2022年3月、アメリカ合衆国のバイデン大統領は「2022年サイバーインシデント報告法(CIRCIA)」に署名し、法律として成立させた。この法律は、アメリカのサイバーセキュリティ・インフラセキュリティ庁(CISA)に、法成立後24ヶ月以内に、特定の組織がサイバーインシデントや身代金支払いをCISAに報告する規制を策定・実施することを要求している。CISAは2024年初頭に提案された報告要件を示す予定通知(NPRM)を提出する予定であり、最終的な公表は2025年になる見込みである。
この法律は、アメリカの「重要インフラセクター」に属する「対象組織」に適用される。重要インフラセクターは、政府施設セクターの下部セクターとして教育が含まれ、幼稚園から12年生までの教育施設や高等教育施設がこれに該当する。
CIRCIAの最終規則が施行される2025年まで、報告は義務付けられていないが、組織は自発的にサイバーインシデント情報をCISAと共有することが強く推奨されている。最終規則が施行された後は、「対象組織」はサイバーインシデントを72時間以内に、身代金支払いを24時間以内に報告し、新たな情報が得られた場合や報告後に身代金支払いが行われた場合は、以前に提出した報告を更新することが求められるだろう。
サイバーインシデントの定義、報告内容、第三者による報告の可否、報告要件への違反時の対応、報告者の保護などについての詳細は、最終規則の公表後に明らかになる。
【ニュース解説】
2022年3月、アメリカ合衆国では、サイバーセキュリティの強化を目的とした重要な法律、「2022年サイバーインシデント報告法(CIRCIA)」が成立しました。この法律は、アメリカの重要インフラセクターに属する特定の組織に対し、サイバーインシデントや身代金支払いをアメリカのサイバーセキュリティ・インフラセキュリティ庁(CISA)に報告することを義務付けるものです。法律の成立により、CISAは初めて執行権を持つことになりました。
この法律の適用対象となるのは、教育施設を含むアメリカの重要インフラセクターに属する組織です。具体的には、幼稚園から12年生までの教育施設や高等教育施設が含まれます。CIRCIAの最終規則が2025年に施行されるまでは、報告は義務ではありませんが、組織には自発的にサイバーインシデント情報をCISAと共有することが強く推奨されています。
最終規則が施行された後、対象組織はサイバーインシデントを72時間以内、身代金支払いを24時間以内に報告する必要があります。また、報告後に新たな情報が得られた場合や身代金支払いが行われた場合は、報告を更新することが求められます。サイバーインシデントの定義や報告内容、第三者による報告の可否、報告要件への違反時の対応、報告者の保護などの詳細は、最終規則の公表後に明らかになります。
この法律の導入により、アメリカの重要インフラセクターに属する組織は、サイバーセキュリティ対策の強化と迅速な情報共有が求められることになります。これにより、サイバー攻撃による被害の拡大を防ぎ、国全体のサイバーセキュリティのレベルを向上させることが期待されます。一方で、報告義務の厳格化は、対象組織にとって新たな負担となる可能性もあります。報告プロセスの効率化や、報告後の情報の取り扱いに関する明確なガイドラインの提供が、スムーズな運用には不可欠です。
長期的には、この法律による情報共有の促進が、サイバー攻撃の早期発見や対応策の迅速な展開に繋がり、アメリカのサイバーセキュリティ体制の強化に寄与することが期待されます。また、この動きは他国における類似の法律制定のモデルとなり、国際的なサイバーセキュリティの強化にも寄与する可能性があります。
from Sophos Guidance on CIRCIA.
