米国の "Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA)" や EU の "Network and Information Systems Directive (NIS2)”といった主要な規制の形で,重要インフラに対するサイバーセキュリティインシデントの報告義務がまもなく導入されます.大西洋の両側で,報告義務化は長い間待ち望まれてきました.いわゆる「対象事業体」は,2025年または 2026年に施行される際にはまだ十分な準備期間があります.
それでも,経営陣がサイバーセキュリティインシデント報告という言葉を聞くと,まず負担がどれほど大きいかを考えるでしょう.次に,"報告すべき" インシデントを定義する上で活発な議論が交わされます.インシデント報告のルールは,この定義に大きく依存しており,その定義によって負担が決定されます.
この記事では,このふたつの主要な規制におけるインシデント報告要件を比較し,(1) 業務上の観点から報告すべきインシデントを定義する方法,(2) スタッフに過剰な負担を強いることなく,該当する規制の意図を満たす計画を策定する方法について,ガイダンスを提供します.
CIRCIA は重要インフラのインシデント報告要件に限定されているのに対し,NIS2 ははるかに広範な範囲を対象としていることに注意してください.本記事では,各規制のインシデント報告要件のみに焦点を当てます.また,NIS2 はサプライチェーンの脅威に多大な注意を払っているため,その地理的範囲は欧州をはるかに超えるものとなっています.
米国:CIRCIA 事故報告要件
米国では,CIRCIA は 16 の重要インフラセクターにわたる対象事業者に,重大なサイバーインシデントを 72時間以内に,ランサムウェア攻撃を 24時間以内に,CISA (サイバーセキュリティ インフラセキュリティ機関) に報告することを義務付けることになります.30万以上の対象事業者がこれに従うことが予想され,CISA とそのパートナーには,パターンを特定し,攻撃を受けている可能性のある他の事業者に早期警告を提供するために十分な規模のインシデント報告が適時に提供されることになります.
CIRCIAのステータス:2026年に発効
この法令は,SolarWindsと大統領令14208を受けて,2022年に連邦議会で可決されたもので,重要インフラの所有者および運営者によるインシデント報告を自主的なものから義務的なものに移行すべき時期に来ているというコンセンサスが得られたことを受けてのものです.CIRCIAの規則制定案に関する通知は2024年4月に発表され,それに続いて活発な意見提出期間が7月まで続きました.この法律では,CISAが2025年10月までに最終規則を発行することが義務付けられており,2026年に施行される見通しです.これに先立ち,8月末には,CIRCIAだけでなく,サイバー攻撃やインシデントに遭ったあらゆる組織の報告を合理化するために,CISAサービス・ポータルが発表されました.
CIRCIA 必須情報:具体的かつ膨大な情報
案された規則に対するコメントの大半は,インシデント報告書に期待される詳細情報の具体性と数に関するものでした.CISAは,この情報を広範囲にわたる脅威の検出と抑止に利用することを意図しているため,この情報は民間の SOC (セキュリティ運用センター) や MSSP (マネージドセキュリティサービスプロバイダー) が調査のために作成する情報に類似しています.必要な詳細情報には以下が含まれます.
- 悪用された脆弱性,具体的な製品およびバージョン
- 侵害された資産とネットワーク,および侵害の指標 (IOC)
- 事業への影響
- セキュリティープロトコルや法執行機関の対応など,対応努力の有効性
- 攻撃者の特定情報
ランサムウェアのレポートに必要な追加情報には以下が含まれます.
- 支払要求額,支払に使用される金額および資産の種類
- 受取人の身元
- 仮想通貨アドレス
- トランザクション識別子
- 支払い結果
CIRCIA の "報告すべき事故" の定義:解釈の余地
CIRCIAは,報告すべきインシデントを「重大なサイバーインシデント」と呼び,その影響の観点から定義しています.定義に専念したCISA のファクトシートでは,提案された規則とは若干異なる表現を使用しており,冒頭には,提供された情報は最終規則が確定するまでは非公式であるという免責事項が記載されています.
ファクトシートによると,重大なサイバーインシデントとは,以下の影響のうちひとつまたは複数をもたらすものを指します.
- 対象事業者の情報システムまたはネットワークの機密性,完全性,可用性の重大な損失.
- 対象事業者の業務システムおよび業務プロセスにおける安全性と回復力に深刻な影響を与える.
- 対象事業体の事業または産業運営に従事する能力,または商品もしくはサービスを提供する能力の阻害.
- クラウドサービスプロバイダー,マネージドサービスプロバイダー,その他のサードパーティのデータホスティングプロバイダー,またはサプライチェーンの侵害により,対象事業者の情報システムまたはネットワークへの不正アクセス.
