サイバー攻撃を受けた重要インフラ事業者に当局への報告を義務づける法案が上院議会を通過

サイバー攻撃の脅威に対抗するための「サイバーセキュリティ報告書作成条項」がアメリカの上院議会を通過しました。この条項が成立すると、重要なインフラの所有者・運営者は大規模なサイバー攻撃を受けたり、ランサムウェア攻撃を受けて身代金の支払いを行ったりした場合に、当局に報告することが義務づけられます。

Majority Media | Homeland Security & Governmental Affairs Committee | Homeland Security & Governmental Affairs Committee
https://www.hsgac.senate.gov/media/majority-media/senate-passes-peters-and-portman-landmark-provision-requiring-critical-infrastructure-to-report-cyber-attacks-as-part-of-funding-bill-

Hacked US companies to face new reporting requirements | AP News
https://apnews.com/article/russia-ukraine-technology-business-congress-gary-peters-c46e063220568b2beb56220ac60f6041

「サイバーセキュリティ報告書作成条項」は、国土安全保障・政府問題委員会のゲイリー・ピーターズ上院議員(民主党・ミシガン州選出)とロブ・ポートマン委員長(共和党・オハイオ州選出)により起草されたもので、政府資金法案の一部として上院を通過しました。

条項は、重要インフラの所有者・管理者に対して、サイバー攻撃を受けてから72時間以内、あるいはランサムウェアに対する支払いを行ってから24時間以内に、国土安全保障省のサイバーセキュリティー・インフラセキュリティー庁(CISA)に報告しなければならないという内容。報告を怠った場合、召喚状が発行され、召喚状に従わない場合は司法省への照会が行われるとのこと。

起草者であるピーターズ上院議員は、「重要インフラ事業者は、毎日のように悪意あるハッカーから身を守っています。今まさに、アメリカによるウクライナへの支援に対する報復としてロシアからのサイバー攻撃が行われる可能性が高く、脅威はさらに堅調になっています。今回の条項により、重要インフラ事業者がサイバーインシデントを報告するための初めての包括的要件が設けられることになります。連邦政府は他の事業者にも脅威について警告し、広範囲にわたる影響に備え、国民に貴重なサービスを提供し続けられるように、最重要システムをオンラインに保つことを支援できるようになります」と語りました。

また、ポートマン委員長も「ロシアによる違法・不当な攻撃を受けるウクライナを我が国が正しく支援する一方で、我が国の重要インフラに対するロシアからのサイバー攻撃やランサムウェアの脅威が増大することを懸念しています。連邦政府は迅速に対応を調整し、これら悪質な攻撃者の責任を追及しなければなりません。今回の超党派法案は、国家サイバーディレクターやCISA、その他の適切な機関に対して、日常的に我が国で起きているサイバー攻撃を広く可視化し、政府全体としての対応、緩和、および警告を可能にするものです。法案は、情報を迅速に入手することと、被害者が大きな負担を課されることなく攻撃に対応できるようにバランスを取ったものです」と述べています。

アメリカでは2021年に、パイプライン大手・Colonial Pipelineをはじめとして複数の企業・事業者がランサムウェア攻撃を受け、対応の優先度をテロと同等に引き上げています。

アメリカがランサムウェア攻撃への対応の優先度をテロと同等にまで引き上げる - GIGAZINE

by jlhervàs

ピーターズ上院議員は「この歴史的な取り組みは、国民の生活や生命に支障を与えうる、エネルギー供給事業者や銀行などの重要なインフラ企業に対するサイバー攻撃を確実に阻止できるようにするものであり、大統領が署名して条項が成立することを楽しみにしています」とも述べたとのことです。