« 米国財務省は金融機関等にランサムウェアの支払いを勧めた場合の制裁リスクを強調する勧告を出していますね。。。 | Main | 厚生労働省 医療情報システムの安全管理に関するガイドライン第5.1版(案)に関する御意見の募集について »

2020.10.04

サイバースペース・ソラリウム委員会

こんにちは、丸山満彦です。

そういえば、以前米国の友人から紹介されていた「サイバースペース・ソラリウム委員会」の報告書、まだ読めていない、、、と言うことでブログに書いて自分にプレッシャー。。。(^^)

サイバースペース・ソラリウム委員会(Cyberspace Solarium Commission)は米国国防権限法(National Defense Authorization Act: NDAA[wikipedia])に基づき2019年に設立された委員会です。。。

2020.03.11にリコメンデーションを含む報告書を出してます。

Cyberspace Solarium CommissioReport

・2020.03.11 [PDF] Official Report

・2020.03.11 [PDF] Exective Summary

・2020.07.20 [PDF] Legislative Proposals

-----

勧告事項の項目は6つのPillarに分けられていますね。。。

Foundation: Government Reform
 Pillar1: Reform the U.S. Government’s Structure and Organization for Cyberspace

Layer 1: Shape Behavior 
 Pillar2: Strengthen Norms and Non-military Tools

Layer 2: Deny Benefits 
 Pillar3: Promote National Resilience
 Pillar4: Reshape the Cyber Ecosystem toward Greater Security
 Pillar5: Operationalize Cybersecurity Collaboration with the Private Sector

Layer 3: Impose Costs 
 Pillar6: Preserve and Employ the Military Instrument of Power

-----

その他にもパンデミック等に関わる報告書が公開されていますね。。。

・2020.09.04 [PDF] Cybersecurity Lessons from the Pandemic #3
・2020.06.02 [PDF] Cybersecurity Lessons from the Pandemic #1


Official Reportの目次


EXECUTIVE SUMMARY

THE CHALLENGE

  • The Threat
  • Where Are We Now?
  • Where Are We Headed?
  • An Inflection Point

HISTORICAL LEGACY AND METHODOLOGY

  • Historical Legacy
  • Methodology

STRATEGIC APPROACH: LAYERED CYBER DETERRENCE

  • The Strategic Logic Of Deterrence
  • Defend Forward And Layered Cyber Deterrence
  • The Implementation Of Layered Cyber Deterrence

PILLARS AND KEY RECOMMENDATIONS

  • Reform the U.S. Government’s Structure and Organization for Cyberspace
  • Strengthen Norms and Non-military Tools
  • Promote National Resilience
  • Reshape the Cyber Ecosystem toward Greater Security
  • Operationalize Cybersecurity Collaboration with the Private Sector
  • Preserve and Employ the Military Instrument of Power

APPENDICES

  • A: Roll-Up of Recommendations
  • B: Legislative Proposals
  • C: Glossary
  • D: Abbreviations
  • E: Government Structure for Cybersecurity
  • F: Situating Layered Cyber Deterrence
  • G: Engagements
  • H: Commissioners
  • I: Staff List
  • J: Solarium Event

Support

NOTES





■ 参考 報道等

● The Heritage foundation
・2020.08.20 Cybersecurity: Five “Keepers” in the Cyberspace Solarium Commission Report

SUMMARY

Cybersecurity, one of the most important issues facing the nation today, requires not only a whole-of-government response but a whole-of-society response. Piecemeal reforms and stand-alone policies will not adequately address the cyber threats the nation faces. The threat of a major cyberattack carries a large degree of risk for the economy, critical infrastructure, and national defense. Achieving deterrence in cyberspace should be approached holistically, with an emphasis on strengthening both offensive and defensive capabilities and an understanding that cyber interactions with adversaries are both constant and unavoidable.

 


● CSO online
・2020.07.28 Many Cyberspace Solarium Commission recommendations expected to become federal law by

Dozens of cybersecurity measures designed to protect US businesses and infrastructure are part of the National Defense Authorization Act. Budget, political concerns might eliminate some.


The Cyberspace Solarium Commission have released CSC’s fiscal year 2021 legislative proposals to defend critical infrastructure from cyberattacks, the commission reported Tuesday. 

