TokyoBlackHatNews

securityweek.com 4分で読了

サイバーセキュリティ情報共有法の期限切れが迫る

サイバーセキュリティ情報共有法(CISA)は、脅威情報の共有に対して奨励と保護を提供することを目的としています。

2015年に制定されたサイバーセキュリティ情報共有法(PDF)にはサンセット条項が組み込まれており、米国議会による再認可がなければ2025年9月末で失効します。執筆時点では、まだ再認可されていません。

「もし自分のソフトウェアに本来存在しないものを発見し、それが監視行為やシステムに害を及ぼす可能性がある場合は」と、アンドリュー・グロッソ(Andrew Grosso and Associatesの弁護士、元米国連邦検事)は説明します。「その場合、報告することができます。」安全かつ責任問題を心配することなく報告できます。 

脅威情報を受け取った政府機関が実際に行動を起こすかどうかは分かりませんが、そのデータは他の機関や、同様の脅威にさらされている可能性のある他の企業とも共有されます。「あるいは、該当する企業が直接他の企業と脅威情報を共有することもあります」とグロッソは続けます。「これにより、リアルタイムでリスクの窓が開かれます。報告を奨励し、報告した企業を保護し、『容疑者』として名前が挙がる可能性のある人々や、既知の『被害者』の名前の保護も試みています。」

要するに、脅威情報の共有を奨励し、さらなる共有を促進しつつ、関係者の身元を保護しています。

CISAがもたらす明らかなセキュリティエコシステムへの恩恵を考えると、なぜこのような危機的状況に陥ったのでしょうか?そして再認可されるのでしょうか?最初の答えは、おそらく「政治」とタイミングに尽きます。CISAの再認可の必要性は、政府の債務上限の再認可の必要性と時期が重なっています。債務上限の方がより重要で、より論争的であり、議会にとってCISAの再認可よりも優先度が高いのです。 

同時に、議会が必要とする作業は単なる「再認可」の判を押すだけでは済まない可能性があります。例えばランド・ポール議員は、情報公開法を利用してCISAプロセスで報告された個人が自分の情報についてより多く知ることができるようにしようとしています。つまり、市民の自由を守るためです。(これは大幅に単純化していますが、CISAの単純な再認可を複雑にする問題の一例です。)

再認可されるのでしょうか?グロッソはほぼ確実だと示唆していますが、おそらく遡及的になるでしょう――しかし、それには数週間から数か月かかり、その間、情報共有は宙ぶらりんの状態になります。

広告。スクロールして続きをお読みください。

グロッソがCISAが再認可されると確信する理由は、その価値にあります。もし企業が自社ネットワーク上で不審な活動を検知した場合、それを阻止できるかもしれません――しかし、それだけでは同じ発信元からの再発を防げるとは限りません。個々の企業は問題の一部しか見えていないかもしれません。

「あなたは脚と尻尾を持っているかもしれませんが、全体の動物は見えていません」とグロッソは言います。「別の企業は前足を持っているかもしれませんし、さらに別の企業は胴体を持っているかもしれません。これら異なる部分を組み合わせて初めて、全体像が見えるのです。」これこそが、政府と脅威情報を共有する意義です。

「連邦政府は、解決すべき問題にリソースを投入する能力があります。複数の場所から受け取った情報の断片を三角測量して、全体の脅威を突き止めることができます――そして、政府、軍、国家安全保障、重要インフラシステム、さらには民間企業全体を守るために、その動機も持っています。」

MomentumのCTO兼共同創業者であるモイズ・ヴィラニ(Moiz Virani)もCISAが再認可されると考えており、同時に改善されることを期待しています。「再認可される可能性は中程度から高いですが、保証はできません」と彼は言います。「再認可に向けてコミュニティからの追い風があるので、静かに消えることはないでしょう。」

もし失効すれば、脅威情報共有――すなわち責任からの保護を提供する法的枠組み――に深刻な空白が生じます。しかし、彼はそれが大惨事になるとは考えていません。「CISAはCISO(最高情報セキュリティ責任者)のツールキットの一つに過ぎません。これがなくなれば、その空白によってセキュリティ担当者がより注意深くなるインセンティブが生まれるかもしれません。」

ただし、彼は再認可のプロセスが改善の機会になると考えています。 

「CISAは決して大成功したプログラムではありませんでしたが、実用的で、脆弱性の共有をより生産的にする立法を導入しました。方向性は正しく、いくつかの成功もありましたが、新しいAI時代と、10年前よりもはるかに広がった攻撃対象領域を考えると、今こそ脆弱性に対してより積極的に取り組む必要と機会があります。」

CISAは宙ぶらりんの状態に入ろうとしています。再認可され、改善される可能性は高いものの、確実ではありません。再認可された場合も遡及的になる可能性が高いですが、それも保証はありません。したがって、今CISOが直面している大きな疑問はこうです:2025年9月30日直後、脅威情報の共有をどのように扱うべきでしょうか?

翻訳元: https://www.securityweek.com/the-cybersecurity-information-sharing-act-faces-expiration/

ソース: securityweek.com
#AI in Cybersecurity #bipartisan legislation #CISA #Critical Infrastructure #cyber threat intelligence #Cybersecurity Information Sharing Act #international security #liability protections #Policy Renewal #US Congress

関連記事

トランプ大統領、最先端AIモデルの国家安全保障リスク審査を求める大統領令に署名

サイバーセキュリティの深刻化する危機に関する2つの新レポート、異なる見解を提示

スクープ:たった1行のコードが、Microsoft Androidアプリ数十億ダウンロードをリスクにさらした経緯