============================================================
米国法 CISA 2015 は存続できるのか?
議会の膠着が引き起こすインテリジェンス共有の危機とは? – 2025/10/02
CISA 2015(サイバーセキュリティ情報共有法)とは
- サイバー脅威情報の共有を促進するために米国で制定された法律
- 正式名称は Cybersecurity Information Sharing Act
- 米国政府機関の CISA(Cybersecurity and Infrastructure Security Agency)とは別物
- 企業や政府機関が脅威インテリジェンスを共有する際の訴訟リスクを軽減する枠組み
- プライバシー侵害/契約違反/独占禁止法/情報漏洩・誤用などのリスクから企業を保護
- 独占禁止法上の責任の免除
- 情報公開法(FOIA)及び州のサンシャイン法に基づく開示義務の免除
- 共有情報に対する営業秘密保護を含む、特権及び保護の継続的適用
- 非連邦機関の商業・財務・専有情報として指定された共有情報の継続的保護
- 連邦当局者との一方的または非公式な連絡を制限する規則からの免除
- 法令に準拠した情報共有活動に対する広範な責任免除
- プライバシー侵害/契約違反/独占禁止法/情報漏洩・誤用などのリスクから企業を保護
- 2015年に承認され、2025年9月30日に失効予定だった
- 再認可を求める動きがあったものの、議会の合意不成立により失効状態に
課題と影響
- 法的保護の消失により、企業が脅威情報を共有する際の訴訟リスクが高まる
- 法的保護が無ければ、企業は脅威インテリジェンスの共有に慎重にならざるをえない
- その結果として、集団的防御が弱体化する
- サプライチェーン攻撃の脅威
- 侵入経路などの情報を早期に共有しないと被害が連鎖・拡大
- AI 関連攻撃
- 「モデル汚染」「学習データ改ざん」などの検知には複数企業の観測情報の突合が不可欠
- 情報共有への萎縮により防御策の開発が阻害される可能性がある
- 「モデル汚染」「学習データ改ざん」などの検知には複数企業の観測情報の突合が不可欠
- サプライチェーン攻撃の脅威
専門家の声
- Sasha Zdjelar(ReversingLabs CTo)
- 「法律の失効が真の脆弱性を生む典型的な事例」であると指摘。
- Andy Lunsford(BreachRx CEO)
- 「賠償責任保護が無ければ、企業は検知/警告への投資には慎重になる」と警鐘を鳴らしている。
今後の見通し
- 現時点において、この法律の延長については不透明な状態
- 議会が短期的な延長を通過させる可能性もあるが、
延長されなければ「全く新しい法案」が必要となり、時間がかかる。
2025年における米国セキュリティ情報エコシステムの揺らぎ
CISA(Cybersecurity and Infrastructure Security Agency)
- アメリカの行政機関のひとつであり、国土安全保障省の外局として運用されている。
- 2026年予算案で予算・人員削減が決定。
- KEV (Known Exploited Vulnerabilities)カタログ
=実際に悪用が確認されている脆弱性のリストの更新頻度や精度への影響懸念。 - インフラ支援・訓練・分析など、防衛の現場機能の縮小リスク。
- 参考:トランプ予算案 2026:CISA の 予算 $500M と 約 30%の職員が削減対象に
CVE プログラム(MITRE)
- 世界中で発見された脆弱性に一意のIDを付与し、共通の基準で整理・公開する仕組み。
- 2025年4月、米国政府との契約終了を発表
- 主要スポンサーであるCISAが資金拡充を発表しCVEプログラムの停止を阻止。
- 参考:CVE Program の危機が回避された:CISA から MITRE への資金提供の継続が決定 – 2025/04/16
NVD(National Vulnerability Database/NIST)
- ソフトウェアやハードウェアのセキュリティ脆弱性情報を集約した公開データベース
- CVEを基に技術詳細・CVSSスコア・CPEマッピングを付与する解析・公開機関
- 2024年2月から解析遅延とリソース不足が顕著に。
- NVDの脆弱性情報の処理・分析遅延により、欧州勢が EUVD ((European Vulnerability Database) や GCVE (Global CVE Program) など独自の枠組みの構築へ。
- 参考
- NIST NVD が運用体制を刷新:CVE バックログの解消に向けた改革とは? – 2025/04/11
- GCVE という新たな取組:CVE ID 管理を中央集権から分散へと向かわせる – 2025/04/18
