米国CISA、サイバー攻撃72時間報告義務を2026年5月に最終化——30万社超が対象
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が、サイバーインシデントの72時間以内報告義務を定めるCIRCIA最終規則を2026年5月に施行する見込みだ。対象となるのは米国内の16の重要インフラセクターに属する推定30万社以上の事業者。ランサムウェアの身代金支払いについては、さらに厳しい24時間以内の報告が求められる。
GridTideによる電力網攻撃やTELUSの大規模データ流出など、重要インフラを狙ったサイバー攻撃が相次ぐ中、米国政府はインシデント情報の迅速な共有を制度化することで、被害の連鎖を食い止めようとしている。この記事では、CIRCIAの概要から日本企業への影響まで、実務担当者が知るべきポイントを網羅的に解説する。
CIRCIAとは——2022年に成立した報告義務法
CIRCIA(Cyber Incident Reporting for Critical Infrastructure Act)は、2022年3月にバイデン政権下で成立したサイバーインシデント報告法だ。正式名称は「重要インフラ向けサイバーインシデント報告法」であり、2022年度包括歳出法(Consolidated Appropriations Act, 2022)の一部として署名された。
この法律の目的は明確だ。重要インフラ事業者がサイバー攻撃を受けた際、その情報をCISAに速やかに報告させることで、政府が脅威の全体像を把握し、他の事業者への注意喚起や支援を迅速に行えるようにすることにある。
成立から施行までに時間がかかっている理由は、CISAによる規則制定プロセス(ルールメイキング)に時間を要しているためだ。2024年4月に規則案(NPRM)が公表され、パブリックコメント期間を経て、最終規則は当初2025年後半の予定だった。しかし、DHSの予算問題や政府機関の歳出執行停止(appropriations lapse)の影響で遅延し、現在は2026年5月の最終化が見込まれている。
CISAは2026年3月から4月にかけて、ステークホルダー向けのバーチャルタウンホールを開催しており、最終規則の内容について事業者からの意見を収集している段階だ。
報告義務の詳細——72時間ルールと24時間ルール
CIRCIAが定める報告義務は、大きく2つのカテゴリに分かれる。
サイバーインシデント報告(72時間以内)
「対象サイバーインシデント(Covered Cyber Incident)」が発生した場合、事業者はインシデントを合理的に認識した時点から72時間以内にCISAへ報告しなければならない。
報告すべき内容は以下のとおりだ。
- インシデントの概要: 攻撃の種類、手法、影響を受けたシステム
- 影響範囲: 事業への影響、データ漏洩の有無と規模
- 対応状況: 取られた対策、復旧の進捗
- 攻撃者に関する情報: 判明している場合のみ
- 連絡先情報: 報告者の詳細
身代金支払い報告(24時間以内)
ランサムウェア攻撃に対して身代金を支払った場合、その支払いから24時間以内にCISAへ報告する義務がある。これはインシデント報告とは別の義務であり、72時間の報告義務に加えて課される。身代金の金額、支払い方法(暗号通貨の種類など)、攻撃者の要求内容などを報告する必要がある。
「対象サイバーインシデント」の定義
すべてのセキュリティイベントが報告対象になるわけではない。CISAの規則案では、以下のいずれかに該当するインシデントが「対象」と定義されている。
- 事業運営に重大な影響を与えるもの
- 機密性・完全性・可用性に実質的な損害をもたらすもの
- 不正アクセスにより重要データが流出したもの
- ランサムウェアなど重大なサイバー脅威が確認されたもの
以下の図は、インシデント発生から報告までのタイムラインを示しています。
この図のとおり、身代金支払いの報告期限(24時間)はインシデント報告の期限(72時間)よりも短い。ランサムウェア攻撃への対応においては、支払い判断と同時に報告準備を進める必要がある点に注意が必要だ。
対象となる16の重要インフラセクター
CIRCIAの対象は、大統領令(PPD-21)で指定された以下の16セクターに属し、かつ米国中小企業庁(SBA)の定める中小企業サイズ基準を超える規模の事業者だ。つまり、一定規模以上の企業が対象となる。
