今月末に失効予定のサイバー脅威情報共有法を議会が再承認する見込みについて悲観論が高まっています。短期・長期いずれの延長についても明確な道筋が見えていません。
業界団体やトランプ政権は、2015年のサイバーセキュリティ情報共有法(CISA 2015)の再承認に力を入れてきました。同法は、組織がサイバー脅威データを互いに、また政府と共有する際の法的保護を提供するため、悪意あるハッカーとの戦いに不可欠なツールだとされています。
しかし、ここ数週間で同法の再承認を目指す複数の取り組みが失敗したり、棚上げされたりしています。
- 下院は政府閉鎖を回避するための継続決議案にCISA 2015の2か月延長を盛り込みましたが、下院通過後、上院は先週この継続決議案を否決しました。今月末以降の連邦政府資金調達に関する交渉は行き詰まっているようです。
- 上院国土安全保障・政府問題委員会は、委員長のランド・ポール(共和党、ケンタッキー州)が提出した大幅な変更を伴う延長法案の審議を先週予定していましたが、超党派および業界からの批判を受けて、急遽審議が中止されました。
- ポール委員会のトップ民主党議員であるミシガン州のゲイリー・ピーターズは、失効する法律の変更なし、いわゆる「クリーン」な10年延長を上院本会議で全会一致動議で可決しようとしましたが、ポールが理由を示さず反対し、前進を阻みました。
- 下院国土安全保障委員長のアンドリュー・ガルバリーノ(共和党、ニューヨーク州)は今月初め、CISA 2015の延長・改正法案を下院版の年次国防権限法(NDAA)への修正案として提出しようとしましたが、規則委員会がこの修正案の採決を認めませんでした。(上院の情報政策法案には10年延長が含まれていましたが、上院が情報権限法案をNDAAに組み込んだ際、ポールが反対し削除されました。)
これらの結果、CISA 2015の延長は宙に浮いたままであり、主要な上院議員であるポールが迅速な再承認の障害となる可能性が高い状況です。ある業界関係者は「このまま失効するだろう」と述べています。
「ポールの反対を考えると、延長されれば驚きだ」とその関係者は話しています。
これは議員や民間組織の双方にとって大きな問題となり得ます。
たとえ一時的な失効であっても、サイバー情報共有にどのような影響が出るかは不明ですが、深刻な予測も出ています。法律関係者の間では「人々にやらない理由を与えれば、やらなくなる」と別の業界関係者は述べています。
法律が失効している間に大規模な情報漏洩が発生すれば、政治的リスクが高まります。サイバー攻撃の被害者は、その事態を法律の失効のせいにする可能性が高いと、サイバーセキュリティ政策に精通した関係者は語ります。
(つい最近までの)最善の見通し
推進派は長らく、CISA 2015の2年延長が継続決議案(CR)に盛り込まれることに期待を寄せていました。政府閉鎖回避の緊急性と、会計年度末に法律が失効するというタイミングが、議会にとって絶好の機会だったからです。下院共和党がCRに短期延長条項を盛り込み、民主党も自らの案で支持したことは、広範な支持を示していました。CRは217対212で可決されました。
上院指導部は、対象分野を所管する委員会の委員長からの政策上の異議を他の法案審議時に尊重する伝統があります。しかし複数の関係者は、下院CRにCISA 2015延長が含まれたことは、今回に限って上院指導部がポールの異議を無視する用意があったことを示しているとCyberScoopに語っています。
議員や民間団体だけでなく、トランプ政権も再承認を強く求めています。業界や上院関係者によれば、新たな国家サイバー長官ショーン・ケアンクロスが特にCISA 2015の必要性を議員に訴えてきたとのことです。
しかし、短期延長も政府閉鎖を巡る大きな争いの犠牲となり、上院はCRを44対48で否決しました。
ポールによる複雑化
今月初め、下院国土安全保障委員会は、CISA 2015を10年間延長するガルバリーノ法案を25対0で承認しました。民主党は「クリーン」な再承認ではなく、何らかの変更を加えるべきか疑問を呈しましたが、ガルバリーノの変更自体には大きな反対はありませんでした。
しかし、ポールが提出し、先週委員会で採決予定だった法案はそうではありませんでした。この法案は2年延長を規定していましたが、業界団体は、2015年法のうち、連邦政府とのサイバー脅威データ共有に関する情報公開法(FOIA)からの保護条項を削除することに反対しました。また、連邦法が州法・規制に優先する「連邦優越」条項の削除にも反対しました。
