新たなサイバーインシデント開示規則“CIRCIA”は事業者に何を求めるのか?Cybersecurity Dive

重要インフラプロバイダーに対して、高い影響力を持つと考えられる「2022年重要インフラに関するサイバーインシデント報告法」(CIRCIA)が18カ月以内に施行される。これはいつ施行され、事業体に何を求めるのか。CIRCIAの概要を解説する。

» 2024年04月20日 08時00分 公開
[Matt KapkoCybersecurity Dive]

この記事は会員限定です。会員登録すると全てご覧いただけます。

Cybersecurity Dive

 連邦政府は、より多くの組織にセキュリティインシデントを開示させるための取り組みを進めている。その取り組みの一つに、31万6000以上の米国の(電力やガス、鉄道、空港などの)重要インフラの所有者、運営者、供給者に対して、サイバー攻撃や身代金の支払いについて迅速に開示するよう強制する計画がある。

CIRCIAはいつ施行され、事業者に何を求めるのか? 重要な法律を学ぼう

 「2022年重要インフラに関するサイバーインシデント報告法」(以下、CIRCIA)は2022年3月に成立した。同法は、これまで十分に共有されていなかったサイバーインシデントの詳細を、米国全土もしくは各業界に共有するための大きな転換点になる。

 米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2024年3月25日(現地時間、以下同)の週に、447ページに及ぶ提案規則の初版を公開した(注1)。これは、2024年4月4日に連邦官報に掲載され(注2)、その後、パブリックコメントを受け付ける期間が60日設けられる。この規則は18カ月以内に施行される予定である。

 連邦政府や州政府、地方政府が定めたサイバーインシデント報告に関する規制はすでに数十に上り、米国内で活動するさまざまな事業体に適用されている。これらの取り組みはCIRCIAにつながるものだった。

 「CIRCIAが制定される前は、重要インフラ業界全体にわたるサイバーインシデントを理解するための包括的なアプローチを支援する法令や規制は存在しなかった。また、連邦政府および関係者との間で、サイバーインシデントに関連する情報の横断的な共有を調整するための部門や機関もなかった」(CISA)

 この規則には大きな期待が寄せられている。CISAが規則をどのように施行し、規則から引き出すデータの宝庫をどのように活用するかを含む、多くの疑問が未解決のままだ。「Cybersecurity Dive」は、CIRCIAが事業体に対していつ、何を開示するよう要求しているのかについて詳しく分析した。

CIRCIAの施行される時期と対象となる事業体とは

 CIRCIAは遅くとも2025年10月までに施行される予定だ。

 この規則は、CISAが以前に指定した16の重要インフラ業界のいずれかに属する組織に適用される(注3)。CISAは、CIRCIAの規制報告要件に該当する事業体に対する働きかけや教育キャンペーンを開始するとしている。

 CISAは、この規則が最大で31万6244の事業体を対象とし、11年間で21万525件報告書が提出されると見積もっている。この数には推定される追加の報告書や、同一組織からの複数の報告書も含まれる。

 CISAの見積もりでは、対象となる全事業体の3分の2の事業体から報告書が届く。

 CISAはCIRCIAに関連して11年間で、業界に14億ドル、連邦政府に12億ドルのコストが発生すると見込んでいる。

 この規則は重要インフラ業界に属する事業体が、米国小企業庁の小規模ビジネス規制で指定された小規模ビジネスの規模基準を上回る必要があることを明確にした(注4)。

 業界によって基準は異なるが、現在の基準では、従業員100人以上1500人以下、年間売上高275万ドル以上4700万ドル以下の組織を対象としている。

 業界基準を満たす事業体は、所属する業界に関する自らの認識に関係なく、この規則の適用対象となる。

報告書を提出する時期

 CISAによると、対象事業体は、報告の対象となるサイバーインシデントが発生したと合理的に考えられる時点から72時間以内に、CISAに対して、報告書を提出する必要がある。

 身代金の支払いに関する報告書は、身代金の支払いから24時間以内に提出しなければならない。

 サイバーインシデントが発生し、サイバーインシデントが発生したと判断してから72時間以内に身代金を支払った対象事業体は、72時間以内にCISAに、サイバーインシデントの発生と身代金の支払いについて同時に報告する書類を提出する。

開示する内容

 対象事業体は、CISAのWebサイトにある報告フォームを通じて、CIRCIAに関連する報告書を提出する必要がある。

 全ての報告書には、悪用された脆弱性、セキュリティ防御、攻撃において使用された戦術、技術、手順の説明をはじめとするインシデントの詳細が含まれなければならない。

 サイバーインシデントに関する追加情報、影響を受けたネットワークやシステムの機能、不正アクセス、侵害の兆候、インシデントに関連する日付、業務への影響などの技術的な詳細も含まれなければならない。

 身代金を支払った組織は、攻撃中に使用された悪意のあるソフトウェアの説明、攻撃に関与したと推定される各関係者の連絡先情報、身代金の支払い日を報告書に記載することが義務付けられている。

 その他の必要な情報には、身代金の支払額、使用された資産の種類、身代金の支払要求、指示、結果などが含まれる。

(注1)2024-06526.pdf(CISA)
(注2)Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA) Reporting Requirements(Federal Register)
(注3)Critical Infrastructure Sectors(CISA)
(注4)SBA Table of Size Standards(Small Business Administration)

© Industry Dive. All rights reserved.

注目のテーマ