 

● Council on Foreign Relations
・2020.07.09 The Cyberspace Solarium Commission on What the Pandemic Teaches Cybersecurity by David P. Fidler

Although the Cyberspace Solarium Commission's new white paper outlined many of the cybersecurity challenges generated by the COVID-19 pandemic, it neglected to address other major issues, such as widespread interest in using digital technologies to implement public health measures. Whether the pandemic will serve as a "call to action" for U.S. policymakers, as the commission hopes, is unclear.

● Help Netsecurity
・2020.07.09 Three major gaps in the Cyberspace Solarium Commission’s report that need to be addressed by Chris Kennedy


Released in March 2020, the Cyberspace Solarium Commission’s report urges for the U.S. government and private sector to adopt a “new, strategic approach to cybersecurity,” namely layered cyber deterrence.

●(明治大学理工学部 齋藤孝道先生)
・2020.05.07 サイバースペース・ソラリウム委員会レポート:エグゼクティブサマリのサマリ by Takamichi Saito




 

Exective SummaryをHTMLにしたり、軽く翻訳したりしています。。。

[HTML] executive summary

[WORD] executive summary

 

 

PILLAR 1 REFORM THE U.S. GOVERNMENT’S STRUCTURE AND ORGANIZATION FOR CYBERSPACE サイバースペースに向けた米国政府の構造と組織の改革
Key Recommendation 1.1 Issue an Updated National Cyber Strategy 最新の国家サイバー戦略の発行
Enabling Recommendation 1.1.1 Develop a Multitiered Signaling Strategy 多層化シグナリング戦略の開発
Enabling Recommendation 1.1.2 Promulgate a New Declaratory Policy 新たな宣言的な方針の制定
Key Recommendation 1.2 Create House Permanent Select and Senate Select Committees on Cybersecurity サイバーセキュリティに関する下院常設特別委員会と上院特別委員会の設置
Enabling Recommendation 1.2.1 Reestablish the Office of Technology Assessment 技術評価室の再設置
Key Recommendation 1.3 Establish a National Cyber Director 国家サイバー長官の設置
Key Recommendation 1.4 Strengthen the Cybersecurity and Infrastructure Security Agency サイバーセキュリティ・インフラセキュリティ庁 (CISA) の強化
Enabling Recommendation 1.4.1 Codify and Strengthen the Cyber Threat Intelligence Integration Center サイバー脅威インテリジェンス統合センターの成文化と強化
Enabling Recommendation 1.4.2 Strengthen the FBI’s Cyber Mission and the National Cyber Investigative Joint Task Force FBIのサイバーミッションと国家サイバー捜査合同タスクフォースの強化
Key Recommendation 1.5 Diversify and Strengthen the Federal Cyberspace Workforce 連邦サイバー人材の多様化と強化
Enabling Recommendation 1.5.1 Improve Cyber-Oriented Education サイバー教育の改善
     
PILLAR 2 STRENGTHEN NORMS AND NON-MILITARY TOOLS 規範と非軍事的手段の強化
Key Recommendation 2.1 Create a Cyber Bureau and Assistant Secretary at the U.S. Department of State 米国務省へのサイバー局と次官補の創設
Enabling Recommendation 2.1.1 Strengthen Norms of Responsible State Behavior in Cyberspace サイバースペースにおける国家の責任ある行動規範の強化
Enabling Recommendation 2.1.2 Engage Actively and Effectively in Forums Setting International Information and Communications Technology Standards 国際的な情報通信技術基準を設定するフォーラムに積極的かつ効果的に参加する
Enabling Recommendation 2.1.3 Improve Cyber Capacity Building and Consolidate the Funding of Cyber Foreign Assistance サイバー能力開発の改善とサイバー対外支援のための資金調達の一元化
Enabling Recommendation 2.1.4 Improve International Tools for Law Enforcement Activities in Cyberspace サイバー空間における法執行活動のための国際的なツールの改善
Enabling Recommendation 2.1.5 Leverage Sanctions and Trade Enforcement Actions 制裁措置と通商執行措置の活用
Enabling Recommendation 2.1.6 Improve Attribution Analysis and the Attribution-Decision Rubric アトリビューション分析とアトリビューション決定ルーブリックの改善
Enabling Recommendation 2.1.7 Reinvigorate Efforts to Develop Cyber Confidence-Building Measures サイバー信頼醸成策の開発に向けた取り組みを強化
     
