TechCrunchの情報源によれば、米国の国土安全保障省(DHS)はインターネットプロバイダー(ISP)に対して脆弱性あるシステムの利用者が誰であるか明かすよう義務付けることができるようにする法改正を準備中だという。
昨年11月に議会は満場一致でCISA法を成立させた。これにより国土安全保障省内に、CISA(サイバーセキュリティおよびインフラストラクチャ庁)を設置。CISAはISPおよび重要なインフラストラクチャを運営する企業に関する電子的セキュリティの維持、向上を図ることが目的であり、脆弱性あるシステムのユーザーの身元を含め、脆弱性情報を合法的に取得できる権限が与えられた。
この権限に基づき、システムに脆弱性がある場合、CISAは政府機関、民間企業の双方に対して警告を発してきた。一方で、脆弱性あるシステムを利用しているユーザー企業に対し直接その危険性を通知できない場合が多いことに対して密かに不満を訴えていた。これは脆弱性あるシステムを誰が使っているか明らかでない場合が多いためだった。
CISAが準備している改正案は、CISA法に盛り込まれた権限を生かし、脆弱性あるシステムを利用しているインフラ運営者に対して直接に危険性を通知できるようにするものだという。ハッカーは発電所、電力グリッド、水道、石油コンビナートなどのインフラ産業のシステムをターゲットにしつつある。こうしたインフラ企業のシステムはますます複雑化しており、被害が及ぶ範囲もますます拡大している。
法の定めるところによれば一部の連邦機関は、裁判所に図ることなく召喚状などの強制力ある手続きによって、ISPから利用者に関するデータを得ることができる。ところがCISAはこの強制力を欠いているため、現在は他の連邦捜査機関に依頼して脆弱性あるシステムのユーザーを特定している。さらに捜査機関が召喚状を発することができるのは現に行っている捜査に関連した場合に限られる。そのため、CISAは特定の犯罪を捜査していない場合でも脆弱性あるシステムのユーザーを特定し警告する合法的な権限を得たいとしている。
CISAの法改正の動きは、連邦政府は民間セクターのインターネットの安全性にどこまで関与すべきなのかという以前からある議論にまた直面することになるだろう。連邦政府は独自のイニシアチブで民間企業に対して安全性の警告ができるのかという問題だ。
企業にインターネットの安全情報や防衛研修を提供するRendition Infosecの創業者で元NSAの専門家であるJake Williams(ジェイク・ウィリアム)氏はCISAの動きを「権限強化が狙いだ」とし、不適切に利用される危険性があると主張する。ウィリアム氏はTechCrunchに対して「これは議会がCISA設置法を通過させたときに想定していた権限ではない」と述べた。
ただし、CISAが求めている行政機関が召喚状を発する権限はさほど異例なものではない。米国では多くの省庁部局が民間企業に情報提供を義務付ける権限を持っている。もちろんこうした権限には行政機関に司法の審査、監督なしに大量の情報を収集を許すものだという批判が出ている。
FBIはこの種の安全保障を理由とする行政命令(NSL、National security letter)発行権限を有しており、電話会社や大手テクノロジー企業から密かに加入者データを得ている。電子フロンティア財団はNSLを合法だとした連邦地裁の決定に不満を表明している。
TechchCrunchに背景を説明したCISA担当者は、この改正案はすでに議会の送付済みであり、「インフラ企業は政府担当部局から直接警告を受けた場合、(脆弱性対策に)より積極的になるはずだ」と述べた。担当者によれば「CISAは不当、不正な権限の利用が起きないよう(予防措置を盛り込むために)議員と密接に協力している」という。
国土安全保障省事案を監督する下院委員会の広報担当者、Adam Comis(アダム・コミス)氏コメントを求めたがまだ回答がない。
【Japan編集部追記】subpoena(サピーナ)は暫定的に「召喚状」としたが、英米法の手続きで「人に証言を義務付ける命令」と「人または組織に物理的証拠の持参を義務付ける命令」の2種類がある。正確にいえば証言を求めるのは前者であり、記事中のsubpoenaはISPに対してユーザーの身元情報を明かすよう義務付ける命令であるため後者となる。ただし後者に定訳はない。subpenaはラテン語で「制裁の下に」の意味で、従わない場合は法廷侮辱罪などの罪となる可能性がある。
[原文へ]