一見すると,これらの定義は規定のようにも聞こえます.しかし,"不正アクセス" を除いて,対象となる事業体による解釈の余地を残しています.
欧州連合NIS2インシデント報告要件
NIS2は,11の重要セクターにまたがる不可欠かつ重要な事業体に対し,”不当な遅延なく" 各国の管轄当局に報告することを義務付けています.サイバーレジリエンスを強化し,世界的な緊張に対処するための統一された防衛策を提示するという指令の意図に沿って,報告要件は早期の脅威検出と迅速な国境を越えた対応を可能にするように設計されています.
NIS2 のステータス:2025年後半または 2026年発効
欧州連合サイバーセキュリティ機関(ENISA)は2023年1月にNIS2(EU 2022/2255)を発表した.加盟国は2024年10月17日までにこの指令を国内法に移管し,実施措置を採択しなければならない.その後,当局が対象事業体を必須または重要な事業体に分類し,通知するには2025年の大半を要する可能性がある.言い換えれば,NIS2から派生した法律の州ごとの施行も2026年になる可能性が高い.加盟国がより詳細な実施措置を公表し始めると,まもなく多くのことが明らかになるだろう.
NIS2 必要な情報:発見に基づいて段階的に
NIS2の サイバーインシデント報告で提供すべき情報は,3段階 (場合によっては4段階) に分けて提供され,さらなる調査のために追加情報を報告できるようになっています.
この手順書に従い,不可欠かつ重要な事業体は,自社のサービス提供に重大な影響を及ぼすインシデントを加盟国の CSIRT (コンピュータセキュリティインシデント対応チーム) に報告しなければなりません.
- 早期警告 (24時間以内):その出来事が違法または悪意のある行為によるものと思われるか,または国境を越えた影響をおよぼす可能性があるかどうかを報告
- 事故の通知(72時間以内):以前の情報を更新し,インシデントの重大性と影響に関する予備的評価を行う.
- 中間報告(要求に応じて)CSIRT の要請に応じて,インシデントや危機管理に関する状況報告を行う.
- 最終報告書(1ヶ月):インシデントの根本原因,採用された緩和策,国境を越えた影響など,インシデントに関する詳細な説明を含む最終報告書を提出する.
NIS2 報告可能なサイバーインシデントの定義:規定
NIS2による報告可能なサイバーインシデントの定義は,当初のNIS指令では定義が緩すぎるとされていたものを置き換えるものである.しかし,その詳細は,2024年7月にEUが待望の「施行規則案」を公表するまで分からなかった.必要不可欠な事業体にとっても重要な事業体にとっても,重要なインシデントとは以下のようなものを指す:
- 10万ユーロまたは関連企業の年間売上高の 5%のいずれか低い方を上回る金銭的損失を引き起こす,または引き起こす可能性がある原因
- ”相当な風評被害" をもたらす.その要因として,事件がメディアで報道されたかどうか,その企業が顧客を大幅に失う可能性があるかどうかなどを考慮します.
- 企業秘密の流出につながる
- 個人の死亡または健康被害につながる,またはつながる可能性がある.
- ネットワークや情報システムへの不正アクセス,悪意の疑いのある不正アクセス.
- 6か月以内に少なくとも 2回以上発生し,同じ明白な根本原因を持つ他のインシデントとまとめて考慮した場合に重要です.
クラウドコンピューティングサービス,コンテンツデリバリーネットワーク,DNSサービス,データセンターサービスが完全に利用できなくなるようなインシデント,およびクラウドコンピューティングサービス,マネージドサービス,マネージドセキュリティサービスで合意されたサービスレベルが中断されるようなインシデントには,追加の定義が適用されます.これらの定義には,サービスおよび影響を受けるユーザーのしきい値がさまざまに定められています.
インシデント報告に関する一般的な懸念
このふたつの広範囲にわたる規制のインシデント報告要件を検討すると,重要なインフラストラクチャの事業体が迫り来る施行日に対してそれほど熱心でない理由も理解できます.これは CIRCIA と NIS2 に限ったことではありません.報告義務全般に関して言えば,ふたつの共通した懸念が浮上する傾向があります.
リソースのひずみ/非現実性
厳格な報告スケジュールや詳細な要件はリソースを圧迫します.つまり,サイバーインシデントを検出するためのリソースをそもそも持っているという前提です.