PILLAR 3 PROMOTE NATIONAL RESILIENCE 国家の回復力の促進
Key Recommendation 3.1 Codify Sector-specific Agencies into Law as “Sector Risk Management Agencies” and Strengthen Their Ability to Manage Critical Infrastructure Risk 部門別機関の「部門リスク管理機関」として法制化と、重要インフラリスク管理能力の強化
Enabling Recommendation 3.1.1 Establish a Five-Year National Risk Management Cycle Culminating in a Critical Infrastructure Resilience Strategy 5年毎の国家リスク管理サイクルの確立と、重要インフラの回復力強化戦略との連携
Enabling Recommendation 3.1.2 Establish a National Cybersecurity Assistance Fund to Ensure Consistent and Timely Funding for Initiatives That Underpin National Resilience 国家のレジリエンスを支えるイニシアチブへの一貫した適時の資金提供を確保するための国家サイバーセキュリティ支援基金の設立
Key Recommendation 3.2 Develop and Maintain Continuity of the Economy Planning 経済計画の策定と継続性の維持
Key Recommendation 3.3 Codify a “Cyber State of Distress” Tied to a “Cyber Response and Recovery Fund” サイバー対応・復旧基金」に紐づいた「苦境のサイバー状態」を成文化
Enabling Recommendation 3.3.1 Designate Responsibilities for Cybersecurity Services under the Defense Production Act 防衛生産法に基づくサイバーセキュリティ業務の責任指定
Enabling Recommendation 3.3.2 Clarify Liability for Federally Directed Mitigation, Response, and Recovery Efforts 連邦政府が指示した緩和、対応、復旧活動に対する責任の明確化
Enabling Recommendation 3.3.3 Improve and Expand Planning Capacity and Readiness for Cyber Incident Response and Recovery Efforts サイバーインシデントへの対応と復旧に向けた計画能力と準備態勢の向上と拡大
Enabling Recommendation 3.3.4 Expand Coordinated Cyber Exercises, Gaming, and Simulation サイバー演習、ゲーム、シミュレーションの連携拡大
Enabling Recommendation 3.3.5 Establish a Biennial National Cyber Tabletop Exercise 2年に1度の全国サイバー机上演習の確立
Enabling Recommendation 3.3.6 Clarify the Cyber Capabilities and Strengthen the Interoperability of the National Guard 国家警備隊のサイバー能力の明確化と相互運用性の強化
Key Recommendation 3.4 Improve the Structure and Enhance Funding of the Election Assistance Commission 選挙支援委員会の体制整備と財源の充実
Enabling Recommendation 3.4.1 Modernize Campaign Regulations to Promote Cybersecurity サイバーセキュリティ推進のためのキャンペーン規制の近代化
Key Recommendation 3.5 Build Societal Resilience to Foreign Malign Cyber-Enabled Information Operations サイバーを利用した情報操作に対する社会的レジリエンスの構築
Enabling Recommendation 3.5.1 Reform Online Political Advertising to Defend against Foreign Influence in Elections 選挙での外国人の影響力に対抗するためのネット政治広告の改革
     
