米国各省庁による相次ぐ規制
2021 年 10 月 8 日 Josh Stuifbergen 著
米国各省庁は最近、サイバー関連の新しい規制を次々と発表しており、大きな話題となっています。その中でも注目すべき例をいくつかご紹介します。
米連邦通信委員会(FCC)とロボコール
FCC は音声通話事業者に対し、Robocall Mitigation Database(ロボコール緩和データベース)に登録されていないプロバイダからの、違法なロボコールをブロックするよう求めています。この要請では「STIR/SHAKEN 発信者 ID 認証基準の実施を証明していない、あるいは詳細なロボコール緩和計画を FCC に提出していない音声サービス事業者」をブロックすることが求められています。STIR(Secure Telephone Identity Revisited)および SHAKEN(Signature-based Handling of Asserted Information Using toKENs)プロトコルの詳細については、こちらをご覧ください。音声通信事業者は、2021 年 4 月にロボコール緩和データベースが作成されて以来、十分な時間を与えられています。FCC は、この措置がロボコールに対する解決策のすべてではないこと、そして「ロボコール詐欺師に対する警戒を怠らないこと」を指摘していす。
また FCC は、外国からの違法なロボコールを防止するための規則も提案しています。それは、「これらの企業は米国の番号を使用しているすべての外国からの通話に STIR/SHAKEN 発信者 ID 認証を適用し、ロボコール緩和策を実行すること」を要求します。
米連邦通信委員会と SIM スワッピング
SIM スワッピングとポートアウト詐欺は、米国の携帯電話事業者が効果的な対応をできていない攻撃です。
FCC による SIM スワッピングの定義は、「(前略)悪質業者が、被害者が利用している無線通信事業者を騙し、被害者が受けているサービスを悪質業者の所有する携帯電話に移す行為」です。
FCC によるポートアウト詐欺の定義は、「(前略)悪質業者が被害者を装い、被害者が現在使用している通信事業者とは別の事業者と契約、その後、その電話番号が悪質業者の管理下にある新しい通信事業者に転送(ポートアウト)されるように手配する行為」です。
FCC はこれらに注目し、攻撃の被害を最小限に抑えるための規則を作成し始めました。1 つは、通信事業者に顧客認証の仕組みを改善する義務を課すことです。電話番号が新しいデバイスや事業者に移動したとき、SIM カードが変わったとき、ポートリクエストが行われたときに、顧客に通知することが標準化されます。
司法省(DOJ)の Civil Cyber-Fraud Initiative(市民サイバー詐欺イニシアチブ)
司法省は、政府の請負業者がサイバーセキュリティ関連の侵害を政府に通知しなかった場合に、それを追及する方針です。Civil Cyber-Fraud Initiative は、「False Claim Act(虚偽請求取締法)を活用し、政府の請負業者や助成金受給者によるサイバーセキュリティ関連の不正行為を追及する」としています。
Monaco 米国副検事総長は、「あまりにも長い間、企業は沈黙を選んできました。それは、情報漏洩を公表するよりも隠蔽した方がリスクは少ない、という誤った考えによるものです」と述べています。情報漏洩を公表するかどうか、法的にあやふやな立場に置かれていた企業にとって、今回の措置は大きな助けとなるでしょう。特に情報漏洩について口外しないように求められていた従業員にとっては、司法省が明確に打ち出した方針が後ろ盾となって、より選択がしやすくなります。
司法省と新しい「国家仮想通貨執行チーム」
司法省は National Cryptocurrency Enforcement Team(NCET : 国家仮想通貨執行チーム)を創設し、「仮想通貨の犯罪利用、特に仮想通貨取引所、ミキシングおよびタンブリングサービス、マネーロンダリングのインフラ主体による犯罪の、複雑な調査と起訴に取り組む」としています。また、支払いに仮想通貨が使われることが多い、ランサムウェアグループによる恐喝にも焦点を当てています。NCET チームは、「仮想通貨とブロックチェーン技術に関する専門知識の向上を促進する」としており、進化する仮想通貨システムにキャッチアップしたい司法省にとっては、大いに役立つことでしょう。
CISA(Cybersecurity and Infrastructure Security Agency)と州ごとのコーディネーター
The Record が CISA のサイバーセキュリティ担当副エグゼクティブアシスタントディレクターの Matt Hartman 氏に行ったインタビューによると、CISA は年内に各州にコーディネーターを配置する意向です。The Cybersecurity State Coordinator Act of 2020 には、「国土安全保障省が各州にサイバーセキュリティ・ステート・コーディネーターを任命することを求める」法案 S.3207 が含まれています。
役職に求められる任務は以下の通りです。
- 「安全で回復力のあるインフラの開発と維持について助言すること」
- 「連邦政府のサイバーセキュリティ・リスク・アドバイザーとしての役割」
- 「連邦機関と非連邦機関との間でサイバー脅威情報の共有を促進すること」
ローカルにおける関係を構築し、本部からのセキュリティ目標を伝えることで、ランサムウェアや国家レベルの攻撃を防ぐための CISA の取り組みの質が向上することは間違いありません。Hartman 氏は、「オペレーションの可視性の向上」を実現したいと述べています。
米国運輸安全局(TSA)と鉄道・航空事業者
国土安全保障省の Alejandro Mayorkas 長官は、Billington Cybersecurity Summit で、高リスクと考えられる航空・鉄道事業者のセキュリティを改善するという同省の意向を語りました。この指令(未発令)では、事業者に対して、サイバーセキュリティ担当責任者の設置、サイバー関連インシデントの報告、災害復旧計画の提供などが求められます。
上院国土安全保障委員会とサイバーセキュリティ関連法案
上院国土安全保障委員会は、「2021 年サイバーインシデント報告法」法案と「2021 年連邦情報セキュリティ近代化法(FISMA)」法案を承認しました。サイバーインシデント報告法では、重要インフラ組織や民間の連邦機関がサイバー攻撃を受けた場合、72 時間以内、ランサムウェアの支払いの場合は 24 時間以内に、CISA にそれを報告することを義務付けています。FISMA 法案は、従来の 2014 年連邦情報セキュリティ近代化法を更新し、連邦機関間の連携を改善するもので、CISA が主管機関となります。これらの法案は上院での投票を必要としますが、法案に対する超党派の努力により、可決される可能性は高いと思われます。