CISAはロシアとウクライナの戦争に関連するリスクに重点を置いていたが、現在は中国を最も重要な国家レベルの脅威と見なしている。
この記事は会員限定です。会員登録すると全てご覧いただけます。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)はサイバー領域において、中国が米国にとって最大の敵対国となったことから、同国に関連する脅威活動に重点を置いている。
CISAのディレクターであるジェン・イースタリー氏は2023年10月4日(現地時間)に開催された「Secureworks Threat Intelligence Summit」で「中国は重要なインフラを積極的に標的としている」と述べた(注1)。
また、イースタリー氏は「中国に関連するサイバー攻撃者は、脅威アクター『Volt Typhoon』によるキャンペーンなどの重大な脅威活動に従事し(注2)、将来のサイバー攻撃に備えて既存のデジタルインフラ内に身を隠すための技術を磨いている」と話す。特に軍事的な紛争が発生した場合、鉄道輸送やエネルギー、石油およびガスパイプラインなどの重要な産業は深刻な脅威に直面する恐れがある。
「この脅威を認識していたとしても、インフラに潜むサイバー攻撃者を発見するのは難しいだろう。私たちのシステムやビジネス、ネットワークの強靭さを向上させる取り組みが必要だ」(イースタリー氏)
CISAは重要インフラの保護に重点を置いており、サイバーセキュリティや重要インフラのコミュニティーと連携して、より強力な情報共有と部門別の監視を推進するための数々の取り組みを迅速に進めている。
地政学的な観点から見ると、CISAはロシアとウクライナの戦争に関連する脅威に重点を置いた後(注3)、最近は中国に関連する脅威に目を向けている。
CISAは、2022年の重要インフラに関するサイバーインシデント報告法(以下、CIRCIA)に基づき、2024年3月までに提案規則の通知を公表する必要がある。この規則では、重要インフラのプロバイダーは重大なサイバーインシデントが発生した場合、72時間以内にCISAに通知しなければならない。
イースタリー氏は「この取り組みは順調に進行しており、サイバーインシデントの度に異なる連邦機関から同じ要求がなされないように、CISAはデータ収集を調整し、組織が過度な負担を受けないよう努力している(注4)」と述べる。
注意してほしいのは、このルールは悪意あるサイバー攻撃の標的にされた企業を困惑させたり、恥をかかせたりするためのものではないということだ。
「被害者を支援または保護し、被害情報を活用して他の潜在的な被害者に早期警告するための規則だ」(イースタリー氏)
CIRCIAの取り組みは(注5)、上場企業がインシデント対応計画とサイバーガバナンスを大幅にアップグレードしている時期に実施された。米国証券取引委員会は、サイバーインシデントが企業の財務状況に重大な影響を及ぼすかどうかを判断してから4日以内の報告を企業に義務付ける規則を制定し(注6)、2023年9月5日に施行した。
企業の取締役会や経営幹部は他の重大リスクと同様に、サイバーセキュリティを重大なビジネスリスクとして受け入れる必要がある。「格付け機関を含むビジネスコミュニティーの他の部門も、サイバーセキュリティリスクがビジネスにどのような影響を与えるかについて意見を述べるべきだ」とイースタリー氏は言った。
(注1)Global Threat Intelligence Summit 2023(Secureworks)
(注2)Broad campaign underway to access US critical infrastructure using small, home office devices(Cybersecurity Dive)
(注3)Ukraine tensions raise cyberthreats against US companies, critical infrastructure(Cybersecurity Dive)
(注4)Critical infrastructure providers ask CISA to place guardrails on reporting requirements(Cybersecurity Dive)
(注5)CISA director: Critical infrastructure cyber incident reporting rules almost ready(Cybersecurity Dive)
(注6)SEC cyber disclosure rules put CISO liability under the spotlight(Cybersecurity Dive)
© Industry Dive. All rights reserved.