« サイバーセキュリティ戦略本部 次期サイバーセキュリティ戦略の骨子 | Main | Cloud Security Alliance 災害復旧 as a Serviceのガイド »

2021.05.13

米国 国家のサイバーセキュリティ向上に関する大統領令

こんにちは、丸山満彦です。

サイバーセキュリティ戦略本部で次のサイバーセキュリティ戦略の骨子が議論されていて、その会議用の資料が公開されていますが、こっちの方が差し迫って重要かもしれませんね。。。(遠からず日本にも影響が来るということも考えると...。)知らんけど。。。

気になっていたのですが、やはりSBOM(Software Bill of Materials)ソフトウェア部品表が入ってきましたね。。。食品の成分表示のようなもの、、、ということですね。。。

ゼロ・トラスト・アーキテクチャーの導入は強調されていますね。。。

そして、インテリジェンスも含めて組織の壁を超えて情報共有の強化しろと。。。

日本政府でもこれからしないといけないと思われる脅威+脆弱性についての継続監視。。。

そして、当然、インシデント対応能力の向上。。。

できるのかどうかは知りませんが、レベルの高いことを言ってきていますね。。。(攻撃者のレベルが高いですから仕方ないですね。。。)

 

The White House

・2021.05.12 Executive Order on Improving the Nation’s Cybersecurity

Federal Register

・2021.05.12 Improving the Nation's Cybersecurity (EO) 14028 



 

Executive Order on Improving the Nation’s Cybersecurity 国家のサイバーセキュリティの向上に関する大統領令
Section 1.  Policy.   第1節  方針
Sec. 2.  Removing Barriers to Sharing Threat Information. 第2節  脅威情報を共有するための障害を取り除く
Sec. 3.  Modernizing Federal Government Cybersecurity. 第3節  連邦政府のサイバーセキュリティの近代化
Sec. 4.  Enhancing Software Supply Chain Security.  第4節  ソフトウェア・サプライチェーン・セキュリティの強化 
Sec. 5.  Establishing a Cyber Safety Review Board. 第5節  サイバー安全審査会の設置
Sec. 6.  Standardizing the Federal Government’s Playbook for Responding to Cybersecurity Vulnerabilities and Incidents.   第6節  サイバーセキュリティの脆弱性とインシデントに対応するための連邦政府のプレイブックの標準化
Sec. 7.  Improving Detection of Cybersecurity Vulnerabilities and Incidents on Federal Government Networks.   第7節  連邦政府のネットワークにおけるサイバーセキュリティの脆弱性およびインシデントの検出の改善
Sec. 8.  Improving the Federal Government’s Investigative and Remediation Capabilities.   第8節  連邦政府の調査能力および修復能力の向上
Sec. 9.  National Security Systems. 第9節  国家安全保障システム
Sec. 10.  Definitions.   第10節  用語の定義 
Sec. 11.  General Provisions.   第11節  一般規定

1_20210513174901

 

全文の仮訳。。。

 


 

