DHS、CIRCIAの報告要件の規則案を発表し、意見を募集

2024年04月04日、米国国土安全保障省(DHS)のサイバーセキュリティ・インフラ安全保障局(CISA)は、重要インフラのためのサイバーインシデント報告法(CIRCIA)の要件を実施するための規則案および新しい報告要件について、規則案策定通知(NPRM)を発表し、一般からの意見を募集しました。

意見および関連資料などは2024年06月03日まで募集されます。電力やガス、鉄道、空港など重要なインフラに関わる事業者が対象です。

重要インフラのためのサイバーインシデント報告法とは

重要インフラのためのサイバーインシデント報告法(Cyber Incident Reporting for Critical Infrastructure Act of 2022、CIRCIA)とは、2022年03月15日に署名された法です。電力やガス、鉄道、空港などの重要なインフラの所有者や運営者などの対象事業体に対して、サイバーインシデント、ランサムウェア攻撃の詳細やそれに対する対応(身代金の支払いなど)について、米国土安全保障省(Homeland Security Department、DHS)のサイバーセキュリティ・インフラ安全保障局(Cybersecurity and Infrastructure Security Agency、CISA)に報告することを義務付けています。

これらの報告により、企業間を超えて寄せられる報告を分析し傾向を把握することで、被害を受けたインフラ事業体や関連事業体を支援し、また他の被害者となりうる事業主に情報を共有することで警告を促すことを目的としています。

この規則案の概要

今回、CISAは、規則案策定通知(Notice of Proposed Rulemaking、NPRM)において以下の６つのセクションで、CIRCIAに基づいて提案された規則案の内容を説明しています。

1. (一般からの)参加方法
2. NPRMの要旨
3. (CIRCIAの)背景と目的
4. 規則案の検討
5. 法規制の分析
6. 規制案本文

この規則案の重要事項

重要な点として以下の事などが記載されています。

• 米国の各州、地方、部族、または準州において、様々な形態の事業体に対して、36以上のサイバーインシデント報告要件が発効されているが、全土で包括的な要件は存在しておらず、それぞれのサイバー攻撃を包括的に分析している米国政府機関もありません。
• 本規則の目的は、サイバーインシデントを早期に発見することでその影響を軽減すること、サイバーインシデントの詳細を理解することで、最終的に重要なインフラに対するサイバーインシデントの件数を減らすことです。
• 本規則は、20のセクションで構成されています。それぞれのセクションで、「定義」「対象インシデントの種類や提出しなければならないさまざまな種類の報告書(CIRCIA報告書)」「対象事業体」「報告書を提出するタイミング」「各報告書の提出期限」「データおよび記録の保存要件」「報告された内容の使用制限」などについて、提案・説明・議論されています。
• 対象となる事業体としては、「化学施設の所有または運営」「有線または無線通信サービスの提供」「重要な製造部門のインフラを所有または運営」「国防総省に業務上重要な支援を提供する、または対象となる国防情報を処理、保管、伝送」「緊急サービスまたは機能の実行」「大規模電気および配電システムの運営」「金融サービス部門のインフラを所有または運営」「州、地方、部族、または準州の政府機関」「教育施設」「選挙プロセスを支援するために使用される情報通信技術に関与」「公衆衛生関連の必須サービスを提供」「情報技術機関」「商業用原子炉または燃料サイクル施設を所有または運営」「輸送システムの運営」「海上輸送安全法に基づく規制対象」「地域水道システムまたは公営処理施設を所有または運営」などが提案されています。
• 本規則案では、４つの異なるCIRCIA報告書を作成する必要があります(対象サイバーインシデント報告書、身代金支払報告書、対象サイバーインシデントと身代金支払の共同報告書、補足報告書)。ウェブベースで利用可能な提出と形式が提案されています。また、他の規則で義務となっている報告との関連についても説明されています。
• 本規則案では、対象事業体は、報告義務を満たすために、対象事業体に代わってCISAにCIRCIA報告書を提出する第三者を利用することができます。また、第三者が対象事業体のために身代金支払を行った場合、この第三者に対して、身代金支払報告義務を補助することが義務付けられています。
• 本規則案では、提出されるデータおよび記録の保存要件についても定められています。保存しなければならないデータおよび記録の種類、保存期間、形式、内容の保護方法や使用方法について記載されています。
• CIRCIAでは、本規則の対象となるが報告されなかったサイバーインシデントまたは身代金の支払いについて資料請求(Request for Information、RFI)などを行って調査し、情報を使用する権限をCISAに与えています。本規則案では、RFIや召喚状の発行、その執行を行う方法や手続きに関して議論されています。
• 本規則案では、報告書内容の取り扱いや使用制限に関する様々な要件も規定しています。例えば、不必要な個人情報の収集を最小限に抑えるための措置やプライバシーと市民的自由を保護するための追加的な手順も提案されています。
• 本規則案では、CIRCIA報告書、RFI回答書、または行政召喚状に対する回答書において、意図的に虚偽または詐欺的な陳述または表明を行った者に対する罰則についても議論されています。

参考情報

重要インフラのためのサイバーインシデント報告法(CIRCIA)の報告要件に関する規則案