IT・セキュリティ担当者も知っておくべき？JPCERT/CC佐々木勇人氏が語る「サイバー安全保障」の考え方

各国で進むインシデント報告の義務化、米国では72時間ルールも

　世界各国でサイバーインシデントの迅速な報告義務化が潮流となっており、多くの国でインシデント報告基準の制度整備が進んでいる。佐々木氏はこの動向について、「基本的には重要インフラ事業者が報告義務の対象になっているが、各国で対象範囲は様々だ。特にグローバル企業では、国・地域ごとにバラバラな制度への対応に頭を悩ませている担当者も多い」と語る。

　こうした制度の重要な特徴として、「“被害情報の開示”と“インシデント報告”が混在している点が挙げられる」と佐々木氏。個人情報保護法制の強化を目的とした制度と、サイバー脅威の動向把握を純粋に目指した情報収集制度が同時に存在している状況とのことだ。

　注目すべき制度として、同氏は2022年に米国で成立した「CIRCIA（Cyber Incident Reporting for Critical Infrastructure Act）」を挙げる。これは重要インフラ事業者に対し、サイバーインシデント発生から72時間以内にCISA（サイバーセキュリティ・インフラセキュリティ庁）への報告を義務付けるというもの。2026年の規則施行を目指しているが、詳細な報告要件の策定は遅れているようだ。

　この制度によってCISAが目指す効果は2つ。「攻撃を受けた被害者への支援提供」と、「様々なセクターから寄せられる情報の一元化による攻撃傾向の把握」だ。国が脅威に対して積極的に対処する姿勢を明確にしている点が特徴だと佐々木氏は説明する。

　ただし、72時間以内の速報義務とはいっても、攻撃類型によって大きく効果は異なってくる。たとえば高度な標的型攻撃を受けた場合、通常は発覚から72時間以内では本格的調査には着手できておらず、せいぜい最初のトリアージや、調査ベンダーの選定作業が終わったくらいのフェーズだろう。一方、ランサムウェア攻撃の場合は、発覚とほぼ同じタイミングでどのような種類のランサムウェアなのか、どういったグループが犯行声明を出しているかが即座に判明するケースが多い。