サイバー攻撃報告義務、DHSが新規則を発表

Last Updated on 2024-03-28 08:28 by 荒木 啓介

アメリカ国土安全保障省（DHS）は、重要インフラ組織が連邦政府にサイバーインシデントを報告する方法に関する提案された規則を発表した。この報告プロセスは、サイバーインシデント報告法（CIRCIA）の規定により、サイバーセキュリティ・インフラセキュリティ庁（CISA）が監督する。提案された規則は4月4日に正式に公開される予定である。CIRCIAは2022年3月に法律として成立し、サイバー攻撃に対する被害者支援やリソースの迅速な展開を目的としている。CISAは、対象となるエンティティに対して、カバーされたサイバーインシデントと身代金支払いの報告要件を実施する規制を制定することが求められている。447ページの文書の公式リリースにより、提案された規則の内容や管理方法などに関する公開コメントが求められる。GuidePoint SecurityのOTセキュリティストラテジストであるChris Warnerは、この種の政策立案には特定の課題が伴うものの、私企業にとって重要な利点があると指摘している。攻撃の報告を72時間以内、身代金の支払いを24時間以内に行うことが義務付けられることで、これらの事件が報告されるようになる可能性がある。

【ニュース解説】

アメリカ国土安全保障省（DHS）が、重要インフラ組織が連邦政府にサイバーインシデントを報告するための新しい提案された規則を発表しました。この報告プロセスは、サイバーセキュリティ・インフラセキュリティ庁（CISA）によって監督され、サイバーインシデント報告法（CIRCIA）の規定に基づいています。CIRCIAは2022年3月に法律として成立し、サイバー攻撃に迅速に対応し、被害者を支援することを目的としています。提案された規則は、攻撃の報告を72時間以内、身代金の支払いを24時間以内に行うことを義務付ける内容を含んでいます。

この提案された規則は、サイバーセキュリティの強化と迅速な対応を促進することを目的としています。サイバー攻撃は、重要インフラに対して深刻な脅威をもたらし、国の安全保障や経済に影響を与える可能性があります。このため、攻撃が発生した際には、迅速な報告と対応が不可欠です。

提案された規則により、サイバー攻撃の発生がより迅速に特定され、対応が行われるようになります。これにより、攻撃の影響を最小限に抑え、被害の拡大を防ぐことが可能になります。また、身代金の支払いに関する報告義務も、身代金要求型攻撃（ランサムウェア）のトレンドを理解し、これに対する対策を講じる上で重要な情報を提供します。

しかし、このような報告義務には、企業にとっての課題も伴います。特に、報告期限の厳格さは、適切な情報を収集し報告するためのプレッシャーを増加させる可能性があります。また、セキュリティインシデントの詳細を公開することによるプライバシーや企業秘密の保護も懸念されます。

長期的には、この規則がサイバーセキュリティの標準を高め、企業や政府がより協力的にサイバー脅威に対処する文化を促進することが期待されます。また、サイバー攻撃に関するデータの蓄積は、将来の攻撃を予防し、より効果的な対策を開発するための貴重な資源となるでしょう。

規制の導入は、サイバーセキュリティの強化に向けた重要な一歩ですが、実施にあたっては、企業の負担を考慮した柔軟なアプローチが求められます。また、国際的な協力と情報共有の強化も、グローバルなサイバー脅威に効果的に対抗するために不可欠です。

from DHS Proposes Critical Infrastructure Reporting Rules.