米国IT工業協議会 連邦政府がサプライチェーンセキュリティの戦略的見直しを行う際の指針となる原則を公表 （大統領令とかもちょっと含めて...）

こんにちは、丸山満彦です。

米国IT工業協議会 [wikipedia] が連邦政府がサプライチェーンセキュリティの戦略的見直しを行う際の指針となる原則を公表していますね。。。大統領の交代を機に政府の縦割りの中での規制乱立はやめて、どこかでリーダーシップをとって首尾一貫した規制にして欲しいということでしょうかね。。。

2021.02.24のバイデン大統領による大統領令「アメリカのサプライチェーン」では、ICTに関係するサプライチェーンについても触れられていますね。。。

 

● Information Technology Industry Council （IT工業協議会）

・2021.03.18 (press) New ITI Principles Provide Streamlined, Strategic Approach to Supply Chain Security Policy

・[PDF] Supply Chain Security: Principles for a Strategic Review

 

報告書の仮訳はこちら...

---

■ 参考情報

● Department of Commerce - ICT Supply Chaine

バイデン大統領令↓

・2021.02.24 Executive Order on America’s Supply Chains

トランプ元大統領令↓

・2019.05.15 Executive Order on Securing the Information and Communications Technology and Services Supply Chain

● Federal Register

・2021.03.01 (Executive Order 14017) Executive Order on America’s Supply Chains

・2019.05.17 (Executive Order 13873) Securing the Information and Communications Technology and Services Supply Chain

-----

・2021.01.21 (Department of Commerce) Securing the Information and Communications Technology and Services Supply Chain

↑ 今日から有効です...

・2019.11.27 (Department of Commerce) Securing the Information and Communications Technology and Services Supply Chain

 

● CISA

・2020.04  [PDF] EXECUTIVE ORDER 13873 RESPONSE - CISA - METHODOLOGY FOR ASSESSING THE MOST CRITICAL INFORMATION AND COMMUNICATIONS TECHNOLOGIES AND SERVICES

 

 

 