PILLAR 4 RESHAPE THE CYBER ECOSYSTEM TOWARD GREATER SECURITY より大きなセキュリティに向けたサイバーエコシステムの再構築
Key Recommendation 4.1 Establish and Fund a National Cybersecurity Certification and Labeling Authority 国家サイバーセキュリティ認証・ラベリング機関の設立と資金調達
Enabling Recommendation 4.1.1 Create or Designate Critical Technology Security Centers 重要技術セキュリティセンターの設置または指定
Enabling Recommendation 4.1.2 Expand and Support the National Institute of Standards and Technology Security Work 国立標準技術研究所のセキュリティ業務の拡充と支援
Key Recommendation 4.2 Establish Liability for Final Goods Assemblers 最終製品組立業者の責任の確立
Enabling Recommendation 4.2.1 Incentivize Timely Patch Implementation 適時なパッチの実装の奨励
Key Recommendation 4.3 Establish a Bureau of Cyber Statistics サイバー統計局の設置
Key Recommendation 4.4 Resource a Federally Funded Research and Development Center to Develop Cybersecurity Insurance Certifications 連邦政府による資金提供する研究開発センターへの資源の提供、サイバーセキュリティ保険商品の認証の開発
Enabling Recommendation 4.4.1 Establish a Public-Private Partnership on Modeling Cyber Risk サイバーリスクのモデル化に関する官民パートナーシップの確立
Enabling Recommendation 4.4.2 Explore the Need for a Government Reinsurance Program to Cover Catastrophic Cyber Events 破局的なサイバーイベントをカバーするための政府再保険プログラムの必要性の検討
Enabling Recommendation 4.4.3 Incentivize Information Technology Security through Federal Acquisition Regulations and Federal Information Security Management Act Authorities 連邦調達規則と連邦情報セキュリティ管理法の権限を通じた情報技術セキュリティの奨励
Enabling Recommendation 4.4.4 Amend the Sarbanes-Oxley Act to Include Cybersecurity Reporting Requirements サーベンス・オクスリー法の改正によるサイバーセキュリティ報告要件の盛り込み
Key Recommendation 4.5 Develop a Cloud Security Certification クラウドセキュリティ認定資格の開発
Enabling Recommendation 4.5.1 Incentivize the Uptake of Secure Cloud Services for Small and Medium-Sized Businesses and State, Local, Tribal, and Territorial Governments 中小企業および州、地方、トライバル、および準州政府のためのセキュアなクラウドサービスの導入の奨励
Enabling Recommendation 4.5.2 Develop a Strategy to Secure Foundational Internet Protocols and Email 基礎となるインターネットプロトコルと電子メールの安全性を確保するための戦略の策定
Enabling Recommendation 4.5.3 Strengthen the U.S. Government’s Ability to Take Down Botnets 米国政府のボットネット対策能力の強化
Key Recommendation 4.6 Develop and Implement an Information and Communications Technology Industrial Base Strategy 情報通信技術産業基盤戦略の策定と実行
Enabling Recommendation 4.6.1 Increase Support to Supply Chain Risk Management Efforts サプライチェーンのリスクマネジメントへの取り組みへの支援を強化
Enabling Recommendation 4.6.2 Commit Significant and Consistent Funding toward Research and Development in Emerging Technologies 新興技術の研究開発に向けた多額の資金の集中的な投入
Enabling Recommendation 4.6.3 Strengthen the Capacity of the Committee on Foreign Investment in the United States 対米外国投資委員会の能力強化
Enabling Recommendation 4.6.4 Invest in the National Cyber Moonshot Initiative 国家サイバー・ムーンショット・イニシアチブへの投資
Key Recommendation 4.7 Pass a National Data Security and Privacy Protection Law 国家データセキュリティ・プライバシー保護法の可決
Enabling Recommendation 4.7.1 Pass a National Breach Notification Law 全国的な違反通知法の成立
     
PILLAR 5 OPERATIONALIZE CYBERSECURITY COLLABORATION WITH THE PRIVATE SECTOR 民間セクターとのサイバーセキュリティ連携の運用化
Key Recommendation 5.1 Codify the Concept of “Systemically Important Critical Infrastructure” 「システム的に重要な重要インフラ」の概念を成文化
Enabling Recommendation 5.1.1 Review and Update Intelligence Authorities to Increase Intelligence Support to the Broader Private Sector 広範な民間セクターへの諜報支援を強化するための諜報機関の見直しと更新
Enabling Recommendation 5.1.2 Strengthen and Codify Processes for Identifying Broader Private-Sector Cybersecurity Intelligence Needs and Priorities より広範な民間企業のサイバーセキュリティインテリジェンスのニーズと優先事項を特定するためのプロセスの強化と体系化
Enabling Recommendation 5.1.3 Empower Departments and Agencies to Serve Administrative Subpoenas in Support of Threat and Asset Response Activities 脅威と資産への対応活動を支援するための行政召喚状に対応できるようにするための各省庁への権限の付与
Key Recommendation 5.2 Establish and Fund a Joint Collaborative Environment for Sharing and Fusing Threat Information 脅威情報の共有・融合のための共同協力環境の構築と資金提供
Enabling Recommendation 5.2.1 Expand and Standardize Voluntary Threat Detection Programs 自主的な脅威検知プログラムの拡大と標準化
Enabling Recommendation 5.2.2 Pass a National Cyber Incident Reporting Law 全国サイバーインシデント報告法の合格
Enabling Recommendation 5.2.3 Amend the Pen Register Trap and Trace Statute to Enable Better Identification of Malicious Actors 悪質な行為者をより適切な識別を可能にするためのペンレジスタ・トラップトレース法の改正
Key Recommendation 5.3 Strengthen an Integrated Cyber Center within CISA and Promote the Integration of Federal Cyber Centers CISA内の統合サイバーセンターを強化と連邦サイバーセンターの統合の促進
Key Recommendation 5.4 Establish a Joint Cyber Planning Cell under the Cybersecurity and Infrastructure Security Agency サイバーセキュリティ・インフラセキュリティ機構の下に共同サイバー企画セルを設置
Enabling Recommendation 5.4.1 Institutionalize Department of Defense Participation in Public-Private Cybersecurity Initiatives 官民サイバースセキュリティイニシアティブへの国防省の参加の制度化
Enabling Recommendation 5.4.2 Expand Cyber Defense Collaboration with Information and Communications Technology Enablers 情報通信技術イネーブラーとのサイバー防衛連携を拡大
     
