重要インフラに係るサイバーインシデント報告法(以下、CIRCIA法)は、2026年に規則の施行を予定している、アメリカ合衆国における重要インフラ事業者向けのサイバーインシデント報告を定めた法律です。本法令は、16の重要インフラ分野に対して、IT領域、OT領域にかかわらず、事業体に対して実効性のあるインシデント対応態勢を求めています。
本稿では、CIRCIA法における日本企業の対応ポイントについて解説します。
1.重要インフラに係るサイバーインシデント報告法(CIRCIA法)とは
Cyber Incident Reporting for Critical Infrastructure Act of 2022は、2022年3月にバイデン政権で成立した、アメリカ合衆国における重要インフラ事業者向けのサイバーインシデント報告を定めた法律です。今後この法律は、2025年10月までに最終規則を発表予定であり、2026年には規則の施行を予定しています。
・適用対象
CIRCIA法は16の重要インフラ分野に属する組織が適用対象となります。日本企業においては、米国の関係会社が16の事業を行っている場合は適用対象となります。
| No | 分野 | 一部例示 |
|---|---|---|
| 1 | 化学 | 化学工場、肥料・農薬製造 |
| 2 | 商業施設 | 大型ショッピングセンター、イベント施設 |
| 3 | 通信 | 通信キャリア、インターネットプロバイダー |
| 4 | 重要製造業 | 航空宇宙、電子、車両製造 |
| 5 | ダム | 水力発電所、洪水調整 |
| 6 | 防衛 | 防衛、国防省向けの防衛請負企業(サプライヤー含む) |
| 7 | 緊急サービス | 消防、救急、警察 |
| 8 | エネルギー | 電気、石油、ガス |
| 9 | 金融サービス | 銀行、保険、証券 |
| 10 | 食品・農業 | 食品加工、農業インフラ |
| 11 | 政府施設 | 官公庁、政府システム |
| 12 | 医療・公衆衛生 | 病院、医薬品メーカー、保健局 |
| 13 | 情報技術 | クラウド事業者、ソフトウェアベンダー |
| 14 | 原子力施設 | 原子力発電、燃料処理施設 |
| 15 | 輸送システム | 鉄道、航空、港湾、物流 |
| 16 | 水道・上下水道 | 水処理場、配水インフラ、上下水道 |
ただし、一部業種(連邦政府の請負業者、防衛)を除き、米国中小企業庁(SBA)の定義に従って小規模事業者と判断される場合は、適用対象外となります。また、国家安全保障に影響するようなIT、OTのシステム運用を行っている場合は、16の分野を超えて対象とされる場合があります。
・義務・要件
CIRCIA法の特徴としては、適用された事業者に時限つきでサイバーインシデントの発生の報告義務を課されること、インシデント報告における具体的な報告事項が定められていることが挙げられます。
(1)報告タイミング
以下の条件に該当すると合理的に判断された場合は、アメリカ合衆国のサイバーセキュリティおよび重要インフラの保護を担当するCISA(Cybersecurity and Infrastructure Security Agency)のサイト上に設置されたオンラインフォームを通じて、指定された報告タイミングに合わせて当局報告を実施する必要があります。
| 重大インシデントが発生した場合 | 業務中断 基幹業務機能に重大な影響が生じ、業務停止・サービス提供不能が4時間以上継続する場合 | 発生から72時間以内にCISAに報告 |
|---|---|---|
| 機密情報漏洩 機微な情報が窃取・改ざん・漏洩した場合 | ||
| 制御システムへの影響 産業制御システムが操作不能・改ざん・停止した場合 | ||
| 金銭的または直接的被害 大規模な財務損失、社会的混乱、安全保障への影響を引き起こす場合 | ||
| 他組織への影響 他の重要インフラや顧客に波及的影響を及ぼすことが判明した場合 | ||
| 米国政府への報告が必要なインシデント 連邦/州政府期間への報告義務が発生する場合 | ||
| ランサムウェアの被害が発生した場合 | 身代金の支払い ランサムウェア攻撃に対して身代金の支払いを行った場合 | 身代金支払いから24時間以内にCISAに報告 |
なお、初回報告後に新たな情報が判明した場合は、速やかな追加報告が求められています。
(2)報告事項
CIRICIA法では、報告事項を以下のように定義しています。
| 組織情報 |
|
|---|---|
| |
| 攻撃の技術的詳細 |
|
| 対応状況 |
|
| ランサムウェアの場合の追加報告 |
|
(3)罰則
対象となる組織が報告義務に違反した場合は、以下のような罰則が講じられる可能性があります。
| 召喚 | 報告の遅れ、拒否を行った組織に対して、CISAは情報の提供を強制することができます。万が一、召喚に応じなかった場合は、CISAは民事訴訟を起こすことができます。 |
|---|---|
| 民事制裁 | 民事訴訟によって、罰金やその他の民事訴訟上の制裁が科される場合があります。 ※罰金額はCISAの最終規則で明示される可能性有 |
| 連邦政府系契約への影響 | 重大な違反があった場合は、連邦政府との契約資格に影響を与える可能性があります。 |
2.CIRCIA法における対応のポイント
CIRCIA法は、ほぼ同時期に対応を求められる欧州のNIS2等と同様に、従来から求められてきたセキュリティ態勢の構築に加えて、インシデント対応について実効性が求められる内容となっています。
米国でCIRCIA法の対応を求められる企業の多くは、グローバル規模で事業を行っていると考えられることから、IT領域についてはGDPR等の先行した欧州の規制対応の際に構築したインシデント対応態勢を準用できる部分があり、ゼロベースでの態勢構築となる可能性は低いと思われます。ただし、OT領域については、IT領域で求められるマネジメント施策が浸透していない可能性が高く、設備の構成管理やインシデントを検知する手段および手順が不足しているかもしれません。
また、OT領域におけるインシデント対応では、事業ごとに現場設備の管理部門や運用部門がショップごとに入り組むことが多く、インシデント対応にかかわるプレイヤーがIT領域と比べて事業ごとに特色が出ることに加え、担当者のセキュリティに対する知見が不足している傾向が高いと言えます。そのため、実効性のあるインシデント対応態勢を構築することには困難が伴います。
こうした現状を踏まえ、CIRCIA法への対応として、最低限でも以下のことが必要です。
- IT領域
- インシデント対応手順の見直し
- インシデント対応訓練”を通じた有効性の確認
- OT領域
- OT領域におけるインシデントの検知手段の確立
- 現場の事故復旧手順とも整合をとったインシデント対応手順の整備
- 人員に対する役割別教育(特にインシデント対応への最低限の知識の普及)
KPMGコンサルティングでは、ITおよびOTにおける統合的なセキュリティ態勢(平時、有事)の構築に豊富な実績を有し、多数のクライアントに支援を提供しています。お気軽にお問い合わせください。
執筆者
KPMGコンサルティング
執行役員 パートナー 万仲 隆之
シニアマネジャー 牛越 達也
