政府と民間企業による情報共有を可能にすることでサイバーセキュリティを強化する法案は、プライバシー保護団体や市民の自由擁護団体からの反対に直面している。しかし、この論争は的外れであり、この法案は正しい方向への一歩と言える。
CISPA(サイバーインテリジェンス共有・保護法)は、下院情報特別委員会の筆頭委員であるマイク・ロジャース議員(共和党、ミシガン州選出)とダッチ・ルッパースバーガー議員(民主党、メリーランド州選出)によって昨年提出されました。この法案の目的は、政府と民間企業が機密情報を共有し、サイバー攻撃をより効果的に特定・阻止するための枠組みを構築することです。
CISPAは当初、AT&T、コムキャスト、オラクル、シマンテック、マイクロソフトといった多数のハイテク企業の支持を得て上院を通過しました。 しかし、その後、ビッグブラザーによるアメリカ国民へのスパイ行為への懸念から、頓挫しました。しかし今、再び注目を集めています。先月、議会の 提案者たちは、昨年発生したアメリカ国内を標的とした大規模な攻撃 を受けて、この法案を復活させました 。
CISPAの反発
確かに法案は復活しましたが、CISPAへの支持は昨年から高まっていません。EFF(電子フロンティア財団)、ACLU(アメリカ自由人権協会)、その他のプライバシー擁護団体は、再びこの法案に反対するために団結しています。さらに、当初この法案を支持していたFacebookは、今週になって支持を撤回しました。
ACLUは、関係団体連合を代表してロジャーズ議員とラッパーズバーガー議員に送られた書簡を私に共有してくれました。書簡はCISPAに対する深刻な懸念を表明し、情報共有プログラムに対する文民統制の確立が不十分であること、民間組織に対し政府と共有されるデータから個人を特定できる情報を削除することを義務付けていないこと、そして共有される情報の強固な保護が確保されていないことを指摘しました。
EFFのシニアスタッフ弁護士、カート・オプサール氏は私にこう説明した。「マンディアントの報告書は、新たな法案がなくてもどれほど多くの有用な情報を共有できるかを示している。(この法案の)問題は根本的で、妥協で解決するにはおそらく深刻すぎるだろう。」
しかし、反発は正当なものなのでしょうか?
2012年4月16日、プライバシーに関する懸念に対処することを目的とした法案修正が行われました。用語に関する疑問が生じたため、修正案では「サイバー脅威情報」の意味を明確にし、「知的財産」を含まないより狭い解釈を確保することになりました。
この法案により、ISPやサービスプロバイダーがアカウントをブロックしたりコンテンツを削除したりする権限が与えられるのではないかと懸念する声もありました。これに対し、修正案では、この法案はサイバー脅威情報の特定、入手、共有に限定されており、アカウントをブロックしたり情報を削除したりする権限は付与されていないことが明記されています。
この修正案は、プライバシーに関する主要な懸念に対処するものです。取得された情報が、本来の目的である情報収集以外の目的で使用されることを防止し、取得された情報が本法案に定められた制限に違反する方法で使用された場合、米国政府を訴えることができるようにします。また、この修正案は、米国司法長官にCISPAに基づく活動を監視し、プライバシー保護が維持されていることを確認するための監督権限を与えます。
マイクロソフトは CISPA に関する公式声明を私と共有しました。この声明では、プライバシーに関する懸念を強調する一方で、進展が見られることも認めており、CISPA の根本的な目標に対するマイクロソフトの支持を示唆しています。
マイクロソフトは、あらゆる法案が、お客様とのプライバシーとセキュリティに関する約束を守りつつ、サイバー脅威情報の自主的な共有を促進するものであるべきだと考えています。2月中旬に提出された法案は、以前の法案に関する積極的かつ建設的な議論の結果として得られた重要な変更を反映しており、この議論は継続される必要があります。私たちは、消費者のプライバシーを保護しながらサイバーセキュリティを向上させるために、政策立案者をはじめとする関係者と引き続き協力していくことを楽しみにしています。 – スコット・チャーニー、トラストワージー・コンピューティング担当コーポレートバイスプレジデント
なぜ CISPA なのか?
