📊 3行サマリー

  • 米CISAは2026年5月5日、重要インフラ運営者に対しIT網・第三者ベンダーから切り離した「数週間〜数カ月の孤立運用」を計画させる新指針「CI Fortify」を発表した。
  • 背景は中国系Volt Typhoon・Salt Typhoonによる5年以上の潜伏侵入と、米国側の検知に2年以上を要した事実。電力・水道・通信の運営者がまず対象になる。
  • 日本も2025年5月成立の能動的サイバー防御法が2026〜27年に段階施行され、日本進出する米企業や日本の重要インフラ運営者は米日同時に「孤立耐性」の設計を問われる。

📝 CISA「CI Fortify」5月5日発表、重要インフラに数カ月の孤立運用を要求

米国土安全保障省の傘下にあるCISA(サイバーセキュリティ・インフラセキュリティ庁)が、2026年5月5日に新しい重要インフラ防御方針「CI Fortify」を発表した。電力・水道・通信・運輸といった重要インフラ運営者に対し、地政学的な紛争が起きた場合でも、IT網と第三者ベンダー接続を切り離した状態で「数週間から数カ月、安全に運転を継続できる計画」を作るよう求める内容だ。

従来のサイバー指針は「侵入を防ぐ」「侵入後すぐ復旧する」が中心だった。CI Fortifyはそこを一段ずらし、「侵入されている前提で、通信網も止まる前提で、どれだけ事業を続けられるか」に重心を移した点が新しい。CISAは対象事業者と並行して「目標型評価」を順次行い、まず国防・公衆衛生・経済安定に直結する事業者を優先する方針も公表した。

📰 CyberScoop報道:Nick Andersen長官「IT・第三者と切り離して数カ月、安全運用が目標」

元ネタCISA wants critical infrastructure to operate ‘weeks to months’ in isolation during conflict(CyberScoop / 2026-05-05)

service delivery [that] can still reach critical infrastructure after the asset owner has disconnected with IT and OT, disconnected from third party vendors and service provider connections and disconnected from third party telecommunications equipment.

CISA長官代行のNick Andersen氏は記者団に対し、「資産所有者がIT/OTを切断し、第三者ベンダー・サービス事業者の接続を断ち、第三者の通信機器も切り離した後でも、重要インフラとしてのサービス提供は続けられること」が目標だと説明した。CI Fortifyは「Isolation(隔離)」と「Recovery(復旧)」の二本柱で、前者は第三者・業務系ネットワークの予防的切断、後者はシステム文書化/バックアップ/手動運転への切替訓練を含む。

🔥 Volt Typhoon 5年潜伏・検知遅延2年、「孤立できる構造」しか防御策がない

なぜ「数カ月の孤立運用」というハードルが必要になったのか。背景には、CISA自身が名指しした2つの中国系国家関与アクターがある。

1つはVolt Typhoon。VPN機器の脆弱性を足場に2023年春ごろから米国の電力・水道・通信網に侵入を続け、研究機関の報告では5年以上にわたって潜伏、しかも米国側が侵入を本格的に検知して対応に動くまで2年以上を要したとされる。もう1つがSalt Typhoonで、米国の通信事業者を広範に侵害し、当局が「概ね封じ込めた」と説明した後も、安全保障当局者が「依然として継続的な脅威」と認めている。

つまり米国側の現状認識は、「中国系アクターはすでに重要インフラの内側にいる」「他国系の同種アクターも同じ穴を突いている可能性が高い」という前提に立っている。侵入を完全に止める前提では設計できないと諦めたうえで、「IT・第三者・通信を切れば、少なくとも数カ月は事業が続く」体に作り替えよう、というのがCI Fortifyの本質だ。Andersen長官は、水道では「特定顧客への優先給水」が必ずしも設計されていない一方、電力・運輸では「どの負荷・どの貨物を優先するか」が即時のトレードオフになると例示し、業種ごとに孤立運用の設計は変わると説明している。

🇯🇵 日本の能動的サイバー防御法、2026〜27年段階施行——CI Fortifyと同期する局面

同じ問題は日本にも突きつけられている。日本では2025年5月、いわゆる能動的サイバー防御法が国会で可決され、2026〜2027年にかけて段階施行に入る。柱は4つ——官民の情報共有強化、通信データの監視による脅威検知、攻撃源への対抗アクセスと無害化、そして重要インフラ運営者の体制強化だ。重要インフラ運営者にとって、当ブログ既報の中国系MirrorFaceによる日本政府への200件超の侵入や、北朝鮮ハッカーによる暗号資産事業者侵害は、米国版Volt Typhoonと同じ構造的脅威にあたる。

体制面では、JPCERT/CC・NISC・IPA・CEPTOAR による情報共有とインシデント対応の枠組みが既存。だが「IT/OTを切って数カ月運用する計画」を運営者に持たせる、という具体的な水準にはまだ到達していない。米国に進出する日本企業(特に水道インフラ受託、電力グリッド機器、通信設備、車載OT)は、本社側でCI Fortify対応の目標型評価を受ける可能性が出てくる。逆に米国系運営者の日本子会社は、能動的サイバー防御法による国内規制とCI Fortify由来の本社ガバナンスの二重対応になる。

🏁 平時防御から有事の継戦能力へ——日本企業に問われる「孤立耐性」の設計

CI Fortifyが投げかけているのは、サイバー予算を「ファイアウォール・EDR・ログ分析」だけに配分するモデルからの転換だ。これからはOTネットワークを業務系・第三者から物理的に切り離せる構造数週間〜数カ月分の手動運転手順とアナログ台帳独立した復旧用バックアップ系に投資が向く。

日本の重要インフラ運営者・中堅メーカー・公共サービス事業者にとって、能動的サイバー防御法の段階施行は2026年中に始まる。CISAが「侵入されている前提」で設計を変え始めた今、「侵入させない」から「侵入されても止まらない」に発想を切り替えられるかが、向こう2年間の競争条件になる。