米国 CISA パブコメ 国家サイバーインシデント対応計画更新案 (2024.12.16)
こんにちは、丸山満彦です。
2024年の宿題シリーズはまだまだ続く...(^^;;
CISAが2016年に策定された国家サイバーインシデント対応計画 (National Cyber Incident Response Plan; NCIRP) を、2022年末に発表された情報セキュリティ戦略2024年 (National Cybersecurity Strategy 2024) に基づいて改訂中ですよ。。。って2023.10.20に発表しました(このブログ...)が、その案がまとまり、パブコメにかけられています...
これ、2016年発行の現行バージョンに比べると、わかりやすい表現、形式になっているように思いました...
ちなみに、サイバーインシデントの定義は、大統領政策指令41(PPD-41)「米国サイバーインシデント調整」(Presidential Policy Directive -- United States Cyber Incident Coordination; PPD-41) に基づいています...
| Cyber incident. An event occurring on or conducted through a computer network that actually or imminently jeopardizes the integrity, confidentiality, or availability of computers, information or communications systems or networks, physical or virtual infrastructure controlled by computers or information systems, or information resident thereon. For purposes of this directive, a cyber incident may include a vulnerability in an information system, system security procedures, internal controls, or implementation that could be exploited by a threat source. | サイバーインシデント:コンピュータネットワーク上で発生した、またはコンピュータネットワークを通じて実施されたイベントで、コンピュータ、情報システム、コミュニケーションシステム、ネットワーク、コンピュータまたは情報システムによって制御される物理的または仮想的なインフラ、またはそこに存在する情報の完全性、機密性、可用性を実際にまたは差し迫って脅かすもの。本指令の目的上、サイバーインシデントには、脅威の発生源によって悪用される可能性がある情報システム、システムセキュリティ手順、内部統制、または実装における脆弱性が含まれる場合がある。 |
| Significant cyber incident. A cyber incident that is (or group of related cyber incidents that together are) likely to result in demonstrable harm to the national security interests, foreign relations, or economy of the United States or to the public confidence, civil liberties, or public health and safety of the American people. | 重大なサイバーインシデント:米国の国家安全保障上の利益、外交関係、経済、または米国国民の信頼、市民的自由、公衆衛生および安全に実証可能な損害をもたらす可能性が高いサイバーインシデント(または関連するサイバーインシデントのグループ)。 |
また、調整構造として、
- インシデント対応方針および意識向上のためのサイバー対応グループ(CRG)
- インシデント対応調整のためのサイバー統合調整グループ(Cyber UCG)
がありますが、これでもPPD-41から来ています...
そして、4つの取り組み分野
| Asset Response | 資産対応 |
| Threat Response | 脅威対応 |
| Intelligence Support | 情報支援 |
| Affected Entity Response | 影響を受ける事業体対応 |
が記載されていますが、これもPPD-41からきています...
| IV. Concurrent Lines of Effort | IV. 同時進行の取り組み |
| In responding to any cyber incident, Federal agencies shall undertake three concurrent lines of effort: threat response; asset response; and intelligence support and related activities. In addition, when a Federal agency is an affected entity, it shall undertake a fourth concurrent line of effort to manage the effects of the cyber incident on its operations, customers, and workforce. | 連邦機関は、サイバーインシデントへの対応において、脅威対応、資産対応、情報支援および関連活動という3つの取り組みを同時進行で実施する。さらに、連邦機関が影響を受ける事業体である場合、その業務、顧客、職員に対するサイバーインシデントの影響を管理するための4つ目の取り組みを同時進行で実施する。 |
| Threat response activities include conducting appropriate law enforcement and national security investigative activity at the affected entity’s site; collecting evidence and gathering intelligence; providing attribution; linking related incidents; identifying additional affected entities; identifying threat pursuit and disruption opportunities; developing and executing courses of action to mitigate the immediate threat; and facilitating information sharing and operational coordination with asset response. | 脅威対応活動には、影響を受ける事業体のサイトにおける適切な法執行および国家安全保障調査活動の実施、証拠の収集および情報収集、帰属の特定、関連インシデントの関連付け、さらなる影響を受ける事業体の識別、脅威の追跡および阻止の機会の特定、差し迫った脅威を緩和するための行動計画の策定および実施、資産対応との情報共有および運用調整の促進が含まれる。 |
