デジタル庁とは違うサイバー防衛の司令塔「CISA」、何をしているのか

サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は米国政府の中でも異色の存在だ。2022年に何を成し遂げて、今後、何を目指すのだろうか。

[Matt Kapko，Cybersecurity Dive]

　サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、日本のデジタル庁や情報処理推進機構（IPA）と何が違うのだろうか。

サイバーセキュリティの予算が多い

　CISAは政府と民間企業を対象とした組織だ。

　大きな組織であり、予算は約29億ドル、職員は約2800人だ。同庁のジェン・イースターリー長官は2023年1月12日、今後さらに600人の職員を雇用する予定だと発表した（注1）。なお、デジタル庁の2023年度の予算案は約5000億円で、職員は約400人だ。

　同庁は連邦政府の中でもユニークな存在だ。行動に対する幾つかの制約があるとはいえ、サイバー防衛と対応を強化するために政府と企業の枠を超えた調整を実行できる。デジタル庁とは違い、サイバーセキュリティに特化している。

　「CISAは法執行機関や情報機関ではない。また、軍事組織でもなく、伝統的な意味での規制機関でもない」（イースタリー氏）

　CISAは政府内外のパートナーとの協力と信頼関係によって、セキュリティとレジリエンスを向上させる役割を担うと同氏は言う。

　「信頼は透明性や謙虚さ、オープンなコミュニケーションによってのみ築かれることをわれわれは認識している。人々はCISAという組織を信頼するのではなく、その中で働く人を信頼するのだ」（イースタリー氏）

　同庁は2023年1月12日に発表した報告書「CISA 2022 YEAR IN REVIEW 2022」で、複数の成果を強調した（注2）。

• 企業や重要インフラ組織の基準を設定するための、サイバーセキュリティのパフォーマンス目標を発表した（注3）。37の自主的な目標（注4）はサイバーリスクを低減するための「上限ではなく下限」（注5）であり、リソースの乏しい組織にロードマップを提供するものだ（注6）
• 「Cyber Incident Reporting for Critical Infrastructure Act of 2022」（2022年重要インフラのためのサイバーインシデント報告法）に基づく新たなインシデント報告義務化に関するパブリックコメントを正式に要請した（注7）
• 3万7875件のサイバーインシデント報告を管理し、支援を必要とする2609件のインシデントに対処した。この期間、713件の協調的な脆弱（ぜいじゃく）性開示案件を促進し、416件の脆弱性アドバイザリーを作成した
• 「The Cyber Safety Review Board」（サイバーセーフティ検討委員会）を設立し、「Apache Log4j」に関する初の事後検証報告書を発表した（注8）。次回の報告書では、ランサムウェアグループLapsus$を検証する予定だ（注9）
• 連邦政府のネットワークを標的とした脅威やインシデントの可視性を高めるため、約50の連邦政府機関に新技術を導入した
• 2022年4月、「Joint Cybersecurity Defense Collaborative」（サイバーセキュリティ防衛共同体）が拡大し、産業用制御システムのセキュリティベンダーやインテグレーター、ディストリビューターが参加した
• 英国のロンドンに初の駐在事務所を開設した（注10）

　「われわれは任務を遂行するために障害を克服し、能力やキャパシティーの面で毎年大きく成長し、無数のパートナーと協力して、米国人が常に依存しているサイバーインフラと物理インフラに対するリスクを低減してきた」（イースタリー氏）

出典：CISA’s 2022 highlight reel details progress and potential for security coordination（Cybersecurity Dive）

注1：CISA: Looking Back to Look Forward

注2：CISA 2022 YEAR IN REVIEW（PDF）

注3：CISA releases long-awaited cybersecurity performance goals for critical infrastructure（Cybersecurity Dive）

注4：Explore CISA’s 37 steps to minimum cybersecurity（Cybersecurity Dive）

注5：How cybersecurity experts are reacting to CISA’s security goals（Cybersecurity Dive）

注6：CISA aims for target rich, resource poor sectors in rollout of security basics（Cybersecurity Dive）

注7：CISA announces RFI for critical infrastructure cyber reporting mandate（Cybersecurity Dive）

注8：Log4j is far from over, cyber review board says（Cybersecurity Dive）

注9：Cyber Safety Review Board to probe Lapsus$ ransomware spree（Cybersecurity Dive）

注10：CISA eyes cross-pond cyber cooperation with London office（Cybersecurity Dive）