サイバー脅威インテリジェンスを共有する際に企業を法的責任から保護する重要な米国の法律が、議会が政府予算を巡る対立で合意に至らなかったため、失効しました。
2015年のサイバーセキュリティ情報共有法(CISA 2015)は、自発的なプログラムである自動指標共有プログラム(AIS)を通じてサイバー脅威データを交換する際、企業を訴訟から保護していました。
この法律は、米国議会がその日までに延長を可決しなければ、9月30日に失効する予定でした。
超党派の支持と業界リーダーからの緊急の警告にもかかわらず、議員たちは法律の失効を許し、企業は訴訟のリスクにさらされ、サイバー攻撃に対する重要な防御が弱体化しました。
サイバーセキュリティ情報共有法について詳しくはこちら:CISA 2015 セーフハーバーが2025年9月の期限を前に危機に
現在、議会が予算案を可決できず政府閉鎖が発生したことで、法律の延長は不透明なままです。
CISA 2015失効:国家安全保障危機の兆し
多くのサイバーセキュリティ専門家は、CISA 2015の失効が米国のサイバー防御に広範な影響を及ぼすことを深く懸念しています。
Saša Zdjelar氏は、同法に大きく依存して強力な脅威データベースを維持してきたReversingLabs社のチーフトラストオフィサーです。
彼は、この失効について「政治的機能不全が実際の脆弱性を生み出す典型的な例だ」と述べました。
「ReversingLabsでは、この法律が防御を最新に保つための強力な脅威インテリジェンス共有を可能にしていることを直接見てきました。これらの保護がなくなれば、私たちを10年間強く保ってきた集団防衛が崩れ始め、敵対者に本来与えるべきでない優位性を与えることになります」と彼は付け加えました。
さらに、Zdjelar氏は、今回の事態が脅威インテリジェンス共有を危険にさらし、ソフトウェアサプライチェーンの脆弱性リスクを高める可能性が高いと予想しています。
また、彼はこの失効がAIセキュリティ開発に「萎縮効果」をもたらす可能性があるとも主張しました。
「法的な不確実性により、企業はAI搭載セキュリティツールの訓練に必要な脅威データの共有に慎重にならざるを得ず、AIによる攻撃への防御開発が妨げられるでしょう」と彼は説明しました。
インシデント対応企業BreachRxのCEO、Andy Lunsford氏は、CISA 2015の更新失敗を「危機の兆し」と呼びました。
彼は、すでに人材不足や厳しい規制罰金、検知・エスカレーションコストの増加に苦しむクライアントの一部が、法的保護がなければ脅威共有を「停止」し、サイバー防御に危険な死角が生まれると警告しました。
「最新のIBMの数字(2025年IBMデータ侵害コストレポート)によれば、米国はデータ侵害の震源地であり、世界のどこよりも被害コストが高いです。CISA 2015がなければ、これらの数字は1年以内に規模もコストも倍増すると予想しています」と彼は付け加えました。
翻訳元: https://www.infosecurity-magazine.com/news/expired-cisa-2015-us-intelligence/
