CISA 2015の失効と今後の状況

2025/09/30にCISA(Cybersecurity Information Sharing Act) 2015という米国の連邦法が正式に失効しました。このCISA 2015は米国議会閉鎖に伴い今後どうなるかが注目されていましたが、ひとまず2026/01/30までは延長され、改訂についてまだ議論が続いています。

ちなみにCISA(Cyber Infrastructure Security Agency)とは偶然名前は同じですが関係ありません（筆者も最初混同してしまっていました）。この辺が余計に議論をややこしくしてしまっているようです。

以下では、このCISA 2015の延長問題について簡単にまとめています。

「未経験からでもホワイトハッカーになれる！」実践的セキュリティスクール「セキュ塾」

脅威インテリジェンス育成コース（受講生随時募集中）
ホワイトハッカー育成コース（2025年12月生募集中）

CISA(Cybersecurity Information Sharing Act) 2015とは
CISA(Cyber Infrastructure Security Agency)とは違います
CISA 2015斜め読み
- 第103条連邦政府による情報の共有
- 第104条サイバーセキュリティの脅威を防止・検出・分析・軽減するための権限
CISA 2015の影響
改訂に関するそれぞれの主張
まとめ
参考資料
- 関連記事:

CISA(Cybersecurity Information Sharing Act) 2015とは

Cybersecurity Information Sharing Act 2015(以下、CISA 2015)は、サイバーセキュリティ情報共有法とも訳されており、米国の連邦法です。2015年12月に、オバマ大統領によって署名され、法律として可決しました。　

このCISAは、Engadgetの記事にもあるように企業がサイバー攻撃に関する、一般人のデータを含む情報を他の企業や国土安全保障省(Department of Homeland Security: DHS)と共有できるようにすることを目的としています。これがユーザのプライバシー問題に関わるとして、Appleは「お客様からの信頼は私たちにとって何よりも重要であり、セキュリティのためにお客様のプライバシーを犠牲にすべきではないと考えています。」と反対していました。他にもTwitter、Dropboxなどのテック企業は当時軒並みに反対を表明していました。

CISA(Cyber Infrastructure Security Agency)とは違います

ここで話題に挙げているCISA 2015はCISA(Cyber Infrastructure Security Agency)とは偶然名前は同じですが関係ありません。この辺はどうやらネタになっているらしく、「偶然同じ頭字語になった」とホワイトハウスの国家サイバーディレクターSean Cairncross氏がパロアルトネットワークスのカンファレンスで語ったそうです。

CISA 2015斜め読み

CISA 2015でどんなことが書いてあるのか、少し斜め読みしてみましょう。以下、CISA 2015のPDFから適宜抜き出して自動翻訳（＋若干修正）したものです。ざっとみて分かる通り、個人情報などが含まれない様に気を遣いながらも、脅威情報の共有をする様な枠組みを作る法律になっています。

第103条連邦政府による情報の共有

一般規定(抜粋)

連邦政府が保有する機密扱いのサイバー脅威指標および防御策を、適切なセキュリティ認可を有する関係連邦機関および非連邦機関の代表者と適時に共有すること
連邦政府が保有しており機密が解除され非機密レベルで共有される可能性のあるサイバー脅威の指標、防御措置、サイバーセキュリティの脅威または本章に基づく許可された使用に関する情報を、関係する連邦機関および非連邦機関と適時に共有すること。
連邦政府が保有する非機密扱い（管理下にある非機密扱いを含む）のサイバー脅威の指標および防御策を、関係する連邦機関および非連邦機関、または適切な場合には一般の人々と適時に共有すること。
サイバーセキュリティの脅威またはこのタイトルの下で許可された使用に関する情報を、適切な場合には連邦機関および非連邦機関と適時に共有すること。連邦政府に対し、サイバーセキュリティの脅威について報告し、そのような脅威による悪影響を防止または軽減すること。
連邦政府が保有するサイバー脅威指標、防御策、サイバーセキュリティの脅威または本章に基づく許可された使用に関する情報の継続的な分析に基づいて開発されたサイバーセキュリティのベストプラクティスを、出版および対象を絞ったアウトリーチを通じて定期的に共有すること。その際、中小企業が直面するアクセス性と実装の課題に留意する。

手続き(抜粋)

連邦政府が機密情報の保護と整合性を保ちながらサイバー脅威の指標と防御策をリアルタイムで共有する能力を有し、維持することを確保する。
サイバー脅威指標を共有する前に、次の手続きを含むこと
- 当該サイバー脅威指標をレビューし共有時点で特定個人の個人情報または特定個人を識別する情報でありサイバーセキュリティ脅威に直接関連しない情報が含まれているかどうかを評価し、そのような情報を削除する。
- 連邦政府機関が共有時に特定の個人の個人情報または特定の個人を識別する情報であると知っている、サイバーセキュリティの脅威に直接関連しない情報を削除するような技術機能を実装および活用すること。
この条項に違反して個人情報が連邦機関によって共有された米国人に、適時に通知するための手順を含める。

第104条サイバーセキュリティの脅威を防止・検出・分析・軽減するための権限

（a）監視の許可

一般的に、他の法律の規定にかかわらず、民間団体はサイバーセキュリティの目的で、以下の事項を監視することができる
- 当該民間団体の情報システム
- 他の非連邦機関の情報システム（当該他の機関の許可および書面による同意を得た場合）
- 連邦機関の情報システム（連邦機関の権限のある代表者の許可と書面による同意に基づく）
- 情報システムに保存され、処理され、または情報システムを通過する情報

(b) 防御措置の実施の承認

一般的に他の法律の規定にかかわらず、民間団体は、サイバーセキュリティの目的のために、以下のシステムに防御措置を適用することができる
- 当該民間団体の権利または財産を保護するための当該民間団体の情報システム
- 他の非連邦機関の情報システムであって、当該機関の権利または財産を保護するための防御措置の運用について当該機関の書面による同意を得たもの。
- 連邦政府の権利または財産を保護するための防御措置の運用について、当該連邦機関の権限を有する代表者の書面による同意を得た連邦機関の情報システム。

(c) サイバー脅威指標または防御策の共有または受領の承認

一般的に（次の項の制限を除いて）法律のその他の規定にかかわらず、非連邦機関は、サイバーセキュリティの目的で、機密情報の保護に従って、サイバー脅威の指標または防御策を他の非連邦機関または連邦政府と共有したり、受け取ったりすることができる。
法律的な制限として、非連邦機関が別の非連邦機関または連邦機関からサイバー脅威の指標または防御手段を受け取る場合、その非連邦機関または連邦機関によるそのようなサイバー脅威の指標または防御手段の共有または使用に対して課される合法的な制限に従わなければなりません。