| Asset response activities include furnishing technical assistance to affected entities to protect their assets, mitigate vulnerabilities, and reduce impacts of cyber incidents; identifying other entities that may be at risk and assessing their risk to the same or similar vulnerabilities; assessing potential risks to the sector or region, including potential cascading effects, and developing courses of action to mitigate these risks; facilitating information sharing and operational coordination with threat response; and providing guidance on how best to utilize Federal resources and capabilities in a timely, effective manner to speed recovery. | 資産対応活動には、影響を受けた事業体の資産を防御し、脆弱性を緩和し、サイバーインシデントの影響を軽減するための技術支援の提供、リスクにさらされている可能性のある他の事業体の識別と、それらの事業体が同じまたは類似の脆弱性に対して抱えるリスクのアセスメント、 、連鎖反応の可能性を含むセクターまたは地域に対する潜在的なリスクを評価し、これらのリスクを緩和するための行動計画を策定する、脅威対応との情報共有と業務調整を促進する、連邦政府のリソースと能力を迅速かつ効果的に活用して回復を早めるための最善の方法に関する指針を提供する、などである。 |
| Threat and asset responders will share some responsibilities and activities, which may include communicating with affected entities to understand the nature of the cyber incident; providing guidance to affected entities on available Federal resources and capabilities; promptly disseminating through appropriate channels intelligence and information learned in the course of the response; and facilitating information sharing and operational coordination with other Federal Government entities. | 脅威および資産対応者は、いくつかの責任と活動を共有する。これには、サイバーインシデントの性質を理解するために影響を受ける事業体とコミュニケーションを取ること、影響を受ける事業体に利用可能な連邦政府のリソースと能力に関するガイダンスを提供すること、対応の過程で得られた情報やインテリジェンスを適切なチャネルを通じて迅速に広めること、および他の連邦政府機関との情報共有と業務調整を促進することが含まれる。 |
| Intelligence support and related activities facilitate the building of situational threat awareness and sharing of related intelligence; the integrated analysis of threat trends and events; the identification of knowledge gaps; and the ability to degrade or mitigate adversary threat capabilities. | 情報支援および関連活動は、状況認識に基づく脅威の認識および関連情報の共有、脅威の傾向および事象の統合分析、知識のギャップの特定、および敵対者の脅威能力の低下または緩和を促進する。 |
| An affected Federal agency shall engage in a variety of efforts to manage the impact of a cyber incident, which may include maintaining business or operational continuity; addressing adverse financial impacts; protection of privacy; managing liability risks; complying with legal and regulatory requirements (including disclosure and notification); engaging in communications with employees or other affected individuals; and dealing with external affairs (e.g., media and congressional inquiries). The affected Federal agency will have primary responsibility for this line of effort. | 影響を受けた連邦機関は、サイバーインシデントの影響を管理するために、さまざまな取り組みを行う必要がある。これには、業務または業務継続性の維持、財務への悪影響への対応、プライバシーの防御、法的責任リスクの管理、法的および規制上の要件(開示および通知を含む)への準拠、従業員またはその他の影響を受けた個人とのコミュニケーション、外部対応(メディアや議会からの問い合わせなど)が含まれる。影響を受けた連邦機関は、この取り組みの第一の責任を負う。 |
| When a cyber incident affects a private entity, the Federal Government typically will not play a role in this line of effort, but it will remain cognizant of the affected entity’s response activities, consistent with the principles above and in coordination with the affected entity. The relevant sector-specific agency (SSA) will generally coordinate the Federal Government’s efforts to understand the potential business or operational impact of a cyber incident on private sector critical infrastructure. | サイバーインシデントが民間企業に影響を及ぼす場合、連邦政府は通常、この取り組みには関与しないが、上記の原則に則り、影響を受けた事業体の対応活動に留意し、影響を受けた事業体と連携する。関連する特定分野の政府機関(SSA)は、一般的に、民間部門の重要インフラに対するサイバーインシデントの潜在的な事業または業務への影響を理解するための連邦政府の取り組みを調整する。 |
そういうことなので、「国家サイバーインシデント対応計画」の理解のためには、「大統領政策指令41 (PPD-41) 米国サイバーインシデント調整」の理解が不可欠です...
日本もサイバー安全保障の概念が取り入れられつつありますが、その理解のためにも、PPD-41の理解は重要かもしれませんね...
● CISA
・2024.12.16 National Cyber Incident Response Plan Update Public Comment Draft
連邦官報...
