
米国のサイバーセキュリティ機関が「対応手順書なし」で動いていた?#
政府機関がサイバーインシデントに対応するとき、事前に準備された手順書(Playbook)があるのは当然と思っていないだろうか。
実は、米国の連邦サイバーセキュリティ機関CISAが、2025年5月に発生したインシデント対応中に、そのPlaybookをゼロから作成していたことが明らかになった。
この記事でわかること:
- 何が起きたのか(インシデントの概要)
- CISAがインシデント対応中に直面した体制上の問題
- CISAが今後の改善として示した内容
- 機関を取り巻く現状の背景
📖 約5分で読めます
この記事を読むことで、米国最高峰のサイバーセキュリティ機関が抱える構造的な課題を把握できます。
【結論】今回の件で押さえるべき3つのポイント#
まず結論から整理しておこう。
- Playbookが未整備だった:CISAはインシデント対応の手順書を事前に用意しておらず、対応中に作成した
- 情報漏えいのきっかけは外部からの通報:調査報道記者がCISAに連絡したことで、初めて機関が動いた
- 研究者への連絡窓口が不明確だった:セキュリティ研究者がCISAに通知するためのチャネルが整備されていなかった
各ポイントの詳細は、後続セクションで順を追って解説する。
CISAとは?基本的な役割#
CISA(Cybersecurity and Infrastructure Security Agency)は、米国国土安全保障省の一部門だ。
主な役割は以下の通り。
- 連邦政府ネットワークの防御
- 重要インフラの安全確保の支援
つまり、米国のサイバーセキュリティ体制の中核を担う機関だ。
その機関が、今回のインシデントにおいて対応手順書を持っていなかった事実は、業界に大きな衝撃を与えた。
何が起きたのか:インシデントの経緯#
このセクションでは、インシデントがどのように発覚し、どう処理されたかを時系列で整理する。
発端:公開GitHubリポジトリへの機密情報の露出#
サイバーセキュリティ企業GitGuardianのセキュリティ研究者が、あるGitHubリポジトリを発見した。
そのリポジトリは一般公開状態であり、米国政府システムへのアクセスに使用される機密キーや認証情報が含まれていた。
このリポジトリをアップロードしたのは、CISAの契約企業(コントラクター)の従業員だった。
通報の試みと沈黙#
研究者はまず、該当するコントラクターへの警告を試みた。
しかし、返答はなかった。
独立系ジャーナリストによる報告#
研究者は次に、独立系サイバーセキュリティジャーナリストのBrian Krebs氏に情報を提供した。
Krebs氏が2025年5月にこの件を報告し、CISAに直接連絡したことで、機関はようやく動き出した。
CISAによる対応#
Krebs氏の連絡を受けたCISAは、以下の措置を取った。
- 該当リポジトリをオフライン化
- 露出した認証情報をすべて失効・差し替え
CISAは、この件で顧客データやミッションデータは流出しなかったと述べている。
また、研究者とジャーナリストの両名に対して感謝の意を示した。
インシデント対応中に露呈した体制上の問題#
ここが今回の報告で最も重大な部分だ。
Playbookが存在しなかった#
CISAは2026年7月10日、事後分析レポートを公開した。
そのレポートの中で、スタッフが**「インシデントの初期段階でPlaybookを作成することに時間を費やさなければならなかった」**と認めている。
機関は、「あらゆる想定されるニーズ」に対してPlaybookを事前に準備することの重要性を強調した。
リアルタイムで即興対応するのではなく、事前準備が不可欠というのが、機関自身が導き出した教訓だ。
なお、Playbookが不在だったことによって対応がどれだけ遅れたかについては、レポートには記載されていない。TechCrunchの取材に対するCISAの広報担当者からのコメントも、記事執筆時点では得られていない。
研究者からの連絡チャネルが不明確だった#
CISAはレポートの中で、セキュリティ研究者が機関に潜在的なインシデントを通知するためのチャネルが**「明確に定義されていなかった」**とも認めた。
今回の件では、研究者がコントラクターに連絡を試みて無視され、ジャーナリストを経由してようやくCISAに届いた。
この迂回した経路が示すのは、研究者と機関の間に直接的で明確なコミュニケーション経路がなかったという現実だ。
CISAが示した改善の方向性#
レポートの中でCISAは、今後の取り組みについて以下を示している。
- 研究者が機関に連絡しやすく・速くなるよう変更を加えた
- すべての想定ニーズに対応するPlaybookの事前整備の重要性を明示
ただし、具体的な変更内容の詳細については、元記事を参照されたい。
CISAを取り巻く現状の背景#
このインシデントを理解する上で、CISAの現状も押さえておく必要がある。
| 項目 | 内容 |
|---|---|
| 常任ディレクター | 2025年1月以降、不在が続いている |
| 人員への影響 | トランプ政権発足以降、約3分の1の職員が削減・休職・解雇の影響を受けている |
トランプ大統領の2期目が2025年1月に始まって以降、CISAは恒久的なトップを欠いたまま運営されている。
こうした組織体制の変化が、今回のインシデント対応における準備不足と無関係かどうかは、ソースに記載がないため断言できない。詳細は元記事を参照されたい。
まとめ:今回の件から読み取れること#
今回の件を改めて整理しよう。
- CISAのコントラクター従業員が、米政府システムの機密情報を公開GitHubリポジトリに誤ってアップロードした
- セキュリティ研究者が発見したが、コントラクターは応答せず
- ジャーナリストのBrian Krebs氏がCISAに連絡して初めて対応が始まった
- CISAは対応中にPlaybookをゼロから作成しなければならなかった
- 研究者向けの連絡チャネルが不明確だったことも判明
- CISAは現在、常任ディレクター不在かつ約3分の1の人員削減という状況にある
米国最高峰のサイバーセキュリティ機関でさえ、インシデント対応の準備が十分でなかった。この事実は、組織規模を問わず「事前準備」の重要性を改めて問いかけている。
詳細な事後分析レポートや報道の全文については、元記事(TechCrunch)を参照されたい。
出典:TechCrunch「US cybersecurity agency CISA had to build its incident playbook during the incident, agency reveals」(2026年7月10日、Zack Whittaker)




