米国政府にITサービスを販売する組織は、セキュリティインシデント発生時に米国政府機関に自社のシステムへの完全なアクセスを許可することを要求する調達規則の変更案に憤慨している。
これらの規則は、バイデン大統領の2021年の大統領令に沿って政府請負業者のセキュリティ報告基準を刷新する連邦調達規則(FAR)の更新草案の中で発表された。
潜在的な要件としては次のようなものがあります。
- 請負業者は、検出されたインシデントをサイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA) に報告するのにわずか 8 時間しかなく、その後は 72 時間ごとに更新する必要があります。
- ソフトウェア部品表 (SBOM) を維持する必要があります。
- 事件発生後、請負業者はCISAと連邦法執行機関にITシステムと人員への「フルアクセス」を提供することになる。
上記のアイデアは、国防総省 (DoD)、米国一般調達局 (GSA)、NASA によって開発されたもので、米国が直面している多くの情報セキュリティの脅威を考慮して提案されたものです。
「ソーラーウィンズ、マイクロソフト・エクスチェンジ、コロニアル・パイプラインの事件は、米国の公共部門および民間部門の組織が、国家主体とサイバー犯罪者の両方による高度で悪意のあるサイバー活動にますます直面していることを厳しく思い出させるものだ」と3つの機関からの最新情報には記されている。
インドの不条理な情報セキュリティ報告規則に従うのはわずか15人
続きを読む
「これらのインシデントには共通点があり、例えば、サイバーセキュリティ対策が不十分で、公共部門と民間部門の組織がインシデントに対してより脆弱になっている点が挙げられる」と3人は付け加えた。「この提案された規則は、情報共有とインシデント報告の要件の遵守が、政府契約における受給資格と支払いにおいて重要であることを強調している。」
提案された変更は業界が望んでいるものとは程遠い
政府のセキュリティを強化する規則は歓迎されると思われるが、業界の回答者は満足していない。
FAR報告要件に関する意見募集期間は昨年10月に初めて提案されましたが、2ヶ月延長された後、終了しました。80件を超える回答があったことから、多くの関係者が意見を述べたいと考えていたことは明らかであり、前述のすべての規定が疑問視されました。
複数の米国の大手クラウドサービス企業が会員となっているクラウドサービスプロバイダー諮問委員会(CSP-AB)は、この新しい規則について「連邦市場全体ですでに高いセキュリティとコンプライアンスの基準を満たしている情報技術企業にとって負担となる」と述べた。
CSP-AB は、FAR 更新の SBOM 要件に特に憤慨し、クラウド サービス プロバイダーは頻繁に変更されるため (1 日に「数百回」変更されることもある)、提出を義務付けられるべきではないと主張しました。
- アメリカのサイバー安全審査委員会の将来は再考を求める声の中で危うい状況にある
- ランサムウェアはかつてないほど効率化しており、悪者は依然としてログを狙っている
- インドの不条理な情報セキュリティ報告規則に従うのはわずか15人
- 欧州はより厳格なサイバーセキュリティ基準、報告規制に近づいている
多数の有力企業を代表する情報技術産業協議会(ITIC)は、提案された報告規則に不満を表明し、この規則は最近米国連邦政府によって可決された「インシデント報告制度の万華鏡に新たな色合いを加えるものだ」と述べた。
ITICは、8時間以内の報告義務は「過度に負担が大きく、他の報告規則と矛盾している」とし、72時間の更新期間は「インシデント対応中の緊急性の変化を反映していない」と付け加えた。
バグ報奨金ビジネスの HackerOne もこれに加わり、セキュリティインシデントの発生後に連邦法執行機関が請負業者のシステムにアクセスすることを義務付ける条項は「請負業者の非連邦顧客のデータや情報を漏洩する可能性がある」と主張した。
「非連邦政府の顧客は連邦政府の請負業者との協力を継続することに消極的になる可能性があり、連邦政府の請負業者は非連邦政府の顧客と政府の間で販売の選択を迫られる可能性がある」とHackerOneは警告した。
報告ルールは無数にあり、一貫性がない
コメント投稿者によって提起された苦情の一部には議論の余地があるが、一つ確かなことは、米国政府のサイバーインシデント報告規則は増加傾向にあり、それぞれの規制は異なっているということだ。
証券取引委員会(SEC)は昨夏、サイバー攻撃が企業や投資家に「重大な」影響を与える可能性がある場合、被害者に対し4日以内にSECに報告することを義務付ける規則を施行した。連邦取引委員会(FTC)も秋にこれに追随し、銀行以外の金融機関に対し、システムへの侵入が成功した場合、30日以内にSECに報告するよう求める独自のインシデント報告規則を制定した。
ボルト・タイフーンは米国のエネルギー・重要ネットワークに潜む唯一の中国人クルーではない
続きを読む
一方、CISAは、2022年3月にバイデン大統領によって署名され成立した「重要インフラのためのサイバーインシデント報告法(CIRCIA)」に概説された独自の規則を追随させる計画で、2年間の期限を設けて規則案を提案する。来月施行予定のCIRCIAでは、重要インフラ分野の企業に対し、インシデントを3日以内に報告するよう求める。
連邦議会議員はSECの報告規則に不満を表明し、報告期限が短すぎること、そしてインシデント報告はCISA(情報セキュリティ安全局)の管轄下に入るべきであるという事実を理由に、報告義務を廃止する法案を提出した。前述の通り、提案されているFARの改正案では、報告期限はわずか8時間となっている。
これらすべてのさまざまな報告要件は、ITIC が報告要件間の「不一致」と呼ぶものにつながる可能性が高く、同評議会は「連邦政府と規制対象セクター全体にわたる 1 つの権威あるインシデント報告プロセスの確立」を求めています。
「いくつかのインシデント報告制度が潜在的に適切な候補となる」とITIC公共部門政策担当副社長ゴードン・ビトコ氏は組織の提出書類の中で述べ、CIRCIAとSECが定めた規則が適切な代替案であると示唆した。
「この規則では、理想的にはCISAを1つの調整機関として指定し、すべての報告とその後の調査の中心とすべきだ」とビトコ氏は付け加え、他のコメント投稿者や、SECの報告義務を廃止する下院法案を提出したアンドリュー・ガルバリノ下院議員(ニューヨーク州共和党)の主張に同調した。
NASA、GSA、国防総省にコメントを求めたが、本稿の公開時点では返答を得られていない。®