小規模な組織では,インシデント報告要件は監視ツールや調査ツールが適切に設置されていることを前提としていますが,実際にはそうではない場合がほとんどです.もちろん,それが望ましい状態であることは間違いなく,適切なインセンティブがあれば現実のものとなるでしょう.しかし,社内に SOC (セキュリティ オペレーションセンター) や契約した MSSP (マネージドセキュリティ サービスプロバイダー) を持たない場合,報告要件を満たすことは,特に重大なインシデントごとに 3つ,場合によっては 4つの報告書を提出する必要があるため,大きな負担となります.規模が大きく,より洗練された組織であっても,戦略的に配置されたセンサーの数々と厳格なポリシーの徹底的な適用がなければ,サイバーインシデントの検出が最初のハードルとなり,その影響を判断することがより大きなハードルとなります.
コンプライアンスの負担/重複
複数の管轄区域で事業を展開する企業は,多様な報告要件を満たすために大きなハードルに直面しています.NIS2 は注目すべき例外であり,EU のイニシアティブとして,報告負担を軽減するだけでなく,収集した情報を広く活用できるようにすべきです.
米国では,官民両部門が重複した整合性のないサイバー報告義務の対象となっています.この問題について,国土安全保障省(DHS)は強く認識しています.1年前,同省は連邦政府機関のみを対象とした45の異なるサイバーインシデント報告要件をまとめた"連邦政府へのサイバーインシデント報告の調和"に関する報告書を公表しました.その提言のひとつに,"45の異なるサイバーインシデント報告要件” の標準的な定義と,各機関が異なる規則を遵守するために使用できる共通フォームの採用があります.
サイバーインシデント報告に関する推奨事項
CIRCIA,NIS2,あるいはその両方への準拠に直面しているかどうかに関わらず,準備に時間を割くべき時が今なのです.
報告すべきインシデントの定義
CIRCIA では,まず,貴社のビジネスに基づいて報告すべきインシデントとは何かを定義することから始めます.機密性,完全性,可用性の "重大な" 損失とはどのようなものを指すと考えるか?安全性と回復力に "深刻な" 影響を与えるのはどのようなものか?どのような種類の,またはどの程度の "混乱" が業務遂行能力に影響を与えるか?これらのパラメータは,すでにビジネスインパクト分析の一環として定義済みであることを願っています.もし定義済みでない場合は,これを機に定義しておく絶好の機会です.
プラクティス開始
報告すべき事項の定義に従って,閾値を満たすインシデントについて社内報告を開始し,CIRCIAが要求するすべての情報を提供します.次に,必要なすべての情報を提供するのにどのくらいの期間を要するかを,いくつかの間隔で追跡します.一部一部の情報は入手できないのか?入手可能だが,発見するのに時間がかかりすぎるのか?現在直面ている課題を記録し,それを克服する方法を検討します.
プラクティス実行の分析
今後 1年間で,四半期,6か月,1年間に報告すべきインシデントをいくつ検出できるかを定量化してみましょう.CIRCIA の要件に従ってそれらのインシデントを文書化するのにかかる時間を推定し,同じ傾向が続くと仮定して,十分なリソースがあるかどうかを判断します.
教訓を生かす
ここでいくつかの重要な決定を行う必要があります.インシデント報告の義務化が負担になる用であれば,影響の定義を見直します.当初想定していたよりも影響の小さいインシデントはあるでしょうか?重要なのは,重要なインフラストラクチャへの攻撃を防ぐ可能性のある情報を報告することを怠らないことではなく,むしろリソースを現実的に活用することです.すでに定義を保守的に行っている場合は,調査が繰り返し行き詰まる原因となっている箇所を検討し,それに対処できるかどうかを確認します.
NIS2 と同様の手順
NIS2 では報告対象となる事柄について,対象事業者が解釈する余地が少なくなっていますが,それでも発効日までにプロセスを改善することで利益を得ることができます.施行規則 (または加盟国が施行措置を公表している場合はその措置) の草案で定義されている重大なインシデントすべてについて,社内での報告を開始します.早期警告,インシデント通知,中間報告のテンプレートを作成し,必要な間隔 (24時間,72時間,1か月) でそれらを完成させます.これらの間隔のいずれかで,共通する問題はあるか?プロセスが過剰に負担になっていないか?どのようにしてプロセスを合理化できるか?
最終的な感想
特に義務化されている場合,サイバーインシデントの報告は,何のメリットもない単なる面倒な文書作成のように思えるかもしれません.しかし,重要なインフラストラクチャにおいては,そうではありません.こうした義務化は,世界がよりデジタル化し,より危険になっているこの時代に求められているのです.そして,重要なインフラストラクチャは,国家による攻撃の格好の標的となっています.
重要なインシデントに関する詳細な情報を共有することで,標的となる部門全体で同様の攻撃が成功するのを防ぐことは不可欠であり,そのタイミングは早ければ早いほどよい.ボーナスとして,他の対象事業体から報告された詳細情報を共有し,迅速に対処することで,攻撃を免れる可能性が高くなります.