米国の「Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA)」や欧州連合の「Network and Information Systems Directive (NIS2)」のような主要な規制という形で、サイバーセキュリティのインシデント報告義務化が重要インフラに間もなく到来する。大西洋の両側では、報告義務化は長い間待ち望まれており、いわゆる「対象事業体」は、2025年または2026年に施行されるときに備えて準備する時間はまだ十分にある。
それでも、経営幹部がサイバーセキュリティのインシデント報告という言葉を聞くと、おそらく最初に考えるのは、それがどれほど負担になるかということであり、その後、何が「報告すべき」インシデントを定義するのかについて活発な議論が続く。どのようなインシデント報告規則も、その定義に大きく依存し、それによって負担が決まる。
この記事では、これら2つの主要規制におけるインシデント報告要件を比較し、(1)自社の業務に照らして報告すべきインシデントを定義し、(2)スタッフに過度の負担をかけることなく、適用される規制の意図を満たす計画を策定する方法についてガイダンスを提供する。
CIRCIAが重要インフラのインシデント報告要件に限定しているのに対し、NIS2はより広範な範囲に及んでいることに留意されたい。本稿では、各規制のインシデント報告要件のみに焦点を当てる。また、NIS2 はサプライチェーンの脅威に大きな関心を寄せているため、その地理的範囲は欧州をはるかに超えています。
米国CIRCIA事故報告要件
米国では、CIRCIAは16の重要インフラ部門にわたる対象事業体に対し、実質的なサイバーインシデントを72時間以内に、ランサムウェア攻撃を24時間以内にCybersecurity and Infrastructure Security Agency(CISA)に報告することを義務付ける。CISAとそのパートナーは、パターンを特定し、攻撃を受けている可能性のある他のエンティティに早期警告を提供するのに十分な規模でタイムリーなインシデント報告を行う。
CIRCIAのステータス2026年発効
この法律は、ソーラーウインズと大統領令14208を契機に、重要インフラの所有者と運営者に対するインシデント報告を任意から義務に移行する時期であるとのコンセンサスが得られたことから、2022年に議会で可決された。CIRCIAは、2024年4月に規則制定案を公告し、その後活発な意見募集が行われ、7月に締め切られた。法律はCISAに2025年10月までに最終規則を発行するよう求めており、2026年に発効する予定である。これを見越して、CISAは8月末、CIRCIAだけでなく、サイバー攻撃やインシデントに遭遇したあらゆる組織の報告を合理化するCISAサービス・ポータルを展開した。
CIRCIA必須情報:具体的かつ膨大な情報
規則案に対するコメントの洪水は、主にインシデント・レポートに期待される詳細の具体性と数に関するものであった。CISAは、広範な脅威の検知と抑止のために情報を利用することを意図しているため、その情報は、民間のセキュリティ・オペレーション・センター(SOC)やマネージド・セキュリティ・サービス・プロバイダー(MSSP)が調査のために作成するものに似ている。必要な詳細は以下の通り:
- 悪用された脆弱性、具体的な製品およびバージョン
- 侵害された資産とネットワーク、および侵害の指標(IOC)
- 事業への影響
- セキュリティー・プロトコルや法執行機関の対応など、対応努力の有効性
- 攻撃者の特定情報
ランサムウェアのレポートに必要な追加情報には以下が含まれる:
- 支払要求額、支払に使用される金額および資産の種類
- 受取人の身元
- 仮想通貨アドレス
- トランザクション識別子
- 支払い結果
CIRCIAの「報告すべき事故」の定義:解釈の余地
CIRCIAは、報告可能なインシデントを「実質的なサイバーインシデント」と呼び、その影響力の観点から定義している。この定義に関するCISAのファクト・シートでは、提案された規則とは若干異なる表現が使用されており、冒頭には、提供された情報は最終規則ができるまでは非公式なものであるとの免責事項が記載されています。
ファクトシートによると、重大なサイバーインシデントとは、これらの影響の1つ以上につながるものである:
- 対象事業体の情報システムまたはネットワークの機密性、完全性、または可用性の大幅な損失。
- 対象事業体の業務システムおよびプロセスの安全性と回復力に重大な影響を与える。
- 対象事業体の事業または産業運営に従事する能力、または商品もしくはサービスを提供する能力の中断。