Executive Order on Improving the Nation’s Cybersecurity 国家のサイバーセキュリティの向上に関する大統領令
MAY 12, 2021  PRESIDENTIAL ACTIONS 2021年5月12日 大統領の行動
By the authority vested in me as President by the Constitution and the laws of the United States of America, it is hereby ordered as follows: 憲法およびアメリカ合衆国の法律により、大統領である私に与えられた権限により、ここに次のように命令する。
Section 1.  Policy.   第1節  方針
The United States faces persistent and increasingly sophisticated malicious cyber campaigns that threaten the public sector, the private sector, and ultimately the American people’s security and privacy.  The Federal Government must improve its efforts to identify, deter, protect against, detect, and respond to these actions and actors.  The Federal Government must also carefully examine what occurred during any major cyber incident and apply lessons learned.  But cybersecurity requires more than government action.  Protecting our Nation from malicious cyber actors requires the Federal Government to partner with the private sector.  The private sector must adapt to the continuously changing threat environment, ensure its products are built and operate securely, and partner with the Federal Government to foster a more secure cyberspace.  In the end, the trust we place in our digital infrastructure should be proportional to how trustworthy and transparent that infrastructure is, and to the consequences we will incur if that trust is misplaced. 米国は、公共部門、民間部門、ひいては米国民のセキュリティとプライバシーを脅かす、持続的でますます巧妙な悪意のあるサイバーキャンペーンに直面している。  連邦政府は、これらの行為および行為者を特定し、抑止し、防御し、検知し、対応するための努力を改善しなければならない。  また、連邦政府は、大規模なサイバーインシデントの際に何が起こったかを注意深く検証し、得られた教訓を適用しなければならない。  しかし、サイバーセキュリティに必要なのは、政府の活動だけではない。  悪質なサイバーアクターから国を守るためには、連邦政府が民間部門と連携する必要がある。  民間企業は、絶え間なく変化する脅威の環境に適応し、自社の製品が安全に構築・運用されていることを確認し、より安全なサイバースペースを育成するために連邦政府と連携しなければならない。  最終的には、デジタルインフラへの信頼は、そのインフラがどれだけ信頼性と透明性を備えているか、そしてその信頼が間違っていた場合に我々が被るであろう結果に比例すべきだ。
Incremental improvements will not give us the security we need; instead, the Federal Government needs to make bold changes and significant investments in order to defend the vital institutions that underpin the American way of life.  The Federal Government must bring to bear the full scope of its authorities and resources to protect and secure its computer systems, whether they are cloud-based, on-premises, or hybrid.  The scope of protection and security must include systems that process data (information technology (IT)) and those that run the vital machinery that ensures our safety (operational technology (OT)).  漸進的な改善では必要なセキュリティは得られない。代わりに、米国の生活様式を支える重要な制度を守るために、連邦政府は大胆な変更と多額の投資を行う必要がある。  連邦政府は、クラウド型、オンプレミス型、ハイブリッド型を問わず、コンピュータシステムの保護とセキュリティのために、その権限と資源をフルに活用しなければならない。  保護とセキュリティの範囲には、データを処理するシステム(情報技術(IT))と、私たちの安全を確保する重要な機械を動かすシステム(運用技術(OT))が含まれなければならない。 
It is the policy of my Administration that the prevention, detection, assessment, and remediation of cyber incidents is a top priority and essential to national and economic security.  The Federal Government must lead by example.  All Federal Information Systems should meet or exceed the standards and requirements for cybersecurity set forth in and issued pursuant to this order. サイバーインシデントの予防、検知、評価、修復は最優先事項であり、国家および経済の安全保障に不可欠であるというのが、私の政権の方針だ。  連邦政府は率先垂範しなければならない。  すべての連邦情報システムは、本命令に基づいて定められたサイバーセキュリティの基準および要件を満たすか、それ以上のものでなければならない。
Sec. 2.  Removing Barriers to Sharing Threat Information. 第2節 脅威情報を共有するための障害を取り除く
     (a)  The Federal Government contracts with IT and OT service providers to conduct an array of day-to-day functions on Federal Information Systems.  These service providers, including cloud service providers, have unique access to and insight into cyber threat and incident information on Federal Information Systems.  At the same time, current contract terms or restrictions may limit the sharing of such threat or incident information with executive departments and agencies (agencies) that are responsible for investigating or remediating cyber incidents, such as the Cybersecurity and Infrastructure Security Agency (CISA), the Federal Bureau of Investigation (FBI), and other elements of the Intelligence Community (IC).  Removing these contractual barriers and increasing the sharing of information about such threats, incidents, and risks are necessary steps to accelerating incident deterrence, prevention, and response efforts and to enabling more effective defense of agencies’ systems and of information collected, processed, and maintained by or for the Federal Government.      (a) 連邦政府は、連邦情報システム上でさまざまな日常業務を行うために、ITおよびOTサービス・プロバイダーと契約している。  クラウド・サービス・プロバイダーを含むこれらのサービス・プロバイダーは、連邦情報システム上のサイバー脅威やインシデント情報に独自にアクセスし、それを把握している。  その一方で、現行の契約条件や制約により、サイバーセキュリティ・インフラセキュリティ庁(CISA)、連邦捜査局(FBI)、その他の情報コミュニティ(IC)など、サイバーインシデントの調査や修復を担当する行政機関との脅威やインシデント情報の共有が制限されている場合がある。  このような契約上の障壁を取り除き、このような脅威、インシデント、リスクに関する情報の共有を増やすことは、インシデントの抑止、防止、対応の取り組みを加速させ、政府機関のシステムおよび連邦政府によって、または連邦政府のために収集、処理、維持される情報のより効果的な防御を可能にするために必要なステップである。
     (b)  Within 60 days of the date of this order, the Director of the Office of Management and Budget (OMB), in consultation with the Secretary of Defense, the Attorney General, the Secretary of Homeland Security, and the Director of National Intelligence, shall review the Federal Acquisition Regulation (FAR) and the Defense Federal Acquisition Regulation Supplement contract requirements and language for contracting with IT and OT service providers and recommend updates to such requirements and language to the FAR Council and other appropriate agencies.  The recommendations shall include descriptions of contractors to be covered by the proposed contract language.       (b) 本命令の日付から60日以内に、行政管理予算局(OMB)長官は、国防長官、司法長官、国土安全保障長官、国家情報長官と協議の上、ITおよびOTサービスプロバイダーとの契約に関する連邦調達規則(FAR)および国防連邦調達規則補足条項の契約要件および文言を見直し、当該要件および文言の更新をFAR評議会およびその他の適切な機関に勧告するものとする。  勧告には、提案された契約言語の対象となる契約者の説明を含まなければならない。 
     (c)  The recommended contract language and requirements described in subsection (b) of this section shall be designed to ensure that:      (c) 本節(b)に記載された推奨される契約言語および要件は、以下を確実にするために設計されなければならない。
          (i)    service providers collect and preserve data, information, and reporting relevant to cybersecurity event prevention, detection, response, and investigation on all information systems over which they have control, including systems operated on behalf of agencies, consistent with agencies’ requirements;           (i) サービス・プロバイダーは、政府機関に代わって運用されているシステムを含む、サービス・プロバイダーが管理しているすべての情報システムについて、サイバーセキュリティ・イベントの予防、検知、対応、調査に関連するデータ、情報、報告を、政府機関の要求に沿って収集、保存する。
          (ii)   service providers share such data, information, and reporting, as they relate to cyber incidents or potential incidents relevant to any agency with which they have contracted, directly with such agency and any other agency that the Director of OMB, in consultation with the Secretary of Defense, the Attorney General, the Secretary of Homeland Security, and the Director of National Intelligence, deems appropriate, consistent with applicable privacy laws, regulations, and policies;           (ii) サービスプロバイダは、契約している機関に関連するサイバーインシデントまたは潜在的なインシデントに関連するデータ、情報、報告を、当該機関およびOMB長官が国防長官、司法長官、国土安全保障長官、国家情報長官と協議の上、適用される個人情報保護法、規制、政策との整合性を保ちつつ、適切と考えるその他の機関と直接共有する。
          (iii)  service providers collaborate with Federal cybersecurity or investigative agencies in their investigations of and responses to incidents or potential incidents on Federal Information Systems, including by implementing technical capabilities, such as monitoring networks for threats in collaboration with agencies they support, as needed; and           (iii) サービス・プロバイダーは、連邦情報システム上のインシデントまたは潜在的なインシデントの調査および対応において、必要に応じて、支援する機関と協力してネットワークの脅威を監視するなどの技術的機能を実装することを含め、連邦サイバーセキュリティまたは調査機関と協力する。
          (iv)   service providers share cyber threat and incident information with agencies, doing so, where possible, in industry-recognized formats for incident response and remediation.           (iv) サービス・プロバイダーは、サイバー脅威およびインシデント情報を政府機関と共有し、可能であれば、インシデント対応および修復のために業界で認められている形式で共有する。
     (d)  Within 90 days of receipt of the recommendations described in subsection (b) of this section, the FAR Council shall review the proposed contract language and conditions and, as appropriate, shall publish for public comment proposed updates to the FAR.      (d) 本節(b)に記載された勧告を受領してから90日以内に、FAR審議会は、提案された契約言語および条件を検討し、必要に応じて、FARの更新案をパブリックコメント用に公表しなければならない。
     (e)  Within 120 days of the date of this order, the Secretary of Homeland Security and the Director of OMB shall take appropriate steps to ensure to the greatest extent possible that service providers share data with agencies, CISA, and the FBI as may be necessary for the Federal Government to respond to cyber threats, incidents, and risks.      (e) 本命令の日付から120日以内に、国土安全保障長官およびOMB長官は、連邦政府がサイバー脅威、インシデント、およびリスクに対応するために必要となる可能性のあるデータを、サービスプロバイダーが各省庁、CISA、およびFBIと共有することを可能な限り保証するための適切な措置を講じるものとする。
     (f)  It is the policy of the Federal Government that:      (f) 以下は、連邦政府の方針である。
          (i)    information and communications technology (ICT) service providers entering into contracts with agencies must promptly report to such agencies when they discover a cyber incident involving a software product or service provided to such agencies or involving a support system for a software product or service provided to such agencies;           (i) 各省庁と契約を結ぶ情報通信技術(ICT)サービス・プロバイダーは、当該省庁に提供されたソフトウェア製品もしくはサービス、または当該省庁に提供されたソフトウェア製品もしくはサービスのサポート・システムに関わるサイバー・インシデントを発見した場合、当該省庁に速やかに報告しなければならない。
          (ii)   ICT service providers must also directly report to CISA whenever they report under subsection (f)(i) of this section to Federal Civilian Executive Branch (FCEB) Agencies, and CISA must centrally collect and manage such information; and            (ii) ICTサービスプロバイダーは、本節(f)項(i)に基づいて連邦文民行政機関(FCEB)に報告する際には、必ずCISAにも直接報告しなければならず、CISAは当該情報を集中的に収集・管理しなければならない。 
          (iii)  reports pertaining to National Security Systems, as defined in section 10(h) of this order, must be received and managed by the appropriate agency as to be determined under subsection (g)(i)(E) of this section.             (iii) 本命令のセクション10(h)で定義されている国家安全保障システムに関する報告は、本セクションのサブセクション(g)(i)(E)に基づいて決定された適切な機関が受け取り、管理しなければならない。  
     (g)  To implement the policy set forth in subsection (f) of this section:      (g) 本節(f)項に定める方針を実施するため、
          (i) Within 45 days of the date of this order, the Secretary of Homeland Security, in consultation with the Secretary of Defense acting through the Director of the National Security Agency (NSA), the Attorney General, and the Director of OMB, shall recommend to the FAR Council contract language that identifies:           (i) 本命令の日付から45日以内に、国土安全保障長官は、国家安全保障局(NSA)長官を通じて行動する国防長官、司法長官、OMB長官と協議の上、以下を特定する契約言語をFAR審議会に勧告する。
              (A)  the nature of cyber incidents that require reporting;               (A) 報告を必要とするサイバーインシデントの性質。
              (B)  the types of information regarding cyber incidents that require reporting to facilitate effective cyber incident response and remediation;               (B) 効果的なサイバーインシデント対応と修復を促進するために報告が必要なサイバーインシデントに関する情報の種類。
              (C)  appropriate and effective protections for privacy and civil liberties;               (C)プライバシーおよび市民的自由に対する適切かつ効果的な保護。
              (D)  the time periods within which contractors must report cyber incidents based on a graduated scale of severity, with reporting on the most severe cyber incidents not to exceed 3 days after initial detection;               (D) 最も深刻なサイバーインシデントの報告は、最初に検知されてから3日を超えないようにすること。
