米政府の新たなスタンス:インシデントを隠蔽する請負業者は責任を負うべき

U.S. govt to sue contractors who hide breach incidents

2021/10/06 BleepingComputer — 今日、米国司法省が発表した新しい「民事サイバー詐欺イニシアチブ:Civil Cyber-Fraud Initiative」によると、政府機関の協力者が情報漏洩を報告しない場合や、必要なサイバー・セキュリティ基準を満たさない場合、民事裁判で責任を負うことになる。このイニシアチブは、連邦政府機関の協力者から発生する、機密情報や重要システムへのデジタル脅威に、対抗するために必要な影響力を司法省に与えるものだ。

防御力の強化

Lisa O. Monaco 副検事総長によると、今回の取り組みにより、情報漏えいインシデントに関する隠蔽や、サイバー・セキュリティ基準への非対応により、政府機関の協力者を司法省が追及できるようになる。同氏は、「今日から変わる。本日、発表するのは、連邦資金を受け取っている政府契約者である企業が、要求されているサイバー・セキュリティ基準に従わなかった場合に、民事執行手段を用いて追及するということだ」と述べている。

この、民事部門が主導する取り組みは、故意に虚偽の請求を政府に提出した者に責任を負わせる、虚偽請求法 (FCA : False Claims Act) を利用する。FCA は、故意に虚偽の請求を政府に提出した者に責任を負わせる法律であり、同法の内部告発規定により、民間人の不正行為を特定し、追及することができる。内部告発者は保護を受け、回収された資金の大部分を受け取ることができる。Civil Cyber-Fraud Initiative は、外部パートナーのサイバー・セキュリティ対策の不備による、政府ネットワークへの侵入のリスクを、最小化することを目的としている。

米国司法省は「このイニシアチブにより、欠陥のあるサイバー・セキュリティのプロダクト/サービスを故意に提供した場合や、サイバー・セキュリティの実装やプロトコルを故意に偽る場合、サイバー・セキュリティ・インシデントを隠蔽する場合に、米国の情報やシステムを危険にさらす行為であるとし、対象となる事業体や個人に対して責任を追及する」と声明を発している。

この取り組みにより期待される効果は、民間/公共の情報システム・セキュリティの向上から、全体的なサイバー・セキュリティの改善に至るまで、多岐にわたる。

・政府/公共部門/主要産業パートナーを対象とした、サイバー・セキュリティへの侵害に対する幅広い回復力の構築。
・政府の情報やインフラを保護するために、請負業者や助成団体に約束を守らせる。
・一般的に使用されている情報技術製品およびサービスの脆弱性に対するパッチを、タイムリーに特定/作成/公開するための、政府専門家の支援。
・規則に従い、サイバー・セキュリティ要件を満たすために投資する企業が、競争上不利にならないようにする。
・サイバー・セキュリティの義務を果たせない企業は、政府と納税者に対して損失を補償する。
・政府/民間ユーザー/アメリカ国民に利益をもたらす、サイバー・セキュリティの全体的な慣行の改善

サイバー侵害というインシデントは、組織にとって極めてネガティブな出来事だけに、隠蔽という現象が起こりがちです。しかし、それは間違った対応であり、被害や攻撃の実態を把握するためにも、公的機関への報告は不可欠です。この数年のトレンドを見ていれば、不運だったとしか言いようのないインシデントがたくさんあります。その反対に、大半の組織は被害に遭わず、とても幸運だったとも言えるわけです。そして、被害にあえば、顧客の保護という面も含めて、たいへんな負担が生じるので、黙って処理するという過ちが起こるのでしょう。この発表は、あくまでも、「連邦資金を受け取っている政府契約者である企業」が対象ですが、もっと広がっていくことも予測されます。

%d bloggers like this: