DHS予算の崖がCISAの即応性を削りかねない—「連邦の横串」が痩せるとき現場に起きること

今日の深掘りポイント

• 資金切れが起きても、国境警備や空港保安などの「生命・財産に直結する任務」は継続しますが、CISAの一部業務を含む「横断的な調整・啓発・共有」系機能が痩せるリスクが高いです。
• 連邦の統一アラート（KEV更新、JCDCハブ経由のセクター横断共有）が滞る仮説に基づくと、脆弱性管理と脅威インテリジェンスの“共通言語”が一時的に崩れ、攻撃者の機会窓が広がります。
• 日本企業の北米拠点やサプライチェーンは、連邦支援の遅延を前提に、代替連絡線（ISAC/JPCERT/ベンダーPSIRT）と独自スコアリングの即時運用に切り替える準備が要ります。
• 即時性は高いが、影響度は「静かな遅延」の形で顕在化しがちです。可視化しづらい“機能不全の兆候”をKPIで早期検知する運用が鍵です。
• MITRE ATT&CK観点では、対外向けアプリの搾取（T1190）、フィッシング（T1566）、サプライチェーン（T1195）、正規アカウント濫用（T1078）などの古典が、通知遅延と組合わさって成功率を高める構図が想定されます。

はじめに

米国議会の対立で、国土安全保障省（DHS）の暫定予算が失効すれば、DHSの一部機能が部分閉鎖の対象になります。現場の執行（国境・空港・法執行）は「例外任務」として走り続ける見込みですが、CISAのように“連邦横断のサイバー連携”を担う機能は、人員や公的コミュニケーションが絞られ、反射神経が落ちる可能性が高いです。日本のCISOやSOCにとって、この遅延は直接の停電のようには見えません。しかし、アラート更新や横断的な状況共有が滞るだけで、インシデント初動や脆弱性の優先順位づけが一段と難しくなります。静かな摩擦が、結果として大きな差を生む局面です。

参考：

• 米議会の停滞とDHS資金の期限切れリスク（報道）Biometric Update
• 予算失効時の政府運営ガイダンス（OMB）The White House/OMB
• 連邦政府の歳出・支出を制限する反欠損法（Antideficiency Act）31 U.S.C. §1341
• DHSの職員規模（26万人超）About DHS

深掘り詳細

事実（確認できるファクト）

• 報道によれば、米議会でDHSの新年度予算協議が停滞し、暫定予算の失効により部分閉鎖の瀬戸際にあります。合意に至らなければ、DHSの一部機能が資金不足に直面します。[Biometric Update]
• 予算が失効した場合でも、国民の安全・財産保護に直結する「例外任務」（国家安全保障、法執行、生命に関わる業務）は継続します。これはOMBの「予算不在時の運用」ガイダンスおよび反欠損法の例外規定に基づく運用です。[The White House/OMB][31 U.S.C. §1341]
• DHSは米政府最大級の省庁で、職員は26万人超。TSA（空港保安）、CBP（税関・国境警備）、FEMA（危機管理）に加え、CISAが連邦・州・民間を横断したサイバー防衛の調整・助言・情報共有を担います。[About DHS]

上記から合理的に言えるのは、物理的な保安や法執行は継続される一方で、広報・研修・新規調整・一部の分析配布・助成や契約・出張・イベント的な連携は縮退しやすい、という構造です。CISAについても、直近の脅威対応や重大インシデント支援は「例外任務」に該当して動きますが、平時の土台を支える“横ぐし機能”は細る可能性が高いです。

編集部のインサイト（仮説を含む）

• 横断の「共通言語」が揺らぐ仮説です。CISAのKEV（既知悪用脆弱性）カタログ更新、JCDCのセクター横断アラートや共同対処ワークは、短期間でも遅延すると、民間側の優先順位づけが微妙にズレます。すぐに停電は起きなくても、数日〜数週間で“誤差”が積み上がり、被害分布の裾野が厚くなる恐れがあると見ます（編集部の仮説です）。
• 「現場は動くが、横串が痩せる」ことの副作用です。現場のSOC・IRは動けても、連邦のハブ機能が薄まると、情報の正規化・標準化（脆弱性の優先度、観測の整流化、セクター横断の合意形成）が遅れます。攻撃者は“静かな遅延”を好みます。意思決定のためのファクトが出そろう前に、RCEや外向き端点を叩く、あるいは「閉鎖」をネタにしたフィッシングで初動を獲りに来るシナリオが現実味を帯びます（仮説です）。
• 同盟国・多国籍企業への波及です。北米拠点や米政府との取引がある企業、米国に顧客基盤を持つサービス事業者は、米側の公的連絡の遅延を前提に運用する必要があります。CISA/JCDCの「広い網」が縮退すると、ISAC/ISAO、JPCERT/CC、ベンダーPSIRT、商用TIの比重が一時的に高まります。

脅威シナリオと影響

以下は編集部の仮説に基づく想定シナリオです。いずれも短期間の遅延でも成功確率が上がるタイプで、古典的TTPの“当たりやすさ”が増す構図です。MITRE ATT&CKの典型的テクニックを併記します。

1. KEVや横断アラートの遅延を突く「駆け込みRCE」キャンペーン

• 想定: ベンダーが緊急パッチを出した直後〜数日の間に、CISAの周知や優先度整理が相対的に弱まることを見越し、対外公開アプリ（VPN/ゲートウェイ/ファイル転送/IT管理ツール等）への自動スキャンと即時搾取を集中展開します。
• 主要TTP: 外向きアプリ搾取 T1190、能動スキャン T1595、初期実行 T1059、横展開 T1021、データ暗号化 T1486。
• 影響: 「周知が来てから」では遅く、週末・祝日を跨いだ中堅企業から被害が拡大しやすいです。

