この音声は自動生成されています。ご意見がありましたらお知らせください。
企業にサイバー脅威情報の共有を促す連邦プログラムが水曜日に失効し、政府と民間セクター間のサイバーセキュリティ協力が大幅に低下することへの懸念が高まっています。
2015年サイバーセキュリティ情報共有法は、企業が政府機関や他の企業と共有した脅威インジケーターに関連する独占禁止法上の責任、規制執行、民事訴訟、公的記録の開示から企業を保護していました。企業の法務担当者が長年抱えていた懸念に対応したこれらの保護措置により、連邦政府と民間セクター間で10年間にわたり活発な情報共有が行われ、サイバーセキュリティ・インフラストラクチャー庁(CISA)などの機関が広範なサイバー攻撃キャンペーンの特定、追跡、対応を支援してきました。
しかし、この法律(最近設立されたサイバー庁と区別するためCISA 2015と呼ばれる)は10年間の有効期限があり、水曜日に失効しました。議会は、数か月にわたる公聴会、演説、書簡でそのほぼ全会一致の支持がトランプ政権関係者、議員、業界リーダー、サイバーセキュリティ専門家の間で示されていたにもかかわらず、プログラムの再承認に失敗しました。
CISA 2015の更新が行われなかったことで、米国のコンピューターネットワークは「無防備で脆弱、そして防御不能な状態に置かれる」と、上院国土安全保障委員会のトップ民主党議員であるゲイリー・ピーターズ上院議員(ミシガン州)は、火曜日の本会議演説で同僚に行動を促しながら述べました。
ビジネス界のメンバーも同意しています。「アメリカは昨日よりも今日の方がサイバー脅威に対して脆弱になっています」とバンク・ポリシー・インスティテュートのテクノロジーポリシー担当副社長ヘザー・ホグセット氏はCybersecurity Diveに語りました。
再承認の主な障害となったのは、上院国土安全保障委員会委員長のランド・ポール上院議員(ケンタッキー州、共和党)でした。彼は、CISAのオンライン上の誤情報・偽情報対策に新たな制限を設けずにCISA 2015を再承認することに反対し、これは2020年選挙後に保守派の批判を受けていました—そして彼はプログラム存続の試みを繰り返し阻止しました。ポール氏はCISAの誤情報対策に関する自身の懸念を満たす法案を起草しましたが、それを国土安全保障委員会で議論にかけることはありませんでした。
一方、下院は政府予算案にCISA 2015の再承認を盛り込みましたが、民主党は共和党の歳出削減への懸念からこの法案を阻止しました。
責任や規制上の保護がない状況で、企業の情報共有の実務がどのように変化するかは依然として不明です。政府への提供内容を制限する企業もあれば、共有を完全にやめる企業も出てくるかもしれません。
情報共有グループであるサイバー脅威アライアンスのマイケル・ダニエル会長は、一部の企業が「政府との共有活動を一時停止するだろう」と予測していますが、「各企業のリスク許容度」に大きく左右されるとも述べています。
「一部の協力は続くと思う」と彼は語り、「ただし、レベルは低下し、より多くの人間による監督が必要になるだろう」と付け加えました。
法律事務所Venableのサイバーセキュリティサービス部門マネージングディレクター、アリ・シュワルツ氏は「今後はより多くの弁護士が関与し、すべてが遅くなる。特に新たな情報共有契約はそうだ」と述べました。Venableは、そのような契約を結ぶ際に考慮すべき点についてクライアントに助言しています。
企業同士の情報共有については、独占禁止法調査への短期的な懸念がないため、当面は継続される可能性が高いとダニエル氏は述べています。しかし、プログラムが再承認されなければ、企業の姿勢が変わる可能性もあります。
ソフトウェア業界団体BSAの政策担当上級ディレクター、ヘンリー・ヤング氏はCybersecurity Diveに対し、CISA 2015は集団防衛のための重要なツールだったと語りました。
「政府と業界の間に人工的な壁ができることを許せば、米国全体のサイバーセキュリティ態勢にとって後退となる」と彼は述べました。
DHS CISAへの影響
先週、議会宛ての書簡で、幅広い業界団体連合はCISA 2015の失効によって米国が「より複雑で危険なセキュリティ環境」にさらされると警告しました。
プログラムの失効はCISAにも変化を促す可能性があります。同庁は最近、国土安全保障省監察官に対し、CISA 2015が失効し、受信する脅威インジケーターが大幅に減少した場合、月額約100万ドルかかるリアルタイム脅威インジケーター交換プラットフォームの運用中止を検討する
と伝えたとしています。監察官事務所は、CISAから「この機能を維持するかどうかの判断は、利用可能なリソースとリーダーシップの優先順位に基づいて行われる」と伝えられたと述べています。
テック業界のリーダーたちは、CISA 2015の失効に一様に落胆の意を示しました。
この中断は「サイバーセキュリティコミュニティにとって重大な法的な不確実性を生み出し、米国のサイバーセキュリティ態勢を弱体化させ、政府と業界関係者間の信頼構築における10年の進展を損なう」と、主要なテック業界団体である情報技術産業協議会の信頼・データ・テクノロジー政策担当上級副社長ジョン・ミラー氏は述べました。
「今、唯一確実なのは」とミラー氏は述べ、「この法律の保護がないことで、攻撃者が民間セクターの情報共有に関する混乱やためらいを利用しやすくなるということです。」
翻訳元: https://www.cybersecuritydive.com/news/cisa-information-sharing-program-expires-congress/761537/
