2025年9月30日、サイバーセキュリティ情報共有法(CISA 2015)が正式に失効し、政府と産業界がサイバー脅威データを安全かつ一貫して共有するのを支えてきた10年間の枠組みに終止符が打たれました。10年ぶりに、米国は官民の脅威インテリジェンス・エコシステムを支えてきた法的基盤を失いました。
敵対者が自動化、AI、地政学的混乱を利用している今、これは単なる手続き上の失敗ではありません。これは、国家の強靭性を支える信頼、迅速性、協力体制の崩壊を意味します。
この法律の失効は、すでに米国のサイバー防衛エコシステム全体に具体的な混乱をもたらしています。法律が失効してから数週間の間に、連邦機関や民間企業は、かつてほぼリアルタイムで攻撃の検知と協調的な対策を可能にしていた脅威インテリジェンスの自主的な交換を縮小しています。
業界の情報共有グループや連邦のパートナーからの予備データによると、正式なチャネルを通じて共有される侵害指標の量は70%以上減少しています。
いくつかの業種別情報共有・分析センター(ISAC)は、以前の枠組みの下で自動的に処理されていた警報の伝達に24~48時間の遅延が生じていると報告しています。
その影響は主要な分野全体に現れています:
- 医療ネットワークでは、10月初旬以降、検知されたランサムウェア活動が12%増加しており、これは脅威シグネチャの調整が遅くなったことが一因とされています。
- エネルギーおよび公益事業の運営者は、国家主体によるOTシステムへの侵入試行に対して対応時間が長くなっていると報告しています。
- 金融機関は、迅速な情報共有に依存する国境を越えた詐欺キャンペーンやビジネスメール詐欺のパターンについて、可視性が低下していると指摘しています。
CISA 2015が提供していた法的明確性と責任保護が失われたことで、組織はすでにインシデントや指標の報告をためらい始めており、まさに今必要な時にデータのサイロ化が進んでいます。
消えた重要な枠組み
2015年に制定されたCISAは、マルウェアのシグネチャ、IPアドレス、攻撃手法などの脅威指標を共有するために、連邦政府と民間企業の間に法的かつ運用上の橋渡しを作りました。この仕組みが機能したのは、企業が法的リスクを恐れずにデータを共有できる責任保護と、データ交換前に個人情報が削除されるプライバシー保護という2つの重要な要素のバランスが取れていたからです。
この信頼モデルにより、病院、銀行、公益事業、防衛請負業者が国家主体や犯罪グループから守られるための迅速かつ双方向のサイバーインテリジェンスの流れが実現しました。
法的・運用上の空白
CISAの責任保護がなくなったことで、今や二重の問題が生じています。政府の盲目化と業界の孤立です。連邦機関は民間ネットワークから発生する脅威の可視性を失い、企業は連邦が精査した指標や業種横断的な分析の恩恵を受けられなくなりました。
その結果、特に中国やロシアに関連するグループが米国の重要インフラへの持続的な侵入を強化している中で、対応体制が断片化しています。
枠組み復活に向けた議会の取り組み
米国上院国土安全保障・政府問題委員会のメンバーは、私たちにとって実現可能な道筋を提示しています。
ゲイリー・ピーターズ上院議員(民主党・ミシガン州)とマイク・ラウンズ上院議員(共和党・サウスダコタ州)は、9月末に失効した重要なサイバーセキュリティ規定の更新を目指し、「米国をサイバー脅威から守る法案」を< a href="https://cyberscoop.com/gary-peters-cyber-threat-information-sharing-law-rand-paul/">提出しました。テクノロジー業界全体の関係者は迅速な可決を求めています。この法案は、企業がマルウェアのシグネチャ、ソフトウェアの脆弱性、悪意のあるIPアドレスなどの脅威指標を国土安全保障省と自主的に共有できるようにする、10年前に成立した超党派法の再認可となります。
この協力体制は、データ漏洩の防止、個人情報の保護、外国の敵対者や犯罪ネットワークによるサイバー攻撃への連邦政府の対応能力強化に大きく貢献してきました。
今後の道筋
CISA 2015の失効は単なる官僚的な見落としではありません。これは、世界的な影響を持つ国家安全保障上のリスクです。再認可がなされない一日ごとに、米国の最も重要なシステムの強靭性を支えてきた信頼、協調、共有の可視性が損なわれていきます。
今日のサイバー脅威は、かつてないほど高速で、賢く、相互に結びついています。人工知能は攻撃能力を増幅させています。サプライチェーンは今や複数の大陸にまたがる何千ものベンダーに広がり、敵対者はデジタルな相互依存を利用して、数秒で業種や国境を越える連鎖的な影響を生み出しています。
21世紀の情報共有法は、この新たな現実、すなわち機械のスピードでの協力体制を標準としなければならない時代を認識する必要があります。
再認可は、単に過去を復元するだけでなく、次のような現代的な枠組みを確立すべきです:
- 業種を超えた信頼できるパートナー間でリアルタイムかつ自動化されたデータ交換を可能にする。
- 最新の責任保護とプライバシー基準によって責任ある情報共有を促進する。
- AI駆動の分析を統合し、人間のアナリストよりも迅速に脅威を発見・文脈化する。
- 国際協力を拡大し、同盟国やパートナーがグローバルなデジタル経済を共同で防衛できるようにする。
初代CISAを成功に導いた原則――信頼、透明性、説明責任――は、その再認可においても指針でなければなりません。政策立案者、CISO、研究者は同じ指針のもとで協力し、実用的なインテリジェンスが脅威と同じ速さで動くようにしなければなりません。
なぜなら、サイバーセキュリティにおいては、単独で立てる者はおらず、可視性、信頼、協力こそが私たちの最強の防御だからです。それ以下では、私たちは無防備なままです。
マイケル・セントレラはSecurityScorecardの公共政策責任者であり、元アメリカ合衆国シークレットサービス副局長です。
翻訳元: https://cyberscoop.com/cisa-information-sharing-lack-of-info-dangerous-op-ed/