              (E)  National Security Systems reporting requirements; and               (E)国家安全保障システムの報告要件。
              (F)  the type of contractors and associated service providers to be covered by the proposed contract language.               (F) 提案された契約書の文言でカバーされる契約者および関連サービスプロバイダーの種類。
          (ii)   Within 90 days of receipt of the recommendations described in subsection (g)(i) of this section, the FAR Council shall review the recommendations and publish for public comment proposed updates to the FAR.           (ii) 本節(g)(i)に記載された勧告を受領してから90日以内に、FAR審議会は勧告を検討し、FARの更新案をパブリックコメント用に公表する。
          (iii)  Within 90 days of the date of this order, the Secretary of Defense acting through the Director of the NSA, the Attorney General, the Secretary of Homeland Security, and the Director of National Intelligence shall jointly develop procedures for ensuring that cyber incident reports are promptly and appropriately shared among agencies.           (iii) 本命令の日付から90日以内に、NSA長官を通じて行動する国防長官、司法長官、国土安全保障長官、国家情報長官は、サイバーインシデント報告書が各省庁間で迅速かつ適切に共有されることを保証するための手順を共同で策定する。
     (h)  Current cybersecurity requirements for unclassified system contracts are largely implemented through agency-specific policies and regulations, including cloud-service cybersecurity requirements.  Standardizing common cybersecurity contractual requirements across agencies will streamline and improve compliance for vendors and the Federal Government.      (h) 非分類システム契約に対する現行のサイバーセキュリティ要件は、クラウドサービスのサイバーセキュリティ要件を含め、主に各省庁固有のポリシーや規制によって実施されている。  省庁間で共通のサイバーセキュリティ契約要件を標準化することで、ベンダーと連邦政府のコンプライアンスを合理化し、改善することができる。
     (i)  Within 60 days of the date of this order, the Secretary of Homeland Security acting through the Director of CISA, in consultation with the Secretary of Defense acting through the Director of the NSA, the Director of OMB, and the Administrator of General Services, shall review agency-specific cybersecurity requirements that currently exist as a matter of law, policy, or contract and recommend to the FAR Council standardized contract language for appropriate cybersecurity requirements.  Such recommendations shall include consideration of the scope of contractors and associated service providers to be covered by the proposed contract language.      (i) 本命令の日付から60日以内に、CISA長官を介して行動する国土安全保障長官は、NSA長官を介して行動する国防長官、OMB長官、および一般サービス長官と協議の上、法律、政策、または契約の問題として現在存在する省庁固有のサイバーセキュリティ要件を見直し、適切なサイバーセキュリティ要件のための標準的な契約言語をFAR評議会に勧告しなければならない。  当該勧告には、提案された契約言語の対象となる契約者および関連サービスプロバイダーの範囲の検討を含むものとする。
     (j)  Within 60 days of receiving the recommended contract language developed pursuant to subsection (i) of this section, the FAR Council shall review the recommended contract language and publish for public comment proposed updates to the FAR.      (j) 本節(i)に従って作成された推奨契約言語を受け取ってから60日以内に、FAR審議会は、推奨契約言語を検討し、FARの更新案をパブリックコメント用に公表する。
     (k)  Following any updates to the FAR made by the FAR Council after the public comment period described in subsection (j) of this section, agencies shall update their agency-specific cybersecurity requirements to remove any requirements that are duplicative of such FAR updates.      (k) 本節(j)に記載されたパブリックコメント期間後にFAR審議会が行ったFARの更新に伴い、各省庁はその省庁固有のサイバーセキュリティ要件を更新し、当該FARの更新と重複する要件を削除しなければならない。
     (l)  The Director of OMB shall incorporate into the annual budget process a cost analysis of all recommendations developed under this section.      (l) OMB長官は、本項に基づいて作成されたすべての提言のコスト分析を年次予算プロセスに組み込むものとする。
Sec. 3.  Modernizing Federal Government Cybersecurity. 第3節 連邦政府のサイバーセキュリティの近代化
     (a)  To keep pace with today’s dynamic and increasingly sophisticated cyber threat environment, the Federal Government must take decisive steps to modernize its approach to cybersecurity, including by increasing the Federal Government’s visibility into threats, while protecting privacy and civil liberties.  The Federal Government must adopt security best practices; advance toward Zero Trust Architecture; accelerate movement to secure cloud services, including Software as a Service (SaaS), Infrastructure as a Service (IaaS), and Platform as a Service (PaaS); centralize and streamline access to cybersecurity data to drive analytics for identifying and managing cybersecurity risks; and invest in both technology and personnel to match these modernization goals.      (a) 今日のダイナミックでますます洗練されたサイバー脅威環境に対応するために、連邦政府は、プライバシーと市民的自由を保護しつつ、脅威に対する連邦政府の可視性を高めるなど、サイバーセキュリティへのアプローチを近代化するための断固たる措置を講じなければならない。  連邦政府は、セキュリティのベストプラクティスを採用し、ゼロトラスト・アーキテクチャに向けて前進し、Software as a Service (SaaS)、Infrastructure as a Service (IaaS)、Platform as a Service (PaaS)を含む安全なクラウド・サービスへの移行を加速し、サイバーセキュリティ・リスクを特定・管理するための分析を推進するために、サイバーセキュリティ・データへのアクセスを一元化・合理化し、これらの近代化目標に合わせて技術と人材の両方に投資しなければならない。
     (b)  Within 60 days of the date of this order, the head of each agency shall:      (b) 本命令の日付から60日以内に、各省庁の長は以下を行う。
          (i)    update existing agency plans to prioritize resources for the adoption and use of cloud technology as outlined in relevant OMB guidance;           (i) 関連するOMBガイダンスに概説されているように、クラウド技術の採用と使用のためのリソースを優先するために、既存の機関計画を更新する。
          (ii)   develop a plan to implement Zero Trust Architecture, which shall incorporate, as appropriate, the migration steps that the National Institute of Standards and Technology (NIST) within the Department of Commerce has outlined in standards and guidance, describe any such steps that have already been completed, identify activities that will have the most immediate security impact, and include a schedule to implement them; and           (ii) ゼロトラストアーキテクチャを実施するための計画を策定する。この計画では、商務省内の米国標準技術研究所(NIST)が標準やガイダンスで概説した移行ステップを適宜取り入れ、すでに完了している当該ステップを説明し、最も直接的なセキュリティ上の影響を与える活動を特定し、それらを実施するためのスケジュールを含める。
          (iii)  provide a report to the Director of OMB and the Assistant to the President and National Security Advisor (APNSA) discussing the plans required pursuant to subsection (b)(i) and (ii) of this section.           (iii) OMB長官および大統領補佐官兼国家安全保障顧問(APNSA)に、本節(b)(i)および(ii)に従って求められる計画についての報告書を提出する。
     (c)  As agencies continue to use cloud technology, they shall do so in a coordinated, deliberate way that allows the Federal Government to prevent, detect, assess, and remediate cyber incidents.  To facilitate this approach, the migration to cloud technology shall adopt Zero Trust Architecture, as practicable.  The CISA shall modernize its current cybersecurity programs, services, and capabilities to be fully functional with cloud-computing environments with Zero Trust Architecture.  The Secretary of Homeland Security acting through the Director of CISA, in consultation with the Administrator of General Services acting through the Federal Risk and Authorization Management Program (FedRAMP) within the General Services Administration, shall develop security principles governing Cloud Service Providers (CSPs) for incorporation into agency modernization efforts.  To facilitate this work:      (c) 各省庁がクラウド技術を継続的に使用する際には、連邦政府がサイバーインシデントを予防、検知、評価、修復できるように、協調的かつ計画的な方法で行わなければならない。  このアプローチを促進するために、クラウド技術への移行は、実行可能な限りゼロトラスト・アーキテクチャーを採用するものとする。  CISAは、現行のサイバーセキュリティプログラム、サービス、能力を近代化し、ゼロトラストアーキテクチャを採用したクラウドコンピューティング環境で完全に機能するようにしなければならない。  CISA長官を通じて行動する国土安全保障長官は、一般調達局内(GSA)のFedRAMP(Federal Risk and Authorization Management Program)を通じて行動する一般調達局長官と協議の上、政府機関の近代化の取り組みに組み込むために、クラウドサービスプロバイダ(CSP)を管理するセキュリティ原則を策定するものとする。  この作業を促進するために
          (i)    Within 90 days of the date of this order, the Director of OMB, in consultation with the Secretary of Homeland Security acting through the Director of CISA, and the Administrator of General Services acting through FedRAMP, shall develop a Federal cloud-security strategy and provide guidance to agencies accordingly.  Such guidance shall seek to ensure that risks to the FCEB from using cloud-based services are broadly understood and effectively addressed, and that FCEB Agencies move closer to Zero Trust Architecture.           (i) 本命令の日付から90日以内に、OMB長官は、CISA長官を通じて行動する国土安全保障長官、およびFedRAMPを通じて行動する一般調達局長官と協議して、連邦クラウドセキュリティ戦略を策定し、それに応じて各省庁にガイダンスを提供する。  当該指針は、クラウドベースのサービスを使用することによる FCEB へのリスクが広く理解され、効果的に対処されること、および FCEB 機関がゼロトラストアーキテクチャに近づくことを確実にすることを目指すものとする。
          (ii)   Within 90 days of the date of this order, the Secretary of Homeland Security acting through the Director of CISA, in consultation with the Director of OMB and the Administrator of General Services acting through FedRAMP, shall develop and issue, for the FCEB, cloud-security technical reference architecture documentation that illustrates recommended approaches to cloud migration and data protection for agency data collection and reporting.            (ii) 本命令の日付から 90 日以内に、CISA 局長を務める国土安全保障長官は、OMB 局長 および FedRAMP を務める一般調達局長官と協議の上、FCEB のために、クラウド移行および 機関のデータ収集・報告のためのデータ保護の推奨アプローチを示すクラウド・セキュリテ ィ技術参照アーキテクチャ文書を作成し、発行するものとする。 
          (iii)  Within 60 days of the date of this order, the Secretary of Homeland Security acting through the Director of CISA shall develop and issue, for FCEB Agencies, a cloud-service governance framework.  That framework shall identify a range of services and protections available to agencies based on incident severity.  That framework shall also identify data and processing activities associated with those services and protections.           (iii) 本命令の日付から 60 日以内に、CISA 長官を通じて行動する国土安全保障長官は、FCEB 機関のために、クラウド・サービス・ ガバナンス・フレームワークを作成し、発行するものとする。  この枠組みは、インシデントの重大性に基づいて、機関が利用できるサービスと保護の範囲を特定するものとする。  また、その枠組みは、それらのサービス及び保護に関連するデータ及び処理活動を特定するものとする。
          (iv)   Within 90 days of the date of this order, the heads of FCEB Agencies, in consultation with the Secretary of Homeland Security acting through the Director of CISA, shall evaluate the types and sensitivity of their respective agency’s unclassified data, and shall provide to the Secretary of Homeland Security through the Director of CISA and to the Director of OMB a report based on such evaluation.  The evaluation shall prioritize identification of the unclassified data considered by the agency to be the most sensitive and under the greatest threat, and appropriate processing and storage solutions for those data.           (iv) 本命令の日付から90日以内に、FCEB機関の長は、CISA長官を通じて行動する国土安全保障長官と協議して、それぞれの機関の未分類データの種類と機密性を評価し、CISA長官を通じて国土安全保障長官とOMB長官に、当該評価に基づく報告書を提供しなければならない。  この評価では、各機関が最も機密性が高く、最大の脅威にさらされていると考える未分類データの特定と、それらのデータに対する適切な処理および保存方法を優先するものとする。
     (d)  Within 180 days of the date of this order, agencies shall adopt multi-factor authentication and encryption for data at rest and in transit, to the maximum extent consistent with Federal records laws and other applicable laws.  To that end:      (d) 本命令の日付から180日以内に、各省庁は、連邦記録法およびその他の適用法と整合する最大限の範囲で、保存中および転送中のデータに対して多要素認証および暗号化を採用しなければならない。  そのためには
          (i)    Heads of FCEB Agencies shall provide reports to the Secretary of Homeland Security through the Director of CISA, the Director of OMB, and the APNSA on their respective agency’s progress in adopting multifactor authentication and encryption of data at rest and in transit.  Such agencies shall provide such reports every 60 days after the date of this order until the agency has fully adopted, agency-wide, multi-factor authentication and data encryption.           (i) FCEB機関の長は、CISA長官、OMB長官、およびAPNSAを通じて国土安全保障長官に、保存中および転送中のデータの多要素認証および暗号化の採用における各機関の進捗状況に関する報告書を提供する。  当該機関は、本命令の日付から60日ごとに、機関全体で多要素認証とデータ暗号化を完全に採用するまで、当該報告書を提出しなければならない。