2月下旬、RSAセキュリティカンファレンスで、私は法案の提案者であるロジャース氏とルッパースバーガー氏と面会した。ロジャース氏は、この法案を改めて支持する理由を説明した。「米国から中国のような国に移転された富の額は、息を呑むほど大きく、危険なレベルです」と彼は述べた。
ロジャーズ氏とラッパーズバーガー氏は、米国の情報機関が機密情報を民間部門と共有できれば、セキュリティ業界や民間企業はより強固な防衛体制を築けると考えている。同様に、情報機関も、民間企業が攻撃に関する知見を政府と共有することで恩恵を受ける可能性がある。
セキュリティ脅威の全体像を把握し、攻撃を検知・防御するには、双方向の情報共有が不可欠です。実際、Googleをはじめとする組織に対する「オペレーション・オーロラ」攻撃後の情報共有は、こうした情報共有がいかに効果的であるかを示す好例です。各企業は何か不審な事態が発生していることを把握しているかもしれませんが、パズルの一部しか把握できていない可能性があります。他の企業や情報機関と情報を共有することで、すべてのピースをつなぎ合わせ、攻撃の全体像をより深く把握できるようになります。
ロジャーズ氏によると、目標は、情報共有を幅広い超党派の支持を得て、政府と民間セクターの両方の主要な利害関係者の賛同を得られる方法で実現することです。議会の支持者たちは、CISPAこそが、高度な攻撃を検知し、高度で持続的な脅威から身を守るために必要なツールを政府と民間セクターに提供する最良の方法だと考えています。
なぜ今なのか?
ロジャーズ氏とラッパーズバーガー氏は、オバマ大統領が一般教書演説でサイバー攻撃から国家を守ることを訴えたことを受けて、CISPA法案を再提出しました。この法案には、却下された法案と比べて何か変更点があるのでしょうか?いいえ、何も変わっていません。
ラッパーズバーガー氏は、自身とロジャーズ氏は共に「ギャング・オブ・エイト」のメンバーであると説明した。ギャング・オブ・エイトとは、重要な情報へのアクセスが認められ、議会の他の議員に広く公開するには機密性が高いとされる国家安全保障問題について報告を受ける選出議員のグループである。ラッパーズバーガー氏は、夜眠れない理由を頻繁に尋ねられるが、最も頻繁に答えるのは「サイバー攻撃」だと述べた。
しかし、なぜ同じ法案を再度提出するのでしょうか?ルッパースバーガー氏は、昨年から脅威の状況は変化しており、CISPAで実現しようとしていることへの支持が高まっていると述べています。「私たちは危険にさらされており、攻撃はより激しくなっています。ワシントン・ポスト、ニューヨーク・タイムズ、ウォール・ストリート・ジャーナル、そして財務省など、他にも攻撃はあります。アラムコは3万台のコンピューターがダウンしました。攻撃ははるかに激しくなっています。」
前進
この法案に対する批判の一つは、民間企業が政府とどの程度の情報を共有することになるのかという点です。CISPA反対派は、政府に送られる前に様々な種類のデータを削除または最小限に抑えることを求めていますが、民間企業はデータを共有する前に精査するという負担を負いたくないと考えています。
ラッパーズバーガー氏は、NSAは政府が受け取ったデータを最小限に抑えるためのツールと技術を既に保有しており、この問題は解決可能だと考えていると説明した。CISPA に関連するその他の懸念事項の中には、管轄権の問題もある。ロジャーズ氏とラッパーズバーガー氏は、下院情報特別委員会の視点から世界を見ており、同委員会の管轄範囲内で見られる問題に対処するための法案を策定してきた。
では、現状はどうなっているのでしょうか?法案は採決にかけられる前に、修正と委員会の承認を経なければなりません。つまり、問題点を洗い出し、残る懸念に対処するための妥協案を交渉する時間はまだあるということです。
CISPAは難しいバランスを要求しますが、サイバー攻撃の脅威に対処することは、米国の経済と国家安全保障にとって極めて重要です 。政府も民間企業も単独ではこの問題に取り組むことはできません。そのため、CISPAのような法律は、必要な情報共有と協力を促進するために不可欠です。
この記事で述べられている見解はコラムニストの見解であり、必ずしも PCWorld の見解ではありません。
