アメリカ「CIRCIA(サイバーインシデント報告に関する重要インフラ法)」の概要を理解する
アメリカで、2022年に制定された「サイバーインシデント報告に関する重要インフラ法(CIRCIA)」。今回はその概要と各国の制度との違いを解説します。
サイバー攻撃による悪影響は、その頻度、巧妙さ、そして影響の大きさが日に日に増しています。特に、各国の主要な重要インフラを標的とするサイバー攻撃においてはそれが顕著であり、各国政府はより厳格な報告義務とレジリエンス戦略の導入に踏み切っています。アメリカでは、2022年に制定された「サイバーインシデント報告に関する重要インフラ法(CIRCIA: Cyber Incident Reporting for Critical Infrastructure Act、以下CIRCIA)」が、連邦レベルにおけるサイバー脅威の報告、分析、そして対処のあり方に大きな転換点をもたらしています。本稿では、本法律と制度について解説します。
CIRCIAとは何か?
CIRCIAは、重大なサイバーセキュリティインシデントの報告を義務化することで、アメリカのサイバー防衛を強化することを目的とした連邦法です。2022年3月、ジョー・バイデン大統領(当時。以下バイデン氏で統一)の署名により成立しました。この背景には、アメリカの重要インフラを狙った深刻なサイバー攻撃が相次いだこと、そして特にロシアによるウクライナ侵攻をめぐる地政学的緊張の高まりがありました。
CIRCIAの施行は、バイデン氏の大統領令14028「国家のサイバーセキュリティの向上」に示された、アメリカのサイバーセキュリティ体制の近代化という広範な連邦政府の取り組みと一致しています。この大統領令は、可視性の向上、脅威の早期検知、そして各組織が連携したインシデント対応の重要性を強調しており、コロニアル・パイプラインへのランサムウェア攻撃(2021年)、SolarWindsの製品を悪用したサプライチェーン攻撃(2020年)、医療や金融機関への継続的なサイバー攻撃などの事例を踏まえたものです。
(関連記事)
・ランサムウェア「DARKSIDE」および米国のパイプラインへの攻撃に関する解説
・SolarWinds社製品を悪用、米政府などを狙う大規模サプライチェーン攻撃
CIRCIAは、米国国土安全保障省(DHS: Department of Homeland Security)の傘下にあるCISA(Cybersecurity and Infrastructure Security Agency)が、重要インフラ各分野におけるサイバーインシデント情報を一元的に収集できるよう設計されています。これによりCISAは、被害を受けた組織への迅速な支援、関連する脅威インテリジェンスの分野横断的な共有、そして国家レベルの対応を要する影響範囲が広いリスクの特定を可能にします。
とりわけ重要なのは、CIRCIAがこれまでの「事後対応型」から「予防重視型」への米連邦政府のサイバーセキュリティ戦略の転換を示している点です。従来のような任意の情報共有や事後分析に依存するのではなく、本法では報告義務を明文化することで、より迅速かつ効率的なインシデント対応の調整や政策形成を促進することが狙いとされています。
このような可視性の確保は、今日のサイバーセキュリティの状況を踏まえると不可欠です。ランサムウェア攻撃によるシステム停止、データ窃取を目的とした侵入行為、特定国家の関与が疑われるサイバー攻撃者による攻撃など、サイバー攻撃の手法はますます巧妙化しています。
CIRCIAの最終的な目的は、政府と民間組織が連携し、攻撃の傾向を把握し、新たに浮上する脅威への対応策を講じ、そして変化する脅威環境をより明確に理解するための基盤を築くことにあります。
CIRCIA:対象となる業種
CIRCIAは、アメリカの重要インフラに分類される分野で事業を展開している「対象事業者」に適用されます。「重要インフラ」とは、その機能停止や破壊が国家の経済的側面を含む安全保障、公衆衛生、または公共の安全に深刻な影響を及ぼす恐れのある、国にとって極めて重要なシステムや資産を指します。
この法律では、国土安全保障省(DHS)によって指定された以下の条件のいずれかを満たす組織が該当します。
①特定の事業運営や設備を持つ組織(例:CFATS※が適用される化学施設の所有・運用者、5万人以上に緊急対応サービスを提供している組織など)
※CFATSプログラム:化学施設テロ対策基準プログラム。
②以下の表で定義する16の重要インフラ分野に該当する組織。かつ米国中小企業庁(SBA※)が規定する小規模企業に該当しない組織。
※Small Business Administration。
| 業種 | 概要 |
| 化学 (Chemical) |
産業用化学品の製造、貯蔵、輸送に関わる施設およびサプライチェーン。 |
| 商業施設 (Commercial Facilities) |
ショッピングセンター、スポーツアリーナ、娯楽施設などの公共施設。 |
| 通信 (Communications) |
音声およびデータ通信を支える通信事業者とインフラ。 |
| 重要製造業 (Critical Manufacturing) |
金属、機械、電気機器、交通機関などの製造業。 |
| ダム (Dams) |
ダムプロジェクト、水力発電施設、および関連する制御システム。 |
| 防衛産業基盤 (Defense Industrial Base) |