          (ii)   Based on identified gaps in agency implementation, CISA shall take all appropriate steps to maximize adoption by FCEB Agencies of technologies and processes to implement multifactor authentication and encryption for data at rest and in transit.           (ii) 特定された省庁の実施におけるギャップに基づき、CISA は、FCEB 省庁が多要素認証と休息時および転送時のデータの暗号化を実施するための技術とプロセ スを最大限に採用するために、あらゆる適切な手段を講じるものとする。
          (iii)  Heads of FCEB Agencies that are unable to fully adopt multi-factor authentication and data encryption within 180 days of the date of this order shall, at the end of the 180-day period, provide a written rationale to the Secretary of Homeland Security through the Director of CISA, the Director of OMB, and the APNSA.           (iii) 本命令の日付から 180 日以内に多要素認証およびデータ暗号化を完全に導入できない FCEB 機関の長は、180 日の期間が終了した時点で、CISA 局長、OMB 局長、および APNSA を通じて国土安全保障長官に書面による理由を提出しなければならない。
     (e)  Within 90 days of the date of this order, the Secretary of Homeland Security acting through the Director of CISA, in consultation with the Attorney General, the Director of the FBI, and the Administrator of General Services acting through the Director of FedRAMP, shall establish a framework to collaborate on cybersecurity and incident response activities related to FCEB cloud technology, in order to ensure effective information sharing among agencies and between agencies and CSPs.      (e) 本命令の日付から90日以内に、CISA長官を通じて行動する国土安全保障長官は、司法長官、FBI長官、FedRAMP長官を通じて行動する一般調達局長官と協議の上、政府機関間および政府機関とCSPの間での効果的な情報共有を確保するために、FCEBクラウド技術に関連するサイバーセキュリティおよびインシデント対応活動を共同で行う枠組みを確立しなければならない。
     (f)  Within 60 days of the date of this order, the Administrator of General Services, in consultation with the Director of OMB and the heads of other agencies as the Administrator of General Services deems appropriate, shall begin modernizing FedRAMP by:      (f) 本命令の日付から 60 日以内に、一般調達局長官は、OMB 長官及び一般調達局長官が適切と考える他の機関の長と協議の上、以下の方法で FedRAMP の近代化を開始しなければならない。
          (i)    establishing a training program to ensure agencies are effectively trained and equipped to manage FedRAMP requests, and providing access to training materials, including videos-on-demand;           (i) 機関が効果的に訓練を受け、FedRAMP要求を管理するための設備を備えていることを確認するための訓練プログラムを確立し、ビデオ・オン・デマンドを含む訓練資料へのアクセスを提供すること。
          (ii)   improving communication with CSPs through automation and standardization of messages at each stage of authorization.  These communications may include status updates, requirements to complete a vendor’s current stage, next steps, and points of contact for questions;           (ii) 認証の各段階におけるメッセージの自動化及び標準化を通じて、CSPとのコミュニケーションを改善する。  これらのコミュニケーションには、ステータスの更新、ベンダーの現在のステージを完了するための要件、次のステップ、質問の連絡先などが含まれる。
          (iii)  incorporating automation throughout the lifecycle of FedRAMP, including assessment, authorization, continuous monitoring, and compliance;           (iii) 評価、認可、継続的な監視、コンプライアンスなど、FedRAMP のライフサイクル全体に自動化を取り入れること。
          (iv)   digitizing and streamlining documentation that vendors are required to complete, including through online accessibility and pre-populated forms; and           (iv) オンラインでのアクセスや事前に入力されたフォームなど、ベンダーが記入する必要のある書類をデジタル化し、合理化すること。
          (v)    identifying relevant compliance frameworks, mapping those frameworks onto requirements in the FedRAMP authorization process, and allowing those frameworks to be used as a substitute for the relevant portion of the authorization process, as appropriate.           (v) 関連するコンプライアンス・フレームワークを特定し、それらのフレームワークを FedRAMP 認可プロセスの要件にマッピングし、必要に応じて、それらのフレームワークを認可プロセスの関連部分の代用として使用できるようにする。
Sec. 4.  Enhancing Software Supply Chain Security.  第4節 ソフトウェア・サプライチェーン・セキュリティの強化 
     (a)  The security of software used by the Federal Government is vital to the Federal Government’s ability to perform its critical functions.  The development of commercial software often lacks transparency, sufficient focus on the ability of the software to resist attack, and adequate controls to prevent tampering by malicious actors.  There is a pressing need to implement more rigorous and predictable mechanisms for ensuring that products function securely, and as intended.  The security and integrity of “critical software” — software that performs functions critical to trust (such as affording or requiring elevated system privileges or direct access to networking and computing resources) — is a particular concern.  Accordingly, the Federal Government must take action to rapidly improve the security and integrity of the software supply chain, with a priority on addressing critical software.      (a) 連邦政府が使用するソフトウェアのセキュリティは、連邦政府がクリティカルな機能を果たすために不可欠である。  商用ソフトウェアの開発には、透明性、攻撃に対するソフトウェアの能力への十分な配慮、悪意のある行為者による改ざんを防ぐための適切な管理が欠けていることが多い。  製品が意図したとおりに安全に機能することを保証するために、より厳密で予測可能なメカニズムを導入することが急務となっている。  特に、「クリティカル・ソフトウェア」、つまり信頼に関わる機能を果たすソフトウェア(昇格したシステム特権やネットワークおよびコンピューティングリソースへの直接アクセスを与える、または要求するなど)のセキュリティと完全性が懸念される。  したがって、連邦政府は、クリティカル・ソフトウェアへの対応を優先して、ソフトウェアサプライチェーンのセキュリティと整合性を迅速に改善するための行動を起こさなければならない。
     (b)  Within 30 days of the date of this order, the Secretary of Commerce acting through the Director of NIST shall solicit input from the Federal Government, private sector, academia, and other appropriate actors to identify existing or develop new standards, tools, and best practices for complying with the standards, procedures, or criteria in subsection (e) of this section.  The guidelines shall include criteria that can be used to evaluate software security, include criteria to evaluate the security practices of the developers and suppliers themselves, and identify innovative tools or methods to demonstrate conformance with secure practices.      (b) 本命令の発効日から30日以内に、NIST長官を通じて行動する商務長官は、本節(e)項の基準、手順、または基準に準拠するための既存または新規の基準、ツール、およびベストプラクティスを特定するために、連邦政府、民間企業、学界、およびその他の適切な関係者から意見を募るものとする。  ガイドラインには、ソフトウェアのセキュリティを評価するために使用できる基準を含み、開発者やサプライヤー自身のセキュリティ慣行を評価するための基準を含み、安全な慣行への適合を実証するための革新的なツールや方法を特定するものとする。
     (c)  Within 180 days of the date of this order, the Director of NIST shall publish preliminary guidelines, based on the consultations described in subsection (b) of this section and drawing on existing documents as practicable, for enhancing software supply chain security and meeting the requirements of this section.      (c) 本命令の日付から180日以内に、NISTのディレクターは、本節(b)に記載された協議に基づき、可能な限り既存の文書を参考にして、ソフトウェアサプライチェーンのセキュリティを強化し、本項の要件を満たすための予備的なガイドラインを公表するものとする。
     (d)  Within 360 days of the date of this order, the Director of NIST shall publish additional guidelines that include procedures for periodic review and updating of the guidelines described in subsection (c) of this section.      (d) 本命令の日付から360日以内に、NISTのディレクターは、本節(c)に記載されたガイドラインの定期的な見直しと更新のための手順を含む追加のガイドラインを公表しなければならない。
     (e)  Within 90 days of publication of the preliminary guidelines pursuant to subsection (c) of this section, the Secretary of Commerce acting through the Director of NIST, in consultation with the heads of such agencies as the Director of NIST deems appropriate, shall issue guidance identifying practices that enhance the security of the software supply chain.  Such guidance may incorporate the guidelines published pursuant to subsections (c) and (i) of this section.  Such guidance shall include standards, procedures, or criteria regarding:       (e) 本節(c)に基づく予備ガイドラインの公表から90日以内に、NIST長官を通じて行動する商務長官は、NIST長官が適切と考える機関の長と協議の上、ソフトウェア・サプライチェーンのセキュリティを強化する慣行を示すガイダンスを発行するものとする。  当該ガイダンスは、本節(c)および(i)に従って公表されたガイドラインを組み込むことができる。  このガイダンスには、以下に関する基準、手順、または基準が含まれる。 
          (i)     secure software development environments, including such actions as:           (i) 安全なソフトウェア開発環境(以下を含む)。
              (A)  using administratively separate build environments;               (A) 管理上独立したビルド環境を使用すること。
              (B)  auditing trust relationships;               (B) 信頼関係を監査すること。
              (C)  establishing multi-factor, risk-based authentication and conditional access across the enterprise;               (C) 企業全体で多要素、リスクベースの認証及び条件付アクセスを確立すること。
              (D)  documenting and minimizing dependencies on enterprise products that are part of the environments used to develop, build, and edit software;               (D) ソフトウェアの開発、構築、編集に使用される環境の一部である企業製品への依存関係を文書化し、最小限に抑えること。
              (E)  employing encryption for data; and               (E) データの暗号化を採用すること。
              (F)  monitoring operations and alerts and responding to attempted and actual cyber incidents;               (F) オペレーションとアラートを監視し、未遂および実際のサイバー・インシデントに対応すること。
          (ii)    generating and, when requested by a purchaser, providing artifacts that demonstrate conformance to the processes set forth in subsection (e)(i) of this section;            (ii) 本節(e)(i)に定めるプロセスへの適合性を証明する成果物を作成し、購入者から要求があった場合には提供すること。 
          (iii)   employing automated tools, or comparable processes, to maintain trusted source code supply chains, thereby ensuring the integrity of the code;           (iii) 信頼できるソースコードのサプライチェーンを維持するために、自動化されたツールまたは同等のプロセスを採用することにより、コードの完全性を確保すること。
          (iv)    employing automated tools, or comparable processes, that check for known and potential vulnerabilities and remediate them, which shall operate regularly, or at a minimum prior to product, version, or update release;           (iv) 既知および潜在的な脆弱性をチェックし、それらを修正するための自動化されたツールまたは同等のプロセスを採用すること。
          (v)     providing, when requested by a purchaser, artifacts of the execution of the tools and processes described in subsection (e)(iii) and (iv) of this section, and making publicly available summary information on completion of these actions, to include a summary description of the risks assessed and mitigated;           (v) 購入者の要求に応じて、本節(e)(iii)および(iv)に記載されたツールおよびプロセスの実行結果を提供し、評価および軽減されたリスクの概要を含む、これらのアクションの完了に関する概要情報を公開すること。
          (vi)    maintaining accurate and up-to-date data, provenance (i.e., origin) of software code or components, and controls on internal and third-party software components, tools, and services present in software development processes, and performing audits and enforcement of these controls on a recurring basis;           (vi) ソフトウェア開発プロセスに存在する内部および第三者のソフトウェアコンポーネント、ツール、およびサービスに関する正確かつ最新のデータ、ソフトウェアコードまたはコンポーネントの出所(すなわち、起源)、および管理を維持し、これらの管理の監査および実施を定期的に行うこと。
          (vii)   providing a purchaser a Software Bill of Materials (SBOM) for each product directly or by publishing it on a public website;           (vii) 各製品のソフトウェア部品表(SBOM)を購入者に直接または公開ウェブサイトで提供すること。
          (viii)  participating in a vulnerability disclosure program that includes a reporting and disclosure process;           (viii) 報告と開示のプロセスを含む脆弱性開示プログラムに参加すること。
          (ix)    attesting to conformity with secure software development practices; and           (ix) 安全なソフトウェア開発手法への適合性を証明すること。
          (x)     ensuring and attesting, to the extent practicable, to the integrity and provenance of open source software used within any portion of a product.           (x) 製品の一部に使用されているオープンソースソフトウェアの完全性と出所を、実行可能な範囲で確保し、証明すること。
     (f)  Within 60 days of the date of this order, the Secretary of Commerce, in coordination with the Assistant Secretary for Communications and Information and the Administrator of the National Telecommunications and Information Administration, shall publish minimum elements for an SBOM.      (f) 本命令の発効日から60日以内に、商務長官は通信情報担当次官補および米国通信情報局長官と連携し、SBOMの最小要素を公表する。