● Federal Register
・2024.12.16 Request for Comment on the National Cyber Incident Response Plan Update
| SUPPLEMENTARY INFORMATION: | 補足情報: |
| I. Background | I. 背景 |
| The NCIRP was first written and developed in accordance with Presidential Policy Directive 41 (PPD-41)—U.S. Cyber Incident Coordination and describes how the federal government; private sector; and state, local, tribal, and territorial (SLTT) government entities will coordinate to manage, respond to, and mitigate the consequences of significant cyber incidents. Due to the evolving cyber threat landscape—including increasing risks to critical infrastructure and public services—the need to update the NCIRP has never been greater. | NCIRPは、大統領政策指令41(PPD-41)「米国サイバーインシデント調整」に従って初めて作成・策定され、連邦政府、民間部門、州、地方、部族、領土(SLTT)の政府機関が、重大なサイバーインシデントの管理、対応、影響緩和のためにどのように連携するかを説明している。重要なインフラや公共サービスに対するリスクの増大など、進化するサイバー脅威の状況により、NCIRPの更新の必要性はかつてないほど高まっている。 |
| II. NCIRP Update | II. NCIRPの更新 |
| The NCIRP Update is being led by CISA through the Joint Cyber Defense Collaborative (JCDC), a public-private cybersecurity collaborative established by CISA to unite the global cyber community in the collective defense of cyberspace. The JCDC leverages joint cyber planning authorities granted to the agency by Congress in the 2021 National Defense Authorization Act (codified at 6 U.S.C. 665b). The update addresses changes in the cyber threat and operations landscape by incorporating feedback and lessons learned from stakeholders to make the updated NCIRP more fully inclusive across non-federal stakeholders—further establishing a foundation for continued improvement of the nation's response to significant cyber incidents. | NCIRPの更新は、サイバー空間における集団防衛のためにグローバルなサイバーコミュニティを結集するためにCISAが設立した官民サイバーセキュリティ共同組織である共同サイバー防衛協調(JCDC)を通じて、CISAが主導している。JCDCは、2021年国家国防権限法(6 U.S.C. 665bに規定)により議会から付与された共同サイバー計画当局を活用している。本更新では、利害関係者からのフィードバックや教訓を反映し、連邦政府以外の利害関係者にもNCIRPの更新内容をより包括的に適用することで、サイバー脅威と運用状況の変化に対応している。これにより、重大なサイバーインシデントに対する米国の対応を継続的に改善するための基盤がさらに確立される。 |
・[PDF]
目次...
| Executive Summary | エグゼクティブサマリー |
| Introduction | 序文 |
| Lines of Effort | 取り組み分野 |
| Coordinating Structures | 調整構造 |
| Phases of Cyber Incident Response Operations | サイバーインシデント対応活動の段階 |
| Detection Phase | 検知段階 |
| Response Phase | 対応段階 |
| Post-Incident Activities | インシデント発生後の活動 |
| Implementation and Maintenance | 実施と保守 |
| CISA Activities | CISAの活動 |
| Federal Departments and Agencies | 連邦政府省庁および機関 |
| Nationwide Activities | 全国的な活動 |
| Conclusion | 結論 |
| Annex A: Cyber Incident Severity Schema | 附属書A:サイバーインシデントの深刻度スキーマ |
| Annex B: Preparing for Cyber Incidents | 附属書B:サイバーインシデントへの備え |
| Annex C: Voluntary Reporting of Cyber Incidents to the Federal Government | 附属書C:連邦政府へのサイバーインシデントの自主報告 |
| Annex D: Stakeholder Roles and Responsibilities by Line of Effort | 附属書 D:取り組み分野別の利害関係者の役割と責任 |
| Asset Response | 資産対応 |
| Threat Response | 脅威対応 |
| Intelligence Support | 情報支援 |
| Affected Entity Response | 影響を受ける事業体対応 |
| Annex E: Follow-On Implementation Activities | 附属書 E:その後の実施活動 |
| Annex F: Additional Resources | 附属書 F:追加リソース |
| Annex G: Authorities and Statutes | 附属書 G:権限および法令 |
| Annex H: Acronym List | 附属書 H:略語リスト |
エグゼクティブサマリー...