| セクター | 具体例 |
|---|---|
| 化学 | 化学製造、石油化学プラント |
| 商業施設 | ショッピングモール、大規模イベント会場 |
| 通信 | 通信キャリア、ISP、データセンター |
| 重要製造 | 自動車、航空宇宙、防衛機器 |
| ダム | 水力発電ダム、灌漑施設 |
| 防衛産業基盤 | 軍需企業、防衛契約企業 |
| 緊急サービス | 消防、救急、法執行機関 |
| エネルギー | 電力会社、ガス会社、石油精製 |
| 金融サービス | 銀行、保険、証券取引所 |
| 食品・農業 | 食品加工、大規模農業 |
| 政府施設 | 連邦・州・地方政府の建物・システム |
| ヘルスケア・公衆衛生 | 病院、製薬会社、医療機器 |
| 情報技術 | ソフトウェア、ハードウェア、ITサービス |
| 原子力 | 原子力発電所、核物質施設 |
| 交通システム | 航空、鉄道、港湾、パイプライン |
| 上下水道 | 水道事業者、下水処理施設 |
推定30万社以上という対象範囲は、米国のサイバーセキュリティ規制としては過去最大級だ。IT・通信セクターだけでなく、食品・農業やダムなど、これまでサイバーセキュリティ規制の対象外だった分野も含まれている点が特徴的である。
業界の反応——「範囲が広すぎる」との批判
CIRCIAに対する業界の反応は概ね賛否両論だ。サイバー脅威情報の共有という目的には賛同しつつも、実務面での課題を指摘する声が多い。
主な批判点
1. 対象範囲が広すぎる
30万社以上という対象範囲に対し、「中堅企業にとってコンプライアンスコストが過大」「SBA基準だけでは適切なフィルタリングにならない」という批判がある。特にIT・通信セクターでは、小規模なSaaSプロバイダーまで対象に含まれる可能性が指摘されている。
2. 「対象サイバーインシデント」の定義が曖昧
「重大な影響」や「実質的な損害」の判断基準が不明確であり、過少報告・過大報告の両方のリスクがある。72時間という限られた時間内に、インシデントが「対象」に該当するか判断するのは実務上困難だとの声も多い。
3. 報告フォーマットの複雑さ
CISAが提示した報告フォームは詳細な情報を求めており、インシデント対応の真っ最中に記入するには負担が大きい。特に中小のIT部門では、インシデント対応と報告作業を同時に進めるリソースがない場合がある。
CISAのバーチャルタウンホール
CISAは2026年3月から4月にかけて、複数回のバーチャルタウンホールを開催し、これらの批判に対応しようとしている。タウンホールでは、報告テンプレートの簡素化、段階的報告(初報+詳報)の導入、中小企業向けガイダンスの充実などが議論されている。最終規則では、パブリックコメントで寄せられた意見を踏まえた修正が反映される見込みだ。
世界のサイバー報告規制との比較
CIRCIAは米国独自の規制だが、世界的にサイバーインシデント報告の義務化は加速している。主要な規制を比較すると、以下のようになる。
| 規制 | 国・地域 | 報告期限 | 対象 | 施行時期 |
|---|---|---|---|---|
| CIRCIA | 米国 | 72時間(身代金24h) | 重要インフラ16分野 30万社+ | 2026年5月(予定) |
| NIS2指令 | EU | 24時間(初報)+ 72時間(詳報) | エッセンシャル+重要事業者 | 2024年10月施行済 |
| FCA規則 | 英国 | 72時間以内 | 金融サービス事業者 | 2027年3月(予定) |
| サイバーセキュリティ基本法 | 日本 | 「速やかに」(明確な時限なし) | 重要インフラ14分野 | 施行済(改正検討中) |
以下の図は、各国・地域の報告規制を視覚的に比較したものです。
注目すべきは、EUのNIS2指令が最も厳しく、初報を24時間以内に求めている点だ。一方、日本のサイバーセキュリティ基本法では報告期限が「速やかに」と曖昧であり、具体的な時間制限がない。ただし、日本でも2025年のサイバーセキュリティ基本法改正議論の中で、時限付き報告義務の導入が検討されている。
英国FCAの規則は金融セクターに限定されているが、2027年3月の施行に向けて、対象範囲を広げる議論が進んでいる。グローバルに事業を展開する企業は、複数の報告義務を同時に遵守する必要があり、コンプライアンス体制の整備が急務だ。
