画期的なサイバーセキュリティ法の失効により、サイバー脅威情報共有の責任保護が失われ、議会が対応するまで米国のサイバー防御が弱体化しています。
10年前、議会は重要なサイバーセキュリティ法案である2015年サイバーセキュリティ情報共有法(CISA 2015)を可決し、連邦政府が脅威情報を収集・配布できるようにするとともに、民間企業がその情報を政府や他の民間企業と自発的に共有できるようにし、不利益な法的・規制上の影響から保護されるようにしました。
CISA 2015は2025年9月30日に失効する予定でした。しかし、多くの努力が下院と上院の両方で行われ、トランプ政権、サイバーセキュリティ業界、与野党の支持があったにもかかわらず、立法と政治の混乱による米政府の閉鎖の中で延長されなかったため、CISA 2015は失効しました。
その結果、サイバーセキュリティの防御者たちは法案が提供していた情報共有に関する責任保護を失い、政府も民間部門全体で発生する脅威への可視性を大きく失いました。ワシントンの過熱した党派的な状況を考えると、議会がCISA 2015の延長をいつ、どれくらいの期間で再検討するかは不透明です。
この法律が「長期間失効したままであれば、業界全体でサイバー脅威インジケーターのリアルタイム共有や強化の能力が低下するだろう」と、2年前までCISAで部門長やオペレーション責任者を務めていたDarktraceのセキュリティ&AI戦略担当副社長ナサニエル・ジョーンズ氏はCSOに語っています。
「この法律の目的は、重要インフラ部門が情報を共有する必要があるときに、そのコミュニケーションを保護する層を提供することだった」と、Lumifi CyberのフィールドCISOであり、元シアトル市CISOのマイク・ハミルトン氏はCSOに語ります。「今や、民間部門は自分たちに何が起こったかを誰にも話したがらなくなるでしょう。」
CISA 2015が提供していたもの
CISA 2015は、民間企業がサイバー攻撃を阻止するための特定の防御措置を講じること、自社および顧客のネットワークをサイバー脅威のために監視すること(書面による許可と同意のもと)、そしてサイバー脅威インジケーターを共有してより良い検知と対応を行うことを明確に認めていました。
この法律は、米国の重要インフラの大部分を所有する民間部門が、脅威情報を米国政府や民間の仲間と共有する際の法的責任保護を提供していました。さらに、共有された情報の利用方法に制限を設け、望まない開示から守るためのいくつかの保護も提供していました。
この法律が提供していた保護の中には、以下のものがありました:
- 独占禁止法上の責任からの免除
- 情報公開法(FOIA)や州の情報公開法からの開示免除
- 共有情報に対する営業秘密保護などの特権・保護の継続適用
- 指定された場合、共有情報が非連邦組織の商業的・財務的・専有情報として保護されることの継続
- 連邦当局とのex parteまたは非公式なコミュニケーションを制限する規則からの免除
- 法律に則った情報共有活動に対する広範な責任保護
「私たちは常に情報共有の障壁や妨げについて話してきましたが、それこそがCISA 2015の目的でした。障壁を取り除くことです」と、サイバーセキュリティ法政策センターのエグゼクティブディレクターであり、Venable法律事務所のパートナーであるアリ・シュワルツ氏はCSOに語ります。「しかし実際には、情報共有のための簡単な法的承認を得ることができるようになっただけでした。CISA 2015によって、弁護士がレビューする必要がなくなったのです。」
今後どうなるか、CISOは何をすべきか
キャピトル・ヒルの多くの観測筋は、CISA 2015が広く支持されていることから、議会が最終的に政府閉鎖を終わらせ、その過程で少なくともCISA 2015の一時的な延長を可決するだろうと考えています。
「短期的にも長期的にも、私は下院と上院の同僚と共に、これらの重要な権限を再認可し強化する最善の道を見つけることに尽力します」と、下院国土安全保障委員会委員長のアンドリュー・ガルバリーノ(共和党・ニューヨーク州)氏はCSOの声明で述べています。
「短期間だけ切断して、その後長期延長を検討するということもあり得ます」とDarktraceのジョーンズ氏は述べます。「現時点での提案は10年ですが、それがより理にかなっていると思いますが、当面は一時的なつなぎ措置になるでしょう。」
本当の問題は、議会がCISA 2015を延長するまでにどれだけ時間がかかるかです。専門家は、CISA 2015の失効による米国サイバーセキュリティへの影響は、失効期間の長さに直接比例すると強調しています。「短期間であれば、それほど大きな影響はないと思います」とLumifiのハミルトン氏は述べます。
Venableのシュワルツ氏は、議会の対応が遅れるほど状況はますます問題になると考えています。「2日間であれば、企業にとってそれほど大きな影響はありません」と彼は言います。「しかし、ある程度の期間続けば、この規定がないことは影響を及ぼすでしょう。」
「インシデントが発生し、弁護士が『明日どうなるか様子を見よう』と言って1日だけ情報共有を控えるのはまだしも、みんなが1か月間そうし始めたら、それはより深刻な問題になります」とシュワルツ氏は述べます。
また、シュワルツ氏はCISA 2015成立前に交渉済みの情報共有契約のもとで運用していた組織は、既存の法的枠組みに頼ることができるため、より良い状況にあるかもしれないと考えています。「2015年以前に行われていたのであれば、ISAC(情報共有・分析センター)向けの共有契約がまだ有効な場合もあるでしょう」と彼は言います。「多少の更新は必要かもしれませんが、それほど大きなものではありません。」
法律の失効による影響は、業界ごとに異なります。「一部の業界では、以前から共有していたり、契約が整っていたり、取り組みが進んでいたため、影響は少ないでしょう。しかし、そうでない業界にとってはかなり大きな作業になるでしょう」とシュワルツ氏は強調します。
ただし、シュワルツ氏は、CISOは今後情報共有を行う前に、社内または外部の法務担当と密接に連携し、法的な過失で責任を問われないようにすべきだと助言しています。
「弁護士に相談する必要があります」と彼は言います。「法的なレビューが必要です。CISOであれば、社内の法務担当に『この法律が通らないと聞いたので、将来的に会社に責任が及ばないようにしたい』と伝えるべきです。」
このレベルの法的レビューは、脅威や防御技術の共有を間違いなく遅らせることになるでしょう。「弁護士は、これまで行われてきた情報共有の種類や、どの法律に違反する可能性があるか、また、共有先で何が起こるかについて契約があるかどうかを調べてレビューすることになるでしょう」とシュワルツ氏は述べます。
彼はさらに、「情報共有自体は続くだろうが、何歩も後退したことになる」と付け加えています。
