サイバーセキュリティの状況を大きく前進させた法律の失効が迫る：Cybersecurity Dive

2015年に制定された「サイバーセキュリティ情報共有法」は、2025年9月に期限切れを迎える予定だ。この法律は「状況を大きく前進させた」と評価されている。

[Elizabeth Montalbano，Cybersecurity Dive]

　2025年4月16日（現地時間、以下同）、米国連邦議会の超党派の議員2人が、民間企業と連邦政府の間でサイバー脅威データを共有できる状況を維持する法案を提出した。

セキュリティを前進させた「サイバーセキュリティ情報共有法」

　米上院議員のゲイリー・ピーターズ氏（民主党・ミシガン州）とマイク・ラウンズ氏（共和党・サウスダコタ州）が提出した「サイバーセキュリティ情報共有延長法案」は、2015年に制定され、2025年9月に期限切れとなる予定の「サイバーセキュリティ情報共有法」を延長するものだ（注1）。この法律は、現在進行中のサイバー脅威に関する情報を民間企業と連邦政府の間で共有することを促進する内容で、サイバーセキュリティに影響を与えてきた数少ない立法措置の一つであると、セキュリティ専門家たちに評価されている。

　この法律は、ソフトウェアの脆弱（ぜいじゃく）性やマルウェア、悪質なIPアドレスといったサイバー脅威に関する指標を、国土安全保障省（DHS）に対して自発的に共有するインセンティブを企業に与えている。この法律に基づいて情報を共有した企業は連邦の独占禁止法の適用除外や、州および連邦の情報開示法による責任追及の免除などの法的な保護を受けられる。これが企業の協力を後押ししている。

　サイバーセキュリティ領域におけるレジリエンステクノロジー企業であるDeepwatchのチャド・クレイグル氏（最高情報セキュリティ責任者）は「Cybersecurity Dive」の取材に対して電子メールで次のように語った。

　「防御側の立場から見ると、『サイバーセキュリティ情報共有法』は、実際に状況を前進させた数少ない立法の1つだった。この法律によって、業界は脅威インテリジェンスを迅速かつ直接的に、そして法務部門の顔色をうかがうことなく共有できるという法的な明確性を得られた」

　この法律は、政府機関やMicrosoftなどの民間企業に影響を与えたSolarWindsへの攻撃を含む主要なサイバーセキュリティインシデントの調査において、重要な役割を果たしてきた。重要インフラの所有者や運用者の脅威情報の共有を支援する組織「情報共有・分析センター（ISACs）」の活動もサポートしている（注2）。

　クラウドソーシング型のサイバーセキュリティ企業であるBugcrowdのケイシー・エリス氏（創業者）は、次のように述べた。

　「サイバーセキュリティはチームスポーツである。敵対的な動きが強まる世界情勢の中で、この考え方の重要性はこれまで以上に明らかになっている。『サイバーセキュリティ情報共有法』は、安全に情報を共有するための枠組みを提供し、米国を拠点とするISACsを支える官民連携の情報共有の基盤となっている」

法律の期限の延長を強く求める声

　それぞれの声明の中で、両上院議員はこの法律による保護を維持する重要性を強調した。特に現在のサイバーセキュリティ情勢においては、公共機関と民間企業の両方が、国家から支援を受ける悪質な攻撃者などによる絶え間ない脅威に直面しており、この法律の必要性は一層高まっている。

　「サイバーセキュリティの脅威がますます高度化する中で、情報共有は単に有益であるだけでなく、国家の安全保障にとって不可欠なものだ」（ピーターズ氏）

　ラウンズ氏は「『サイバーセキュリティ情報共有法』を失効させることは、米国のサイバーセキュリティ体制を著しく弱体化させることにつながる」と述べた。

　同時にクレイグル氏は新たな法案について、2015年の法律が策定されて以来進化してきた脅威の状況を十分に考慮したものであるべきであり、新しい要素を加えない「形だけの延長」になってはならないと指摘している。

　「これは法律を微調整する好機だ。法の核心的な強みを維持しつつ、現代のプライバシーへの期待やサプライチェーンの現実、運用の複雑性を反映させることが重要である。うまく対応するためには機能している部分を土台にしながら、変化した状況に適応することが求められる」（クレイグル氏）

（注1）CYBERSECURITY INFORMATION SHARING（CISA）
（注2）Critical infrastructure providers ask CISA to place guardrails on reporting requirements（Cybersecurity Dive）

原文へのリンク