連邦通信委員会(FCC)は、Salt Typhoonによるスパイ活動キャンペーン後に導入された一連の通信サイバーセキュリティ規則を廃止し、国家支援のスパイがアメリカのネットワークに再び侵入するのを防ぐために設けられた措置を撤回しました。
先週の2対1の投票で、同委員会は通信支援法(CALEA)の下で通信事業者にシステムの厳格な管理を義務付けようとした1月の宣言的決定を撤回しました。
この以前の動きは、中国に関連するSalt Typhoonの侵入事件を受けて導入されたものであり、合法的な傍受やその他の機密性の高い機能に使用されるネットワークを強化することを目的としていました。しかし、FCCは現在、これらすべてが「違法かつ効果がない」としており、決定とそれに伴う規則制定通知の両方を撤回しました。
この撤回は、Salt Typhoonの発覚後、通信事業者による「広範かつ緊急で協調的」な協力が数か月にわたり続いたことを受けたものです。FCCは発表 [PDF]の中で、事業者がすでにアクセス制御を強化し、インシデント対応を改善し、サイバーリスクへの注意を高めていると主張しています――これは規則そのものというよりも、侵入後の自主的な改善努力によるものだと同庁は位置付けています。
これは、今年初めの雰囲気からの大きな転換点です。当時、Salt Typhoonが複数の米国通信会社に侵入し、重要なシステム内部に長期間潜伏していたことが明らかになりました。The Registerが当時報じたように、中国政府支援のスパイ集団は、標準的なネットワーク管理機器だけでなく、合法的な傍受システムの一部――通信事業者インフラの中でも最も厳重に管理されるべき部分――にもアクセスしていました。
1月の決定は、この失態への必要な対応策として打ち出されました。外国の情報機関が通信事業者の防御を容易に突破するのを防ぐための最低限の義務を定めるものでした。
時は進み11月、委員会の新たな指導部はこれらの義務を完全に撤廃することを選択しました。ブレンダン・カー委員長とオリビア・トラスティ委員は、この撤回を承認し、以前の命令が法令の範囲を逸脱し、硬直的かつ非現実的な義務を課していたと主張しました。
アナ・ゴメス委員は反対し、別の声明 [PDF]を発表し、強制力のある要件を放棄することは、敵対的な国家が通信ネットワークを明らかに調査・悪用しているこの時期に、国の安全を損なうことになると警告しました。
「次の侵害が発生した際、遵守を測る基準も、どの保護策が講じられるべきだったかを判断する仕組みも存在しません」とゴメス氏は述べました。「それは義務ではなく希望による統治であり、アメリカ国民はそれ以上のものを受けるに値します。」
電子プライバシー情報センター(EPIC)もまた、この規則撤廃に反対の声を上げており、FCCが「安全でないサイバーセキュリティ慣行のための一種のセーフハーバーを作ろうとしている」と主張しています。
FCCはサイバーセキュリティから後退するのではなく、より「機動的」なアプローチを取るだけだと主張しています。例えば、海底ケーブルのライセンス保有者にサイバーリスク管理計画の策定を義務付けるなど、他の分野で採用されている標的型規則や、スパイ活動からサプライチェーンの脅威まで連邦パートナーと協調するために新設された国家安全保障評議会を挙げています。
それでも、対照は明らかです。Salt Typhoonが、意図的な国家主体が通信事業者システムをいかに容易に侵害できるかを示した後、委員会は1月には明確な最低基準を課す用意があるように見えました。現在、同庁は非公式な協力体制に戻り、長年侵入されていた同じ通信事業者に対し、正式な遵守チェックの脅威なしに自らを監督することを事実上任せています。
発表では、侵入が明るみに出て以来、業界全体でサイバーセキュリティ慣行が改善されたことが繰り返し言及されています。しかし、FCCはそれらの改善が、今回廃止した枠組みなしでどのように監視・強制されるかについては一切説明していません。特に小規模な通信事業者は、大手事業者と同等の防御態勢を維持するのが難しい可能性があり、Salt Typhoonの発覚後に普遍的な最低基準を設けるべきだという主張の根拠となっています。
現時点での公式見解は、自主的な協力が国の通信基盤を安全に保つというものです。しかし、Salt Typhoonは、意図的な国家支援の集団がすでに一部のネットワーク内部に存在し、監督の隙間を悪用する意思があることを示しました。業界の善意だけで次の侵害を防げるのかは、再び未解決の問題となっています。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/11/24/fcc_salt_typhoon_rules/