Supply Chain Security: Principles for a Strategic Review	サプライチェーンセキュリティ：戦略的な見直しのための原則
The tech sector shares policymakers’ concerns regarding threats to global ICT supply chains, which implicate not only cybersecurity, national security and economic security policy objectives but also U.S. competitiveness. Over the past several years, however, uncoordinated approaches by the U.S. federal government to ICT supply chain risk management have resulted in a patchwork of overlapping, inconsistent and, in some cases, conflicting measures, including Executive Orders, agency actions, regulations and legislation. The net result has been a confusing supply chain security policy terrain that is increasingly difficult for companies to navigate, and which in many respects has not achieved the intended goal of improved supply chain security across the U.S. federal enterprise, critical infrastructure, and global private sector ICT supply chains. Perhaps the most notable example of a well-intentioned supply chain policy measure that is not carefully calibrated to both address supply chain security risks and minimize broad, unintended commercial and economic impacts is the Executive Order on Securing the ICTS Supply Chain (ICTS EO) and subsequent Commerce Department rulemakings.	技術部門は、サイバーセキュリティ、国家安全保障、経済安全保障の政策目標だけでなく、米国の競争力にも影響を与えるグローバルなICTサプライチェーンへの脅威に関する政策立案者の懸念を共有しています。しかし、過去数年間、ICTサプライチェーンのリスク管理に対する米国連邦政府の協調的でないアプローチは、大統領令、政府機関の行動、規制、法律など、重複した、一貫性のない、場合によっては矛盾した措置のパッチワークとなっています。その結果、サプライチェーン・セキュリティ政策は混乱を極め、企業にとってはますます困難なものとなり、多くの点で、米国連邦企業、重要インフラ、グローバルな民間企業のICTサプライチェーンにおけるサプライチェーン・セキュリティの向上という意図した目標は達成されていません。おそらく、サプライチェーンのセキュリティリスクに対処し、意図しない広範な商業的・経済的影響を最小限に抑えるために注意深く調整されていない、善意のサプライチェーン政策措置の最も顕著な例は、ICTSサプライチェーンの確保に関する大統領令（ICTS大統領令）とそれに続く商務省の規則制定です。
The change in administrations offers the opportunity for a strategic review of U.S. supply chain security policy, consistent with the holistic assessment of the ICT supply chain called for by the new Executive Order on America’s Supply Chains. As evidenced by the inventory developed by the soon-to-be published ICT Supply Chain Risk Management Task Force, there are upwards of 30 supply chain security measures currently being contemplated and/or in force. Therefore, as a departure point, we encourage the Biden Administration to undertake a strategic review of ICT supply chain security policy as part of the assessment called for by the new EO to develop a more coherent, streamlined and effective long-term approach. In doing so, the Administration should consider how to address legitimate national security issues in a coordinated and holistic manner. Short-term, piecemeal approaches should be avoided. Below, we offer our perspective on best practices to inform and develop a more coherent, streamlined and strategic approach to supply chain security policy.	今回の政権交代は、米国のサプライチェーンセキュリティ政策を戦略的に見直す機会となり、「米国のサプライチェーン」に関する新しい大統領令で求められているICTサプライチェーンの全体的な評価と一致している。間もなく発表されるICTサプライチェーン・リスクマネジメント・タスクフォースが作成した目録に示されているように、現在検討されている、あるいは施行されているサプライチェーン・セキュリティ対策は30以上あります。したがって、出発点として、我々は、バイデン政権が、より首尾一貫した、合理的で効果的な長期的アプローチを開発するために、新EOによって求められる評価の一環として、ICTサプライチェーン・セキュリティ政策の戦略的見直しを行うことを奨励する。その際、政権は、国家安全保障上の正当な問題に、協調的かつ総合的に対処する方法を検討すべきである。短期的で断片的なアプローチは避けるべきです。以下では、サプライチェーン・セキュリティ政策に対するより一貫性のある、合理的で戦略的なアプローチの情報を提供し、発展させるためのベスト・プラクティスについて、我々の見解を示します。
To ensure the development of a coherent supply chain security policy, the U.S. Government should designate a lead supply chain security risk management agency and empower the National Cyber Director to coordinate these efforts, as ITI referenced in our Competitiveness Agenda. Doing so will help to avoid duplication of efforts and help ensure that efforts to address both federal and commercial supply chain security risks are complementary.	一貫性のあるサプライチェーン・セキュリティ政策を確実に策定するために、ITI が競争力強化アジェンダで言及したように、米国政府はサプライチェーン・セキュリティ・リスク管理の主導機関を指定し、これらの取り組みを調整する権限を National Cyber Director に与えるべきです。そうすることで、取り組みの重複を避け、連邦政府と民間企業の両方のサプライチェーン・セキュリティ・リスクに対処するための取り組みが補完的に行われるようになります。
