民間部門と政府の間での情報共有を可能にする重要なサイバーセキュリティ法を延長しようとする動きが、議会で超党派の勢いを増している。
水曜日に提出された新法案は、9月に失効する前に、サイバーセキュリティ情報共有法(CISA)をさらに10年間再承認することを目指している。
ミシガン州選出のゲイリー・ピーターズ上院議員(民主党)とサウスダコタ州選出のマイク・ラウンズ上院議員(共和党)が共同提案したこの法案は、法的リスクなしに企業と連邦機関が脅威インテリジェンスを共有するのを助けてきた法的枠組みを維持することを目的としている。
2015年に成立した原法は、統合サイバー防衛協働(JCDC)を含む、いくつかの主要なサイバーセキュリティ連携プログラムの中核となってきた。
CISAを更新する必要がある理由
CISAが失効すれば、多くのサイバーセキュリティ専門家が米国のデジタル防衛の基盤とみなす仕組みが混乱することになる。
それがなければ、企業は法的責任や規制上の複雑さを恐れ、新たに出現する脅威に関する詳細の報告や共有をためらう可能性がある。
「CISAは、国家のサイバーセキュリティ防衛を強化する情報の流れを効率化するうえで重要な役割を果たしてきました」と、Qualysのプリンシパル・プロダクト・マネージャーであるエイプリル・レンハード氏は述べた。
「CISAをさらに10年間更新することで、重要な脅威インテリジェンス交換の継続性が保たれます。」
現行の枠組みの下では、企業は(義務ではないものの)サイバーセキュリティの脅威指標を連邦政府および相互に共有することが奨励されている。
また同法は、善意でそれを行う場合に一定の責任から企業を保護する。支持者は、この自発的な協力と法的保護のバランスが、増え続けるサイバー攻撃の中でCISAを実用的なツールにしてきたと述べている。
変化する状況
CISAは有効性を示してきたものの、専門家は再承認には慎重な更新が伴うべきだと強調する。
過去10年間でサイバー脅威はより高度化し、データ取り扱いとサプライチェーンの脆弱性に結びつくリスクが増大している。
「防御側の観点から見ると、サイバーセキュリティ情報共有法は、実際に状況を前進させた数少ない立法ツールの一つでした」と、DeepwatchのCISOであるチャド・クレイグル氏は述べた。
同氏は、同法を失効させれば「不適切なタイミングでためらいを再び生む」ことになると強調した。
統合サイバー防衛協働の取り組みについて詳しく読む:CISA、AIサイバーセキュリティ協働を強化するプレイブックを公開
再承認のプロセスは、法律を洗練させる機会になると考える人もいる。プライバシー、国際協力、そしてサードパーティベンダーの複雑化といった問題は、改善の可能性としていずれも検討対象となっている。
幅広い業界の支持
この法案はサイバーセキュリティ・コミュニティ全体から幅広い支持を得ている。
その理由には次のようなものがある:
- 民間企業に対する法的な報告要件の明確化
- JCDCを通じたより迅速な連携の実現
- 政府とテック企業の間の信頼強化
- 情報共有・分析センター(ISAC)を通じた業界横断の協働促進
「サイバーセキュリティはチームスポーツです」と、Bugcrowd創業者のケイシー・エリス氏は述べた。
「サイバーセキュリティ情報共有法は、情報共有のための安全な枠組みを提供し、公的/民間パートナーシップによる共有と、米国拠点のISACを支える『コミュニティ内』の共有の双方を下支えしています。」
9月の失効に向けて時間が迫る中、議員と業界の専門家はいずれも迅速な可決を求めている。
再承認に、現在のサイバーセキュリティの現実を反映する更新が含まれるかどうかは、まだ分からない。しかし、多くが一点では一致している。何もしないことの代償は大きくなり得る、ということだ。
翻訳元: https://www.infosecurity-magazine.com/news/senators-urge-cyberthreat-sharing/
