米国のISACとISAO (根拠指令、取りまとめ団体、ISAO標準文書など)
こんにちは、丸山満彦です。
米国では、特定の業界で脅威情報等の共有を行う組織として、ISAC(Information Sharing and Analysis Center)やISAO(Information Sharing and Analysis Organization)がありますよね。
ISACは、1997年のクリントン政権の大統領令63(Presidential Decision Directive 63: PDD63)に基づき重要インフラ業界毎に組成された組織です。
ISACは、重要インフラ・資源(Critical Infrastructure Key Resource(CI / KR))の所有者および運営者によって設立された信頼できる団体であり、セクター内、他のセクター、及び政府と共有される包括的なセクター分析を提供していますね。IISACが提供するサービスは、リスクの軽減、インシデント対応、アラート、情報共有等が含まれます。ISACの目標は、利用者に正確で実用的で関連性のある情報を提供することで、24/7のセキュリティオペレーションセンターの利用、ブリーフィング、ホワイトペーパー、脅威情報の収集、ウェビナー、CIKR所有者/運用者による匿名の報告書の提供などがあるようです。
● Federal Register
・1998.08.05 Presidential Decision Directive 63 on Critical Infrastructure Protection: Sector Coordinators
・[PDF] [Text]
● Federation of American Scientists (FAS)
・Presidential Decision Directives [PDD] Clinton Administration 1993-2000
・1998.05.22 PDD/NSC 63 Critical Infrastructure Protection
・・Fact Sheet
・・White Paper
・・DOD CIP Plan
・・National Plan for Information Systems Protection (Jan 2000)
・・Report to Congress on Status of Federal Critical Infrastructure Protection Actions (Jan 2001)]
ISACは2003年に設立されたNational Council of ISACs(NCI)で全体のコーディネーションが行われています。NCIにリストされているISACは25 (2021.03.29現在)ありますね。
● National Council of ISACs (NCI)
# | MEMBER ISACS | ISACメンバー |
1 | AMERICAN CHEMISTRY COUNCIL | 化学工業会 |
2 | AUTOMOTIVE ISAC | AUTOMOTIVE ISAC |
3 | AVIATION ISAC | 航空ISAC |
4 | COMMUNICATIONS ISAC | 通信ISAC |
6 | DOWNSTREAM NATURAL GAS ISAC | 天然ガス配送・分配ISAC |
6 | ELECTIONS INFRASTRUCTURE ISAC | 選挙基盤 ISAC |
7 | ELECTRICITY ISAC | 電力ISAC |
8 | EMERGENCY MANAGEMENT AND RESPONSE ISAC | 緊急管理・対応 ISAC |
9 | FINANCIAL SERVICES ISAC | 金融サービスISAC |
10 | HEALTH ISAC | ヘルスケアISAC |
11 | HEALTHCARE READY | ヘルスケア対応 |
12 | INFORMATION TECHNOLOGY ISAC | IT-ISAC |
13 | MARITIME ISAC | 海事ISAC |
14 | MARITIME TRANSPORTATION SYSTEM ISAC | 海上交通システムISAC |
15 | MEDIA & ENTERTAINMENT ISAC | メディア&エンターテイメント ISAC |
16 | MULTI-STATE ISAC | マルチステートISAC |
17 | NATIONAL DEFENSE ISAC | 国家防衛ISAC |
18 | OIL & NATURAL GAS ISAC | 石油&天然ガスISAC |
19 | REAL ESTATE ISAC | 不動産ISAC |
20 | RESEARCH AND EDUCATION NETWORKS ISAC | 研究教育ネットワークISAC |
21 | RETAIL AND HOSPITALITY ISAC | リテール&ホスピタリティISAC |
22 | SMALL BROADBAND ISAC | 小規模ブロードバンドISAC |
23 | SPACE ISAC | 宇宙アイザック |
24 | SURFACE TRANSPORTATION, PUBLIC TRANSPORTATION AND OVER-THE-ROAD BUS ISACS | 地上交通・公共交通・高速バスISAC |
25 | WATER ISAC | 水アイザック |
注:2021.03.29 にSMALL BROADBAND ISAC (CyberShare) が全米ISAC協議会に参加したので、追加しています。
ISAOは、2015年2月13日に当時のオバマ大統領による民間部門のサイバーセキュリティ情報共有を促進する大統領令(Executive Order (EO) 13691 promoting private sector cybersecurity information sharing)により国土安全保障省(DHS)にISAOの開発を奨励するよう指示され、普及してきています。
ISAO関連のサイトは次のようなものがありますね。。。
● Whitehouse (Arcive)
・2015.02.13 Exective Order (EO) 13691 Promoting Private Sector Cybersecurity Information Sharing
● DHS - CISA
・ISAO
● Office of the Director of National Intelligence
・Information Sharing Environment
ISAOの標準化等を行っている主要となる団体は、ISAO SOです。