     (g)  Within 45 days of the date of this order, the Secretary of Commerce, acting through the Director of NIST, in consultation with the Secretary of Defense acting through the Director of the NSA, the Secretary of Homeland Security acting through the Director of CISA, the Director of OMB, and the Director of National Intelligence, shall publish a definition of the term “critical software” for inclusion in the guidance issued pursuant to subsection (e) of this section.  That definition shall reflect the level of privilege or access required to function, integration and dependencies with other software, direct access to networking and computing resources, performance of a function critical to trust, and potential for harm if compromised.      (g) 本命令の発効日から45日以内に、NIST長官を通じて行動する商務長官は、NSA長官を通じて行動する国防長官、CISA長官を通じて行動する国土安全保障長官、OMB長官、および国家情報長官と協議の上、本節(e)項に従って発行されるガイダンスに含めるための「クリティカル・ソフトウェア」という用語の定義を公表しなければならない。この定義には、機能に必要な特権またはアクセスのレベル、他のソフトウェアとの統合および依存関係、ネットワークおよびコンピューティングリソースへの直接アクセス、信頼に不可欠な機能の実行、および侵害された場合の被害の可能性が反映されていなければならない。
     (h)  Within 30 days of the publication of the definition required by subsection (g) of this section, the Secretary of Homeland Security acting through the Director of CISA, in consultation with the Secretary of Commerce acting through the Director of NIST, shall identify and make available to agencies a list of categories of software and software products in use or in the acquisition process meeting the definition of critical software issued pursuant to subsection (g) of this section.      (h) 本節(g)で要求される定義の公表から30日以内に、CISA長官を通じて行動する国土安全保障長官は、NIST長官を通じて行動する商務長官と協議の上、本節(g)項に従って公表されたクリティカル・ソフトウェアの定義を満たす、使用中または取得中のソフトウェアおよびソフトウェア製品のカテゴリのリストを特定し、各省庁に提供しなければならない。
     (i)  Within 60 days of the date of this order, the Secretary of Commerce acting through the Director of NIST, in consultation with the Secretary of Homeland Security acting through the Director of CISA and with the Director of OMB, shall publish guidance outlining security measures for critical software as defined in subsection (g) of this section, including applying practices of least privilege, network segmentation, and proper configuration.      (i) 本命令の日付から60日以内に、NIST長官を通じて行動する商務長官は、CISA長官を通じて行動する国土安全保障長官およびOMB長官と協議の上、本節(g)で定義されたクリティカル・ソフトウェアのセキュリティ対策の概要を示すガイダンスを発行しなければならない。これには、最小特権、ネットワークセグメンテーション、および適切な構成の実践の適用が含まれる。
     (j)  Within 30 days of the issuance of the guidance described in subsection (i) of this section, the Director of OMB acting through the Administrator of the Office of Electronic Government within OMB shall take appropriate steps to require that agencies comply with such guidance.      (j) 本節(i)に記載されたガイダンスの発行から30日以内に、OMB内の電子政府局の長官を介して行動するOMB長官は、各省庁が当該ガイダンスを遵守することを求めるための適切な措置を講じるものとする。
     (k)  Within 30 days of issuance of the guidance described in subsection (e) of this section, the Director of OMB acting through the Administrator of the Office of Electronic Government within OMB shall take appropriate steps to require that agencies comply with such guidelines with respect to software procured after the date of this order.      (k) 本節(e)に記載された指針の発行から30日以内に、OMB内の電子政府局の長官を通じて行動するOMB長官は、本命令の日付以降に調達されたソフトウェアに関して、各省庁が当該指針を遵守することを求めるための適切な措置を講じなければならない。
     (l)  Agencies may request an extension for complying with any requirements issued pursuant to subsection (k) of this section.  Any such request shall be considered by the Director of OMB on a case-by-case basis, and only if accompanied by a plan for meeting the underlying requirements.  The Director of OMB shall on a quarterly basis provide a report to the APNSA identifying and explaining all extensions granted.     (l)各省庁は、本節(k)に従って発行された要求事項を遵守するための延長を要求することができる。  このような要求は、基本的な要件を満たすための計画が添付されている場合に限り、ケースバイケースでOMB長官によって検討される。  OMB長官は、四半期ごとに、許可されたすべての延長を特定し、説明する報告書をAPNSAに提出する。
     (m)  Agencies may request a waiver as to any requirements issued pursuant to subsection (k) of this section.  Waivers shall be considered by the Director of OMB, in consultation with the APNSA, on a case-by-case basis, and shall be granted only in exceptional circumstances and for limited duration, and only if there is an accompanying plan for mitigating any potential risks.      (m) 各省庁は、本節(k)に従って発行された要求事項の免除を要求することができる。  免除は、APNSAと協議の上、OMB長官がケースバイケースで検討するものとし、例外的な状況でかつ期間限定で、潜在的なリスクを軽減するための計画が付随している場合にのみ認められるものとする。
     (n)  Within 1 year of the date of this order, the Secretary of Homeland Security, in consultation with the Secretary of Defense, the Attorney General, the Director of OMB, and the Administrator of the Office of Electronic Government within OMB, shall recommend to the FAR Council contract language requiring suppliers of software available for purchase by agencies to comply with, and attest to complying with, any requirements issued pursuant to subsections (g) through (k) of this section.      (n) 本命令の日付から1年以内に、国土安全保障長官は、国防長官、司法長官、OMB長官、およびOMB内の電子政府局長官と協議の上、各省庁が購入可能なソフトウェアの供給者に対し、本節(g)から(k)までに従って発行された要求事項を遵守し、遵守していることを証明することを義務付ける契約言語をFAR審議会に勧告しなければならない。
     (o)  After receiving the recommendations described in subsection (n) of this section, the FAR Council shall review the recommendations and, as appropriate and consistent with applicable law, amend the FAR.      (o) 本節(n)に記載された勧告を受け取った後、FAR審議会は勧告を検討し、適切かつ適用法に沿って、FARを改正する。
     (p)  Following the issuance of any final rule amending the FAR as described in subsection (o) of this section, agencies shall, as appropriate and consistent with applicable law, remove software products that do not meet the requirements of the amended FAR from all indefinite delivery indefinite quantity contracts; Federal Supply Schedules; Federal Government-wide Acquisition Contracts; Blanket Purchase Agreements; and Multiple Award Contracts.      (p) 本節(o)に記載されたFARを改正する最終規則の発行後、各省庁は、適切かつ適用法に沿って、改正されたFARの要件を満たさないソフトウェア製品を、すべての不定配達不定量契約、連邦供給スケジュール、連邦政府全体取得契約、包括購入契約、および複数受賞契約から削除しなければならない。
     (q)  The Director of OMB, acting through the Administrator of the Office of Electronic Government within OMB, shall require  agencies employing software developed and procured prior to the date of this order (legacy software) either to comply with any requirements issued pursuant to subsection (k) of this section or to provide a plan outlining actions to remediate or meet those requirements, and shall further require agencies seeking renewals of software contracts, including legacy software, to comply with any requirements issued pursuant to subsection (k) of this section, unless an extension or waiver is granted in accordance with subsection (l) or (m) of this section.      (q) OMB長官は、OMB内の電子政府局長官を通じて、本命令の日付以前に開発・調達されたソフトウェア(レガシーソフトウェア)を採用している機関に対し、本節(k)に従って発行された要求事項を遵守するか、またはそれらの要求事項を修正または満たすための行動を概説した計画を提供することを要求するものとする。さらに、レガシーソフトウェアを含むソフトウェア契約の更新を求める機関に対し、本節(l)または(m)に従って延長または免除が認められない限り、本節(k)に従って発行されたすべての要件に準拠することを求めるものとする。
     (r)  Within 60 days of the date of this order, the Secretary of Commerce acting through the Director of NIST, in consultation with the Secretary of Defense acting through the Director of the NSA, shall publish guidelines recommending minimum standards for vendors’ testing of their software source code, including identifying recommended types of manual or automated testing (such as code review tools, static and dynamic analysis, software composition tools, and penetration testing).      (r) 本命令の日付から60日以内に、NISTの長官を務める商務長官は、NSAの長官を務める国防長官と協議の上、推奨される手動または自動のテストの種類(コードレビューツール、静的・動的分析、ソフトウェア構成ツール、侵入テストなど)の特定を含め、ベンダーによるソフトウェアソースコードのテストの最低基準を推奨するガイドラインを公表する。
     (s)  The Secretary of Commerce acting through the Director of NIST, in coordination with representatives of other agencies as the Director of NIST deems appropriate, shall initiate pilot programs informed by existing consumer product labeling programs to educate the public on the security capabilities of Internet-of-Things (IoT) devices and software development practices, and shall consider ways to incentivize manufacturers and developers to participate in these programs.      (s) NIST長官を通じて行動する商務長官は、NIST長官が適切と考える他の機関の代表者と連携して、既存の消費者向け製品のラベリングプログラムを参考にして、IoT機器のセキュリティ機能とソフトウェアの開発方法について一般の人々を教育するためのパイロットプログラムを開始し、製造者と開発者がこれらのプログラムに参加するインセンティブを与える方法を検討するものとする。
     (t)  Within 270 days of the date of this order, the Secretary of Commerce acting through the Director of NIST, in coordination with the Chair of the Federal Trade Commission (FTC) and representatives of other agencies as the Director of NIST deems appropriate, shall identify IoT cybersecurity criteria for a consumer labeling program, and shall consider whether such a consumer labeling program may be operated in conjunction with or modeled after any similar existing government programs consistent with applicable law.  The criteria shall reflect increasingly comprehensive levels of testing and assessment that a product may have undergone, and shall use or be compatible with existing labeling schemes that manufacturers use to inform consumers about the security of their products.  The Director of NIST shall examine all relevant information, labeling, and incentive programs and employ best practices.  This review shall focus on ease of use for consumers and a determination of what measures can be taken to maximize manufacturer participation.      (t) 本命令の日付から270日以内に、NIST長官を通じて行動する商務長官は、連邦取引委員会(FTC)の議長およびNIST長官が適切と考える他の機関の代表者と連携して、消費者向けラベリングプログラムのためのIoTサイバーセキュリティ基準を特定し、そのような消費者向けラベリングプログラムが、適用法と整合性のある既存の類似した政府プログラムと連携して運営されるか、またはそれをモデルにして運営されるかどうかを検討しなければならない。  基準は、製品が受ける可能性のあるテストと評価の包括的なレベルを反映したものでなければならず、メーカーが自社製品のセキュリティについて消費者に知らせるために使用している既存のラベリングスキームを使用または互換性のあるものでなければならない。  NIST長官は、関連するすべての情報、ラベリング、およびインセンティブプログラムを検討し、ベストプラクティスを採用する。  この検討では、消費者にとっての使いやすさと、製造者の参加を最大限に引き出すためにどのような方策を取ることができるかを決定することに重点を置く。
     (u)  Within 270 days of the date of this order, the Secretary of Commerce acting through the Director of NIST, in coordination with the Chair of the FTC and representatives from other agencies as the Director of NIST deems appropriate, shall identify secure software development practices or criteria for a consumer software labeling program, and shall consider whether such a consumer software labeling program may be operated in conjunction with or modeled after any similar existing government programs, consistent with applicable law.  The criteria shall reflect a baseline level of secure practices, and if practicable, shall reflect increasingly comprehensive levels of testing and assessment that a product may have undergone.  The Director of NIST shall examine all relevant information, labeling, and incentive programs, employ best practices, and identify, modify, or develop a recommended label or, if practicable, a tiered software security rating system.  This review shall focus on ease of use for consumers and a determination of what measures can be taken to maximize participation.      (u) 本命令の日付から270日以内に、NIST長官を通じて行動する商務長官は、FTC議長およびNIST長官が適切と考える他の機関の代表者と連携して、安全なソフトウェア開発の慣行または消費者向けソフトウェアのラベリングプログラムの基準を特定し、そのような消費者向けソフトウェアのラベリングプログラムが、適用される法律との整合性を保ちつつ、既存の類似した政府プログラムと連携して運営されるか、またはそれをモデルにして運営されるかどうかを検討しなければならない。  基準は、安全な慣行のベースラインレベルを反映するものとし、実行可能な場合には、製品が受けた可能性のあるテストおよび評価の包括的なレベルを反映するものとする。  NIST長官は、関連するすべての情報、ラベリング、およびインセンティブプログラムを検証し、ベストプラクティスを採用し、推奨ラベル、または実行可能な場合は段階的なソフトウェアセキュリティ評価システムを特定、修正、または開発する。  このレビューでは、消費者にとっての使いやすさに焦点を当て、参加者数を最大化するためにどのような手段を講じることができるかを判断するものとする。
     (v)  These pilot programs shall be conducted in a manner consistent with OMB Circular A-119 and NIST Special Publication 2000-02 (Conformity Assessment Considerations for Federal Agencies).      (v) これらのパイロットプログラムは、OMB Circular A-119およびNIST Special Publication 2000-02(Conformity Assessment Considerations for Federal Agencies)に準拠した方法で実施すること。