民主党も、企業が防御措置を講じる際のルールなど、法律のいくつかの重要な定義について懸念を示しました。CyberScoopに語った上院補佐官によれば、これらの変更は特に中小企業を脆弱にする可能性があるとのことです。他の業界からの反対と合わせて、ポール法案は実質的に民間部門と政府の情報共有を終わらせるものだと補佐官は述べています。
業界はCISA 2015への大幅な変更には全般的に慎重です。
「事実として、この10年間で民間部門が情報共有する効果的な手段となっており、これはサイバーセキュリティ向上の重要な要素です。うまく機能しているものに変更を加える際は非常に慎重であるべきです」と、ビジネスソフトウェアアライアンスの政策担当シニアディレクター、ヘンリー・ヤング氏は述べています。
ポールが起草した言論の自由保護に関する条項も疑問を生みました。上院および業界関係者5人はCyberScoopに対し、ポールが審議を中止したのは、上院共和党委員がポールの変更を削除し「クリーン」な再承認にする修正案を提出する予定だったからだと語っています。
アイオワ州のジョニ・アーンスト、オハイオ州のバーニー・モレノ両上院議員がその修正案の背後にいたとされますが、コメント要請には応じませんでした。
ポールの広報担当者は、審議中止の理由についてCyberScoopに伝えられた内容を否定しました。
「審議中止の説明は事実ではありません」と広報担当のガブリエル・リプスキー氏は述べました。「誠実に交渉していない民主党が、より多くの時間を求めたのです。」
ピーターズは金曜日の上院本会議で、ポールが審議を中止したことについて「失望した」と述べ、「政策や法案について議論する機会すら阻まれた」と語りました。
ポールの地元州の有権者も「クリーン」なCISA 2015再承認の重要性を訴えています。ポールの公開発言は、言論の自由に関する追加保証を含む法案の可決に主に焦点を当てています。
「アメリカ国民のプライバシーや言論の自由を連邦政府職員による検閲や威圧から守るというあなたの決意を尊重し、私たちもその懸念を共有します」と、複数のケンタッキー州ビジネス団体は9月17日付の書簡で「クリーン」な延長を求めてポールに訴えました。「他の法案でプライバシーや検閲保護を強化するために、ぜひご協力させていただきたいと思います。」
ピーターズは金曜日、上院で10年延長の全会一致動議を求めましたが、ポールは「反対します」とだけ述べ、ピーターズの再承認の動きを阻止しました。
「議会はこれらのサイバーセキュリティ保護の延長を可決し、失効によってサイバー防衛が完全に損なわれ、重要分野が防げる攻撃にさらされる事態を防がなければなりません」とピーターズはCyberScoopへの声明で述べています。「この責任保護は、民間部門と政府の間で信頼できる迅速な情報共有を可能にし、サイバー脅威の迅速な検知、防止、対応を実現します。私は超党派・両院協力による長期的な保護再承認に向けて引き続き取り組みますが、今月末にこれら重要なサイバーセキュリティ保護を失効させる余裕はありません。」
他の道筋
推進派の間では、短期延長がCRの一部として成立した後、長期延長がNDAAに盛り込まれることが一般的な期待でした。NDAAは通常、年末または翌年初めに可決されます。
しかし、下院・上院双方の動きでその期待は薄れました。上院では、情報委員会が年次情報権限法案に10年延長を盛り込んでいましたが、その法案が上院版NDAAに組み込まれた際、CISA 2015延長の追加にポールが反対し、削除されました。
また、規則委員会は9月9日、ガルバリーノのCISA 2015延長修正案を「関連性がない」と判断し、NDAA本会議での提出を認めませんでした。翌日、下院はNDAAを231対196で可決しました。
CISA 2015再承認の今後の道筋は不透明です。ポール事務所は今後の計画についての質問に回答しませんでした。
短期延長の選択肢は、現時点では議会指導部がCRの復活や代替案を模索することに限られますが、CISA 2015失効前に実現するには極めて時間が限られています。長期延長の選択肢としては、上院版NDAAへの修正案パッケージが考えられますが、上院はまだ法案審議を開始していません。
「CISA 2015は2025年9月30日に失効させてはなりません。失効すれば米国のセキュリティ環境は著しく敵対的になります」と、米国商工会議所サイバー・情報・セキュリティ部門のサイバーセキュリティ政策担当副社長マシュー・エッガーズ氏はCyberScoopへの書面声明で述べています。「商工会議所はこの重要な法律の複数年再承認を支持します。短期延長は逆効果です。民間部門も政府も、長期的なサイバーセキュリティ計画や実施のためのリソース配分を含め、確実性を必要としています。下院・上院指導部およびトランプ政権はCISA 2015再承認への強い支持を表明しています。」