国内サイバーセキュリティ機関の職員3分の2が業務停止状態となり、悪意あるハッカーに機会を提供している
米国の政府閉鎖で連邦政府の日常業務の大半が停止状態に陥っている。民間向けサイバーセキュリティ機関であるサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)を含む、連邦政府の情報技術・サイバーセキュリティ担当職員による日常業務の大半が影響を受けている。
国土安全保障省の文書によれば、2025年10月1日に始まった今回の閉鎖期間中、CISAは最も深刻な人員削減を経験している。連邦職員の一時帰休後、業務継続は職員の約3分の1に任されている。サイバーセキュリティが十分に困難であるかのように、CISA職員の減少に伴い、シャットダウン期間中、米国のサイバー空間を守る業務がますます増えている。そして職員は、閉鎖終了後のいつか、その努力に対する給与が支払われる約束のもとで働いている。
サイバーセキュリティ研究者かつ元業界実務家としての筆者の視点から見ると、現在のCISAの状況には厳しいものがある。同機関はシャットダウン前から既に職員と資源の大幅な削減を経験していた。さらに今回、閉鎖と時期を同じくして、民間セクターとの情報共有を可能にしていた重要な法律が失効した。
これらを総合すると、サイバー防衛機関は、中国主導のソルト・タイフーン攻撃による米通信網への継続的脅威から、ランサムウェア、データ侵害、インフラへの脅威に至るまで需要がかつてないほど高まっている時期に、機能不全に陥っている。
CISAは2007年に国土安全保障省内に創設された。名称が示す通り、連邦政府全体のデジタルセキュリティ関連業務を担当する。また電話網、電力系統、エナジーパイプラインなど米国経済の重要インフラを運営・保護する企業とも連携している。さらに全国の州・地方政府に対し、脆弱なネットワークとデータの保護を支援している。
CISAは政府およびサイバーセキュリティコミュニティ向けに脅威・脆弱性アラートを発行し、新たな脆弱性への対応ベストプラクティスについて官民関係者と連携する。2015年制定のサイバーセキュリティ情報共有法が失効する前は、組織が有用な情報を政府と共有しやすくし、サイバーセキュリティチームがシステム保護を強化する支援も行っていた。
政府機関閉鎖に伴う強制一時帰宅待機は、悪意あるハッカーにとって好機となっている。
政治的駆け引き
同機関はサイバーセキュリティ問題において超党派的な姿勢を貫いてきたが一部の政治家は、州が投票インフラをサイバー攻撃や外部影響から守るための支援活動について、同機関に政治的偏向があると非難している。2020年選挙を「史上最も安全な選挙」と称したことで、同機関は繰り返し中傷の的にされた。選出された公職者の一部にとって、この選挙セキュリティへの取り組みはCISAの評判を傷つけ、おそらく同機関に対する最近の予算措置の背景にある。
トランプ政権が2025年1月に発足して以来、約1,000名のCISA職員が離職している。これは自発的な退職金制度や延期退職によるものだ。2025年5月末までに、CISAの上級幹部ほぼ全員が辞任するか、辞任計画を発表した。
2026年度予算案では、CISAの職員数を約3分の1削減する方針が示されており、リスク管理部門とステークホルダー連携部門の職員を大幅に削減する。その他の削減措置により、同庁の連携活動や各種サイバーセキュリティ教育・訓練プログラムへの資金提供も大幅に縮小される見込みだ。
問題をさらに悪化させているのは、政府機関閉鎖がサイバーセキュリティ情報共有法の更新失敗と同時に発生したことだ。この法律は法的保護を提供し、企業やインフラ運営者が遭遇したサイバー攻撃、脆弱性、インシデントに関するタイムリーで機密性の高い情報をCISAと共有することを可能にしてきた。
同法の失効を受け、慎重な企業は政府と共有する情報の範囲を制限することを検討する可能性がある。CISAによる補償がないため、多くの企業は政府と共有する情報を法務部門で精査する可能性が高い。そしてそれには時間がかかる。
残念ながら、敵対勢力は連邦政府のサイバー防衛予算やサイバーセキュリティ法の状況を考慮して米国への攻撃を減らすことはない。実際、悪意あるハッカーは標的の警戒が緩んだ時に攻撃を仕掛けることが多い。
より良い道筋を模索する
筆者はキャリア初期に長期にわたる政府閉鎖を経験した。また、サイバー・国家安全保障問題に関する情報分析を交換する官民連携の情報共有環境の構築・運営にも携わった。30年以上ワシントンD.C.地域で活動する中で、政府の仕組みを目の当たりにしてきた。だからこそ、米国のサイバーセキュリティ強化に必要な施策を熟知している。以下に提案する内容は出発点にすぎない。
第一に、議会はCISAなど重要保安機関が連邦政府の繰り返し発生する閉鎖の脅威から免れることを保証できる。議会が望むなら、米国の保安機関の予算を2年予算で設定することも可能だ——16州が既に実施している方式である。
サイバーセキュリティ資金に関して言えば、ホワイトハウスが提案した2026年度予算案は、サイバーセキュリティに関する研究と教育を削減している。例えば、将来の連邦サイバーセキュリティ人材を募集・育成・配置する国内最高峰の連邦サイバーセキュリティ奨学金プログラムは60%以上削減される見込みだ。資金を保護すれば、CISAと連邦政府は、現在および将来にわたって、強力で有能なサイバーセキュリティ人材の供給源を維持できるだろう。
企業は、政府の支援や資金提供に完全に依存しない新たな非政府系情報共有ネットワークを構築、あるいは既存のものを拡大できる。例としてサイバー脅威同盟(Cyber Threat Alliance)やインターネットセキュリティセンター(Center for Internet Security)が挙げられる。サイバーセキュリティは信頼に依存する。しかし現状、連邦政府の不安定さにより、政府の政策や資金の影響下にある組織は、いかに実績と信頼があっても依存しづらくなっている。いずれにせよ、法的保護がなければ、こうしたサービスの情報共有機能は限定的となる。
連邦政府が閉鎖してもサイバーセキュリティリスクは残る。これは、各自が自身のサイバーセキュリティに責任を持つべきだという再認識を促すものだ。個人ユーザーは警戒を怠らず、サイバーセキュリティのベストプラクティスに従い、常にオンライン上のリスクを意識すべきである。
皮肉なことに、連邦政府が閉鎖され、CISAが機能不全に陥り、サイバーセキュリティ情報共有法(CISSA)が失効したまさにこの時期に、米国は全国サイバーセキュリティ啓発月間を迎えようとしている。これはCISAが推進する、全米のサイバーセキュリティ向上を目指すもう一つの協働的な市民参加活動である。■
Federal shutdown deals blow to already-hobbled cybersecurity agency
Two-thirds of the staff at the nation’s cybersecurity agency are sidelined, opening opportunities for malicious hackers.
PRINCIPAL LECTURER, UNIVERSITY OF MARYLAND, BALTIMORE COUNTY
OCTOBER 7, 2025 09:46 PM ET
