米国政府が提案した新たなサイバー事件報告要件に対し、ITサービス業界からは不満の声が上がっています。提案された要件には、サイバーセキュリティとインフラセキュリティ庁(CISA)への8時間以内の報告、72時間ごとの更新、ソフトウェアの材料リスト(SBOM)の維持、セキュリティインシデント後のITシステムと人員への「完全なアクセス」の提供などが含まれており、これらを過剰な負担と捉える業界関係者が多いです。さらに、報告要件の整合性を求める声も高まっています。
米国内でのサイバー事件報告要件は増加傾向にあり、証券取引委員会(SEC)や連邦取引委員会(FTC)など、各規制ごとに異なる要件が存在します。この多様性と整合性の欠如に対し、業界からは連邦政府と規制対象セクター全体で一つの統一された報告プロセスの確立が求められています。
サイバーセキュリティに関する新たな要件の提案にもかかわらず、サイバー攻撃の増加により公共および私的部門の組織は脆弱性を増しています。業界は、情報共有とインシデント報告の要件を遵守することを契約の条件として主張しており、米国政府のサイバーセキュリティへの取り組みとその課題が浮き彫りになっています。
【ニュース解説】
米国政府が提案した新たなサイバー事件報告要件について、ITサービス業界からは不満の声が上がっています。この提案は、サイバーセキュリティとインフラセキュリティ庁(CISA)への8時間以内の報告、72時間ごとの更新、ソフトウェアの材料リスト(SBOM)の維持、セキュリティインシデント後のITシステムと人員への「完全なアクセス」の提供など、厳格な要件を含んでいます。これらの要件は、サイバー攻撃の増加に対抗するためのものですが、業界関係者はこれらを過剰な負担と捉えています。
サイバー攻撃は、公共および私的部門の組織にとって大きな脅威となっており、過去の大規模な攻撃事例は、米国内でのセキュリティ対策の不足を浮き彫りにしています。しかし、提案された報告要件は、業界から見れば、既に高いセキュリティ基準を満たしていると自負するIT企業にとって、さらなる負担となり得ます。
特に、ソフトウェアの材料リスト(SBOM)の維持要件は、クラウドサービスプロバイダーなど、頻繁に更新が行われるサービスにとっては実現が困難であると指摘されています。また、セキュリティインシデント後に政府機関への「完全なアクセス」を提供する要求は、非連邦顧客のデータを不必要に露出させるリスクを伴います。
さらに、米国内でのサイバー事件報告要件の増加と多様性は、業界にとって混乱を招く可能性があります。証券取引委員会(SEC)、連邦取引委員会(FTC)、そしてCISAなど、異なる機関が異なる報告要件を設けており、これらの整合性の欠如は、効率的な対応を妨げる要因となっています。
このような背景から、業界は連邦政府と規制対象セクター全体で一つの統一された報告プロセスの確立を求めています。これにより、サイバーインシデントへの迅速かつ効果的な対応が可能となり、セキュリティの向上に寄与することが期待されます。しかし、このような統一プロセスの確立には、政府と業界の間でのさらなる協議と調整が必要となるでしょう。
from IT suppliers hacked off with Uncle Sam's demands in aftermath of cyberattacks.