米軍に製品やサービスを提供する組織。 |
| 緊急対応サービス (Emergency Services) |
警察、消防、救急医療、捜索救助などのサービス。 |
| エネルギー (Energy) |
電力会社、石油・天然ガスの生産と流通、原子力発電。 |
| 金融サービス (Financial Services) |
銀行、信用組合、証券取引所、保険会社。 |
| 食料・農業 (Food and Agriculture) |
食品の生産、加工、保管、流通ネットワーク。 |
| 政府関連施設 (Government Facilities) |
連邦、州、地方、部族政府に関連する建物やサービス。 |
| 医療・公衆衛生 (Healthcare and Public Health) |
病院、診療所、製薬会社、医療IT提供者。 |
| 情報技術 (Information Technology) |
ハードウェア・ソフトウェア提供者、クラウドサービス、データセンター。 |
| 原子力関連 (Nuclear Reactors, Materials, and Waste) |
原子力エネルギーの生産や放射性廃棄物管理を担う組織。 |
| 交通システム (Transportation Systems) |
航空、海運、鉄道、道路、大量輸送システム。 |
| 上下水道システム (Water and Wastewater Systems) |
飲料水の供給業者および下水処理施設。 |
表:CISAが規定する16の重要業種(公開情報を基にトレンドマイクロで整理)
(参考情報)「WHAT WOULD BE A COVERED ENTITY UNDER CIRCIA AS PROPOSED IN 6 CFR §226.2?」(CISA)
CIRCIAの対象範囲は、これらの分野における主要組織にとどまらない可能性があります。第三者のサービス提供者やマネージドサービスプロバイダー(MSP)も、対象事業者の重要な機能や技術インフラを支える役割を担っている場合には、この法律の対象となることがあります。この点は、重要インフラ事業者とその広範なデジタルサプライチェーンとの複雑な相互依存関係を反映したものです。
たとえば、医療機関や電力網の運用者に対してサイバーセキュリティ業務を提供するITベンダーは、そのサービスがインフラのレジリエンスに不可欠であると判断される場合、「対象事業者」とみなされる可能性があります。このような解釈は、SolarWindsへの攻撃の事例を踏まえると特に重要です。この攻撃では、広く利用されていたIT管理プラットフォームが侵害され、それを通じて政府機関や民間企業にまで攻撃が及びました。
CIRCIA:対象組織に課される義務と施行後の変化
CIRCIAのもとで、「対象事業者」は、最終規則の公表および法律の施行後に、2つの主要なインシデント報告義務を果たす必要があります。
対象となるサイバーインシデントに対する72時間以内の報告義務
組織は、「対象となるサイバーインシデント」が発生したと合理的に認識した時点から72時間以内に、CISAに対してそのインシデントを報告しなければなりません。この72時間という期間は、企業が初期評価を行う時間を確保しつつ、政府による迅速な対応や連携を可能にすることを目的としています。
「対象となるサイバーインシデント」とは、情報システムの機密性、完全性、可用性に影響を与える、あるいは業務に支障をきたす重大なインシデントを指します。たとえば以下のようなケースが該当します:
・機密データの漏洩につながる脆弱性の悪用
・長時間にわたるサービス停止を引き起こすDDoS攻撃
・サプライチェーンへの攻撃による不正アクセスや業務の中断
・業務運営に深刻な損害を与えるインシデント
ここで言う「合理的な認識」の具体的な定義は現在ルール策定中(2025年6月12日現在)ですが、一般的には、報告対象となるインシデントが発生したと判断するに足る十分な情報を組織が得た時点を指すと考えられています。
ランサムウェア支払いに対する24時間以内の報告義務
対象事業者がサイバー攻撃への対応としてランサム(身代金)を支払う決定をした場合は、その支払いから24時間以内にCISAへ報告しなければなりません。これは、被害者自身による支払いだけでなく、保険会社や交渉業者など第三者によって行われた支払いも含まれます。
この報告義務は、連邦政府と法執行機関との迅速な連携を促進し、ランサムウェアの種類、手口、支払い経路などに関する情報の収集を目的としています。ランサムウェア攻撃の増加と深刻化に対応するため、CIRCIAは包括的なデータベースの構築を目指しており、それを通じて国家的な防御戦略や攻撃者の妨害活動の足がかりを得ようとしています。
報告に含めるべき内容
CISAに提出されるインシデント報告書※には、以下のような具体的な情報を含める必要があります。
※CISAの用意しているフォームに入力するか、メールを送信することが推奨されている。
・インシデントの種類および影響を受けたシステムや資産
・攻撃の推定タイムライン
・悪用されたと確認されている脆弱性
・使用された戦術・技術・手法(TTPs)
・重要機能や業務への影響
・ランサム要求の詳細および支払いの有無
・組織内の連絡担当者情報
これらの報告は一元的にデータベースに保存され、受領後24時間以内に関連する連邦政府の関連機関に共有されます。たとえば、FBI(米国連邦捜査局)やSEC(証券取引委員会)が最初に報告を受けた場合でも、その機関は24時間以内にCISAに報告内容を引き渡す義務があります。
