米国のISACとISAO (根拠指令、取りまとめ団体、ISAO標準文書など)
こんにちは、丸山満彦です。
米国では、特定の業界で脅威情報等の共有を行う組織として、ISAC(Information Sharing and Analysis Center)やISAO(Information Sharing and Analysis Organization)がありますよね。
ISACは、1997年のクリントン政権の大統領決定指令63(Presidential Decision Directive 63: PDD63)に基づき重要インフラ業界毎に組成された組織です。
読みやすいのは、こちら...
ISACは、重要インフラ・資源(Critical Infrastructure Key Resource(CI / KR))の所有者および運営者によって設立された信頼できる団体であり、セクター内、他のセクター、及び政府と共有される包括的なセクター分析を提供していますね。IISACが提供するサービスは、リスクの軽減、インシデント対応、アラート、情報共有等が含まれます。ISACの目標は、利用者に正確で実用的で関連性のある情報を提供することで、24/7のセキュリティオペレーションセンターの利用、ブリーフィング、ホワイトペーパー、脅威情報の収集、ウェビナー、CIKR所有者/運用者による匿名の報告書の提供などがあるようです。
● Federal Register
・1998.08.05 Presidential Decision Directive 63 on Critical Infrastructure Protection: Sector Coordinators
・[PDF] [Text]
● Federation of American Scientists (FAS)
・Presidential Decision Directives [PDD] Clinton Administration 1993-2000
・1998.05.22 [PDF] PDD/NSC 63 Critical Infrastructure Protection
・・Fact Sheet
・・White Paper (PDD/NSC 63)
・・DOD CIP Plan
・・National Plan for Information Systems Protection (Jan 2000)
・・Report to Congress on Status of Federal Critical Infrastructure Protection Actions (Jan 2001)
PDD/NSC 63 のISAC記載箇所...Annex. Aの最後のP13-14にあります...
| Information Sharing and Analysis Center (ISAC): | 情報共有分析センター(ISAC): |
| The National Coordinator, working with Sector Coordinators, Sector Liaison Officials and the National Economic Council, shall consult with owners and operators of the critical infrastructures to strongly encourage the creation of a private sector information sharing and analysis center. The actual design and functions of the center and its relation to the NIPC will be determined by the . private sector, in consultation with and with assistance from the Federal Government. Within 180 days of this directive, the National Coordinator, with the assistance of the CICG including the National Economic Council, shall identify possible methods of providing federal assistance to facilitate the startup of an ISAC. | 国家調整官は、セクター調整官、セクター連絡官および国家経済会議と協力して、重要インフラの所有者および事業者と協議し、民間部門による情報共有・分析センターの設立を強く奨励する。センターの実際の設計と機能、およびNIPCとの関係は、民間部門が連邦政府と協議し、連邦政府の支援を受けながら決定する。本指令から180日以内に、国家調整官は、国家経済会議を含むCICGの支援を受けて、ISACの立ち上げを促進するための連邦政府支援の可能な方法を特定するものとする。 |
| Such a center could serve as the mechanism for gathering, analyzing, appropriately sanitizing and disseminating private sector information to both industry and the NIPC. The center could also gather, analyze and disseminate information from the NIPC for further distribution to the private sector. While crucial to a successful government-industry partnership, this mechanism for sharing important information about vulnerabilities, threats, intrusions and anomalies is not to interfere with direct information exchanges between companies and the government. | このようなセンターは、民間セクターの情報を収集、分析し、適切に無害化し、産業界とNIPCの双方に広めるためのメカニズムとして機能することができる。また、NIPCからの情報を収集、分析し、さらに民間部門に配信することもできる。政府と産業界のパートナーシップを成功させるために重要なことではあるが、脆弱性、脅威、侵入、異常に関する重要な情報を共有するこの仕組みは、企業と政府間の直接的な情報交換を妨げるものではない。 |
