TokyoBlackHatNews

csoonline.com 5分で読了

上院、シャットダウン後に失効したサイバーセキュリティ法の復活へ動く

ニュース

2025年11月11日5分

政府法律・規制市場

継続決議案はCISA 2015および連邦サイバーセキュリティ強化法を延長し、責任免除と脅威共有の保護を復活させるものです。

政府閉鎖中に失効した2つのサイバーセキュリティ法が、上院で60対40の票差で2026年1月までの延長法案が前進し、月曜日に復活へと一歩近づきました。

継続決議案は、2015年サイバーセキュリティ情報共有法(CISA)および連邦サイバーセキュリティ強化法を復活させます。これらは10月1日、議会が会計年度末までに予算案を可決できなかったことで失効しました。この措置は今週、上院で追加の手続き投票を経て下院に送られ、承認後にトランプ大統領の署名を受ける予定です。

この失効により、企業は連邦機関や他組織とサイバー脅威指標を自主的に共有することを促していた法的保護を失いました。

責任免除、独占禁止法の例外、情報公開法(FOIA)による保護がないため、多くの企業は新たな法的リスクに直面し、情報交換の速度も低下しました。セキュリティ専門家は、国家主導やランサムウェア攻撃が増加する中、脅威インテリジェンスの流れが滞るリスクを警告しました。

「記録的な政府閉鎖の後、今ようやくトンネルの先に光が見えてきました」とケビン・クレイマー上院議員は日曜の手続き投票後の声明で述べました。

法案が復活させるもの

継続決議案は、両サイバーセキュリティ法の一時的な延長を行いました。 法案第141条はCISA 2015の失効日を2026年1月まで延長し、「2015年サイバーセキュリティ情報共有法(6 U.S.C. 1510(a))第111(a)は、本法第106条で指定された日付を『2025年9月30日』の代わりに適用する」と規定しています。

この法案は、企業が政府と脅威データを共有できる法的・手続き上の保護を復活させ、CISAが連邦サイバーセキュリティ強化法の下で民間機関にEINSTEIN侵入検知システムを含むネットワークセキュリティサービスを提供する権限も再認可しました。

ただし、この短期延長により2か月後に再び失効する可能性があり、議会が完全な再認可に進むのか、再度のつなぎ措置を取るのかは不透明です。

ExabeamのCISO、ケビン・カークウッドは、この短期間の失効が脅威共有の枠組みの運用方法を再考する機会になると述べています。「CISAの本質は、民間部門と政府の協力を促進し、脅威インテリジェンスの自主的な共有を奨励することにありました。これは今日の脅威環境で非常に重要です」と彼は語りました。

「問題は共有そのものではなく、サイバーセキュリティ調整の名の下に連邦機関の影響範囲が拡大することで必然的に生じる肥大化です」とカークウッド氏は付け加えました。「今こそバージョン2.0がどうあるべきかを再考する時です。インテリジェンスの流れを維持しつつ、中央集権的な官僚主義の引力に抗う、よりスリムで焦点を絞ったモデルが必要です。」

失効が企業にもたらした影響

CISA 2015の失効により、脅威情報共有の法的保護が失われ、過去10年で常態化していたリアルタイムのインテリジェンス交換が混乱しました。法的保護がない中、組織はネットワーク監視、防御措置の共有、同業他社や連邦機関との対応調整において法的責任を問われる可能性が生じました。

この法律は、民間企業がサイバー攻撃に対する防御措置を講じ、自社や顧客のネットワークを同意のもとで監視し、検知・対応強化のために指標を交換することを明確に認めていました。また、共有データをFOIAによる公開から保護し、共同防衛活動に関連する独占禁止法の訴えからも参加企業を守っていました。

以前は自動的に脅威データを共有していた企業も、今後は各交換ごとに弁護士による法的確認が必要となり、どの法律に違反する可能性があるか、既存の契約が情報移転をカバーしているかを判断しなければなりませんでした。

連邦サイバーセキュリティ強化法の失効により、CISAがEINSTEINプログラムやその他のネットワークセキュリティサービスを民間機関向けに運用する法的権限も終了し、政府ネットワーク全体に運用上の負担が加わりました。

その他の規定と人員への影響

サイバーセキュリティ法の復活に加え、継続決議案には閉鎖の影響を受けた連邦職員を保護する措置も盛り込まれました。この法案は「連邦職員を根拠のない解雇から守り、閉鎖中に不当に解雇された者を復職させ、連邦職員に未払い賃金を支給する」とティム・ケイン上院議員は声明で述べ、これらの規定が自身の支持の決め手になったと付け加えました。

CISAの人員は、買い取り、退職延期、解雇によって閉鎖中に約3分の1減少し、約3,300人から約2,200人にまで減りました。ステークホルダー・エンゲージメントやインフラセキュリティなどの部門が最も大きな打撃を受けました。新たな人員保護策により、法案成立後は一部の人員減少が回復する可能性があります。

クレイマー議員の事務所によると、継続決議案は現行の政府予算水準を2026年1月まで延長しました。8人の民主党議員が共和党とともに法案推進に賛成しました。

この決議案が予想通り両院を通過すれば、議会は来年初めに再び予算期限を迎えることになり、ワシントンが政治的な行き詰まりと国家のサイバー強靭性のバランスをどれだけうまく取れるかが再び試されることになります。

翻訳元: https://www.csoonline.com/article/4088018/senate-moves-to-restore-lapsed-cybersecurity-laws-after-shutdown.html

ソース: csoonline.com
#Africa cybersecurity #CISA2015 #Cybersecurity Information Sharing Act #EINSTEINprogram #FederalCybersecurityEnhancementAct #federallegislation #governmentshutdown #liabilityprotection #public-privatepartnership #workforceimpact

関連記事

2年前のOracle WebLogic Server脆弱性が悪用される

HP Poly VoIP脆弱性が幹部音声ディープフェイクへの道を開く

トランプ大統領、撤回したAI大統領令の一部をサイバーセキュリティ重視の指令として復活