CISA が取り組むサイバー・インシデント・レポート:事業者に対する義務の強化と人員の増強

New tech, personnel will help CISA with coming rush of cyber incident reports

2024/07/30 NextGov — 7月30日 (火) に GAO (Government Accountability Office) が発表した報告書によると、CISA (Cybersecurity and Infrastructure Security Agency) は、今後に殺到するだろうサイバー・インシデント報告に対処するために、技術や人員の追加を検討しているという。米政府による監査は、Department of Homeland Security (DHS) と CISA が、Critical Infrastructure Act of 2022 (CIRCIA) で定められた新要件に対して、どのように遵守しているかを調査するものだ。この法律により、サイバー・セキュリティ・インシデントとランサムウェア攻撃を、特定された期限内に CISA に報告することが、重要インフラ・プロバイダーに対して義務付けられる。


2024年4月に CISA は、Cyber Incident Reporting Rule を発表し、サイバー・インシデントに関しては 72時間以内に、ランサムウェア攻撃に関しては 24時間以内に、同機関に開示/報告するよう対象事業者に求めている。

CISA のレポートには、「一連の報告書にアクセスすることで、当局は迅速にリソースを配置し、傾向を分析することに加えて、将来のサイバーインシデントを防止/軽減する上で有用と思われる情報を共有できる 」と記されている。

CIRCIA 法に基づき、GAO は CISA の要求事項を検討し、その条項に対する遵守の達成度を判断するよう指示した。同監視団は、CISA が特定した 59件の具体的な義務のうち、2024年3月までに制定を義務付けられていた、13件のサイバー・インシデント報告要件は全て実施に成功したと述べている。また、残りの 46要件は、2025年に実施されることになっている。

その一方で、CISA が CIRCIA を完全に実施するには、さまざまな課題を乗り越える必要があると、この報告書は指摘している。具体的に言うと、殺到する新しいインシデント報告の受け入れと分析に加えて、連邦政府のパートナーとレポートを共有するための、より効率的な方法の促進などが含まれるようだ。

GAO は、「CISA が予想しているのは、短期間のうちに検討/対処することが要求される、義務的報告および自発的報告の数の増加である。それらのサイバー・インシデントのレビュー要件を効果的に処理だけの、十分なテクノロジーとスタッフが、CISA には不足している」と述べている。

その一方で CISA は、「サイバー・インシデント報告を受け付けるための、インシデント報告ポータルや、統一されたチケット・システムなどの、統合ツールの開発を取り込んだ、新しい技術ソリューションの導入に取り組んでいる」と述べている。

CISA は GAO に対して、「必要なスタッフ全員を雇用するよりも、完成までに数年を要すると思われる重要な技術プロジェクトを、既存の資金の中で優先している。さらに、サイバー・インシデント・レポートの受け入れを、来年から開始する前に、その取り扱いを担当する、新たな人員を雇用する予定である」と付け加えている。

それらに加えて CISA は、インシデント・レポートの処理とレビューに役立つ、さらなる技術の近代化の構想も持ち出しているが、予算により制限されていると述べている。

現時点において CISA は、DHS 全体でサイバー・インシデント・レポートを、手動のプロセスを通じて共有している。したがって、自動化されたメカニズムを採用することで、レポートの配布/受領に伴うプレッシャーを軽減できる可能性があるとしている。ただし、このようなツールの導入は、DHS の予算配分に計上されていない新技術のプロジェクトと見なされるため、現状では困難だと、CISA は指摘している。

GAO によると、CISA における取り組みは技術的能力の向上に加えて、サイバー・インシデント・レポートの定義/期限/内容/各省庁への提出方法などにまで及び、要件における矛盾や重複を最小限に抑えることも含まれるという。

CISA は、「レポート要件を調和させ、潜在的な対象事業体の負担を軽減するための、最終規則の策定と実施を推進しながら、連邦政府のパートナーとの関与を継続する」と述べている。

米国内で発生するインシデントとランサムウェアに関する報告が、すべて CISA に集約され、その中で共有すべきと判断された情報が、CISA KEV のように公開されると良いですね。 さまざまなセキュリティー関連企業が、さまざまな観点で、それらを分析することで、情報の幅と精度が上がってくると思えます。期待したいですね!