| As ultimately designed by private sector representatives, the ISAC may emulate particular aspects of such institutions as the.' Centers for Disease Control and Prevention that have proved highly effective, particularly its extensive interchanges with the private and non-federal sectors. Under such a model, the ISAC would possess a large degree of technical focus and expertise and non-regulatory and non-law enforcement missions. It would establish baseline statistics and patterns on the various infrastructures, become a clearinghouse for information within and among the various sectors, and provide a library for historical data to be used be the private sector and, as deemed appropriate by the ISAC, by the government. Critical to the success of such an institution would be its timeliness, accessibility, coordination, flexibility, utility and acceptability. | 民間企業の代表者たちによって最終的に設計されたISACは、米国疾病対策センター(DSC)のような機構の特定の側面を模倣しているのかもしれない。特に、民間部門や非連邦部門との広範な交流によって、非常に効果的であることが証明された疾病管理予防センターのような機関の特定の側面を模倣することができる。このようなモデルのもとでは、ISAC は、技術的な焦点と専門性を重視し、非規制的・非法執行的な使命を担うことになる。ISACは、さまざまなインフラに関する基本的な統計とパターンを確立し、さまざまなセクター内およびセクター間の情報のクリアリングハウスとなり、民間セクターや、ISACが適切と判断した場合には政府が利用できる履歴データのライブラリを提供する。このような機構の成功に不可欠なのは、適時性、アクセス性、調整力、柔軟性、有用性、受容性である。 |
ISACは2003年に設立されたNational Council of ISACs(NCI)で全体のコーディネーションが行われています。NCIにリストされているISACは28 (2025.03.03現在)ありますね。
● National Council of ISACs (NCI)
| # | MEMBER ISACS | 仮訳 | 設立 | 会員概数 |
| 1 | AMERICAN CHEMISTRY COUNCIL | 化学工業会 | 2002 | 190 |
| 2 | AUTOMOTIVE ISAC | AUTOMOTIVE ISAC | 2015 | 70 |
| 3 | AVIATION ISAC | 航空ISAC | 2014 | ? |
| 4 | COMMUNICATIONS ISAC | 通信ISAC | 2000 | ? |
| 5 | DOWNSTREAM NATURAL GAS ISAC | 天然ガス配送・分配ISAC | 2014? | ? |
| 6 | ELECTIONS INFRASTRUCTURE ISAC | 選挙基盤 ISAC | 2018 | 2000 |
| 7 | ELECTRICITY ISAC | 電力ISAC | 1999 | 1800以上 |
| 8 | EMERGENCY MANAGEMENT AND RESPONSE ISAC | 緊急管理・対応 ISAC | 2000 | |
| 9 | FINANCIAL SERVICES ISAC | 金融サービスISAC | 1999 | 7000 |
| 10 | FOOD AND AG ISAC | 食品・農業 ISAC | 2013 | ? |
| 11 | HEALTHCARE READY | ヘルスケア対応 | 2007 | ? |
| 12 | HEALTH ISAC | ヘルスケアISAC | 2010 | 500 |
| 13 | INFORMATION TECHNOLOGY ISAC | IT-ISAC | 2000 | 100 |
| 14 | MARITIME ISAC | 海事ISAC | 2010? | ? |
| 15 | MARITIME TRANSPORTATION SYSTEM ISAC | 海上交通システムISAC | 2020 | ? |
| 16 | MEDIA & ENTERTAINMENT ISAC | メディア&エンターテイメント ISAC | 2020 | ? |
| 17 | MULTI-STATE ISAC | マルチステートISAC | 2003 | 17000 |
| 18 | NATIONAL DEFENSE ISAC | 国家防衛ISAC | 2017 | ? |
| 19 | OIL & NATURAL GAS ISAC | 石油&天然ガスISAC | 2014 | ? |
| 20 | PUBLIC TRANSPORTATION & OVER-THE-ROAD BUS ISAC | 公共交通機関・路線バスISAC | 2003 | ? |
| 21 | REAL ESTATE ISAC | 不動産ISAC | 2016 | ? |
| 22 | RESEARCH AND EDUCATION NETWORKS ISAC | 研究教育ネットワークISAC | 2003 | 600 |
| 23 | RETAIL AND HOSPITALITY ISAC | リテール&ホスピタリティISAC | 2014 | 1700 |
| 24 | SMALL BROADBAND ISAC | 小規模ブロードバンドISAC | 2020? | ? |
| 25 | SPACE ISAC | 宇宙アイザック | 2019 | ? |
| 26 | SURFACE TRANSPORTATION, PUBLIC TRANSPORTATION AND OVER-THE-ROAD BUS ISACS | 地上交通・公共交通・高速バスISAC | 2002 | ? |
| 27 | TRIBAL ISAC | 部族 ISAC | 2020 | ? |
| 28 | WATER ISAC | 水アイザック | 2002 | 2000 |
注:
1. 2021.03.29 にSMALL BROADBAND ISAC (CyberShare) が全米ISAC協議会に参加したので、追加しています。
2. 2025.03.03 にFOOD AND AG ISAC, PUBLIC TRANSPORTATION & OVER-THE-ROAD BUS ISAC, TRIBAL ISACの3つを追加しています...