機密保持を担保するために、CIRCIAには情報公開法(FOIA: Freedom of Information Act)の適用除外が設けられています。提出された報告書は一般に公開されることはなく、規制当局による制裁の根拠として利用されることもありません。また、報告を行った組織に対しては法的責任の免除が与えられ、報告の促進と協力の確保が図られています。
CIRCIA:他地域の類似規制との違い
アメリカがCIRCIAを導入し、重要インフラに対するサイバーインシデント報告の一元化を進めている一方で、他の地域、特に欧州連合(EU)では、並行する枠組みが整備されています。
EU–NIS2指令
NIS2指令(NIS2 Directive)は、2023年に発効されたもので、従来の指令を拡張し、「必須(essential)」および「重要(important)」な事業体に対して、サイバーリスク管理とインシデント報告を義務づけています。CIRCIAと同様に、重大なサイバーインシデントの迅速な開示を求め、国家としてのレジリエンスを強化することを目的としています。ただし、NIS2は企業規模に基づく自動適用ルールを採用しており、中規模および大規模の組織を自動的に適用対象としています。一方、CIRCIAはあらかじめ定義された重要インフラ分野に焦点を当てています。また、NIS2では初期通知の期限が24時間以内とされており、CIRCIAの72時間以内というサイバーインシデント報告期限(ランサムウェア支払いは24時間以内)よりも短い設定となっています。
(関連記事)NIS2指令:EUで事業を展開する日本企業が知っておくべきこと
オーストラリア – 重要インフラ保護法(SOCI:Security of Critical Infrastructure Act)
オーストラリアのSOCI法(Security of Critical Infrastructure Act)は、2021年および2022年の改正を経て、CIRCIAと同様に重要インフラ事業者を対象とした制度となっています。この法律では、エネルギー、通信、交通、医療など11分野の事業者に対して、サイバーセキュリティインシデントが発生した際に、重大なインシデントは12時間以内、それ以外は72時間以内に報告する義務があります。CIRCIAと同様に、オーストラリア信号局(ASD)という中央機関を通じた情報共有と国家的な連携が重視されていますが、SOCIはより強制力の強い枠組みを導入しており、重大なインシデント時には政府が民間ネットワークに介入できる権限を有しています。
(参考情報)
「Security of Critical Infrastructure Act 2018 (SOCI)」(オーストラリア政府)
「Security Legislation Amendment (Critical Infrastructure Protection) Bill 2022」(オーストラリア議会)
シンガポール – サイバーセキュリティ法(2018年)
シンガポールのサイバーセキュリティ法(Cybersecurity Act)では、「重要情報インフラ(CII: Critical Information Infrastructure)」の所有者がインシデントを発見した場合、2時間以内に報告する義務が課されています。これはアメリカのCIRCIAの報告期限と比較するとかなり短いものです。両国とも、中央のサイバーセキュリティ機関(シンガポールではCSA)を通じた詳細な報告を求めている点では共通していますが、シンガポールの法制度はより明確に監査・コンプライアンスに重点を置いており、リスクアセスメントや定期的な報告、サイバーセキュリティサービス提供者のライセンス制度など、CIRCIAにはない要素も含まれています。
(参考情報)「Cybersecurity Act 2018」(Singapore Statutes Online)
日本 – サイバーセキュリティ基本法および業界別ガイドライン
日本にはCIRCIAに相当する包括的な法律は存在せず、各省庁や関係機関が分野ごとにガイドラインを発行する形で対応しています。国家レベルでは、内閣サイバーセキュリティセンター(NISC)が全体の調整役を担っています。金融、エネルギー、通信など一部の分野では報告義務がありますが、これらの多くは任意または助言的な性格にとどまります。
ただし、国際的な動向を踏まえて、2025年5月に「能動的サイバー防御法※」が成立し、国内の基幹インフラ事業者に対して、セキュリティインシデントの報告義務を課す形となりました(事業所管大臣と内閣総理大臣に報告する義務)。より明文化されたルール整備への取り組みが、日本でも進みつつあります。
※正式名称は、「重要電子計算機に対する不正な行為による被害の防止に関する法律」および「重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律」。
(関連記事)
・「サイバーセキュリティ経営ガイドライン ver3.0」の改定ポイントーセキュリティ被害にみる企業の優先課題
・経済安全保障推進法をサイバーセキュリティ視点でとらえる~企業が備えるべきポイントを解説~
・金融庁サイバーセキュリティガイドラインの要点は?~175項目はどのような項目か?