- クラウド・サービス・プロバイダ、マネージド・サービス・プロバイダ、その他の第三者データ・ホスティング・プロバイダの危殆化、またはサプライ・チェーンの危殆化によって引き起こされる、対象事業体の情報システムまたはネットワークへの不正アクセス。
一見すると、これらの定義は杓子定規に聞こえる。しかし、「不正アクセス」以外は、すべて対象事業者による解釈の余地を残している。
欧州連合NIS2インシデント報告要件
NIS2は、11の重要セクターにまたがる不可欠かつ重要な事業体に対し、「過度の遅延」なく、重要なインシデントを各国の管轄当局に報告することを義務付けている。サイバー耐性を強化し、世界的な緊張に直面して統一的な防衛を提示するという指令の意図に沿って、報告義務は、脅威の早期発見と国境を越えた迅速な対応を可能にするように設計されている。
NIS2のステータス2025年後半または2026年発効
欧州連合サイバーセキュリティ機関(ENISA)は2023年1月にNIS2(EU 2022/2255)を発表した。加盟国は2024年10月17日までにこの指令を国内法に移管し、実施措置を採択しなければならない。その後、当局が対象事業体を必須または重要な事業体に分類し、通知するには2025年の大半を要する可能性がある。言い換えれば、NIS2から派生した法律の州ごとの施行も2026年になる可能性が高い。加盟国がより詳細な実施措置を公表し始めると、まもなく多くのことが明らかになるだろう。
NIS2 必要な情報:発見に基づいて段階的に
NIS2のサイバーインシデント報告で提供しなければならない情報は、3つの段階(場合によっては4つの段階)に分かれており、さらなる調査に基づいて追加情報を報告することができる。
必要不可欠かつ重要な事業体は、そのサービスの提供に重大な影響を及ぼすインシデントが発生した場合、この手順に従い、加盟国のコンピュータ・セキュリティ・インシデント対応チーム(CSIRT)に報告しなければならない:
- 早期警告(24時間以内):事象が違法または悪質な活動の結果である可能性が高いかどうか、または国境を越えた影響を及ぼす可能性があるかどうかを報告する。
- 事故の通知(72時間以内):以前の情報を更新し、インシデントの重大性と影響に関する予備的評価を行う。
- 中間報告(要求に応じて)CSIRT の要請に応じて、インシデントや危機管理に関する状況報告を行う。
- 最終報告書(1ヶ月):インシデントの根本原因、採用された緩和策、国境を越えた影響など、インシデントに関する詳細な説明を含む最終報告書を提出する。
NIS2 報告可能なサイバーインシデントの定義:規定
NIS2による報告可能なサイバーインシデントの定義は、当初のNIS指令では定義が緩すぎるとされていたものを置き換えるものである。しかし、その詳細は、2024年7月にEUが待望の「施行規則案」を公表するまで分からなかった。必要不可欠な事業体にとっても重要な事業体にとっても、重要なインシデントとは以下のようなものを指す:
- 100,000ユーロまたは関連事業体の年間売上高の5%のいずれか低い方を超える財務上の損失を引き起こす、または引き起こす可能性がある場合。
- 事件がメディアで報道されたかどうかや、企業が重要な量の顧客を失う可能性があるかどうかなどの要素を考慮した上で、「相当な風評被害」をもたらす場合。
- 企業秘密の流出につながる
- 個人の死亡または健康被害につながる、またはつながる可能性がある。
- ネットワークや情報システムへの不正アクセス、悪意の疑いのある不正アクセス。
- 6カ月以内に少なくとも2回発生し、根本原因が同じであることが明らかな他の事故とまとめて考慮した場合、重大である。
追加の定義は、クラウドコンピューティングサービス、コンテンツデリバリーネットワーク、DNSサービス、またはデータセンターサービスの完全な利用不能につながるインシデント、およびクラウドコンピューティングサービス、マネージドサービス、またはマネージドセキュリティサービスの合意されたサービスレベルの中断に適用されます。これらの定義では、サービスおよび影響を受けるユーザーのしきい値が異なります。
インシデント報告に関する一般的な懸念
これら2つの広範囲に及ぶ規制のインシデント報告要件を見直すと、重要インフラ事業体が迫り来る施行日にあまり乗り気でないのは理解できる。これはCIRCIAとNIS2に限ったことではない。一般に報告義務に関しては、2つの共通の懸念が浮かび上がる傾向がある。
リソースのひずみ/非現実性
厳しい報告スケジュールと詳細な要件は、リソースに負担をかける可能性があります。
