迫るCISA法の失効 再承認しないことでのリスクについて学ぼう:Cybersecurity Dive
GoogleやMicrosoft、Trend Micro、Bugcrowdなどで構成されたHacking Policy CouncilはCISA法の失効が企業に少なからずセキュリティリスクを生じさせるとして、再承認を訴えている。
主要なテクノロジー企業によって形成されたグループである「Hacking Policy Council」は2025年7月7日(現地時間、以下同)に、議会に対して「サイバーセキュリティ情報共有法(CISA法)が2025年10月に失効する前に、再承認する必要がある」と訴えた。
揺れるCISA法の継続 失効によってどのようなリスクが生まれるのか?
Hacking Policy Councilは、下院および上院の国土安全保障委員会のリーダーに宛てた書簡の中で、次のように述べた(注1)。
「2015年に制定されたCISA法は、インシデントが発生する前にネットワークを保護するための実用的な脅威情報の迅速な共有に加え、サイバーインシデントに連携して対応できる体制を整えることで、複数の分野にわたる状況認識を向上させてきた」
Hacking Policy Councilには、GoogleやMicrosoft、Intelといった大手テクノロジー企業に加えて、Trend Micro、バグ情報に報奨金を提供するプラットフォームを運営するBugcrowdやHackerOne、セキュリティプラットフォームを運営するIntigritiなどが加盟している。同グループは、脆弱(ぜいじゃく)性管理およびセキュリティ研究、ペネトレーションテストを改善するための政策を推進している(注2)。
脅威情報を共有する企業に法的保護を提供するCISA法は、2025年9月30日に失効する予定だ。議会では同法の更新に対して党の垣根を超えた支持がなされているが(注3)、幾つかの懸念がその行方を複雑にする可能性がある。例えば、議員の中に制度の変更を求める者が現れるかどうか、また再承認が他の重要法案に組み込まれるのか、それとも単独で審議されるのかといった点だ。
Hacking Policy Councilのメンバーは議員に対し、「CISA法の保護により、企業は法的なトラブルや行動に対する不明確さを心配せずに、機密性の高い情報を迅速に共有する自信を持てる」と説明した。さらに、「同法が失効すれば、私たち全体のサイバーセキュリティ体制を強化してきた10年以上の進歩が影響を受ける。なぜなら、企業が脆弱性の報告をためらうようになり、結果として民間企業や政府のネットワークが攻撃にさらされる恐れがあるためだ」と警告した。
CISA法の再承認を議会に求めたグループは、Hacking Policy Council以外にも存在する。2025年5月には、ほぼ全ての(電力やガス、鉄道、空港などの)重要インフラ業界を代表する52の団体からなるグループが議会に対し(注4)、「CISA法は米国のサイバーセキュリティの要だ」と訴えた。その他にも多くのサイバー制作の専門家が、再承認を求める声を上げている(注5)。
トランプ政権もCISA法への支持を表明している。2025年4月に開催されたカンファレンス「RSA」の中で、国土安全保障省のクリスティ・ノーム氏(長官)は「情報共有プログラムは、サイバーセキュリティの役割を政府から民間企業へと移行する政府の戦略の一環である」と述べた(注6)。
(注1)Hacking Policy Council letter of support for CISA 2015(DocumentCloud)
(注2)Hacking Policy Council(Center for Cybersecurity Policy and Law)
(注3)Hearing shows broad support for extension of cyber info-sharing law(Cybersecurity Dive)
(注4)Congress faces pressure to renew cyber information-sharing law(Cybersecurity Dive)
(注5)The Clock’s Ticking: Why CISA 2015 Must Be Renewed Now(Center for Cybersecurity Policy and Law)
(注6)Noem calls for reauthorization of cyberthreat information sharing law during RSA keynote(The Record from Recorded Future News)
© Industry Dive. All rights reserved.
関連記事
セキュリティ軽視でIPO延期…… そのとき情シスは何ができたのか?
セキュリティ対策が進まない真因には、投資や人材不足、部門の地位向上など「政治力」の不足で生じる問題が多々存在します。この連載は情シスやセキュリティ部門が従来のコストセンターを脱して価値を発揮するためのアドバイスをお伝えします。
ChatGPTにマルウェアを作らせる意外な方法 "没入型"の演出でAIを騙す
生成AIのガードレールを突破するテクニック“ジェイルブレーク”(脱獄)はさまざまな手法が登場している。あるセキュリティ企業が開発した奇妙な脱獄手法「イマーシブルワールド」はChatGPTにマルウェアを作らせた。その中身を紹介しよう。
QRコードはもう止めて…… 筆者が「これはいけるかも?」と思う代替策
QRコードを悪用したフィッシング「クイッシング」は遷移先のWebサイトなどを目視で判別できず、不正対策が難しいものです。そこで筆者が考えるQRコードに代わる新たな代替策とは。
AIに「ゲームしよう」 プロダクトキーを盗む魔法のプロンプト
0DIN.aiは、AIモデルの情報漏えい防止機構を回避する手法を報告した。AIとのやりとりをゲームとして提示し、HTMLタグで語句を難読化することでプロダクトキーを出力させることに成功したという。この手法を応用すれば複数の事例に悪用できる。