「サイバーインシデント報告法」を巡る議論は加速 重要インフラらから反論の声：Cybersecurity Dive

重要インフラ関係者は連邦政府当局に対して、対象となるサイバーインシデントが発生してから72時間以内に必要とされる詳細について、より柔軟に対応するよう求めた。

[David Jones，Cybersecurity Dive]

　（電力やガス、鉄道、空港などの）重要インフラプロバイダーは、米国サイバーセキュリティ・インフラストラクチャ・セキュリティ庁（以下、CISA）に対して、新たなインシデント報告要件にガイドラインを設けるよう最後の働きかけを実施している。

「サイバーインシデント報告法」を巡る議論は加速　重要インフラら反論

　2025年に施行される「重要インフラ向けサイバーインシデント報告法（CIRCIA）」は、対象となる重要インフラプロバイダーに対し、重大なセキュリティ侵害や攻撃が発生してから72時間以内に報告することを義務付けている。また、これらの事業者は、ランサムウェアに関する支払いについて24時間以内に報告しなければならない。

　2024年7月3日（現地時間、以下同）まで延長されたパブリックコメント期間中に、この規則案に反対する重要インフラプロバイダーは、義務化を最も重大なセキュリティ脅威が発生した場合に限定し、セキュリティチームが正確に評価するための十分な時間を確保できるように求めている。

　業界のCEOや上級幹部からなる超党派のグループであるTechNetは（注1）、CISAに対して、どのような企業が対象となるのか、どのようなサイバーセキュリティインシデントが開示の対象となるのかを慎重に検討するよう求めた。同グループは、インシデントを正確に開示するためにプロバイダーが十分な時間を確保できるようにすることを望んでいる。

　TechNetは「プロバイダーによっては、組織において重要な機能を稼働させている場合もあるが、組織の全ての部分が重要と見なされるべきではない」と懸念している。

　米国の天然ガス業界を代表する業界団体であるAmerican Gas Association（以下、AGA）は、American Petroleum Instituteを含む他のエネルギー団体と協力して（注2）、CIRCIAについて同様の懸念を表明した。最も重要な問題点として、AGAはCISAに対し、インシデント対応チームが侵害や攻撃に完全に対応できるように、最初の72時間に実施すべき初期的な報告の範囲を制限するように求めた。

　AGAのキンバリー・デンボウ氏（セキュリティおよび運用を担当するバイスプレジデント）は、声明で次のように述べている。

　「私たちの重要なシステムを危険にさらすサイバーインシデントを実際に確認するまでの最初の数時間は非常に重要なものだ。私たちのコメントは、報告要件が連邦政府のニーズを満たした上で、私たちの緩和策や活動を妨げないようにすることに重点を置いている」

　米国の病院や医療機関を代表する業界団体であるAmerican Hospital Association（以下、AHA）は「これらの要件は、他の連邦機関が医療制度に課している要件と多くの点で重複している」と述べた（注3）。

　AHAは、医療提供者がWebポータルを通じてサイバーインシデントに関する統一された報告書を提出できるようにするための調整を求めている。また、AHAは、100床未満の小規模病院に対する義務の免除を求めている。

（注1）The Honorable Jen Easterly Director Cybersecurity and Infrastructure Security Agency Department of Homeland Security Washington, D.C. 20528（TECHNET）
（注2）Before the Cybersecurity and Infrastructure Security Agency Department of Homeland Security Capitol Heights, MD 20743（AGA）
（注3）AHA Responds to CISA Proposed Rule on Cyber Incident Reporting Requirements（American Hospital Association）

原文へのリンク