ショーン・プランキー氏のCISA長官としての再指名は一定の安心材料となるが、サイバー脅威情報共有や州・地方向け助成金に関する法案が停滞しており、増大するサイバー脅威に対抗する国家の能力は引き続き圧迫されている。
ホワイトハウスは、沿岸警備隊およびエネルギー省でサイバー分野の経験を積んだベテランで評価の高いショーン・プランキー氏をCISA長官に再指名することで、緊急性が高いにもかかわらず停滞していた優先課題の再始動に動いた。専門家は、この措置は一定の救済にはなるものの、米国のサイバー防衛をなお圧迫している、より広範な議会の不作為を解消するには不十分だと述べている。
サイバー問題への関与や議会での推進が不十分だとしてホワイトハウスを批判する声がある一方、より大きな問題は議会の機能不全だとする見方もある。トランプ政権のサイバー政策に対するより広いアプローチに言及し、戦略国際問題研究所(CSIS)のテクノロジー・公共政策プログラムのSVP兼ディレクターであるジム・ルイス氏はCSOに対し、「彼らにとってサイバーは優先事項ではない」と語っている。
しかし、Venableのサイバーセキュリティサービス担当マネージングディレクターであるアリ・シュワルツ氏は、より大きな責任は議会にあると見ている。「議会で法案を通すのは非常に難しく、超党派の支持があっても、こうした指名を通すのも非常に難しいことが分かった。これは、私たちが物事を前に進められないことを示しており、極めて問題だ」と同氏はCSOに語った。
これらの分野における不作為に起因する問題は、早ければ来月にも表面化し、追加の対応が取られなければその後さらに深刻化する可能性がある。議会または政権が介入して欠落を埋めることを期待する専門家もいるが、解決策はすぐには出てこないと警告している。
CISAの指導体制:被害を抑えるには迅速な承認が必要
議会の会期末である12月31日を迎えたことで、プランキー氏の指名は失効し、新たな指名手続きが必要となった。専門家は、承認までの待機が長引くほど、CISAと米国のサイバー政策は漂流状態が深まると指摘する。
イーロン・マスク氏の政府効率化省が主導する予算削減の中で、同省はCISAの人員と組織的能力を大幅に縮小させた。セキュリティ・アンド・テクノロジー研究所の最高戦略責任者であるメーガン・スティフェル氏によれば、CISAで指導者不在が続いたことで、かけがえのない専門知識の流出が加速し、米国にとって内部・国内・国際の3段階にわたるサイバーセキュリティの失敗を招いたという。
「承認された指導者がいないことは、CISAが法定の義務を果たす能力を損なう」とスティフェル氏はCSOに語る。さらに、承認済みの指導者不在は省庁間の調整を複雑にし、海外における重要インフラの安全保障に関する米国の信頼性を弱めるとも付け加えた。
プランキー氏が再指名されたとしても、同庁における長期の指導者不在がもたらした損害の修復には時間がかかると、CSISのルイス氏は述べる。「彼らはすでにCISAを空洞化させた。つい先日退職したCISAの職員が、キャリア職員の40%がいなくなったと言っていた。引き継ぐべきチームが存在しない。大規模な再建が必要になるだろう」
下院国土安全保障委員会の委員長であるアンドリュー・ガルバリーノ(共和党・ニューヨーク州)にとって、プランキー氏の再指名はまさに間に合った。12月16日にマクラリー研究所が主催したイベントで発言したガルバリーノ氏は、プランキー氏の指名が長らく滞っていたことに失望したとしつつも、「できれば近いうちに」承認されるだろうと述べた。
上院で与野党双方が行った承認保留が、プランキー氏の承認失敗に大きく影響した。リック・スコット上院議員(共和党・フロリダ州)は、沿岸警備隊の問題を理由にプランキー氏の指名を阻止した。同時に、ロン・ワイデン上院議員(民主党・オレゴン州)は、電話網の安全保障に関する非機密報告書をCISAに公表させるため、プランキー氏の指名を差し止めた。
CISAは7月に公表を約束したが、いまだ実行していない。ワイデン氏の報道担当であるキース・チュー氏はCSOに対し、通信セキュリティ報告書が公表されるまで、同上院議員はCISA長官の承認に引き続き異議を唱えると述べた。
CISA 2015の再承認:実現の可能性は高いが、遅く最適とは言い難い
