TokyoBlackHatNews

cybersecuritydive.com 4分で読了

矛盾した定義とタイムラインがサイバーセキュリティ規制の混乱を招いている、業界代表者らが指摘

ダイブブリーフ:

  • 矛盾した定義、過度な情報要求、重複した要件は、米国企業がサイバーセキュリティ規制に対処する際に直面する問題の一部であると、最近の政府説明責任局(GAO)報告書によれば述べられている。
  • 重要インフラ組織は、連邦機関が協力して規則を合理化することを望んでいると、インフラ代表者とのGAOパネル討論の3月5日のサマリーによれば述べられている。
  • 企業は規制の広がりに対する複数の可能な解決策を推奨しており、機関が重要な用語の共通定義に収束することを含めている。

ダイブインサイト:

サイバーセキュリティを監督する主要な下院および上院委員会からの要請に対応して、GAOはサイバーセキュリティ規制環境に関する業界の意見を募集するため、2025年5月と9月に2つのパネルを召集した。同機関の新しい報告書は2025年9月17日のパネルからの調査結果をまとめており、通信、エネルギー、金融サービス、医療、情報技術、運輸、水道セクターを代表する7名の業界指導者が参加している。

「業界参加者は、複数の重複するサイバーセキュリティ規制により業界が受ける主に悪影響を特定し、これがいかに冗長な業務と紛争をもたらしたかを述べた」とGAOは報告書で述べている。

参加者が特定した問題の1つは、多くのセクターが対象とする重複する規制枠組みであった。金融サービス企業は銀行規制当局と証券取引委員会の規則に準拠する必要があり、ある参加者は、その結果としての要件が「重複し、過度に負担になる」と述べた。

GAOによれば、別の業界代表者は、業界のセキュリティの基本レベルを超える連邦規制は「重複しており、より良い結果をもたらさない」と述べた。

複数の人が、機関が時々曖昧な定義や特定のセクターの特殊性を考慮しない定義(または特定の要件さえも)を採用していると述べた。「複数の参加者は、異なるフレームワークが類似の管理および報告要件を持っているが、不要な重複と混乱を生じさせることができる小さな違いがあると述べた」とGAO報告書は指摘している。

ある業界関係者は、同じセクターを規制する機関が規則を開発している間互いに調整していないようだと述べた。

参加者はまた、連邦政府がサイバーセキュリティインシデント報告をどのように処理するかを批判し、重複する要件の網を頻繁に重複しているまたは矛盾していると述べた。業界代表者は、規制機関が時々異なる期間内に異なる量の情報を要求することに加えて、企業がインシデントを報告する必要があるときの異なる基準を確立していると不満を述べた。

「ある参加者は、報告要件を満たすために短時間で複数のエンティティの情報を収集することは、難しく、かつ技術的に負担になる可能性があると述べた」とGAO報告書は述べている。

GAOと会った業界指導者は、サイバーセキュリティおよびIT責任者、一般法務官、最高情報責任者を含む重要インフラ組織内の幅広い役割を代表していた。GAOは彼らにスタッフと率直に話すことを促すため匿名性を与えた。

パネリストによれば、重複し、時には矛盾するサイバーセキュリティ規制の網は企業にいくつかの方法で費用をかけている。従業員給与および技術費の文字通りのコストに加えて、企業は連邦機関に情報を報告するために貴重な時間を費やしており、その時間はサイバー防御の改善またはインシデントへの対処に費やすことができない。

コンプライアンスに必要な専門知識は小企業にも不利をもたらすと、パネリストはGAOに述べた。小企業は多くの場合専任のサイバーセキュリティチームを持っていないにもかかわらず、大企業と同じ多くの要件に直面しているためである。

業界指導者によれば、連邦機関はサイバーセキュリティ規制の調和において限定的な進捗しか遂行していないと述べており、困難の理由をいくつか挙げている。最も重要な障害の1つは、調整された定義の欠如が「広く適用および再利用できない矛盾した用語」を生成していることであるとGAOは述べた。

業界代表者は、用語を標準化し、報告要件を調整し、相互主義契約を開発するための作業部会または他の調整メカニズムを招集するよう機関に促し、企業が複数の機関の情報ニーズを満たすために1つのプロセスを使用できるようにすることを目標としている。

連邦政府は調和に取り組んでいる。国家サイバーディレクター(ONCD)はバイデン政権下での最良のアプローチに関するフィードバックを求めた。また、サイバーセキュリティインフラストラクチャセキュリティ庁の重要インフラ法(CIRCIA)の草案サイバーインシデント報告ルールは、CISAが他の規制当局との相互主義契約を確立することを想定している。(CISAはまた今後の業界フィードバックに基づいてCIRCIAルールを更新する予定である。)

GAOパネル中、業界指導者はトランプ政権にONCDに「連邦機関の用語、報告体制、ガイダンス内の違いに対処し、連邦規制の調和に向けて取り組むための明確な権限」を与えるよう促した。

複数のパネリストは、規制の有効性を定量化する指標を開発するよう機関に促した。一部は、1人の規制当局が各セクターのすべてのインシデント報告を管理すべきだと言った。

翻訳元: https://www.cybersecuritydive.com/news/cybersecurity-regulation-industry-feedback-gao-panel/814215/

ソース: cybersecuritydive.com
#CISA #インシデント報告 #コンプライアンス #サイバーセキュリティ規制 #政府ガイダンス #業界負担 #規制矛盾 #規制調和 #連邦規制 #重要インフラ

関連記事

トランプ大統領、強力なAIモデルへの政府早期アクセスを求める大統領令に署名

Red Hat の npm パッケージ30件超がサプライチェーン攻撃の標的に

Anthropic、重要インフラ事業者を含む150以上の組織にMythosを拡大提供