単独の法案として議会を通過する可能性は低い、物議を醸しているサイバーセキュリティ法案を可決するために何をしますか?連邦政府の機能を維持するために、2,009 ページの必須可決予算案にそれを組み込んだのです。

これが、第 114 回議会が 2015 年 12 月に可決したオムニバス支出法案に 2015 年のサイバーセキュリティ情報共有法 (CISA) を盛り込み、休暇直前に法案に署名するようバラク・オバマ大統領に送付した際にとったアプローチです。

この法律は、国家情報長官、司法長官、国土安全保障・国防長官に対し、連邦政府、地方自治体、州政府、民間企業の間で「機密扱いのサイバー脅威指標と防御策のタイムリーな共有」を促進し促進するための手順を作成し発行する任務を負っている。

脅威指標はさまざまな種類の情報を指しますが、システムに不正にアクセスして危害を及ぼすために使用されるサイバー活動を説明または特定するために必要なほぼすべての情報に適用できます。 

個人を特定できる情報が意図的または偶然に共有されることを防ぐために、法律には、特定の個人を識別するために使用される可能性のある情報を共有前にサイバー脅威指標から削除することを義務付ける条項が含まれています。

民間企業がこの自発的な共有プログラムに参加することを奨励するために、法律は、サイバー攻撃に対抗するためにシステムを通じて共有される情報について企業が責任を問われたり、訴追されたりしないことを明確にしています。

CISAの進捗状況を把握するため、下院国土安全保障委員会委員長のマイケル・マッコール下院議員（共和党、テキサス州）はブルームバーグのコラムに、同委員会にサイバーセキュリティ情報共有における米国土安全保障省（DHS）の役割に関する監視公聴会を定期的に開催させる計画だと述べた。 

これらの公聴会は「これらの当局の効果的な実施を確実にし、アメリカ人のプライバシーと市民的自由が適切に保護されることを保証するために」企画されるとマッコール氏は論説で説明した。 

Venable LLP のサイバーセキュリティ業務責任者である James Barnett 氏は、CISA の通過は企業にとってサイバー脅威指標を他の企業や政府と共有するための大きな前進となるため、大きな前進であると述べています。 

「国家安全保障局の国家脅威作戦センターの元所長は、インターネット上で攻撃が発生しているのを確認できたのに、法律の制限によりその情報を共有できなかったことに非常にイライラしていると語った」と連邦通信委員会の公安および国土安全保障の元責任者であるバーネット氏は説明する。 「企業が政府と情報を共有したり、その逆を行ったりできる方法があるのは良いことです。」

しかし、サイバー脅威指標の共有は新しいことではなく、そもそもなぜ法律を可決する必要があるのか疑問を抱く専門家もいます。たとえば、シスコのインシデント対応および脅威管理実務担当ディレクターであるショーン・メイソン氏は、この法案は新境地を開拓するものではないと述べています。

「正直に言うと、このようなプログラムが何年も前から実施されているのに、なぜこの法案を強行採決する必要があったのか、今でも不思議に思っています」とメイソン氏は言う。 「賠償責任補償は受けられます…でも、これは刑務所から出所できるカードではありません…事件の発生を防ぐことはできません。」

情報共有分析センター (ISAC) は、ビル クリントン大統領が米国の重要なインフラを保護するために、官民セクターがパートナーシップを構築して物理的およびサイバー上の脅威、脆弱性、イベントに関する情報を共有することを求める指令に署名した 1998 年以来存在しています。

現在、重要インフラには 14 の ISAC があり、最も成功しているものの 1 つは、1999 年に設立され、米国財務省が後援する金融サービス ISAC (FS-ISAC) です。 

「世界中の金融サービス情報共有分析センターのメンバーは、物理的およびサイバーセキュリティの脅威から重要なシステムと資産を保護するために特別に設計されたタイムリーな通知と信頼できる情報を受け取ります」とそのウェブサイトには記載されています。 

これらの ISAC の一部の歴史を考慮すると、Veracode の最高技術責任者兼 CISO である Chris Wysopal 氏も、民間企業が新しいサイバーセキュリティ情報共有ネットワークに参加するかどうかには疑問を抱いています。

「これは任意です。では、どのようにして企業にそうするよう奨励するのでしょうか? たとえば、私が金融サービス会社で、すでに他のすべての銀行と共有している場合、本質的に DHS と共有する動機は何でしょうか?」ワイソーパルが尋ねます。

テクノロジー企業も、ベータ版であり、Pinterest、Tumblr、Facebook、Yahoo!、Dropbox で使用されている Facebook の ThreatExchange プラットフォームを使用して、多くの企業と情報を共有する独自のアプローチをとっています。 

「私がテクノロジー企業だったら、DHS と情報を共有する前に、それを試してみたいと思うでしょう」と Wysopal 氏は付け加えました。

そして、企業が政府の情報共有ネットワークに参加することを選択した場合、効果的に情報を共有するには障害が生じる可能性があるとメイソン氏は言います。

「民間企業にとって、その情報を実際に取り込み、その情報を利用し、そこから学び、それらの指標を取得し、タイムリーに送信するチームを民間企業内に構築し、最終的には政府を本質的に情報交換所として機能させ、その情報を非常に迅速かつ自動化された方法で取得して広めるのは、継続的な苦労でした」とメイソン氏は説明する。 

CISA が機能するためには、政府がサイバーセキュリティ情報を共有するための自動ポータルを作成する必要があるのはこのためです、と ThreatMatrix 最高技術責任者兼エンジニアリング担当上級副社長の Andreas Baumhof 氏は述べています。