小規模な組織の場合、インシデント報告要件は、モニタリングや調査ツールが導入されていることを前提としているが、そうでない可能性も高い。確かにそれは望ましい状態であり、適切なインセンティブがあれば実現するかもしれない。しかし、社内にSOCや契約しているMSSPがない場合、報告要件を満たすこと、特に重要なインシデントごとに3つ、場合によっては4つの報告書を提出することは、実に負担となる。より大規模で洗練された企業であっても、戦略的に配置されたセンサーの数々と厳格なポリシーの徹底がない限り、サイバーインシデントの検知は最初のハードルであり、その影響を判断することはより大きなハードルである。
コンプライアンスの負担/重複
複数の法域で事業を展開する企業は、多様な報告要件を遵守するために大きなハードルに直面している。NIS2は特筆すべき例外であり、EUのイニシアチブとして、報告負担を一本化するだけでなく、収集した情報を広く実用化する必要がある。
米国では、公共部門と民間部門の両方が、重複し、整合性のないサイバー報告義務の対象になっている。国土安全保障省(DHS)はこの問題を強く認識している。1年前、同省は「連邦政府へのサイバーインシデント報告の調和」に関する報告書を発表し、連邦政府だけで45の異なるサイバーインシデント報告要件を文書化している。その提言の中には次のようなものがある。報告可能なサイバーインシデント」の標準的な定義と、各機関が異なる規則を遵守するために使用できる共通の書式を採用すること。
サイバーインシデント報告に関する推奨事項
CIRCIA、NIS2、あるいはその両方への対応を迫られているのであれば、今こそ準備の時です。
報告すべきインシデントの定義
CIRCIAでは、まず何が報告すべきインシデントであるかを定義することから始めます。機密性、完全性、可用性の「実質的な」損失とは何か?安全性と回復力に「重大な」影響を与えるものは何か?どのような種類または量の「混乱」が、貴社の業務遂行能力に影響を与えるでしょうか?ビジネスインパクト分析の一環として、これらのパラメータがすでに定義されていることを祈ります。もしそうでなければ、これはそうする絶好の機会です。
練習開始
何が報告対象であるかの定義を用い、閾値を満たしたインシデントについて内部報告を開始し、CIRCIAが要求するすべての情報を提供する。そして、必要な情報をすべて提供するまでにどれくらいの時間を要し、どれくらいの間隔をあけたかを追跡し始める。一部の情報は入手できないのか?入手可能だが、発見するのに時間がかかりすぎるのか?今遭遇している課題を記録し、それを克服する方法を考えましょう。
練習走行の分析
今後1年間で、四半期、半年、1年に何件の報告義務のあるインシデントを検出したかを数値化してください。これらのインシデントをCIRCIAの要件に従って文書化するのにかかる時間を見積もり、同じ傾向が続くと仮定して、十分なリソースがあるかどうかを判断してください。
教訓を生かす
今、いくつかの重要な決断が迫られている。インシデント報告の義務化が負担になりそうなら、影響をどのように定義したかを再検討する。インシデントの中に、当初想定していたよりも影響が小さいものはなかったか?重要なのは、別の重要インフラ攻撃を防ぐことができる情報を報告することに手を抜くことではなく、むしろリソースを現実的に使うことである。定義がすでに保守的であった場合は、調査が何度もつまづいた箇所を見直し、それに対処できるかどうかを確認してください。
NIS2と同様の手順
NIS2のもとで何が報告対象となるのか、カバーされる事業体には解釈の余地が少ないとはいえ、発効日に先駆けてプロセスを洗練させることは有益です。施行規則草案(または加盟国の施行措置が公表された場合)に定義されているすべての重大インシデントについて、内部報告を開始する。早期警告、インシデント通知、中間報告のテンプレートを作成し、必要な間隔(24時間、72時間、1ヶ月)で完了させる。これらの間隔でよくあるつまづきはないか。このプロセスは負担が大きすぎませんか?どうすれば合理化できるか?
最終的な感想
サイバーインシデントの報告は、特に義務化されている場合、何のメリットもない面倒な文書化のように思われるかもしれない。しかし、重要インフラではそうではない。このような義務化は、世界がよりデジタル化され、より危険になり、重要インフラが国家的行為者のお気に入りの遊び場となっている時に行われた。
重要なインシデントに関する詳細な情報を共有することで、標的となる部門全体で同様の攻撃が成功するのを防ぐことは不可欠であり、そのタイミングは早ければ早いほどよい。ボーナスとして、他の対象事業体から報告された詳細情報を共有し、迅速に対処することで、攻撃を免れる可能性が高くなります。