     (w)  Within 1 year of the date of this order, the Director of NIST shall conduct a review of the pilot programs, consult with the private sector and relevant agencies to assess the effectiveness of the programs, determine what improvements can be made going forward, and submit a summary report to the APNSA.      (w) 本命令の日付から1年以内に、NISTのディレクターは、パイロットプログラムのレビューを行い、プログラムの有効性を評価するために民間企業および関連機関と協議し、今後どのような改善が可能かを決定し、APNSAに概要報告を提出する。
     (x)  Within 1 year of the date of this order, the Secretary of Commerce, in consultation with the heads of other agencies as the Secretary of Commerce deems appropriate, shall provide to the President, through the APNSA, a report that reviews the progress made under this section and outlines additional steps needed to secure the software supply chain.     (x)本命令の日付から1年以内に、商務長官は、商務長官が適切と考える他の機関の長と協議の上、APNSAを通じて、本項に基づく進捗状況を検討し、ソフトウェアのサプライチェーンの安全性を確保するために必要な追加措置を概説した報告書を大統領に提出しなければならない。
Sec. 5.  Establishing a Cyber Safety Review Board. 第5節 サイバー安全審査会の設置
     (a)  The Secretary of Homeland Security, in consultation with the Attorney General, shall establish the Cyber Safety Review Board (Board), pursuant to section 871 of the Homeland Security Act of 2002 (6 U.S.C. 451).      (a)国土安全保障長官は、司法長官と協議の上、2002年国土安全保障法第871条(6 U.S.C. 451)に基づき、サイバー安全審査会を設置する。 
     (b)  The Board shall review and assess, with respect to significant cyber incidents (as defined under Presidential Policy Directive 41 of July 26, 2016 (United States Cyber Incident Coordination) (PPD 41)) affecting FCEB Information Systems or non-Federal systems, threat activity, vulnerabilities, mitigation activities, and agency responses.      (b) 審査会は、FCEB情報システムまたは非連邦システムに影響を与える重大なサイバーインシデント(2016年7月26日の大統領政策指令41(米国サイバーインシデント調整)(PPD41)に基づき定義される)に関して、脅威活動、脆弱性、緩和活動、および機関の対応を審査・評価する。
     (c)  The Secretary of Homeland Security shall convene the Board following a significant cyber incident triggering the establishment of a Cyber Unified Coordination Group (UCG) as provided by section V(B)(2) of PPD-41; at any time as directed by the President acting through the APNSA; or at any time the Secretary of Homeland Security deems necessary.       (c) 国土安全保障長官は、PPD-41のV(B)(2)項に規定されるサイバー統一調整グループ(UCG)の設立のきっかけとなる重大なサイバーインシデントが発生した場合、APNSAを通じて行動する大統領の指示があった場合、または国土安全保障長官が必要と判断した場合には、理事会を招集する。 
     (d)  The Board’s initial review shall relate to the cyber activities that prompted the establishment of a UCG in December 2020, and the Board shall, within 90 days of the Board’s establishment, provide recommendations to the Secretary of Homeland Security for improving cybersecurity and incident response practices, as outlined in subsection (i) of this section.     (d)理事会の最初のレビューは、2020年12月にUCGの設立を促したサイバー活動に関するものとし、理事会は、理事会の設立から90日以内に、本節(i)項に記載されているように、サイバーセキュリティおよびインシデント対応の実務を改善するための勧告を国土安全保障長官に提出する。
     (e)  The Board’s membership shall include Federal officials and representatives from private-sector entities.  The Board shall comprise representatives of the Department of Defense, the Department of Justice, CISA, the NSA, and the FBI, as well as representatives from appropriate private-sector cybersecurity or software suppliers as determined by the Secretary of Homeland Security.  A representative from OMB shall participate in Board activities when an incident under review involves FCEB Information Systems, as determined by the Secretary of Homeland Security.  The Secretary of Homeland Security may invite the participation of others on a case-by-case basis depending on the nature of the incident under review.       (e) 理事会のメンバーには、連邦政府関係者および民間企業の代表者が含まれるものとする。  理事会は、国防総省、司法省、CISA、NSA、FBIの代表者、および国土安全保障長官が決定する適切な民間のサイバーセキュリティまたはソフトウェア・サプライヤーの代表者で構成されるものとする。  OMB の代表者は、審査中のインシデントが FCEB 情報システムに関わる場合、国土安全保障長官の決定に基づき、理事会活動に参加するものとする。  国土安全保障長官は、審査中の事件の性質に応じて、ケースバイケースで他の人の参加を求めることができる。 
     (f)  The Secretary of Homeland Security shall biennially designate a Chair and Deputy Chair of the Board from among the members of the Board, to include one Federal and one private-sector member.      (f) 国土安全保障長官は、隔年で理事会のメンバーの中から理事長と副理事長を指名し、連邦政府のメンバー1名と民間企業のメンバー1名を含むものとする。
     (g)  The Board shall protect sensitive law enforcement, operational, business, and other confidential information that has been shared with it, consistent with applicable law.        (g) 理事会は、共有された法執行機関の機密情報、業務上の機密情報、ビジネス上の機密情報、その他の機密情報を、適用法に沿って保護する。  
     (h)  The Secretary of Homeland Security shall provide to the President through the APNSA any advice, information, or recommendations of the Board for improving cybersecurity and incident response practices and policy upon completion of its review of an applicable incident.       (h) 国土安全保障省長官は、該当するインシデントのレビューが完了した時点で、サイバーセキュリティおよびインシデント対応の実務と政策を改善するための理事会の助言、情報、提言を、APNSAを通じて大統領に提供するものとする。 
     (i)  Within 30 days of completion of the initial review described in subsection (d) of this section, the Secretary of Homeland Security shall provide to the President through the APNSA the recommendations of the Board based on the initial review.  These recommendations shall describe:      (i) 本節(d)に記載された初期審査の完了後30日以内に、国土安全保障省長官は、初期審査に基づく理事会の勧告をAPNSAを通じて大統領に提供するものとする。  これらの勧告には以下が含まれる。
          (i)     identified gaps in, and options for, the Board’s composition or authorities;           (i) 理事会の構成または権限において確認されたギャップ、およびその選択肢。
          (ii)    the Board’s proposed mission, scope, and responsibilities;           (ii) 理事会の使命、範囲、責任の提案。
          (iii)   membership eligibility criteria for private sector representatives;           (iii) 民間企業の代表者の会員資格基準。
          (iv)    Board governance structure including interaction with the executive branch and the Executive Office of the President;           (iv) 行政府及び大統領府との関係を含む理事会のガバナンス構造。
          (v)     thresholds and criteria for the types of cyber incidents to be evaluated;           (v) 評価されるべきサイバーインシデントの種類に関する閾値及び基準。
          (vi)    sources of information that should be made available to the Board, consistent with applicable law and policy;           (vi) 適用される法律及び政策と整合性のある、理事会に提供されるべき情報源。
          (vii)   an approach for protecting the information provided to the Board and securing the cooperation of affected United States individuals and entities for the purpose of the Board’s review of incidents; and           (vii) 理事会に提供された情報を保護し、理事会がインシデントを検討する目的で、影響を受ける米国の個人及び団体の協力を確保するためのアプローチ。
          (viii)  administrative and budgetary considerations required for operation of the Board.            (viii)  委員会の運営に必要な管理上および予算上の検討事項。
     (j)  The Secretary of Homeland Security, in consultation with the Attorney General and the APNSA, shall review the recommendations provided to the President through the APNSA pursuant to subsection (i) of this section and take steps to implement them as appropriate.    (j)国土安全保障長官は、司法長官およびAPNSAと協議の上、本節(i)に従ってAPNSAを通じて大統領に提供された勧告を検討し、適切に実施するための措置を講じるものとする。
    (k)  Unless otherwise directed by the President, the Secretary of Homeland Security shall extend the life of the Board every 2 years as the Secretary of Homeland Security deems appropriate, pursuant to section 871 of the Homeland Security Act of 2002.     (k) 大統領からの別段の指示がない限り、2002年国土安全保障法第871条に基づき、国土安全保障長官が適切と判断した場合、国土安全保障長官は2年ごとに理事会の任期を延長する。
Sec. 6.  Standardizing the Federal Government’s Playbook for Responding to Cybersecurity Vulnerabilities and Incidents.   第6節 サイバーセキュリティの脆弱性とインシデントに対応するための連邦政府のプレイブックの標準化
     (a)  The cybersecurity vulnerability and incident response procedures currently used to identify, remediate, and recover from vulnerabilities and incidents affecting their systems vary across agencies, hindering the ability of lead agencies to analyze vulnerabilities and incidents more comprehensively across agencies.  Standardized response processes ensure a more coordinated and centralized cataloging of incidents and tracking of agencies’ progress toward successful responses.       (a) 自国のシステムに影響を及ぼす脆弱性やインシデントを特定し、修復し、回復するために現在使用されているサイバーセキュリティの脆弱性やインシデント対応手順は、各省庁によって異なり、主導機関が省庁間でより包括的に脆弱性やインシデントを分析する能力を阻害している。  対応プロセスを標準化することで、インシデントのカタログ化と、対応の成功に向けた各機関の進捗状況の追跡を、より協調的かつ集中的に行うことができる。 
     (b)  Within 120 days of the date of this order, the Secretary of Homeland Security acting through the Director of CISA, in consultation with the Director of OMB, the Federal Chief Information Officers Council, and the Federal Chief Information Security Council, and in coordination with the Secretary of Defense acting through the Director of the NSA, the Attorney General, and the Director of National Intelligence, shall develop a standard set of operational procedures (playbook) to be used in planning and conducting a cybersecurity vulnerability and incident response activity respecting FCEB Information Systems.  The playbook shall:      (b) 本命令の日付から120日以内に、CISA長官を務める国土安全保障長官は、OMB長官、連邦最高情報責任者協議会、連邦最高情報セキュリティ協議会と協議し、NSA長官を務める国防長官、司法長官、国家情報長官と連携して、FCEB情報システムに関するサイバーセキュリティの脆弱性およびインシデント対応活動を計画・実施する際に使用する標準的な業務手順(プレイブック)を策定するものとする。  プレイブックは以下の通りとする。
          (i)    incorporate all appropriate NIST standards;            (i) 適切な NIST 規格をすべて取り入れること。 
          (ii)   be used by FCEB Agencies; and           (ii) FCEB エージェンシーによって使用される。
          (iii)  articulate progress and completion through all phases of an incident response, while allowing flexibility so it may be used in support of various response activities.           (iii) インシデント対応のすべての段階における進捗状況と完了を明確にするとともに、様々な対応活動の支援に使用できるよう柔軟性を持たせること。
     (c)  The Director of OMB shall issue guidance on agency use of the playbook.      (c) OMB 局長は、各省庁がプレイブックを使用する際のガイダンスを発行する。
     (d)  Agencies with cybersecurity vulnerability or incident response procedures that deviate from the playbook may use such procedures only after consulting with the Director of OMB and the APNSA and demonstrating that these procedures meet or exceed the standards proposed in the playbook.      (d) プレイブックから逸脱したサイバーセキュリティの脆弱性やインシデント対応手順を持つ省庁は、OMB長官およびAPNSAと協議し、これらの手順がプレイブックで提案されている基準を満たしているか、それ以上であることを証明した後にのみ、当該手順を使用することができる。
    (e)  The Director of CISA, in consultation with the Director of the NSA, shall review and update the playbook annually, and provide information to the Director of OMB for incorporation in guidance updates.      (e) CISA長官は、NSA長官と協議の上、毎年プレイブックを見直し、更新し、ガイダンスの更新に組み込むためにOMB長官に情報を提供する。 
    (f)  To ensure comprehensiveness of incident response activities and build confidence that unauthorized cyber actors no longer have access to FCEB Information Systems, the playbook shall establish, consistent with applicable law, a requirement that the Director of CISA review and validate FCEB Agencies’ incident response and remediation results upon an agency’s completion of its incident response.  The Director of CISA may recommend use of another agency or a third-party incident response team as appropriate.     (f) インシデント対応活動の包括性を確保し、未承認のサイバーアクターが FCEB 情報システ ムにアクセスできなくなったという確信を得るために、プレイブックは、適用される法律に沿って、 FCEB 機関がインシデント対応を完了した際に、CISA 局長が FCEB 機関のインシデント対応と修復の結果を レビューし、検証するという要件を定めるものとする。  CISA 長官は、必要に応じて他の機関または第三者のインシデント対応チームの利用を推奨することができる。