・総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」とは?~改訂ポイントを分かりやすく解説~
・文科省「教育情報セキュリティポリシー関するガイドライン(令和6年版)」を分かりやすく解説~教育現場でのゼロトラスト実現に向けて~
CIRCIAが日本企業にもたらす意味
CIRCIAは、アメリカ国内に拠点、子会社、または取引先を持つ日本企業にとっても重要な影響を及ぼします。特に、16の重要インフラと分類される分野で事業を展開している企業にとっては、その影響が顕著です。エネルギー、自動車製造、医薬品、情報技術といった業種に属する日本企業であっても、米国拠点が重要な機能やサービスを支えている場合は、本法の対象となる可能性があります。
米国拠点への影響
エネルギー、自動車、テクノロジー、基幹製造業といった分野で、米国内に子会社や事業拠点を持つ日本企業は、CIRCIAの適用対象に含まれる可能性があります。これらのアメリカの拠点が、重要インフラの一部と見なされる場合、最終規則が施行され次第、サイバーインシデントおよびランサムウェアに関する報告義務が課されます。
対象となる企業は、72時間および24時間以内の報告期限を守る体制の整備が求められます。さらに、「合理的な認識」が成立したタイミングを判断するためのメカニズムを持ち、CISAに対して必要な技術的情報を提出できる準備が必要です。これらに適切に対応できない場合、アメリカ国内市場において規制上のリスクやレピュテーションリスクを招く恐れがあります。
グローバルなサイバーセキュリティ統治への戦略的影響
CIRCIAが直接適用されない日本企業にとっても、この法律は、より厳格で執行力のあるサイバーインシデント報告制度へと各国が向かうという、世界的な規制動向を示唆するものです。EUのNIS2やオーストラリアのSOCI、そして将来的に日本でも検討される可能性のある新たなルールなど、各地域での規制整合が進む中、多国籍企業にはインシデント対応ポリシーの統一が求められつつあります。
CIRCIAは、日本企業にとってグローバルレベルのサイバーガバナンスを強化する好機ともなり得ます。国境を越えたコンプライアンス体制の構築、業務フローの標準化、そして海外拠点を含む脅威の可視化能力の向上といった取り組みが重要です。今後、サイバーセキュリティ規制が世界的に進化する中で、複数の法域に対応できる統合的なセキュリティチームの整備が鍵を握ることになるでしょう。
(参考記事)堀場製作所のDX責任者が語る“ほんまもん”のグローバルセキュリティ戦略
CIRCIA:重要なポイント
CIRCIAへの対応を早期に進めることは、日本企業にとって法的および業務上のリスクを低減し、国境を越えたサイバー・レジリエンスを強化するうえで有益です。そのためには、「対象となるサイバーインシデント」が何を意味するかを判断するための社内ポリシーや手続きを整備し、厳格な報告期限に対応できる体制を構築すること、そしてアメリカでのコンプライアンスを支えるグループ全体のサイバーセキュリティ・ガバナンスの整合が求められます。
より広い視点では、CIRCIAは義務的かつ時間に敏感なサイバーインシデント報告への世界的な潮流を示しています。たとえ現時点でアメリカの管轄下に該当しない場合でも、日本企業はCIRCIAをひとつの基準として、自社のグローバルなサイバーセキュリティ対策を見直し、強化することが可能です。国際基準への早期適合は、今後アジアや他地域で同様の規制が拡大するなかで、競争上の優位性にもつながるでしょう。
<関連記事>
・NIS2指令:EUで事業を展開する日本企業が知っておくべきこと
・世界各国のサイバーセキュリティ評価制度を考察~日本の新たな枠組みに向けたヒント~
Security GO新着記事
アメリカ「CIRCIA(サイバーインシデント報告に関する重要インフラ法)」の概要を理解する
(2025年6月13日)
MITRE ATLASとは何か?:概要編
(2025年6月6日)
実例にみる、法人も注意すべきサポート詐欺の攻撃手法
(2025年6月4日)