ISAOは、2015年2月13日に当時のオバマ大統領による民間部門のサイバーセキュリティ情報共有を促進する大統領令(Executive Order (EO) 13691 promoting private sector cybersecurity information sharing)により国土安全保障省(DHS)にISAOの開発を奨励するよう指示され、普及してきています。
ISAO関連のサイトは次のようなものがありますね。。。
● Whitehouse (Arcive)
・2015.02.13 Exective Order (EO) 13691 Promoting Private Sector Cybersecurity Information Sharing
● DHS - CISA
・ISAO
● Office of the Director of National Intelligence
・Information Sharing Environment
ISAOの標準化等を行っている主要となる団体は、ISAO SOです。
参加している団体は、ISACも含まれていて
・地域ISAOが17、産業・セクターが46、特定テーマが7、その他が9となっていますね。。。(2022.09.20現在はトータル86ありますね。。。)
標準文書(リリースされているもの、コメント募集中のもの、今後開発予定のもの)の全体増は、ここでわかります。一部日本語にされているものもありますよ。。。
斜字は予定です。。。
ISAO 100 SERIES: ISAO CREATION AND OPERATION
- ISAO 100-1: Introduction to ISAOs Ver1.01[PDF]
- ISAO 100-2: Guidelines for Establishing an ISAO Ver1.01[PDF]
- ISAO 100-3: Guidelines for Operating an ISAO
- ISAO SP 1000: Forming a Tax-Exempt Entity Ver1.0[PDF]
ISAO 200 SERIES: ISAO CAPABILITIES AND SERVICES
- ISAO 200-1: Foundational Services and Capabilities Ver1.0[PDF] 日本語[PDF]
- ISAO 200-2: ISAO Capabilities
- ISAO 200-3: ISAO Services
- ISAO SP 2000: Crisis Action Playbook (開発中)
ISAO 300 SERIES: INFORMATION SHARING
- ISAO 300-1: Introduction to Information Sharing Ver1.0[PDF] 日本語[PDF](IPA)
- ISAO 300-2: Automating Cyber Threat Intelligence Sharing Ver0.1[PDF]
ISAO 400 SERIES: PRIVACY AND SECURITY
- ISAO 400-1: Emerging State and Local Cybersecurity Laws and Regulations Impacting Information Sharing Ver1.0[PDF]
- ISAO 400-2: Privacy Guidelines
- ISAO 400-3: Security Guidelines
- ISAO SP 4000: Protecting Consumer Privacy in Cybersecurity Information Sharing Ver1.0[PDF]
ISAO 500 SERIES: GLOBAL INFORMATION SHARING
- ISAO 500-1: US Transnational Cybersecurity Information Sharing (開発中)
- ISAO 500-2: International Issues
ISAO 600 SERIES: GOVERNMENT RELATIONS
- ISAO 600-1: A Framework for State-Level ISAOs Ver1.0[PDF]
- ISAO 600-2: US Government Relations, Programs & Services Ver1.01[PDF]
- ISAO SP 6001: State-Level Enabling and Partnering with Private Sector ISAOs (開発中)Ver1.0[PDF]
ISAO 700 SERIES: ISAO ANALYSIS
- ISAO 700-1: Introduction to Analysis Ver1.0[PDF] 日本語Ver1.0[PDF]
- ISAO 700-2: Analytical Methods
ISAO 800 SERIES: LEGAL CONSIDERATIONS
- ISAO 800-1: Introduction to Legal Issues for ISAOs
- ISAO SP 8000: Frequently Asked Questions for ISAO General Counsels Ver1.0[PDF]
ISAO (2022.09.20現在)
ISAOの参加リスト作りました(2023.11.02現在)
ISAOのリスト(2023.11.02 現在)
● White House
-----
16の重要インフラ分野
| 1 | Chemical: | 化学物質 |
| 2 | Commercial Facilities: | 商業施設。 |
| 3 | Communications: | 通信 |
| 4 | Critical Manufacturing: | クリティカル・マニュファクチャリング |
| 5 | Dams: | ダム |
| 6 | Defense Industrial Base: | 防衛産業基盤 |
| 7 | Emergency Services: | 緊急サービス |
| 8 | Energy: | エネルギー |
| 9 | Financial Services: | 金融サービス |
| 10 | Food and Agriculture: | 食料と農業 |
| 11 | Government Facilities: | 政府施設。 |
| 12 | Healthcare and Public Health: | ヘルスケアと公衆衛生 |
| 13 | Information Technology: | 情報技術 |
| 14 | Nuclear Reactors, Materials, and Waste: | 原子炉、材料、廃棄物 |
| 15 | Transportation Systems: | 交通システム |
| 16 | Water and Wastewater Systems: | 上下水道システム |
日本のISAC(2022.03.31追記)(2024.10.13 一部リンク修正 貿易会ISACのリンクは不明...)
| 分野 | 団体 | 設立 | |
| 金融 | 一般社団法人 金融ISAC | FS-ISAC | 2014.08 |
| 通信・放送 | 一般社団法人ICT-ISAC | ITC-ISAC | 2016.03* |
| 電力 | (任意団体)電力ISAC | JE-ISAC | 2017.03 |
| 交通 | 一般社団法人交通ISAC | 交通-ISAC | 2020.04 |
| 自動車 | 一般社団法人Japan Automotive ISAC | J-AUTO-ISAC | 2021.02 |
| ソフトウェア | Software ISAC | SAJ 一般社団法人ソフトウェア協会 | Software-ISAC | 2018.08 |
| 貿易 | 日本貿易会ISAC. 一般社団法人日本貿易会 | 貿易会ISAC | 2016.04 |
| 医療 | 一般社団法人 医療ISAC | Medical-ISAC | 2019.10 |
*: テレコムISACとしての活動は2002年7月より
Comments