US Cyber Security Chiefs Support Mandatory Incident Reporting
2021/10/01 CyberSecurityIntelligence — 米国政府のサイバーセキュリティ担当トップは、民間企業がハッキングを受けた際に報告することを義務付ける新しい法律の構想を支持した。Cybersecurity and Infrastructure Security Agency の Jen Easterly 長官は、上院国土安全保障委員会の公聴会で、「サイバー・インシデント報告法を制定する時期は、とっくに過ぎていることに、我々は強く同意する」と述べた。
この、米国のサイバー・セキュリティ施行機関の長官は、重要インフラの運営者にデータ漏洩の報告を義務付ける、超党派の法案を大いに支持しているという。Jen Easterly 長官は、上院国土安全保障/政府問題委員会が提出した、特定の民間企業および、連邦政府機関、政府請負業者対してに、サイバー攻撃を同庁に報告することを義務付ける法案案を支持すると述べた。この法案は、政府機関や重要産業を標的とした、大規模なサイバー攻撃が急増したことを受けたものでもある。
これらのハッキング事件により、バイデン政権に対して米国のサイバー防衛力を強化すべきという圧力がかけられ、企業が連邦政府と事件を共有することを義務付ける、連邦法の制定を求める声が高まった。同委員会の委員長であるミシガン州の民主党員 Gary Peters は Bloomberg に対して、公聴会での意見を取り入れ、数週間以内に法案を提出したいと述べている。
ランサムウェアを中心としたサイバー攻撃の増加は、重要インフラの 85% を所有/運営する民間企業に対して大きな打撃を与えている。その一方で、今週中に下院を通過する予定の国防権限付与法案にも、同様の法案が追加されている。Jen Easterly は、「連邦政府の資産対応の責任者である CISA が、サイバー・インシデントの情報を迅速に受け取るなら、他の潜在的な被害者を保護するための緊急分析と情報共有が早まる」と、委員会の公聴会に対して書面で証言している。義務化される報告書には、デジタル・サプライチェーンやランサムウェアによる攻撃も含まれるべきだと、Jen Easterly は述べている。
・Jen Easterly は、サイバー・インシデントの報告はタイムリーであるべきで、理想的には検知後24時間以内であると述べている。これは、報告に72時間の時間枠を提案している、共和党の法案とは対照的だ。
・また、Jen Easterly は、インシデントの報告は、種類や分野にとらわれず、幅広く行われるべきと述べている。
・司法省も参加し、重要インフラ事業者からの報告だけでなく、連邦政府機関や政府契約者からの報告を審査する、共同権限を持つべきである。
元 NSA 長官で、National Cyber Director に就任した Chris Inglis は、サイバー・インシデント報告は極めて有益であり、今後のサイバー攻撃の防止に役立つだろうと述べている。Easterly と Inglis の両氏は、サイバー攻撃の報告を怠った場合に、企業に罰金を科すことを、執行メカニズムとして支持すると述べた。しかし、Easterly は、共和党の法案で提案されている、召喚状を使った取締りのアイデアに対して懐疑的な見方を示しました。Easterly は、「私の個人的な見解は、他の潜在的な被害者を防ぐために必要な情報を、可能な限り迅速に共有できるようにするためには、召喚状は機敏なメカニズムではないということだ」と述べている。
サイバー被害に関する公的機関への報告の義務付けは、とても重要なことだと思います。ただし、時間的な制約があまりにも厳しいと、攻撃への対応に避ける時間が制限されるため、そのあたりのサジ加減が難しいところです。日本だと、デジタル庁の管轄になるのでしょうか? 具体的に、議論を進めてほしいところです。
IoT OT Security News 