CISAがデータ漏洩の収束に奔走！米議会も説明を要求する緊急事態

米国のサイバーセキュリティ・インフラセキュリティ庁（CISA）が現在、深刻なデータ漏洩問題の収束に向けて対応に追われています。この事態を受け、米議会の議員らはCISAに対して公式な説明と詳細な調査報告を強く求めています。今後の動向に注目が集まっています。

CISAは「今回のインシデントの結果として機密データが流出したという兆候はない」と言ってるけど。いやいや、そのシークレット情報は別として、ってことかよ。

「結局のところ、これは技術的な管理策では解決できない問題です」とボイローは今週のポッドキャストで言ってた。 「これはヒューマンエラーの問題で、雇用した業者が独断でGitHubを使って、業務用のマシンから自宅のマシンにコンテンツを同期させたと判断したんだ。CISAが管理も把握もしていないところでやられたら、どんな技術的対策を講じろと言うのか」だってさ。もっとまともな技術管理ができていれば、外部の業者が2025年半ばのパスワードを自宅のマシンにコピーすることなんてできないはずだし、そもそも5日どころか30日経っても有効なままなんてありえないだろ。

なんて酷いミスだ。「リポジトリを整理されたプロジェクト管理用ではなく、個人の作業用スクラッチパッドや同期用メカニズムとして使っているというパターンが見られる」って……gitに認証情報を入れないなんてgitの基本中の基本だろ？一体どんなパターンと一致してると思ってるんだよ。

CISAへの予算拠出を拒否したマッシーが正しかったのかもな。

専門家を追い出して組織を骨抜きにすれば、他の能力とあわせてセキュリティ対策能力も低下するってことだ。2020年にクリス・クレブスは選挙盗用説を否定した。2025年、トランプはクレブスを解任し、クリアランスを取り消してCISAを長官不在にした。2025年3月には削減が始まり、2026年になっても長官は空席で組織は虫の息。こういう動きは、内部から意図的に国の防衛を弱体化させて混沌を生み出そうとしているようにしか見えない。

公共交通機関の「シュッティフィケーション（劣化）」を思い出すよ。予算を減らしてサービスレベルを下げれば、不満が募る。結局、そういう道はセキュリティ業者への民営化を加速させるだけかもしれない。

トランプ政権が組織の各部門に対して早期退職、買い取り、辞職を強要した結果、CISAは労働力の3分の1以上を失い、幹部のほとんどがいなくなった。

議員たちは回答を求めるけど、自分たちが回答することはないよな。監視する側を誰が監視するのかって話だ。議員による大規模な腐敗がある中で、キーが公開されたらトカゲの尻尾切りかよ？頭の良い人間だってキーを誤って公開してしまうことはいくらでもある。rm -rf * を実行したことはないか？本番DBを破壊したことは？間違ったサーバーの電源を切ったことは？みんなあるだろ。

上院議員たちは、なぜCISAが選挙セキュリティに関する取り組みを縮小しているのか疑問を抱いていたみたいだな[1]。トゥルシー（ギャバード）の今日の辞任は、これが公になったタイミングと重なっていて興味深いね。

昔、SF-86を100万件も漏洩させた時のことを思い出したよ。そう、私たちが機密データを扱っていいか判断されるために、ものすごい量の個人情報を記入するあのフォームのことね。