« NISTIR 8355 (Draft) NICE Framework Competencies: Assessing Learners for Cybersecurity Work | Main | 米国 国家安全保障会議 (NSC) はMicrosoft Exchangeの脆弱性に対する政府全体の対応を推進するために、Unified Coordination Group(UCG)を設立したようですね。。。 »

2021.03.19

米国 下院エネルギー・商業委員会は、SolarWindsサイバー攻撃に関する情報を要求する超党派議員に関する声明を発表し、関係省庁に質問状を送付していますね。。。

こんにちは、丸山満彦です。

米国 下院エネルギー・商業委員会 (House committee on Energy & Commerce) は、SolarWindsサイバー攻撃に関する情報を要求する超党派議員に関する声明を発表し、関係省庁(U.S. Department of Commerce 商務省、U.S. Department of Energy エネルギー省、U.S. Environmental Protection Agency 環境保護庁、U.S. Department of Health and Human Services 保健社会福祉省等)に質問状を送付していますね。。。

U.S. House committee on Energy & Commerce

・2021.03.17 BIPARTISAN GROUP OF LAWMAKERS REQUEST INFORMATION ON SOLARWINDS CYBER ATTACK

Accordingly, please provide written answers and any necessary documentation to the following questions by March 29, 2021: よって、2021年3月29日までに、以下の質問に対する書面による回答と必要な書類を提出してください。
1. Has your department been impacted by the compromise? If yes, please explain the nature and extent of the compromise, including when your department was first compromised and when you detected such compromise, and your assessment of any actual or potential effects on your department and programs. 1. あなたの部署は、この侵害によって影響を受けましたか?はい」の場合、あなたの部署が最初に侵害された時期やそのような侵害を検知した時期を含む侵害の性質と程度、およびあなたの部署やプログラムに対する実際のまたは潜在的な影響についての評価を説明してください。
2. What actions is your department taking to investigate and respond to the compromise? Please identify your specific actions. 2. あなたの部署では、侵害を調査し対応するためにどのような行動をとっていますか?具体的な行動を示してください。
3. Is your department a sector-specific agency, as that term is defined in Presidential Policy Directive 21 (PPD-21), and does your department identify its most critical informational and operational infrastructure and take specific measures to protect that infrastructure? 3. あなたの部署は、大統領政策指令21(PPD-21)で定義されているような部門別機関ですか。また、あなたの部署では、最も重要な情報および運用インフラを特定し、そのインフラを保護するための具体的な対策を講じていますか。
4. What is your department’s schedule for mitigating the risks associated with the compromise? 4. 侵害に関連するリスクを軽減するための、あなたの部門のスケジュールを教えてください。
5. Once a cyber threat has been detected, does your department notify other agencies in real time? In this instance, please identify which agencies or departments were notified and which ones were not. 5. サイバー脅威が検出された場合、あなたの部署は他の機関にリアルタイムで通知していますか?この場合、どの機関や部門に通知され、どの機関や部門に通知されなかったかを明らかにしてください。
6. How does your department assess vendors for cybersecurity risks? Please explain. 6. あなたの部署では、サイバーセキュリティのリスクについてベンダーをどのように評価していますか。説明してください。
7. Does your department regularly audit vendors for cybersecurity risks? If so, please explain how often such audits take place. 7. あなたの部署では、サイバーセキュリティのリスクについてベンダーを定期的に監査していますか。ある場合は、そのような監査の頻度を説明してください。
8. Does your department have a specific plan to reduce the risks of future supply chain attacks? If so, please explain. 8. あなたの部署では、将来のサプライチェーン攻撃のリスクを軽減するための具体的な計画を持っていますか?そうであれば、説明してください。

 

各省庁へのレター


 

1_20210319013301

 


■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.01.01 U.S. CISAが、攻撃者がSolarWinds Orionのソフトウェアのサプライチェーンを侵害し一般的に使用されている認証メカニズムを広範囲に悪用しているとして、ウェブサイトを立ち上げ、無料の検証ツールを提供していますね。。。

|

« NISTIR 8355 (Draft) NICE Framework Competencies: Assessing Learners for Cybersecurity Work | Main | 米国 国家安全保障会議 (NSC) はMicrosoft Exchangeの脆弱性に対する政府全体の対応を推進するために、Unified Coordination Group(UCG)を設立したようですね。。。 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« NISTIR 8355 (Draft) NICE Framework Competencies: Assessing Learners for Cybersecurity Work | Main | 米国 国家安全保障会議 (NSC) はMicrosoft Exchangeの脆弱性に対する政府全体の対応を推進するために、Unified Coordination Group(UCG)を設立したようですね。。。 »