CIRCIAとは何か?
国家基盤企業に、あらかじめ定められた時間内に情報セキュリティ事象や侵入未遂をCISAへ報告することを義務付けます。
バイデン大統領と米国政府は、米国の主要インフラ事業者に対する大規模なサイバー攻撃やロシアのウクライナ侵攻への懸念が高まる中、2022年3月にこの法律を制定しました。これは、バイデン大統領が国家の情報セキュリティ向上を指示した後に続くものです。
CISAは、報告を活用して各業界の攻撃傾向を分析し、被害を受けた企業や関係者への支援を行うための十分な時間を確保できます。つまり、全体的な目的は、サイバー脅威をより深く理解し、現代の情報セキュリティ状況におけるリスクを把握することにあります。
CIRCIAの遵守対象は誰か?
主要インフラに関わる「対象事業者」は、報告規定に従う必要があります。場合によっては、これら企業にサービスを提供する第三者業者にもCIRCIAの対応が求められることがあります。以下の分野に該当する公共機関および民間企業が、重要なインフラ事業者とみなされます:
- 生化学
- 商業施設
- メディア放送
- 総合製造
- ダム
- 国防産業基盤
- 緊急支援
- 電力
- フィンテック支援
- 食品・農業
- 政府サービス
- 医療・公衆衛生
- 人工知能
- 原子力
- 物流
- 上下水道施設
CIRCIAの登録条件
「対象サイバー事象」と「身代金支払い」は、報告義務に基づいて提出が求められる二種類の証拠です。
- 対象サイバー事象
たとえば、保険に加入している企業がサイバー事象を被った場合、契約関係者がネットワーク侵入と合理的に判断すると、3日以内にDHSおよびCISAへ報告する必要があります。
- 報告期限およびその開始時点については、議会内で激しい議論が交わされてきました。2021年7月に上院で提案された法案(S.2407)は、「サイバーセキュリティ侵入」および「可能性のある侵入」を確認後24時間以内に報告することを求めるものでした。一方、下院の別案(H.B. 5440)は、対象となる侵入を検証可能な事象に限定し、事象確認後72時間以内の通知を義務付けていました。
- 両者の中間をとる形で、CIRCIAは2022年10月に上院で提案された法案(S.2875)の文言を取り入れ、事象に対する合理的な疑いが生じた時点から72時間以内に通知することを規定しています。なお、CISAの規制策定過程では、通知開始時点についての議論が分かれると予想されます。
- 身代金支払い
対象事業者がランサムウェア攻撃により身代金を支払った場合、支払い後24時間以内にDHSおよびCISAへ通知しなければなりません。
- なお、CIRCIAはランサムウェアに起因する支払いのみの報告を求めています。そのため、他の種類のサイバー恐喝に対して行った支払い(例:不正なクラウドアカウントからのデータ取得後、データ公開を阻止するための支払いなど)は報告対象外です。
- CIRCIAでは、身代金が支払われた場合、たとえそのランサムウェア攻撃が対象サイバー事象に該当しなくても報告義務が生じる場合があります。たとえば、企業ネットワークの一部にのみ影響する攻撃は、法律上「重大な」事象と認められない可能性がありますが、支払いが行われた場合は、攻撃そのものではなく身代金支払いの記録が求められます。
報告事業者を守る
法律に基づく義務であれ自主的な対応であれ、DHSおよびCISAにサイバー事象や身代金支払いを報告する事業者は、CIRCIA法により手厚い保護が与えられます。特に:
- 収集された情報の利用は、サイバー攻撃やその他の重大な脅威(死亡、重傷、経済的被害、児童の性的搾取など)の調査や対策といった限定的な場合に留められます。
- DHSおよびCISAに報告されたサイバー事象や身代金支払いの情報は、共有前に個人が特定できない形に加工されます。
- 対象事業者の情報は、連邦、州、市、または部族レベルでの刑事、民事、行政、懲戒処分のいずれにおいても利用されることはありません。
- 報告事業者が情報を商業的、財務的、または専有情報として指定した場合、その情報は秘密として保持されます。
- 情報公開法(FOIA)により、特定の報告は公開の対象外となります。
- 当局への情報開示が、秘密の企業情報や弁護士・依頼者間の機密性を守る権利を損なうことはありません。
- CIRCIAに基づく情報提供が、いかなる裁判所においても訴訟の根拠となることはありません。
- CIRCIAに基づき提出された報告書や、そのために作成された資料は、証拠として認められたり、発見手続の対象となったり、その他司法・行政上の手続で使用されたりすることはありません。
CIRCIA法はいつ実施されるか?
CIRCIA 2022の詳細な要件についてはまだ調整中です。今後の重要なステップは:
- 2024年3月15日が、提案規則案(NPRM)の公表最終日です。すなわち、規則案の初稿完成後、NPRMは一般からの意見募集が可能な状態になります。それでも、ISAC、ISAO、または関係する政府機関との連絡がある場合、早めに意見を述べるよい機会となります。
2025年9月15日が、報告を規定する最終規則をCISAが策定する締切日であり、その後、実施が開始される予定です。一方で、国家インフラに対する重大な攻撃が発生した場合、議会がこのスケジュールを前倒しにするリスクも十分にあります。
CIRCIA法への準備
CISAは、重要インフラの所有者、運営者、その他の関係者から意見を集めるため、電話会議を開催し情報提供の要請を行う予定です。詳細は、CISAのウェブサイトにて順次公表されます。
CIRCIAの施行日はまだ確定していないため、企業は早急に準備を始める必要があります。以下は、今すぐに取り組める三つの活動です:
- 最新情報を把握する
規制策定に参加する関係者は、動向を常に把握することが望まれます。いつ、どのように意見を述べるか、また、実施スケジュールの変更や遅延についても注意が必要です。
- プロセスに参加する
提案された要件が過剰に感じられる場合は、早期に反対の意見を述べることが重要です。たとえば、攻撃からの復旧にあたりサーバーの再イメージが必要である一方、攻撃記録の保持も求められるといった問題が既に明らかになっています。策定段階では、関係者の意見が非常に大切です。
- サイバー攻撃を今日報告する
最終規則が公表されるまでは報告は任意となっています。可視性が低い状態での運営はリスクを伴うため、重要インフラの所有者や運営者は、CIRCIA施行前に自発的にサイバー事象の情報を提出することが推奨されます。不審なサイバー活動や事象は、report@cisa.gov 宛にメールで随時報告してください。
結論
2023年第2四半期に入っても、犯罪者や敵対的な政府の活動は衰える様子がなく、重要インフラに対する攻撃は深刻な危険を孕んでいます。これに対抗するためには、革新的で果敢な対策が必要です。この目的は、効果的な法律と強固な執行体制を備えた2022年のサイバー重要インフラ報告法によって大きく前進しました。
まずCISOは、規則や実施期限に関する議論や新たな展開を常に把握する必要があります。内部への通知体制、エスカレーション、証跡の収集計画を、CISOやインシデント対応者とともに早急に整備することが求められます。
なお、CIRCIAおよびCISAとその担当者は、規則策定に最大42ヶ月を要する場合でも、はるかに早い段階で施行に踏み切る可能性があるため、備えを万全にしておくことが重要です。
FAQ
参考資料
最新情報を購読