    (g)  To ensure a common understanding of cyber incidents and the cybersecurity status of an agency, the playbook shall define key terms and use such terms consistently with any statutory definitions of those terms, to the extent practicable, thereby providing a shared lexicon among agencies using the playbook.     (g) サイバーインシデントおよび機関のサイバーセキュリティの状況について共通の理解を得るために、プレイブックは、主要な用語を定義し、実行可能な範囲でそれらの用語の法定定義と一貫して使用することで、プレイブックを使用する機関の間で共通の辞書を提供する。
Sec. 7.  Improving Detection of Cybersecurity Vulnerabilities and Incidents on Federal Government Networks.   第7節 連邦政府のネットワークにおけるサイバーセキュリティの脆弱性およびインシデントの検出の改善
     (a)  The Federal Government shall employ all appropriate resources and authorities to maximize the early detection of cybersecurity vulnerabilities and incidents on its networks.  This approach shall include increasing the Federal Government’s visibility into and detection of cybersecurity vulnerabilities and threats to agency networks in order to bolster the Federal Government’s cybersecurity efforts.      (a) 連邦政府は、そのネットワーク上のサイバーセキュリティの脆弱性およびインシデントの早期発見を最大化するために、あらゆる適切な資源および権限を用いるものとする。  このアプローチには、連邦政府のサイバーセキュリティへの取り組みを強化するために、連邦政府の可視性を高め、機関のネットワークに対するサイバーセキュリティの脆弱性および脅威を検知することが含まれる。
     (b)  FCEB Agencies shall deploy an Endpoint Detection and Response (EDR) initiative to support proactive detection of cybersecurity incidents within Federal Government infrastructure, active cyber hunting, containment and remediation, and incident response.      (b) FCEB 機関は、エンドポイント検知・応答(EDR)イニシアチブを展開し、連邦政府インフラ内のサイ バーセキュリティインシデントの事前検知、積極的なサイバーハンティング、封じ込めと修復、インシデント 対応をサポートする。
     (c)  Within 30 days of the date of this order, the Secretary of Homeland Security acting through the Director of CISA shall provide to the Director of OMB recommendations on options for implementing an EDR initiative, centrally located to support host-level visibility, attribution, and response regarding FCEB Information Systems.      (c) 本命令の日付から30日以内に、CISA長官を務める国土安全保障長官は、FCEB情報システムに関するホストレベルの可視化、帰属、および対応をサポートするために集中的に配置されたEDRイニシアチブを実施するためのオプションに関する推奨事項をOMB長官に提供しなければならない。
     (d)  Within 90 days of receiving the recommendations described in subsection (c) of this section, the Director of OMB, in consultation with Secretary of Homeland Security, shall issue requirements for FCEB Agencies to adopt Federal Government-wide EDR approaches.  Those requirements shall support a capability of the Secretary of Homeland Secretary, acting through the Director of CISA, to engage in cyber hunt, detection, and response activities.       (d) 本項(c)に記載された提言を受け取ってから 90 日以内に、OMB 局長は、国土安 全保障省長官と協議の上、FCEB 機関が連邦政府全体の EDR アプローチを採用するための要 件を発表しなければならない。  これらの要件は、CISA長官を通じて行動する国土安全保障長官が、サイバーハント、検知、対応活動に従事する能力をサポートするものとする。 
     (e)  The Director of OMB shall work with the Secretary of Homeland Security and agency heads to ensure that agencies have adequate resources to comply with the requirements issued pursuant to subsection (d) of this section.      (e) OMB長官は、国土安全保障長官および各省庁の責任者と協力して、各省庁が本節(d)に従って発行された要件を遵守するための十分なリソースを確保するものとする。
     (f)  Defending FCEB Information Systems requires that the Secretary of Homeland Security acting through the Director of CISA have access to agency data that are relevant to a threat and vulnerability analysis, as well as for assessment and threat-hunting purposes.  Within 75 days of the date of this order, agencies shall establish or update Memoranda of Agreement (MOA) with CISA for the Continuous Diagnostics and Mitigation Program to ensure object level data, as defined in the MOA, are available and accessible to CISA, consistent with applicable law.      (f) FCEB情報システムの防御には、CISA長官を通じて行動する国土安全保障長官が、脅威と脆弱性の分析に関連する機関のデータにアクセスできること、また評価と脅威狩りの目的でアクセスできることが必要である。  本命令の日付から75日以内に、各省庁は、MOAに定義されているオブジェクト・レベルのデータが、適用される法律に準拠してCISAに提供され、アクセスできるようにするために、継続的診断・緩和プログラムのためのCISAとの合意覚書(MOA)を確立または更新しなければならない。
     (g)  Within 45 days of the date of this order, the Director of the NSA as the National Manager for National Security Systems (National Manager) shall recommend to the Secretary of Defense, the Director of National Intelligence, and the Committee on National Security Systems (CNSS) appropriate actions for improving detection of cyber incidents affecting National Security Systems, to the extent permitted by applicable law, including recommendations concerning EDR approaches and whether such measures should be operated by agencies or through a centralized service of common concern provided by the National Manager.       (g) 本命令の発効日から45日以内に、国家安全保障システムの国家管理者(National Manager)としてのNSA長官は、EDRアプローチに関する勧告や、当該措置を各省庁が運用すべきか、国家管理者が提供する共通の関心事である集中サービスを通じて運用すべきかを含め、適用法で認められる範囲で、国家安全保障システムに影響を与えるサイバーインシデントの検知を改善するための適切な行動を、国防長官、国家情報長官、国家安全保障システム委員会(CNSS)に勧告する。 
     (h)  Within 90 days of the date of this order, the Secretary of Defense, the Director of National Intelligence, and the CNSS shall review the recommendations submitted under subsection (g) of this section and, as appropriate, establish policies that effectuate those recommendations, consistent with applicable law.      (h) 本命令の日付から90日以内に、国防長官、国家情報長官、およびCNSSは、本節(g)に基づいて提出された提言を検討し、必要に応じて、適用法との整合性を保ちつつ、これらの提言を実現する政策を確立する。
     (i)  Within 90 days of the date of this order, the Director of CISA shall provide to the Director of OMB and the APNSA a report describing how authorities granted under section 1705 of Public Law 116-283, to conduct threat-hunting activities on FCEB networks without prior authorization from agencies, are being implemented.  This report shall also recommend procedures to ensure that mission-critical systems are not disrupted, procedures for notifying system owners of vulnerable government systems, and the range of techniques that can be used during testing of FCEB Information Systems.  The Director of CISA shall provide quarterly reports to the APNSA and the Director of OMB regarding actions taken under section 1705 of Public Law 116-283.      (i) 本命令の日付から90日以内に、CISA長官は、公法116-283第1705条に基づいて付与された、各省庁からの事前承認なしにFCEBネットワーク上で脅威探索活動を行う権限が、どのように実施されているかを記述した報告書をOMB長官およびAPNSAに提供しなければならない。  この報告書は、ミッションクリティカルなシステムが中断されないようにするための手順、脆弱な政府システムのシステム所有者に通知するための手順、FCEB情報システムのテスト時に使用可能な技術の範囲についても提言するものとする。  CISA の長官は、公法 116-283 の第 1705 条に基づいて取られた行動に関して、APNSA および OMB の長官に四半期ごとの報告を行う。
     (j)  To ensure alignment between Department of Defense Information Network (DODIN) directives and FCEB Information Systems directives, the Secretary of Defense and the Secretary of Homeland Security, in consultation with the Director of OMB, shall:       (j) 国防省情報ネットワーク(DODIN)指令とFCEB情報システム指令の整合性を確保するために、国防長官と国土安全保障長官は、OMB長官と協議の上、以下を行う。 
          (i)    within 60 days of the date of this order, establish procedures for the Department of Defense and the Department of Homeland Security to immediately share with each other Department of Defense Incident Response Orders or Department of Homeland Security Emergency Directives and Binding Operational Directives applying to their respective information networks;            (i) 本命令の日付から60日以内に、国防総省と国土安全保障省が、それぞれの情報ネットワークに適用される国防総省のインシデント対応命令または国土安全保障省の緊急事態指令および拘束力のある運用指令を相互に直ちに共有するための手順を確立する。 
          (ii)   evaluate whether to adopt any guidance contained in an Order or Directive issued by the other Department, consistent with regulations concerning sharing of classified information; and           (ii) 機密情報の共有に関する規制に沿って、他の省庁が発行した命令または指令に含まれるガイダンスを採用するかどうかを評価する。
          (iii)  within 7 days of receiving notice of an Order or Directive issued pursuant to the procedures established under subsection (j)(i) of this section, notify the APNSA and Administrator of the Office of Electronic Government within OMB of the evaluation described in subsection (j)(ii) of this section, including a determination whether to adopt guidance issued by the other Department, the rationale for that determination, and a timeline for application of the directive, if applicable.            (iii) 本節(j)(i)に基づいて確立された手続に従って発行された命令または指令の通知を受領してから7日以内に、APNSAおよびOMB内の電子政府局長官に、他の省庁が発行した指針を採用するか否かの決定、その決定の根拠、および該当する場合には指令の適用時期を含む本節(j)(ii)に記載された評価を通知する。 
Sec. 8.  Improving the Federal Government’s Investigative and Remediation Capabilities.   第8節 連邦政府の調査能力および修復能力の向上
    (a)  Information from network and system logs on Federal Information Systems (for both on-premises systems and connections hosted by third parties, such as CSPs) is invaluable for both investigation and remediation purposes.  It is essential that agencies and their IT service providers collect and maintain such data and, when necessary to address a cyber incident on FCEB Information Systems, provide them upon request to the Secretary of Homeland Security through the Director of CISA and to the FBI, consistent with applicable law.      (a) 連邦情報システム(オンプレミス・システムおよび CSP などの第三者がホストする接続の両方)の ネットワークおよびシステム・ログから得られる情報は、調査および修復の両方の目的で非常に貴重だ。  政府機関およびそのITサービスプロバイダーは、このようなデータを収集・維持し、FCEB情報システム上のサイバーインシデントに対処するために必要な場合には、適用法に則り、CISA長官を通じて国土安全保障長官およびFBIに要求に応じて提供することが不可欠である。 
    (b)  Within 14 days of the date of this order, the Secretary of Homeland Security, in consultation with the Attorney General and the Administrator of the Office of Electronic Government within OMB, shall provide to the Director of OMB recommendations on requirements for logging events and retaining other relevant data within an agency’s systems and networks.  Such recommendations shall include the types of logs to be maintained, the time periods to retain the logs and other relevant data, the time periods for agencies to enable recommended logging and security requirements, and how to protect logs.  Logs shall be protected by cryptographic methods to ensure integrity once collected and periodically verified against the hashes throughout their retention.  Data shall be retained in a manner consistent with all applicable privacy laws and regulations.  Such recommendations shall also be considered by the FAR Council when promulgating rules pursuant to section 2 of this order.     (b) 本命令の日付から14日以内に、国土安全保障長官は、司法長官およびOMB内の電子政府局長官と協議の上、機関のシステムおよびネットワーク内のイベントを記録し、その他の関連データを保持するための要件に関する勧告をOMB長官に提出しなければならない。  当該勧告には、保持すべきログの種類、ログおよびその他の関連データを保持する期間、機関が勧告されたログおよびセキュリティ要件を有効にするための期間、およびログの保護方法が含まれるものとする。  ログは、収集された時点で整合性を確保するために暗号化された方法で保護され、保持期間中は定期的にハッシュと照合されるものとする。  データは、適用されるすべての個人情報保護法および規制と一致する方法で保持されるものとする。  このような勧告は、本命令の第2項に従って規則を公布する際にFAR評議会によっても考慮されるものとする。
    (c)  Within 90 days of receiving the recommendations described in subsection (b) of this section, the Director of OMB, in consultation with the Secretary of Commerce and the Secretary of Homeland Security, shall formulate policies for agencies to establish requirements for logging, log retention, and log management, which shall ensure centralized access and visibility for the highest level security operations center of each agency.       (c) 本節(b)に記載された勧告を受け取ってから90日以内に、OMB長官は、商務長官および国土安全保障長官と協議の上、各省庁の最高レベルのセキュリティ・オペレーション・センターのために集中的なアクセスと可視性を確保する、ログの記録、ログの保持、およびログの管理に関する要件を確立するために、各省庁のための方針を策定するものである。  
    (d)  The Director of OMB shall work with agency heads to ensure that agencies have adequate resources to comply with the requirements identified in subsection (c) of this section.     (d) OMB長官は、各省庁の責任者と協力して、各省庁が本項(c)で特定された要件を遵守するための十分なリソースを確保するものとする。