日本企業への影響——米国拠点・サプライチェーンに注意
CIRCIAは米国内の規制だが、日本企業にも無関係ではない。以下のケースで直接的な影響を受ける可能性がある。
米国に拠点を持つ日本企業
米国内で重要インフラに関連する事業を展開している日本企業の米国法人は、CIRCIAの直接的な適用対象となりうる。自動車メーカー(重要製造)、通信会社(通信)、銀行・保険会社(金融サービス)、IT企業(情報技術)など、多くの日本企業が該当する可能性がある。
サプライチェーンへの波及
CIRCIAの対象事業者に部品やサービスを提供している日本企業は、契約上のサイバーセキュリティ要件が厳格化される可能性がある。対象事業者が72時間以内に報告するためには、サプライチェーン全体でインシデント情報を迅速に共有する体制が必要になるためだ。
日本企業が取るべき対応
1. 自社の該当可能性を確認する
米国内の事業が16セクターのいずれかに該当し、SBA基準を超える規模であるかを確認する。不明な場合は、米国の法律事務所やセキュリティコンサルタントに相談することを推奨する。
2. インシデント対応計画を更新する
72時間以内の報告を前提としたインシデント対応計画(IRP)を策定・更新する。特に、日米間の時差を考慮した報告フローの設計が重要だ。日本の本社で検知したインシデントを72時間以内に米国CISAへ報告するには、エスカレーションパスを事前に明確化しておく必要がある。
3. セキュリティ基盤を強化する
報告義務への対応は事後的な措置だが、そもそもインシデントを防ぐための予防策が最も重要だ。多要素認証(MFA)の徹底、パスワード管理の強化、エンドポイント保護の充実など、基本的なセキュリティ対策を見直すべきだ。
企業のセキュリティ基盤を強化するうえで、パスワード管理は最も基本的かつ効果的な対策の一つだ。1Passwordのようなエンタープライズ向けパスワードマネージャーを導入することで、従業員の認証情報を一元管理し、漏洩リスクを大幅に低減できる。
4. CISAのタウンホールに参加する
2026年3月から4月にかけて開催されているバーチャルタウンホールに参加し、最終規則の最新動向を把握することを推奨する。CISAのウェブサイトから参加登録が可能だ。
まとめ——2026年5月に向けて今すぐ準備を
CIRCIAの72時間報告義務は、米国のサイバーセキュリティ規制における大きな転換点だ。30万社以上の重要インフラ事業者が対象となり、ランサムウェアの身代金支払いには24時間以内の報告が求められる。
日本企業を含むグローバル企業にとって、以下のアクションステップを今すぐ開始することを推奨する。
- 該当性の確認: 米国事業が16セクターのいずれかに該当するかを法務・コンプライアンス部門と確認する
- インシデント対応計画の更新: 72時間以内報告を前提としたIRPを策定し、日米間のエスカレーションフローを設計する
- セキュリティ基盤の強化: MFA導入、パスワード管理ツールの展開、エンドポイント保護の見直しなど、予防策を優先的に実施する
- 規制動向のウォッチ: CISAのタウンホールへの参加、最終規則のパブリックコメント確認を通じて最新情報を把握する
- グローバルコンプライアンス体制の構築: CIRCIA、NIS2、FCA規則など複数の報告義務に対応できる統合的なコンプライアンスフレームワークを整備する
2026年5月の施行まで残り約2か月。規制の詳細はまだ流動的な部分もあるが、72時間報告義務という大枠は変わらない。早期の準備が、いざというときの対応力を左右する。
「セキュリティ」カテゴリの記事
- セキュリティ
Drift Protocolから$2.85億流出——Solana史上2番目のDeFiハッキング
- セキュリティ
FCC、外国製ルーターの新規輸入を禁止——Salt Typhoon攻撃が引き金に
- セキュリティ
DatabricksがAIエージェント型SIEM「Lakewatch」発表——セキュリティ運用コスト80%削減
- セキュリティ
FBI盗聴システムに重大サイバー侵害——中国ハッカーの影
- セキュリティ
Cisco DefenseClawが登場——AIエージェント時代のセキュリティをOSSで変える
- セキュリティ
Tenex.aiが$2.5億調達でユニコーンに——AIセキュリティの新星