PILLAR 6 PRESERVE AND EMPLOY THE MILITARY INSTRUMENT OF POWER 軍事的手段の維持と活用
Key Recommendation 6.1 Direct the Department of Defense to Conduct a Force Structure Assessment of the Cyber Mission Force 国防省へのサイバーミッション部隊の戦力構造評価の実施の指示
Enabling Recommendation 6.1.1 Direct the Department of Defense to Create a Major Force Program Funding Category for U.S. Cyber Command 米国防省への米国サイバー司令部のための主要部隊プログラムの資金調達カテゴリーの創設の指示
Enabling Recommendation 6.1.2 Expand Current Malware Inoculation Initiatives 現在のマルウェア接種の取組みの拡大
Enabling Recommendation 6.1.3 Review the Delegation of Authorities for Cyber Operations サイバー作戦の権限委譲の見直し
Enabling Recommendation 6.1.4 Reassess and Amend Standing Rules of Engagement and Standing Rules for Use of Force for U.S. Forces 米軍の交戦常任規則及び武力行使常任規則の見直しと改正
Enabling Recommendation 6.1.5 Cooperate with Allies and Partners to Defend Forward 連合国やパートナーとの協力による前線の防衛
Enabling Recommendation 6.1.6 Require the Department of Defense to Define Reporting Metrics 国防省への報告基準の定義の要求
Enabling Recommendation 6.1.7 Assess the Establishment of a Military Cyber Reserve 軍事サイバー予備軍の設立ための評価
Enabling Recommendation 6.1.8 Establish Title 10 Professors in Cyber Security and Information Operations サイバーセキュリティと情報運用のタイトル10の教授の設置
Key Recommendation 6.2 Conduct a Cybersecurity Vulnerability Assessment of All Segments of the NC3 and NLCC Systems and Continually Assess Weapon Systems’ Cyber Vulnerabilities NC3およびNLCCシステムの全セグメントのサイバーセキュリティ脆弱性評価の実施と、兵器システムのサイバー脆弱性の継続的評価
Enabling Recommendation 6.2.1 Require Defense Industrial Base Participation in a Threat Intelligence Sharing Program 脅威情報共有プログラムへの防衛産業基地の参加の義務付け
Enabling Recommendation 6.2.2 Require Threat Hunting on Defense Industrial Base Networks 防衛産業基地ネットワークにおける脅威ハンティングの要求
Enabling Recommendation 6.2.3 Designate a Threat-Hunting Capability across the Department of Defense Information Network 国防省の情報ネットワークにおける脅威狩り機能の指定
Enabling Recommendation 6.2.4 Assess and Address the Risk to National Security Systems Posed by Quantum Computing 量子コンピューティングがもたらす国家安全保障システムへのリスクの評価と対処

 

 

 

|

« 米国財務省は金融機関等にランサムウェアの支払いを勧めた場合の制裁リスクを強調する勧告を出していますね。。。 | Main | 厚生労働省 医療情報システムの安全管理に関するガイドライン第5.1版(案)に関する御意見の募集について »

Comments

Post a comment



(Not displayed with comment.)




« 米国財務省は金融機関等にランサムウェアの支払いを勧めた場合の制裁リスクを強調する勧告を出していますね。。。 | Main | 厚生労働省 医療情報システムの安全管理に関するガイドライン第5.1版(案)に関する御意見の募集について »