    (e)  To address cyber risks or incidents, including potential cyber risks or incidents, the proposed recommendations issued pursuant to subsection (b) of this section shall include requirements to ensure that, upon request, agencies provide logs to the Secretary of Homeland Security through the Director of CISA and to the FBI, consistent with applicable law.  These requirements should be designed to permit agencies to share log information, as needed and appropriate, with other Federal agencies for cyber risks or incidents.     (e) 潜在的なサイバーリスクまたはインシデントを含め、サイバーリスクまたはインシデントに対処するため、本節(b)に基づいて発行された勧告案には、要求に応じて、各省庁が適用法に沿って、CISA長官を通じて国土安全保障長官およびFBIにログを提供することを保証する要件を含めるものとする。  これらの要件は、サイバーリスクやインシデントについて、各機関が必要かつ適切に他の連邦機関とログ情報を共有することを可能にするよう設計されるべきである。
Sec. 9.  National Security Systems. 第9節 国家安全保障システム
    (a)  Within 60 days of the date of this order, the Secretary of Defense acting through the National Manager, in coordination with the Director of National Intelligence and the CNSS, and in consultation with the APNSA, shall adopt National Security Systems requirements that are equivalent to or exceed the cybersecurity requirements set forth in this order that are otherwise not applicable to National Security Systems. Such requirements may provide for exceptions in circumstances necessitated by unique mission needs.  Such requirements shall be codified in a National Security Memorandum (NSM).  Until such time as that NSM is issued, programs, standards, or requirements established pursuant to this order shall not apply with respect to National Security Systems.     (a) 本命令の発効日から60日以内に、国家管理者を通じて行動する国防長官は、国家情報長官およびCNSSと連携し、APNSAと協議の上、本命令に定められたサイバーセキュリティ要件と同等またはそれ以上で、他の方法では国家セキュリティシステムに適用されない国家セキュリティシステム要件を採用するものとする。当該要件は、固有のミッション・ニーズによって必要とされる状況における例外を規定することができる。  このような要件は、国家安全保障メモランダム(NSM)で成文化される。  そのNSMが発行されるまでは、本命令に基づいて設定されたプログラム、標準、または要件は、国家安全保障システムには適用されない。
    (b)  Nothing in this order shall alter the authority of the National Manager with respect to National Security Systems as defined in National Security Directive 42 of July 5, 1990 (National Policy for the Security of National Security Telecommunications and Information Systems) (NSD-42).  The FCEB network shall continue to be within the authority of the Secretary of Homeland Security acting through the Director of CISA.     (b) 本命令のいかなる規定も、1990 年 7 月 5 日の国家安全保障指令 42(国家安全保障テレコ ンおよび情報システムのセキュリティのための国家政策)(NSD-42)に定義されている国家安全保障システムに関する国家管理者の権限を変更するものではない。  FCEBネットワークは、引き続き、CISA長官を通じて行動する国土安全保障長官の権限に属するものとする。
Sec. 10.  Definitions.   第10節 用語の定義 
For purposes of this order: 本命令の目的は以下の通りである
    (a)  the term “agency” has the meaning ascribed to it under 44 U.S.C. 3502.     (a) 「機関」という用語は、44 U.S.C. 3502 に基づいて与えられた意味を持つ。
    (b)  the term “auditing trust relationship” means an agreed-upon relationship between two or more system elements that is governed by criteria for secure interaction, behavior, and outcomes relative to the protection of assets.     (b) 「信頼関係の監査」という用語は、2つ以上のシステム要素の間で合意された関係であり、資産の保護に関連した安全な相互作用、行動、および結果に関する基準によって管理される。
    (c)  the term “cyber incident” has the meaning ascribed to an “incident” under 44 U.S.C. 3552(b)(2).    (c)「サイバーインシデント」という用語は、44 U.S.C. 3552(b)(2)に基づく「インシデント」に与えられた意味を有する。
    (d)  the term “Federal Civilian Executive Branch Agencies” or “FCEB Agencies” includes all agencies except for the Department of Defense and agencies in the Intelligence Community.     (d)「連邦文民行政機関」または「FCEB機関」という用語は、国防総省および情報コミュニティの機関を除くすべての機関を含む。  
    (e)  the term “Federal Civilian Executive Branch Information Systems” or “FCEB Information Systems” means those information systems operated by Federal Civilian Executive Branch Agencies, but excludes National Security Systems.    (e)「連邦文民執行機関情報システム」または「FCEB情報システム」とは、連邦文民執行機関が運営する情報システムを意味するが、国家安全保障システムは含まない。
    (f)  the term “Federal Information Systems” means an information system used or operated by an agency or by a contractor of an agency or by another organization on behalf of an agency, including FCEB Information Systems and National Security Systems.    (f)「連邦情報システム」とは、政府機関、政府機関の請負業者、または政府機関に代わって他の組織が使用または運営する情報システムをいい、FCEB情報システムおよび国家安全保障システムを含む。
    (g)  the term “Intelligence Community” or “IC” has the meaning ascribed to it under 50 U.S.C. 3003(4).    (g)「Intelligence Community」または「IC」という用語は、50 U.S.C. 3003(4)の下でそれに与えられた意味を持つ。
    (h)  the term “National Security Systems” means information systems as defined in 44 U.S.C. 3552(b)(6), 3553(e)(2), and 3553(e)(3).    (h)「国家安全保障システム」という用語は、44 U.S.C. 3552(b)(6)、3553(e)(2)および3553(e)(3)に定義されている情報システムを意味する。
    (i)  the term “logs” means records of the events occurring within an organization’s systems and networks.  Logs are composed of log entries, and each entry contains information related to a specific event that has occurred within a system or network.     (i) 「ログ」とは、組織のシステムおよびネットワーク内で発生したイベントの記録を意味する。  ログはログ・エントリで構成され、各エントリには、システムまたはネットワーク内で発生した特定のイベントに関連する情報が含まれる。
    (j)  the term “Software Bill of Materials” or “SBOM” means a formal record containing the details and supply chain relationships of various components used in building software.  Software developers and vendors often create products by assembling existing open source and commercial software components.  The SBOM enumerates these components in a product.  It is analogous to a list of ingredients on food packaging.  An SBOM is useful to those who develop or manufacture software, those who select or purchase software, and those who operate software.  Developers often use available open source and third-party software components to create a product; an SBOM allows the builder to make sure those components are up to date and to respond quickly to new vulnerabilities.  Buyers can use an SBOM to perform vulnerability or license analysis, both of which can be used to evaluate risk in a product.  Those who operate software can use SBOMs to quickly and easily determine whether they are at potential risk of a newly discovered vulnerability.   A widely used, machine-readable SBOM format allows for greater benefits through automation and tool integration.  The SBOMs gain greater value when collectively stored in a repository that can be easily queried by other applications and systems.  Understanding the supply chain of software, obtaining an SBOM, and using it to analyze known vulnerabilities are crucial in managing risk.    (j)「ソフトウェア部品表」または「SBOM」とは、ソフトウェアの構築に使用される様々なコンポーネントの詳細およびサプライチェーンの関係を含む正式な記録を意味する。  ソフトウェア開発者およびベンダーは、既存のオープンソースおよび商用ソフトウェアコンポーネントを組み合わせて製品を作成することが多い。  SBOMは、製品に含まれるこれらのコンポーネントを列挙したものだ。  これは、食品のパッケージに記載されている成分のリストに似ている。  SBOMは、ソフトウェアを開発または製造する人、ソフトウェアを選択または購入する人、およびソフトウェアを運用する人にとって有用である。  開発者は、利用可能なオープンソースやサードパーティのソフトウェアコンポーネントを使用して製品を作成することが多い。SBOMを使用することで、構築者はこれらのコンポーネントが最新であることを確認し、新たな脆弱性に迅速に対応することができる。  購入者は、SBOMを使用して脆弱性分析やライセンス分析を行うことができ、これらはいずれも製品のリスクを評価するために使用することができる。  ソフトウェアを運用する人は、SBOMを使って、新たに発見された脆弱性の潜在的なリスクにさらされているかどうかを迅速かつ容易に判断することができる。   広く利用されている機械読み取り可能なSBOMフォーマットは、自動化とツールの統合により、より大きな利益をもたらす。  SBOMは、他のアプリケーションやシステムから簡単に照会できるリポジトリにまとめて保存することで、より大きな価値を得ることができる。  ソフトウェアのサプライチェーンを理解し、SBOMを入手し、それを用いて既知の脆弱性を分析することは、リスク管理において極めて重要である。
    (k)  the term “Zero Trust Architecture” means a security model, a set of system design principles, and a coordinated cybersecurity and system management strategy based on an acknowledgement that threats exist both inside and outside traditional network boundaries.  The Zero Trust security model eliminates implicit trust in any one element, node, or service and instead requires continuous verification of the operational picture via real-time information from multiple sources to determine access and other system responses.  In essence, a Zero Trust Architecture allows users full access but only to the bare minimum they need to perform their jobs.  If a device is compromised, zero trust can ensure that the damage is contained.  The Zero Trust Architecture security model assumes that a breach is inevitable or has likely already occurred, so it constantly limits access to only what is needed and looks for anomalous or malicious activity.  Zero Trust Architecture embeds comprehensive security monitoring; granular risk-based access controls; and system security automation in a coordinated manner throughout all aspects of the infrastructure in order to focus on protecting data in real-time within a dynamic threat environment.  This data-centric security model allows the concept of least-privileged access to be applied for every access decision, where the answers to the questions of who, what, when, where, and how are critical for appropriately allowing or denying access to resources based on the combination of sever.     (k)「ゼロトラストアーキテクチャ」とは、従来のネットワーク境界の内側と外側の両方に脅威が存在するという認識に基づく、セキュリティモデル、一連のシステム設計原則、および協調的なサイバーセキュリティとシステム管理戦略を意味する。  ゼロトラスト・セキュリティ・モデルは、特定の要素、ノード、またはサービスに対する暗黙の信頼を排除し、代わりに複数のソースからのリアルタイム情報を介して運用状況を継続的に検証し、アクセスやその他のシステム対応を決定する。  つまり、ゼロトラスト・アーキテクチャーでは、ユーザーに完全なアクセスを許可するが、業務を遂行するのに必要な最低限のアクセスのみを許可する。  万が一、デバイスが侵害されても、ゼロトラストによって被害を最小限に抑えることができる。  ゼロトラスト・アーキテクチャーのセキュリティモデルは、侵害が避けられない、または既に発生している可能性が高いことを前提としているため、常に必要なものだけにアクセスを制限し、異常な活動や悪意のある活動を監視する。  ゼロトラスト・アーキテクチャでは、包括的なセキュリティ監視、リスクに応じたきめ細かなアクセス制御、システムセキュリティの自動化を、インフラのあらゆる側面に協調して組み込むことで、動的な脅威環境の中でリアルタイムにデータを保護することに集中する。  このデータ中心のセキュリティモデルでは、すべてのアクセス決定に最小特権アクセスの概念を適用することができる。ここでは、誰が、何を、いつ、どこで、どのように、という質問に対する答えが、深刻さの組み合わせに基づいてリソースへのアクセスを適切に許可または拒否するために重要となる。
Sec. 11.  General Provisions.   第11節 一般規定
    (a)  Upon the appointment of the National Cyber Director (NCD) and the establishment of the related Office within the Executive Office of the President, pursuant to section 1752 of Public Law 116-283, portions of this order may be modified to enable the NCD to fully execute its duties and responsibilities.     (a) 公法第116-283条第1752項に基づき、国家サイバー長官(NCD)が任命され、大統領府内に関連部署が設置されると、NCDがその義務と責任を十分に果たせるように、本命令の一部を修正することができる。
    (b)  Nothing in this order shall be construed to impair or otherwise affect:     (b) 本命令のいかなる部分も、次の事項を損なう、またはその他の形で影響すると解釈してはならない。
        (i)   the authority granted by law to an executive department or agency, or the head thereof; or         (i) 行政省庁またはその長に法律で与えられた権限。
        (ii)  the functions of the Director of the Office of Management and Budget relating to budgetary, administrative, or legislative proposals.         (ii) 予算案、行政案、立法案に関連する行政管理予算局局長の機能。
    (c)  This order shall be implemented in a manner consistent with applicable law and subject to the availability of appropriations.     (c) 本命令は、適用される法律に沿った方法で、予算の有無に応じて実施されるものとする。
    (d)  This order is not intended to, and does not, create any right or benefit, substantive or procedural, enforceable at law or in equity by any party against the United States, its departments, agencies, or entities, its officers, employees, or agents, or any other person.     (d) 本命令は、米国、その省庁、機関、事業体、その役員、従業員、代理人、またはその他の人物に対して、当事者が法律上または衡平法上の強制力を持つ、実体的または手続き上のいかなる権利または利益も創出することを意図したものではなく、またそのようなものでもない。
    (e)  Nothing in this order confers authority to interfere with or to direct a criminal or national security investigation, arrest, search, seizure, or disruption operation or to alter a legal restriction that requires an agency to protect information learned in the course of a criminal or national security investigation.     (e) 本命令のいかなる内容も、犯罪や国家安全保障に関する調査、逮捕、捜索、押収、破壊活動を妨害したり、指示したりする権限を与えるものではなく、また、犯罪や国家安全保障に関する調査の過程で得られた情報を保護することを機関に義務付ける法的制限を変更するものでもない。
JOSEPH R. BIDEN JR. ジョセフ・R・バイデン・Jr.
THE WHITE HOUSE, The White House,
    May 12, 2021.     2021年5月12日

|

« サイバーセキュリティ戦略本部 次期サイバーセキュリティ戦略の骨子 | Main | Cloud Security Alliance 災害復旧 as a Serviceのガイド »

Comments

Post a comment



(Not displayed with comment.)




« サイバーセキュリティ戦略本部 次期サイバーセキュリティ戦略の骨子 | Main | Cloud Security Alliance 災害復旧 as a Serviceのガイド »