2. 「閉鎖」を名目にしたブランドなりすまし・支援中断フィッシング

• 想定: CISA/JCDC、税関、空港保安、運送・物流の名を騙り、「一時停止」「代替手続」「緊急連絡」を口実に資格情報・多要素コードを収集します。
• 主要TTP: フィッシング T1566、リンク経由の資格窃取 T1056やT1110（パスワード詰め合わせ）、正規アカウント悪用 T1078。
• 影響: サプライチェーンの踏み台化に繋がりやすく、B2BポータルやEDI、RMMの認証情報が狙われます。

3. 連邦支援の“静かな不在”を突く二次被害拡大型ランサム

• 想定: 既知のRMM悪用やヘルプデスク侵害から、IRの外部支援が入りづらい時間帯を狙って暗号化・恐喝フェーズを短縮します。
• 主要TTP: 有効アカウント T1078、C2チャネル T1105、バックアップ破壊 T1490、データ窃取 T1041、二重恐喝 T1657相当の手口。
• 影響: 通知・連絡・判断の遅れが、交渉テーブルでの不利と復旧長期化に直結します。

4. 重要インフラ（ICS/OT）での“見えない擦過傷”

• 想定: JCDC/ISAC経由のセクター横断アラートが鈍る局面で、HMI公開や弱認証VNC、リモート保守経路を足掛かりに、偵察と持続化を優先（破壊は急がない）。
• 主要TTP（ATT&CK for ICS）: 有効アカウント T0814、外部リモートサービス T0886、ロジック改変 T0831、表示操作 T0822、ロギング抹消 T0837。
• 影響: 即時の停電・停止ではなく、保守時の誤操作誘発や、後日の強請りカードとして“静かに”仕込む傾向が強まります。

セキュリティ担当者のアクション

• 48〜72時間の“即応パッケージ”を用意する

  • 代替の共通参照を定義します。CISA KEVの最新スナップショットを社内ミラーし、以降の優先度判断はベンダーPSIRT、JPCERT/CC、業界ISAC、商用TI、脆弱性エクスプロイト観測（例：自組織のIDS/ホニネット/外部テレメトリ）で補完します。
  • パッチ優先度の暫定ルールを明文化します。外向きRCE（認証前）、境界機器、ゼロデイ近傍、既存手口の再悪用の4条件は“自動で最優先”に昇格させます。
  • 連邦経由支援の遅延を想定したIRフローに切替えます。一次連絡はISAC/JPCERT/ベンダー、重大時の司法対応は現地リーガル顧問経由とし、経営・広報の承認経路を短縮します。

• 代替連絡線（コミュニケーション）の先回り確保

  • 主要パートナー（MSP/クラウド/通信/物流/米国拠点）との緊急連絡先、チャンネル（電話/SMS/セキュアメッセージ）を事前検証します。相互に“停波・遅延時の優先順位”を合意します。
  • 社外連絡の“用語辞書”を用意します。KEVやJCDC言及が使いづらい局面では、CVSS/EPSS/攻撃観測/事業影響ベースの4軸で説明するテンプレートを準備します。

• 検知とハンティングの重点（当面2週間）

  • 外向き機器の新規プロセス生成、設定変更、再起動イベントの連続検出を強化します。境界機器はSyslogとフローログの保持期間を延長します。
  • RMM（AnyDesk、ScreenConnect等）やPowerShell/WMIC経由の横展開の高感度化、EDR隔離の自動化しきい値を一段下げます。
  • メールは「閉鎖・一時中断・本人確認」をキーワードにユーザー教育を即日実施し、報告ボタンの一次対応SLAを短縮します。

• COOP（運用継続計画）に“連邦支援遅延”セクションを追加

  • 想定：公的アラートや技術支援がT＋24〜72h遅れる。対策：代替ソース、暫定承認権限、経営報告の回数増。
  • KPI：脆弱性是正の平均所要時間（境界系）、初動検知〜封じ込めの中央値、偽陽性率の推移、外部連絡の往復時間。
  • 成功基準：被害の“拡大型”事案（横展開、二次恐喝）をゼロに抑えること。軽微な初期侵入が起きても“落ちない壁”を維持します。

• ベンダー・ISAC活用の強化

  • セクターISAC/ISAO、JPCERT/CC、ベンダーPSIRTの“優先連絡リスト”に自社を登録し、緊急アドバイザリの受信確認（ハートビート）を設定します。
  • クラウド事業者のセキュリティセンター（例：保護ポリシー、推奨修復、脅威検出）の自動適用を“積極モード”に変更します。

• ユーザー・経営への一言

  • これは“派手な停電”ではなく“静かな遅延”のリスクです。止めるべきは、意思決定の迷いと後手です。基準を先に決め、迷わず動く準備を整えます。

参考情報

• 米議会の停滞とDHS資金の期限切れリスク（報道）: https://www.biometricupdate.com/202602/us-congress-deadlocked-as-homeland-security-funding-set-to-expire
• 予算失効時の政府運営ガイダンス（OMB）: https://www.whitehouse.gov/omb/information-for-agencies/agency-operations-in-the-absence-of-appropriations/
• 反欠損法（Antideficiency Act）法令: https://www.law.cornell.edu/uscode/text/31/1341
• DHSの職員規模（About DHS）: https://www.dhs.gov/about-dhs

注記

• 本稿のうち、CISAの具体的な運用縮退内容やアラート更新の遅延の程度は、制度・過去事例と公式ガイダンスから導いた編集部の仮説です。実際の影響は、当日の運用判断や例外任務の適用範囲により変動します。最新の公式発表と各機関の通知を必ず確認ください。