2022年3月、バイデン政権は2022年クリティカルインフラ法（CIRCIA）に署名しました。この画期的な法律は、サイバーセキュリティー・インフラストラクチャーセキュリティー庁（CISA）が、対象サイバー・インシデントとランサムウェアの支払いを報告することを対象企業に義務付ける規制を開発し、実施することを義務付けています。
CIRCIA社のインシデント・レポートは、CISAが次のことを行えるようにするものです。
彼らの言うように、悪影響は細部に潜んでいます。4月初旬、CISAはCIRCIAの責任に応じて447ページに及ぶ 規則制定案通知（NPRM）を公表しました。この文書は現在、連邦官報を通じて一般からのフィードバックを受け付けています。
CIRCIAと新たに公開されたNPRMを考慮すると、ランサムウェア攻撃のインシデント報告は将来どのようになるでしょうか？さあ、確かめてみよう。
CISAは以下のように述べています。「ランサムウェはは、デバイス上のファイルを暗号化し、あらゆるファイルとそれに依存するシステムを使用不能にするように設計されたマルウェアの進化し続ける形態です。その後、悪意のある攻撃者は、復号化と引き換えに身代金を要求します」
ランサムウェアグループは、多くの場合、身代金を支払わない場合は盗んだデータや認証情報を売却または漏洩すると脅迫してきます。ランサムウェア攻撃は、州、地方、部族、領土（SLTT）官公庁・自治体やクリティカルなインフラの組織の間でますます蔓延しています。
CISAのNPRMは、インシデントが重大なサイバーインシデントとして分類され、したがって報告の対象となる4つのタイプの成果を提案しています。影響には次の4種類があります。
CISAはさらに、重大なサイバー・インシデントには、ランサムウェアが関与するかどうか、原因にかかわらず、すべてのインシデントが含まれると提案しています。これらは、クラウド・サービス・プロバイダー、マネージド・サービス・プロバイダー、その他の第三者データ・ホスティング・プロバイダーの侵害、サプライチェーン侵害、サービス拒否攻撃、ランサムウェア攻撃、またはゼロデイ脆弱性の悪用である可能性があります。
CIRCIAは、対象サイバー・インシデントが発生したと合理的に確信した後、72時間以内に対象サイバー・インシデントをCISAに報告することを対象事業体に求めています。
また、ランサムウェア攻撃への対応として行われた身代金の支払いは、身代金の支払いが行われてから24時間以内に報告する必要があります。明らかに、CIRCIAはランサムウェアを報告の優先事項として掲げています。
ランサムウェアの報告に関する限り、CISAのNPRMは次の4つのステップを概説しています。
CISAは、時間はレポートも除外しないことも説明しています。たとえば、貴社が2年前にサイバー・インシデントを発生させ、そのインシデントが現在も進行中であることを発見したとします。インシデントはまだ終結していず、完全に緩和および解決されていないため、提案された規則に基づいて対象サイバー・インシデント報告書を送信する必要があります。
CISA によれば、報告対象となるインシデントには、「情報システムの所有者または運営者による特定の要求に応じて、組織が誠意を持ってサイバーインシデントを実行したイベント」は含まれません。
「善意」のシナリオとは、具体的にはどのようなものがあるのでしょうか？サードパーティのサービス・プロバイダーが、契約の範囲内で行動し、企業のデバイスを意図的に誤って設定し、サービスの停止につながる可能性があります。もう1つの例としては、適切に認可されたペネトレーション・テストが、意図せず実際の影響を伴うサイバー・インシデントを引き起こしてしまうことが挙げられます。
その他の善意の除外は、セキュリティー研究テストに関連するインシデントである可能性があります。研究者は、脆弱性開示ポリシーやバグ・バウンティー・プログラムに従って、システムの侵害を試みることが許可されている場合があります。そうは言っても、CISAは、これらの除外がほとんど発生しないと予想しています。善意によるセキュリティ調査は、通常、脆弱性が実証された時点で停止し、実際に影響のあるインシデントが発生することはありません。
場合によっては、対象となる企業が、本物のランサムウェアやその他の悪意のあるインシデントに対応して、対象企業自身に対して行動を取ることを決定し、システムやオペレーションの停止など、報告可能なレベルの影響が生じる場合があります。たとえば、Ransomware-as-a-Service攻撃の被害者は、サイバー攻撃によるより広範な影響を防ぐためにこれを行う可能性があります。このシナリオは、引き続き報告可能な重大なサイバー・インシデントとみなされます。
このような場合、インシデント自体は誠意を持って実行されたわけではなく、攻撃がなければ閾値レベルの影響は発生しなかったでしょう。したがって、CISAは対象事業体の行為が「善意」の例外を満たすとは考えません。対象となるエンティティーが、サイバー・インシデントによる被害の可能性を最小限に抑えるために、意図的に影響力のあるイベント（システムのオフライン化など）を引き起こしたことは明らかです。しかし、この種の活動も報告義務から免除されるわけではありません。
ランサムウェアの報告要件に関する議論は現在進行中です。堅牢なサイバー・レジリエンスを備えた組織でさえも危険にさらされる場合、CIRCIAの最終的な結論は誰もが注目することになるでしょう。