Approaches to supply chain security must be risk- based and evidence-driven, and facilitate transparency and predictability for private actors to the greatest extent possible. The approach to supply chain security over the last several years has primarily focused on country-of-origin, particularly China, which has led to an over-reliance on this attribute and short-circuited the risk analysis. While country-of-origin is one risk factor, it should not be the sole and dispositive factor animating U.S. supply chain policy for all technologies. It is noteworthy that the ICT SCRM Task Force working group on Threat Assessment catalogued a total of 188 supplier- related threats, with country of origin being just one. A successful supply chain security strategy must widen the aperture to consider a full array of relevant threats and address identifiable, material, concrete national security risks directly tied to actionable threats articulated in U.S. government intelligence or vulnerability assessments.	サプライチェーン・セキュリティへのアプローチは、リスクに基づき、エビデンスを重視し、可能な限り民間企業の透明性と予測可能性を促進するものでなければなりません。ここ数年のサプライチェーン・セキュリティへのアプローチは、主に生産国、特に中国に焦点を当ててきましたが、その結果、この属性に過度に依存し、リスク分析を短絡的に行ってきました。生産国は一つのリスク要因ではありますが、すべての技術について米国のサプライチェーン政策を動かす唯一かつ決定的な要因であってはなりません。ICT SCRMタスクフォースの脅威評価に関するワーキンググループが、サプライヤーに関連する188の脅威をカタログ化しており、原産国はその一つに過ぎないことは注目に値します。サプライチェーン・セキュリティ戦略を成功させるためには、関連するあらゆる脅威を考慮し、米国政府の情報機関や脆弱性評価で明示された行動可能な脅威に直接結びついた、識別可能で物質的、具体的な国家安全保障上のリスクに対処するための絞りを広げなければなりません。
The U.S. government should leverage the existing ICT Supply Chain Risk Management Task Force as a focal point for public-private collaboration on supply chain security. Policymakers should work with Task Force leadership to develop a strategic plan to establish long-term support for the Task Force as a venue to co-develop solutions with industry to the nation’s most pressing supply chain security challenges, including to establish the Task Force as a coordination point for ICT supply chain input pursuant to the new EO. The Task Force has brought together subject matter experts from the private sector and from across the U.S. government and has produced several actionable tools and other work products that can be used by industry and government to address supply chain security challenges, including related to information- sharing, threat modeling, procurement, and vendor attestation. Addressing supply chain security threats requires a holistic approach and the Administration should look first to this established public-private mechanism for creative, actionable solutions, and should prioritize implementing and operationalizing Task Force products across the U.S. government and incentivizing their promotion and uptake across the critical infrastructure community.	米国政府は、既存の ICT サプライチェーン・リスク管理タスクフォースを、サプライチェーン・セキュリ ティに関する官民連携の中心として活用すべきです。政策立案者は、タスクフォースのリーダーシップと協力して、タスクフォースを、国家の最も差し迫ったサプライチェーン・セキュリティの課題に対する解決策を産業界と共同で開発する場として、長期的な支援を確立するための戦略的計画を策定すべきです。このためには、タスクフォースを、新しい 大統領令に従った ICT サプライチェーン・インプットの調整ポイントとして確立することも含まれます。タスクフォースには、民間企業や米国政府の専門家が参加しており、情報共有、脅威のモデル化、調達、ベンダー認証など、サプライチェーンセキュリティの課題に対処するために、産業界や政府が利用できる実用的なツールやその他の成果物を作成しています。サプライチェーン・セキュリティの脅威に対処するためには、全体的なアプローチが必要であり、米国政府は、創造的で実用的な解決策を求めて、この確立された官民のメカニズムに真っ先に目を向けるべきであり、タスクフォースの成果物を米国政府全体で実施・運用し、重要インフラのコミュニティ全体での普及と採用を奨励することを優先すべきであると考えています。
The U.S. government should view supply chain risk management through the lens of trustworthiness, which has many dimensions. We urge the U.S. government, in conjunction with industry, to continue to work to develop consistent criteria that would assist in evaluating the risk-level that transactions, suppliers, or other activities may pose. The Task Force has done a significant amount of work already to develop such criteria, which should include both technical and non-technical considerations, be grounded in industry-driven, consensus-based international standards, including the ISO 9000 series, take into account the geopolitical implications of manufacturing locations, localization and sourcing requirements, government interference where the rule of law and effective judicial redress are not present, responsible corporate behavior and existing legal protections, and the criticality of the component to the security and continuity of the supply chain. Another important facet to consider is the availiability of alternate sources, including domestic availability, of critical goods and assessing the costs and benefits of shifting suppliers.	