米国法 CISA 2015 は存続できるのか？議会の膠着が引き起こすインテリジェンス共有の危機とは？

Expired US Cyber Law Puts Data Sharing and Threat Response at Risk

2025/10/02 InfoSecurity — 米国政府が公表したのは、サイバー脅威インテリジェンスの共有において、法的責任から企業を保護する重要な米国法が、政府予算をめぐる議会の膠着状態の中で合意に至らず失効したという事実である。CISA 2015 (2015 Cybersecurity Information Sharing Act) は、Automated Indicator Sharing Program (AIS) と呼ばれる任意のプログラムを通じて、サイバー脅威データを交換する際に、企業を訴訟から保護するものであった。この法律は、米国議会が期限前に延長を決議しない限り、9月30日に失効すると予想されていた。

党派を超えた支持が集まり、業界リーダーたちは緊急の警告を発していたが、この法律の失効を議員たちは容認した。それにより、企業は訴訟のリスクにさらされ、サイバー攻撃に対する重要な防御策が弱体化した。

現時点では、議会が予算案を可決できず、一部の政府機関が閉鎖に追い込まれ、この法律の延長は不透明である。

CISA 2015 の失効：国家安全保障危機の兆し

多くのサイバー・セキュリティ専門家が懸念するのは、CISA 2015 の失効が米国のサイバー防衛に対して、広範な影響を及ぼす可能性である。

Sasha Zdjelar は、堅牢な脅威リポジトリの維持を、法律に大きく依存してきた ReversingLabs の Chief Trust Officer である。

彼は、「今回の失効は政治の機能不全が、真の脆弱性を生み出す典型的な事例である。ReversingLabs が目の当たりにしてきたのは、堅牢な脅威インテリジェンスの共有を可能にし、最新の防衛体制を保つために、いかにして法律が機能するのかという点である。こうした保護体制が失われるなら、10年間にわたり私たちを支えてきた、集団的な防衛は崩壊し始め、敵対者に不当な優位性を与えることになる」と述べている。

さらに Sasha Zdjelar は、「今回の出来事が、脅威インテリジェンスの共有を危険にさらし、ソフトウェア・サプライチェーンの脆弱性の脅威を高める可能性が高い。また、今回の失効により、AI セキュリティ開発に萎縮効果が生じる可能性がある。法的な不確実性により、AI 搭載セキュリティ・ツールのトレーニングに必要な脅威データの共有に、企業は慎重にならざるを得ない。それにより、AI を悪用する攻撃に対する、防御策の開発が阻害されるだろう」と付け加えている。

インシデント対応企業 BreachRx の CEO である Andy Lunsford は、「CISA 2015 の更新が見送られたことは危機の兆しである。人材不足／規制強化／罰金などが原因となり、検知と警告のための費用の増加で手一杯になっているユーザーは、法的保護がなければ脅威の共有に “消極的” になり、サイバー防御に危険な盲点が生じるだろう。最新の 2025 IBM Cost of a Data Breach Report によると、米国はデータ漏洩の震源地であり、どの国よりもデータ漏洩のコストが遥かに高い。CISA 2015 がなければ、これらの数字は規模とコストが、１年以内に倍増すると予想される」と述べている。

さらに同氏は、「米国議会は、CISA 2015 に対して遡及的な開始日を設定して更新できるが、保守的な顧問弁護士たちは、正式に更新が行われるまでの間は、インテリジェンス情報を共有しないよう勧告するだろう」と付け加えている。

Drata の Senior Compliance Manager である Shane Tierney は、米国議会が延長法案を通じて、同法を復活させる可能性を認めたと、Infosecurity の取材に対して回答している。

同氏は、「短期的な更新であれば、賠償責任保護とプライバシー規定が一時的に復活し、議員が改革を議論している間も、情報共有を継続できる。しかし、延長が成立しない場合には、全く新しい法案が必要となり、はるかに時間のかかるプロセスが生じる。その結果として、産業界と政府の双方に不確実性がもたらされる」と付け加えている。

インテリジェンス情報の共有を支える法的な枠組みが、議会の膠着により消失したようです。ただし、復活の可能性もあり、そのあたりは混沌という感じです。訴訟リスク／規制負担／コスト増を恐れて、企業がインテリジェンスの共有を控えると、サプライチェーン脆弱性の発見や、AI 向け学習データの蓄積が滞り、防御の連携が弱まります。短期的なものであっても、法的な不確実性が続くと、検知／対応の効率低下や誤検知増加といった実務上の問題が出やすく、集団的な防衛力が徐々に失われる懸念があると、この記事は指摘しています。よろしければ、カテゴリ Regulation を、ご参照ください。