2015年サイバーセキュリティ情報共有法(Cybersecurity Information Sharing Act of 2015、CISA 2015)と呼ばれる主要なサイバーセキュリティ法案は、9月30日に失効したが、11月13日に一時的に復活し、2026年1月30日までの2か月間の延命措置が取られた。この法律は、組織と連邦政府の間でサイバー脅威情報を共有することを可能にする、重要な法的責任保護を提供する。
この短期延長は、より長期の更新を確実にするものに見えた。というのも、CISA 2015に基づく法的責任保護の延長に失敗することは容認できないという点で、議員、政権、産業界の間に広範な合意があるためだ。
「これは非常に重要だ」とガルバリーノ下院議員はマクラリーのイベントで述べた。「可決され、延長されることが不可欠だ。単独でどうやって成立させるのか分からない。政府予算のような、必ず通さなければならない別の法案に付けて成立させる必要があると感じているが、とにかく通さなければならない」
メールでの声明で、CISAの広報部長マルシ・マッカーシー氏はCSOに対し、「2015年サイバーセキュリティ情報共有法の再承認は、この進展を維持するうえで不可欠であり、産業界と政府が情報を共有し、インシデントに対応し、迅速かつ精緻にサイバーリスクを低減できるようにする」と述べた。
ホワイトハウスの国家サイバー長官ショーン・ケアンクロス氏は次のように述べている。「私たちは、そしてホワイトハウスは、CISA 2015の10年間のクリーンな再承認を支持しているということを、これ以上ないほど明確にしておきたい」
このように合意と支持が強固であることから、議会が最終的に同法を再承認する可能性は高い。ただし、再承認を求める支持者が望む10年更新より短い期間になる可能性が高い。
「上院の同僚たちは別の考えを持っている」とガルバリーノ氏は述べた。「10年のクリーンな再承認を望む人もいる。だが、フリーダム・コーカス委員長の懸念がある中で、それを下院で通せるかどうか分からない」。フリーダム・コーカス委員長のアンディ・ハリス(共和党・メリーランド州)は、CISA 2015について慎重に進めるよう求めている。
たとえガルバリーノ氏がCISA 2015を下院で通したとしても、専門家の中には、クリーンな再承認は上院国土安全保障委員会委員長のランド・ポール(共和党・ケンタッキー州)によって反対される可能性が高いと見る者もいる。ポール氏は、同法を延長する法案の可決を上院が行うことを阻止した。
州・地方のサイバー助成金:当面は事実上停止
議会に残るもう一つの未解決課題である、CISAが運営する州・地方サイバーセキュリティ助成金プログラム(SLCGP)については、先行きが不透明だ。10億ドル規模のこのプログラムの残余資金の大半は、2025年初頭にイーロン・マスク氏の政府効率化省によって削り取られた。
11月、下院はプログラムを2033年まで延長するPILLAR法を可決したが、将来の助成金に充てる具体的な金額は明示しなかった。ガルバリーノ委員長は、SLCGPが資金手当てされる可能性は十分あると考えている。
「歳出の面で素晴らしいパートナーがいる。アモデイ委員長だ」と彼はマクラリーのイベントで述べ、下院歳出委員会国土安全保障小委員会の委員長であるマーク・アモデイ(共和党・ネバダ州)に言及した。「これを付けられる“器”を探して、成立させようとしている」
CSISのルイス氏のようなワシントンの経験豊富な関係者の中には懐疑的な人もいる。「彼ら(州・地方の助成金)が戻ってくることはないと思う」と同氏はCSOに語る。
ワシントンはいつ前進するのか
残る未解決の問題が前に進むのか、またいつ進むのかは不透明だ。
「議会はおそらく正しいことをするだろうが、行政府の指導者がいないため時間がかかる」とルイス氏は言う。「その後も、何かを整える前に、ホワイトハウスがどこから来ているのか(つまり、資金なし、新たな権限なし、より小さな機関)を理解しなければならない。運が良ければ夏休み前には見られるかもしれないが、遅いプロセスになるだろう」
また、近く公表されるホワイトハウスのサイバーセキュリティ戦略が、これらのプログラムの一部に触れる可能性もある。
サイバーセキュリティが超党派の課題であることが希望につながると語る専門家もいる。「サイバーセキュリティ、特に重要インフラの保護と米国ネットワークの防衛は、依然として超党派の問題だ」とシュワルツ氏は言う。「それによって、再び前進できる地点に到達する可能性について、より前向きに感じられる」