参考記事
- Cybersecurity Information Sharing Act – Wikipedia
- Expired US Cyber Law Puts Data Sharing and Threat Response at Risk – Infosecurity Magazine 2025/10/02
- CISA 2015 cyber threat info-sharing law lapses amid government shutdown – CSO online 2025/10/01
- Cybersecurity sunset: navigating the expiration of CISA’s legal protections – aoshearman 2025/09/29
- Cyber threat-sharing law set to shut down, along with US government – 2025/09/26
- Cyber Threat Information Sharing at Risk: What Companies Should Consider if the Cybersecurity Information Sharing Act of 2015 Is Not Renewed – VENABLE 2025/09/25
- Noem calls for reauthorization of cyberthreat information sharing law during RSA keynote – 2025/04/30
- 米国におけるサイバーセキュリティ情報共有の現状 ~情報提供者保護を法的に担保する「米国サイバーセキュリティ情報共有法」の解説~ – JCIC 2020/02/14
============================================================
GitHub が npmセキュリティを大幅に刷新:より強力な認証と信頼できる公開を導入 – 2025/09/25
背景
- オープンソース・ソフトウェア(OSS)が世界中の開発を支える基盤。
- しかし、攻撃者はパッケージ・レジストリ(例:npm)を標的に、
メンテナーアカウントを乗っ取って悪意あるコードを挿入する例が増えている。 - 具体例:記事中では「自己複製ワーム ‘Shai‑Hulud” が複数の人気JSパッケージに侵入」していたと紹介。
課題とリスク
- メンテナーアカウントの乗っ取り → 信頼されているOSSライブラリが悪用される。
- 従来の認証方式(例:TOTP 2FA、長期間有効トークン)では、
サプライチェーン攻撃に十分な対策になっていなかった。 - OSSを通じて数百万のプロジェクト/依存ライブラリが影響を受ける可能性。
対応策:GitHub の新施策
- GitHub が npm に対して 強力な認証方式 と 信頼できる公開(Trusted Publishing)モデル を導入。
- 認証強化
- 全てのパッケージ公開アカウントに対し 2FA を必須化。TOTP ではなく FIDO/WebAuthn ベースを採用。
- トークンの有効期間を短く(最長7日)し、盗まれたトークンによる悪用機会を限定。
- 信頼できる公開モデル
- ビルドパイプラインから API トークンを排し、ID プロバイダー+OpenID Connect を通じた認証を採用。
なぜ重要か/期待される効果
- OSSサプライチェーン(開発→公開→利用)の信頼性を高めることで、リスクを低減。
- メンテナー/開発者が安全なワークフローを採用する動機となる。
- 長期的にはエコシステム(npm/RubyGems/crates.io 等)全体のセキュリティ基盤が強化される。
- 開発プロセスや組織内ポリシー(2FA、トークン管理、公開ワークフロー)の見直しを促す契機。
対応上のポイント(組織・開発者向け)
- メンテナー・開発者
- 2FA を FIDO/WebAuthn に移行
アクセストークンの有効期限を短くする - 公開パイプラインにおいてトークンを使わない「信頼できる公開」方式を検討
- 2FA を FIDO/WebAuthn に移行
- 組織
- OSS利用状況(依存関係)を把握し、リスク管理を実施
- 社内ワークフローにおいて公開権限・認証方式・トークン管理の見直し
- 注意点
- 移行期間中の古いワークフローの継続リスクを管理。
元記事:GitHub Introduces npm Security with Stronger Authentication and Trusted Publishing
IoT OT Security News 