「CISA の本質は素晴らしいですが、すべてが非常に迅速に行われるため、この情報は完全に自動化された方法で共有される必要があります」とバウムホフ氏は言います。 「どこかに人間がいたとしたら、もう手遅れということだ」

情報共有を妨げる可能性があるもう1つの問題は、民間部門の労働者が参加するために機密保持許可が必要かどうかです。 

許可を取得するプロセスには時間がかかり、問題が発生する可能性があります。 2015 年 (ISC)² 世界情報セキュリティ労働力調査によると、情報セキュリティ労働者はすでに不足しており、2020 年までに 150 万人に達すると予想されています。 

「そして、許可を持っている人、または外出して許可を取得できる人に限定すると、すでに抱えている問題を埋めたり修正したりするのが10倍難しくなります。」とメイソン氏は説明します。

その問題に関連するのは、機密指標と機密情報を活用する問題です。メイソン氏は、民間企業が機密レベルや最高機密の情報を取得して侵害を検出するために使用することはできないと指摘しています。 

「そしてまた、政府は既に過剰機密扱いにする傾向があるという概念もありますが、現実には必ずしもその情報を取得して、許可されていない人々や機密レベルにないツールを使用してその情報を使用することはできません。世の中のほとんどの企業を考えてみると、そのように運営していないだけです」とメイソン氏は言います。

また、脅威の指標と考えられるデータの共有に関してプライバシー保護が欠如していると思われることも懸念されます。バウムホフ氏によれば、米国外の個人にとっては、米国政府が自分の個人データにアクセスすることを懸念しているため、特に憂慮すべきことだという。

「ヨーロッパ諸国は、特に誰かが侵入してそのデータにアクセスすることに対する保護が見られない場合、多くのデータを米国と共有することにあまり抵抗を感じています」と彼は付け加えた。 

ジェームズ・クラッパー国家情報長官は、民間企業と連邦政府がサイバーセキュリティ脅威指標を共有するために使用する手順を2月18日までに概説し、自動化の問題に対処する必要があった。 

ロレッタ・リンチ司法長官とジェ・ジョンソンDHS長官は、連邦政府とのサイバーセキュリティ情報共有に関する最終的な方針と手順を5月中旬までに公表する必要がある。ただし、Security Management の記事執筆時点では、その情報は入手できませんでした。

マッコール氏はサイバー情報共有に関する公聴会を開催する予定だが、情報共有を超えた国のサイバーセキュリティを強化する他の方法も検討する予定だ。 

「今年、私はまた、州および地方のサイバー防御を強化し、民間団体にサイバーリスクをより効果的に管理するためのインセンティブを提供し、デジタル時代におけるサイバー捜査の実施方法を改善することにより、サイバー態勢を強化する取り組みを主導する」とマッコール氏は書いた。 

規制なしで民間部門にサイバーセキュリティを強化させる方法を模索する議会のこのアプローチは正しいものだとバーネット氏は言う。 

民間部門により良いサイバーセキュリティ慣行を採用してもらうために、議会は企業がシステムを改善し、国立標準技術研究所 (NIST) のサイバーセキュリティ フレームワークを導入し、サイバーセキュリティ保険に加入できるように税制上の優遇措置を提供すべきであるとバーネット氏は述べています。

サイバーセキュリティ保険に加入することは、「企業の競争力を高める効果があるため、特に重要です。保険会社が企業の安全性を高める制度を導入し、必要なシステムやサービスを提供してくれるからです」とバーネット氏は言います。 「そして、それは中堅以下の企業にとって非常に重要だと思います。」

次の選挙の年に第 114 回議会で何らかの法案を可決するのは難しいかもしれないが、バーネット氏はサイバーセキュリティ強化に対する税制上の優遇措置については楽観的であると述べています。 

「税制改革にはかなりの関心が寄せられているようで、税率の引き下げについても議論されているため、今後数年間でこれを実行する絶好の機会が訪れるでしょう。」と彼は付け加えた。 「そこでツーファーを導入してはどうでしょうか? 企業に何らかの減税や奨励を与えるつもりなら、『サイバーセキュリティに関して何らかの取り組みをすれば、この減税の恩恵を受けられる』という範囲で与えてはどうでしょうか?」

ワイソーパルは、サイバー保険によって企業の活動の透明性が高まると考えていると述べています。これらの企業が侵害されても、データが適切に保護されている場合、損害賠償責任を軽減できます。

「これは、政府が開示以外の規制をすることなく、市場が企業にサイバーセキュリティの水準を上げるよう強制できる方法だと思います。」と彼は説明します。

状況を変える可能性がある彼が支持する法案の 1 つは、2015 年サイバーセキュリティ開示法 (S. 2410) です。これにより、証券取引委員会に報告する企業は、取締役会やゼネラルパートナーなどの統治機関のメンバーがサイバーセキュリティに関する専門知識や経験を持っているかどうかを開示することが義務付けられる。

経験は NIST と連携して定義され、専門資格やサイバーセキュリティの脅威の検出、防止、軽減、または対処の経験が含まれる場合があります。

法案によると、統治機関にサイバーセキュリティの経験のある人がいない場合、その企業は統治機関の候補者を特定し評価する責任を負う個人によって「報告企業が講じた他のサイバーセキュリティ措置が考慮されたかを説明する」ことが求められる。

ジャック・リード上院議員(民主党-RI)は12月にこの法案を提出し、共同提案者はスーザン・コリンズ上院議員(共和党-メイン州)の1人である。しかし、この法案は提出以来進展していない。