| Executive Summary | エグゼクティブサマリー |
| The 2023 National Cybersecurity Strategy called for an update of the 2016 National Cyber Incident Response Plan (NCIRP), a strategic national framework for how federal; private sector; state, local, tribal, and territorial (SLTT); and international partners collectively address cyber incidents under Presidential Policy Directive 41 (PPD-41). This update responds to changes in the cyber threat landscape, federal law and policy, and new organizational capabilities. | 2023年国家サイバーセキュリティ戦略では、大統領政策指令41(PPD-41)に基づき、連邦政府、民間セクター、州、地方、部族、領土(SLTT)、および国際パートナーがサイバーインシデントに共同で対応するための国家戦略的枠組みである2016年国家サイバーインシデント対応計画(NCIRP)の更新が求められた。今回の更新は、サイバー脅威の状況、連邦法および政策、新たな組織能力の変化に対応するものである。 |
| At a high level, the NCIRP sets out the structures that the United States government will use to coordinate the response to cyber incidents. It also provides a framework for the potential roles of federal agencies, SLTT government, the private sector, and civil society. However, the NCIRP is not a step-by-step instruction manual on how to conduct a response effort—nor could it be, as every incident and every response is different. Rather, the NCIRP sets out a flexible structure that responders can use to shape their efforts and maximize both efficiency and coordination. CISA encourages private sector entities to review the NCIRP to understand how the government will partner with them in an incident and how to incorporate this framework into their own planning efforts. | NCIRPは、米国政府がサイバーインシデントへの対応を調整するために使用する体制を定めている。また、連邦政府機関、SLTT政府、民間セクター、市民社会が果たしうる役割の枠組みも提供している。ただし、NCIRPは対応活動の実施方法を段階的に説明したマニュアルではない。また、そうなるはずもない。なぜなら、インシデントや対応はそれぞれ異なるからだ。むしろ、NCIRPは、対応者が自らの取り組みを形作り、効率性と連携を最大限に高めるために活用できる柔軟な枠組みを提示している。CISAは、民間事業体に対して、NCIRPを検討し、政府がインシデント発生時にどのように連携するのか、また、この枠組みを自社の計画策定にどのように組み込むかを理解するよう奨励している。 |
| The NCIRP describes four lines of effort: Asset Response, Threat Response, Intelligence Support, and Affected Entity Response. The NCIRP also includes coordination mechanisms, key decision points, and priority activities across the cyber incident response lifecycle. | NCIRPでは、4つの取り組み分野が説明されている。すなわち、資産対応、脅威対応、情報支援、および影響を受ける事業体対応である。NCIRPには、サイバーインシデント対応ライフサイクル全体にわたる調整メカニズム、主要な意思決定ポイント、および優先活動も含まれている。 |
| The NCIRP identifies coordinating structures that response stakeholders may leverage for cyber incidents requiring cross-sector, public-private, or federal coordination. Two key coordination structures are defined by PPD-41: the Cyber Response Group (CRG) for incident response policy and awareness and the Cyber Unified Coordination Group (Cyber UCG) for incident response coordination. The lead agencies for each federal line of effort manage coordination and resourcing within each line of effort. | NCIRPは、セクター横断的、官民、または連邦政府間の調整を必要とするサイバーインシデントに対応する関係者が活用できる調整構造を識別している。PPD-41では、インシデント対応方針および意識向上のためのサイバー対応グループ(CRG)と、インシデント対応調整のためのサイバー統合調整グループ(Cyber UCG)という2つの主要な調整構造が定義されている。各連邦政府の取り組みを主導する機関が、各取り組みにおける調整とリソース管理を担当する。 |
| The NCIRP distinguishes between two main cyber incident response phases: Detection and Response. The Detection phase encompasses monitoring, analysis, and detection to validate a reported incident and assess whether it rises to the level of a significant cyber incident. The Response phase encompasses activities to contain, eradicate, and recover from incidents, and to carry out law enforcement and intelligence activities necessary to attribute the incident and hold the perpetrators accountable. | NCIRPでは、サイバーインシデント対応の2つの主なフェーズ、検知と対応を区別している。検知フェーズでは、報告されたインシデントの妥当性確認と、重大なサイバーインシデントに該当するかどうかをアセスメントするための監視、分析、検知を行う。対応フェーズでは、インシデントの封じ込め、根絶、復旧、およびインシデントの特定と加害者の責任追及に必要な法執行および情報活動を行う。 |
| Comprehensive national preparedness for cyber incidents requires additional planning to address more specific issues and stakeholder communities than the NCIRP alone can provide. The | サイバーインシデントに対する包括的な国家的な備えには、NCIRPだけでは対応できない、より具体的な問題や利害関係者コミュニティに対処するための追加の計画が必要である。 |
| Cybersecurity and Infrastructure Security Agency (CISA) will develop and support additional planning documents to meet these needs. CISA plans to implement a regular cycle of revisions to fulfill its statutory responsibility to update, maintain, and exercise the NCIRP. | サイバーセキュリティ・インフラセキュリティ庁(CISA)は、これらのニーズを満たすために、追加の計画文書の作成と支援を行う予定である。CISAは、NCIRPの更新、維持、実施という法定の責任を果たすために、定期的な改訂サイクルを実施する計画である。 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.10.24 米国 国家サイバーインシデント対応計画2024に向けて改訂中...
Comments