アメリカのサイバーセキュリティ基盤の中核をなす重要な法律が、一夜にして消滅する危機に瀕しています。
火曜日に、サイバーセキュリティ情報共有法(CISA)が失効します。これにより、数多くの組織が連邦政府と脅威インテリジェンスを共有することを可能にしていた法的保護も失われます。迅速な議会の対応がなければ、まさに今最も必要とされている協調的なサイバー防衛における長年の進歩が崩壊するリスクがあります。
CISAの10周年を迎える今、私たちは現在の脅威状況が10年前とは全く異なる現実に直面しています。2015年当時、私たちが懸念していたのはデータ漏洩やウェブサイトの改ざんでした。
今日では、AIを活用した攻撃、サービスとしてのサイバー犯罪の拡大、業界全体に波及するサプライチェーンの侵害、敵対者が事前に潜伏する見えないサイバー攻撃、そして犯罪者と国家がリソースを共有してサイバー作戦を拡大する高度なランサムウェアのエコシステムに直面しています。
最近のSalt Typhoonによる米国通信インフラへの侵入は、私たちの防御よりも敵対者の進化が速いという厳しい現実を浮き彫りにしています。
無策の代償
CISAの失効は単なる官僚的な問題ではありません。デジタルインフラ全体に連鎖的な悪影響を引き起こします。この法律のセーフハーバー条項と責任免除は、民間企業が訴訟の恐れなく政府機関とサイバー脅威情報を共有できる法的な基盤です。これらの保護がなくなれば、組織は情報を囲い込み、私たちは新たな脅威に対して盲目となります。
もしこれらの保護が消えた場合に何が起こるか考えてみてください。国家的なサイバー攻撃に関連する疑わしい活動を発見した金融機関が、その情報を共有したことで法的責任を問われるかもしれません。サイバー攻撃で1つの病院の医療記録が侵害されれば、医療システム全体が危険にさらされます。Salt Typhoonのような事案で連携が必要な通信会社も、協力のための法的枠組みを失うことになります。
これは憶測ではありません。2015年以前の現実に逆戻りすることを意味します。
応急処置を超えて:明日の脅威に備えた近代化
提案されているWIMWIG法はCISAを2035年まで延長することを目指していますが、単に古い枠組みを再承認するだけでは現代のセキュリティ課題に十分に対応できません。私たちは依然として、過去に何が起きたかを伝えるだけで、現在進行中の状況や犯罪者の行動を理解する助けにならない、受動的なサイバーセキュリティのパラダイムで運用しています。
現在の情報共有は、攻撃者が使う特定のIPアドレスやドメイン、ファイルハッシュといった「侵害の指標(IoC)」に大きく依存しています。しかしAIと自動化の時代において、脅威アクターはインフラを常に切り替えており、これらのIoCは数日、数時間、時には数分で陳腐化します。
実際のところ、脅威インテリジェンスは成熟したセキュリティ運用を持つ大企業には役立ちますが、ほとんどの組織はそれを有効活用できていません。私たちには、過去の攻撃を記録するだけでなく、予測的な洞察を提供するインテリジェンスが必要です。
だからこそ、本当のチャンスは、受動的なIoC共有から、行動分析やテレメトリを活用した能動的な情報共有への転換にあります。攻撃者が使った特定のIPアドレスを共有するのではなく(彼らは常に新しいインフラを立ち上げます)、ネットワーク内でどのように動いたのか、どんな手法を使ったのか、攻撃の前にどんな行動があったのかを共有する必要があります。3回のログイン失敗は単独では意味がありませんが、横移動や権限昇格のパターンと組み合わされば、侵入が進行中であることが明らかになります。
この転換は、非人間型IDの時代に突入する今、さらに重要性を増しています。クラウドサービス、運用技術、AIシステムによって、機械IDが人間のIDの10倍に達する環境が生まれています。
こうしたハイブリッド環境における複雑な関係性や相互作用を理解するには、生のテレメトリを、進行中の脅威や今後標的となる可能性の高いIDに関する実用的な洞察へと変換するコンテキスト付きインテリジェンスが必要です。
今後の道筋
議会は選択を迫られています。短期的な延長で問題を先送りするのか、それともこの機会を捉えてサイバー防衛システムを近代化するのか。CISAの失効を集団的サイバー防衛からの後退と見る向きもありますが、むしろより強固なものを築く機会、あらゆるレベルでサイバー脅威に立ち向かうというアメリカの決意を示す現代的な枠組みを作るチャンスとなり得ます。
意義ある再承認には以下が不可欠です:
- 従来のIoCだけでなく、行動異常もカバーする責任免除の強化。 組織が実際に攻撃を防ぐ豊富でコンテキストのあるインテリジェンスを共有するためには、法的な明確さが必要です。
- インテリジェンスの双方向性の義務化。 これまで民間からの情報共有は一方通行でした。連邦機関は、業界パートナーに対して一貫した、付加価値のある、実用的なインテリジェンスを提供し、単なる情報収集ではなく真の協力関係を築く必要があります。
- AIと自動化機能の導入。 行動パターンを大規模に処理できるAIや自動化を活用し、ますます複雑化するデジタルエコシステム全体でリアルタイムの脅威検知を可能にします。
- 監督メカニズムの強化。 プログラムが脅威状況の変化に合わせて進化し、2015年当時のセキュリティ手法にとどまらないようにする必要があります。
緊急性は本物
超党派による再承認の取り組みが厳しい期限に直面する中、この問題を正しく解決するための時間は急速に失われつつあります。CISA 2015が失効する場合、それは政治的な行き詰まりのせいではなく、今後の課題にふさわしいサイバー防衛の枠組みを築くという選択をした結果であるべきです。
遅れるごとに敵対者にさらなる優位を与えることになります。不確実な時間が長引くほど、私たちの集団的なサイバー防衛は弱まります。議会は、現状を維持するためだけでなく、国家安全保障が求める能動的で行動ベースのインテリジェンス共有エコシステムを構築するために、断固たる行動を取らなければなりません。
わずか1日後には、協調的なサイバー防衛のための近代的な枠組みが整うか、あるいは10年にわたる進歩が崩れ去るかのどちらかです。議会の前にある選択は、単なる更新ではなく、変革です。どんな結果であれ、私たちの国のサイバー・レジリエンスを弱めるのではなく、強化するものにしましょう。
今こそ行動の時です――前進し、守り抜かなければなりません。
ケビン・E・グリーンは、BeyondTrustの公共部門担当チーフ・サイバーセキュリティ・テクノロジストです。以前はOpenText、MITREコーポレーション、国土安全保障省科学技術局のサイバーセキュリティ部門などで技術職を歴任しました。
翻訳元: https://cyberscoop.com/cybersecurity-information-sharing-act-expiration-date/