参加している団体は、ISACも含まれていて
・地域ISAOが17、産業・セクターが46、特定テーマが7、その他が9となっていますね。。。(2022.09.20現在はトータル86ありますね。。。)
標準文書(リリースされているもの、コメント募集中のもの、今後開発予定のもの)の全体増は、ここでわかります。一部日本語にされているものもありますよ。。。
斜字は予定です。。。
ISAO 100 SERIES: ISAO CREATION AND OPERATION
- ISAO 100-1: Introduction to ISAOs Ver1.01[PDF]
- ISAO 100-2: Guidelines for Establishing an ISAO Ver1.01[PDF]
- ISAO 100-3: Guidelines for Operating an ISAO
- ISAO SP 1000: Forming a Tax-Exempt Entity Ver1.0[PDF]
ISAO 200 SERIES: ISAO CAPABILITIES AND SERVICES
- ISAO 200-1: Foundational Services and Capabilities Ver1.0[PDF] 日本語[PDF]
- ISAO 200-2: ISAO Capabilities
- ISAO 200-3: ISAO Services
- ISAO SP 2000: Crisis Action Playbook (開発中)
ISAO 300 SERIES: INFORMATION SHARING
- ISAO 300-1: Introduction to Information Sharing Ver1.0[PDF] 日本語[PDF](IPA)
- ISAO 300-2: Automating Cyber Threat Intelligence Sharing Ver0.1[PDF]
ISAO 400 SERIES: PRIVACY AND SECURITY
- ISAO 400-1: Emerging State and Local Cybersecurity Laws and Regulations Impacting Information Sharing Ver1.0[PDF]
- ISAO 400-2: Privacy Guidelines
- ISAO 400-3: Security Guidelines
- ISAO SP 4000: Protecting Consumer Privacy in Cybersecurity Information Sharing Ver1.0[PDF]
ISAO 500 SERIES: GLOBAL INFORMATION SHARING
- ISAO 500-1: US Transnational Cybersecurity Information Sharing (開発中)
- ISAO 500-2: International Issues
ISAO 600 SERIES: GOVERNMENT RELATIONS
- ISAO 600-1: A Framework for State-Level ISAOs Ver1.0[PDF]
- ISAO 600-2: US Government Relations, Programs & Services Ver1.01[PDF]
- ISAO SP 6001: State-Level Enabling and Partnering with Private Sector ISAOs (開発中)Ver1.0[PDF]
ISAO 700 SERIES: ISAO ANALYSIS
- ISAO 700-1: Introduction to Analysis Ver1.0[PDF] 日本語Ver1.0[PDF]
- ISAO 700-2: Analytical Methods
ISAO 800 SERIES: LEGAL CONSIDERATIONS
- ISAO 800-1: Introduction to Legal Issues for ISAOs
- ISAO SP 8000: Frequently Asked Questions for ISAO General Counsels Ver1.0[PDF]
ISAO (2022.09.20現在)
ISAOの参加リスト作りました(2023.11.02現在)
ISAOのリスト(2023.11.02 現在)
● White House
-----
16の重要インフラ分野
1 | Chemical: | 化学物質 |
2 | Commercial Facilities: | 商業施設。 |
3 | Communications: | 通信 |
4 | Critical Manufacturing: | クリティカル・マニュファクチャリング |
5 | Dams: | ダム |
6 | Defense Industrial Base: | 防衛産業基盤 |
7 | Emergency Services: | 緊急サービス |
8 | Energy: | エネルギー |
9 | Financial Services: | 金融サービス |
10 | Food and Agriculture: | 食料と農業 |
11 | Government Facilities: | 政府施設。 |
12 | Healthcare and Public Health: | ヘルスケアと公衆衛生 |
13 | Information Technology: | 情報技術 |
14 | Nuclear Reactors, Materials, and Waste: | 原子炉、材料、廃棄物 |
15 | Transportation Systems: | 交通システム |
16 | Water and Wastewater Systems: | 上下水道システム |
日本のISAC(2022.03.31追記)
分野 | 団体 | |
金融 | 一般社団法人 金融ISAC | FS-ISAC |
通信・放送 | 一般社団法人ICT-ISAC | ITC-ISAC |
電力 | (任意団体)電力ISAC | JE-ISAC |
交通 | 一般社団法人交通ISAC | 交通-ISAC |
自動車 | 一般社団法人Japan Automotive ISAC | J-AUTO-ISAC |
ソフトウェア | Software ISAC | SAJ 一般社団法人ソフトウェア協会 | Software-ISAC |
貿易 | 日本貿易会ISAC. 一般社団法人日本貿易会 | 貿易会ISAC |
医療 | 一般社団法人 医療ISAC | Medical-ISAC |
Comments