し、協力体制の推進と、医療・公衆衛生(HPH)分野の優先課題の位置づけ向上を図ります。 ANCHOR-CI評議会は、HPH分野内はもとより、水道や通信をはじめとする相互依存関係にある他の重要インフラ分野との連携強化にも寄与するものと期待されています。
翻訳元: https://www.hipaajournal.com/anchor-ci-framework-critical-infrastructure/