米国政府は、サプライチェーンのリスク管理を、様々な側面を持つ「信頼性」というレンズを通して捉えるべきです。我々は、米国政府が産業界と協力して、取引、サプライヤー、その他の活動がもたらすリスクレベルを評価するのに役立つ一貫した基準を開発するための努力を継続することを強く求めます。この基準は、技術的および非技術的な考慮事項を含み、ISO9000 シリーズなどの業界主導のコンセンサスに基づく国際規格に基づいており、製造場所の地政学的な影響、地域化と調達要件、法の支配と効果的な司法救済が存在しない場合の政府の干渉、責任ある企業行動と既存の法的保護、サプライチェーンのセキュリティと継続性に対するコンポーネントの重要性などを考慮する必要があります。考慮すべきもう一つの重要な側面は、重要な商品の国内での入手可能性を含む代替供給源の利用可能性であり、供給元を変更することによるコストと利益を評価することです。
Bi-directional information-sharing should also be a key tenet in any supply chain security approach. Increased information-sharing regarding risks related to suppliers and other aspects of the ICT supply chain can help both the government and the ICT industry to identify and mitigate supply chain risks. Currently, companies face  challenges in sharing supplier risk information. This includes the legal risk of sharing potentially derogatory information about a supplier, the administrative barriers for federal personnel to share detailed, actionable information with individuals who don’t hold clearances, and instances where the Federal government withholds vulnerability  disclosures for offensive purposes. The Task Force is currently working on developing a legislative proposal that would provide liability protections for companies that share threat information in good faith. In considering a comprehensive approach to supply chain security, we urge the Administration to design an approach to information-sharing that improves the flow and uptake of information about risks, threats, and vulnerabilities. It is worth leveraging and sharing exclusionary decisions made by the Federal Acquisition Security Council in this context as well.	双方向の情報共有もまた、サプライチェーン・セキュリティのアプローチの重要な柱となるべきです。サプライヤをはじめとするICTサプライチェーンのリスクに関する情報共有を強化することで、政府とICT業界の双方がサプライチェーンのリスクを特定し、軽減することができます。現在、企業はサプライヤーのリスク情報を共有する上での課題に直面しています。これには、サプライヤーに関する軽蔑的な情報を共有することによる法的リスク、連邦政府職員が機密情報を保持していない個人と詳細で実行可能な情報を共有する際の管理上の障壁、連邦政府が攻撃目的で脆弱性の開示を保留しているケースなどがあります。サプライチェーン・セキュリティに対する包括的なアプローチを検討するにあたり、我々は、リスク、脅威、脆弱性に関する情報の流れと取り込みを改善する情報共有のアプローチを設計するよう、行政に強く求めます。この点でも、連邦調達セキュリティ評議会が下した排除決定を活用し、共有する価値があります。
Any measures that the U.S. government designs should be used to advance and protect U.S. national security objectives without putting American competitiveness at risk. Lack of clarity in scope and process in any rulemaking, legislation, or other policy mechanism makes for an uncertain business environment and threatens the ability of companies to compete with foreign companies not subject to U.S. or similar foreign conditions. Overbroad policy approaches or approaches that duplicate or conflict with existing mechansims, such as those embodied in the ICTS EO, stifle U.S. innovation, technological leadership, and competitiveness. U.S. policymakers should seize the opportunity to advance supply chain security policy approaches that are not only compatible with but drive global policymaking norms. Any approach should focus on addressing acute national security risks to the United States and should not be used to advance trade or economic policy goals.	米国政府が設計するあらゆる手段は、米国の競争力を危険にさらすことなく、米国の国家安全保障上の目的を進め、保護するために用いられるべきです。規則制定、立法、その他の政策メカニズムにおいて、範囲やプロセスが明確でないことは、ビジネス環境を不確実なものにし、米国や同様の外国の条件に従わない外国企業と競争する企業の能力を脅かすことになります。ICTS大統領令に具現化されているような、広汎な政策アプローチや、既存のメカニズムと重複したり対立したりするアプローチは、米国のイノベーション、技術的リーダーシップ、競争力を阻害します。米国の政策立案者は、世界の政策立案規範と互換性があるだけでなく、それを推進するようなサプライチェーン・セキュリティ政策アプローチを推進する機会をつかむべきです。どのようなアプローチであっても、米国にとっての急性の国家安全保障上のリスクに対処することに重点を置くべきであり、貿易や経済政策の目標を達成するために利用すべきではありません。