米国のサイバー情報共有プログラムが失効、不確実性が高まる

米国で企業間のサイバー脅威情報共有を促進してきた画期的なプログラムが水曜日に失効し、政府と民間部門間のサイバーセキュリティ協力が著しく低下するとの懸念が高まっています。

CISA 2015の概要と重要性

2015年サイバーセキュリティ情報共有法（CISA 2015）は、企業が政府機関や他の企業と脅威指標を共有する際に、独占禁止法上の責任、規制執行、私的訴訟、公記録開示から保護するものでした。これらの保護措置は、企業弁護士の長年の懸念に対処し、連邦政府と民間部門の間で10年間にわたる堅牢な情報共有を可能にしました。これにより、サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）などの機関が、広範なサイバー攻撃キャンペーンを特定し、追跡し、対応する上で重要な役割を果たしました。

再承認の失敗とその理由

しかし、この法律は10年間の有効期限が設定されており、水曜日に失効しました。数ヶ月にわたる公聴会、演説、書簡を通じて、トランプ政権関係者、議員、業界リーダー、サイバーセキュリティ専門家の間でほぼ普遍的な支持が示されていたにもかかわらず、議会はプログラムの再承認に失敗しました。

再承認の主な障害となったのは、上院国土安全保障委員会の委員長であるランド・ポール議員（共和党、ケンタッキー州）でした。彼は、CISAのオンライン上の誤情報・偽情報対策への新たな制限なしにはCISA 2015の再承認に反対し、プログラムを救うための取り組みを繰り返し阻止しました。下院は政府歳出法案にCISA 2015の再承認を含めましたが、民主党が共和党の歳出削減案に懸念を示し、法案を阻止しました。

今後の影響と懸念

法的保護がなくなったことで、企業の情報共有慣行がどのように変化するかは不透明です。一部の企業は政府への情報提供を制限する可能性があり、中には共有を完全に停止する企業もあるかもしれません。サイバー脅威アライアンスのマイケル・ダニエル会長は、「一部の企業は政府との共有活動を一時停止するだろう」と予測し、その多くは「各企業のリスク許容度に依存する」と付け加えました。

法律事務所Venableのサイバーセキュリティサービス担当マネージングディレクターであるアリ・シュワルツ氏は、「より多くの弁護士が関与し、特に新たな共有協定はすべて遅くなるだろう」と述べました。ソフトウェア業界団体BSAの政策担当シニアディレクターであるヘンリー・ヤング氏は、CISA 2015が集団的防御のための重要なツールであったと強調しました。「政府と業界の間に人為的なサイロが形成されることを許せば、米国の全体的なサイバーセキュリティ態勢にとって後退となるでしょう」と彼は述べました。

CISAへの影響

プログラムの失効は、CISAにも変化をもたらす可能性があります。CISAは先週議会への書簡で、CISA 2015が失効し、受け取る脅威指標が大幅に減少した場合、月額約100万ドルかかるリアルタイム脅威指標交換プラットフォームの運用を中止することを検討すると国土安全保障省の監察官に伝えています。

結論

主要なテクノロジー業界のリーダーたちは、CISA 2015の失効に満場一致で失望を表明しました。情報技術産業協議会の政策担当上級副社長であるジョン・ミラー氏は、「サイバーセキュリティコミュニティに重大な法的不確実性を生み出し、米国のサイバーセキュリティ態勢を弱め、政府と業界の利害関係者間の信頼構築における10年間の進歩を損なうだろう」と述べました。ミラー氏は、「唯一の保証は、攻撃者が、この法律の保護なしに、民間部門が情報共有に混乱やためらいを生じた場合に、それを利用する有利な立場にあるということだ」と警告しました。