NATO CCDCOE (Cooperative Cyber Defence Centre of Excellence) 5月発行の第10号の特集は「ソフトウェアサプライチェーン」
こんにちは、丸山満彦です。
NATO CCDCOE [wikipedia] の5月発行の第10号の特集は、SolarWindsの影響もあって「ソフトウェアサプライチェーン」となってますね。。。
● The NATO Cooperative Cyber Defence Centre of Excellence: CCDCOE
・2021.05 Recent Cyber Events No 10
The 10th instalment in the series designed for military and national security decision makers looks at various ways a supply chain could be compromised as was the case for SolarWinds, the political response to the SolarWinds attack and much more. The new CCDCOE report also highlights the growing interest towards strategic decision-making exercises focusing on threats in the cyber domain. | 軍事・国家安全保障分野の意思決定者を対象としたシリーズの第10回目は、SolarWinds社のケースのようにサプライチェーンが危険にさらされる可能性がある様々な方法や、SolarWinds社の攻撃に対する政治的対応などについて考察しています。CCDCOEの新しいレポートは、サイバー領域の脅威に焦点を当てた戦略的意思決定演習への関心が高まっていることにも注目しています。 |
The Software Supply Chain: | ソフトウェアのサプライチェーン |
→ The SolarWinds Supply Chain Attack | → SolarWinds社へのサプライチェーン攻撃 |
→ Did Leaked Code Help Attackers Breach Exchange? | → 流出したコードがExchangeへの侵入に役立ったか? |
→ Supply Chain Vulnerabilities and Open-Source Software | → サプライチェーンの脆弱性とオープンソース・ソフトウェア |
Other topics in this issue: | その他のトピック |
→ Responding to the SolarWinds Attack | → SolarWinds社への攻撃への対応 |
→ Leaked Facebook Data May Be Used for Phishing | → 流出したFacebookのデータがフィッシングに利用される可能性について |
→ China-India Relations and Cyber Events | → 中国・インド関係とサイバーイベント |
→ Remote Working Increasing Cyber Risk | → リモートワークで高まるサイバーリスク |
→ Cyber Exercises for the Strategic Level | → 戦略レベルでのサイバー演習 |
「Cyber Exercises for the Strategic Level(戦略レベルでのサイバー演習)については、ココに仮訳
過去の記事一覧
回 | 発行月 | contents | 記事 | file |
10 | 2021.05 | The Software Supply Chain: | ソフトウェアサプライチェーン | |
9 | 2021.03 | Internet Blackout in Crises | インターネット遮断 | |
8 | 2021.01 | A look at the trends from 2020 and towards the future | 2020年から未来に向けてのトレンドを見る | |
7 | 2020.11 | Cyber conflict in Nagorno-Karabakh and more | ナゴルノ・カラバフのサイバー紛争 ほか | |
6 | 2021.10 | Wearable tokens can make authentication less distracting and more | ウェアラブル・トークンは、認証を邪魔しないようにすることができる ほか | |
5 | 2020.09 | Consolidating the ‘new normal’ and more | 「新しい常識」を定着させる ほか | |
4 | 2020.07 | Leaked government data could put personnel at risk and more | 政府のデータが流出すると職員が危険にさらされる可能性がある ほか | |
3 | 2020.06 | APT uses one breached government organisation to attack others and more | APTは侵入した政府組織を利用して他の組織を攻撃する ほか | |
2 | 2020.05 | COVID-19 disinformation continues to spread using social media and other cyber means and more | COVID-19の偽情報はソーシャルメディアやその他のサイバー手段を使って拡散し続けている ほか | |
1 | 2020.04 | COVID-19 changes the cyber landscape | COVID-19はサイバー環境を一変させる |
■ 参考
● まるちゃんの情報セキュリティきまぐれ日記
・2020.12.16 NATO CCDCOEがタリンマニュアル3.0の開発を進めるとアナウンスしていますね。。。
Cyber exercises for the strategic level | 戦略レベルのサイバー演習 |
‘We must also continue emphasising the need for training on strategic decision-making level. The Locked Shields also offers national senior-level decisionmakers the chance to test their readiness to manage a crises’ (Kaja Kallas, Prime Minister of Estonia, at Locked Shields 2021) National security is dependent on our ability to defend networks that support our critical functions. This is not purely a technical issue. How our national cybersecurity strategies are translated into policies and procedures needs to be understood by all stakeholders. It is important to exercise the strategic level of cybersecurity for decisionmakers. Decision-making at the strategic level forms an integral part of cyber resilience and must therefore be part of exercises. Aspects of decision-making during a major cyber event include: | 「戦略的意思決定レベルでの訓練の必要性も強調し続けなければなりません。ロックド・シールドは、国家の上層意思決定者に、危機管理の準備ができているかどうかをテストする機会も提供しています」(Kaja Kallas,エストニア大統領, 2021年 ロックド・シールド) 国家の安全保障は、我々の重要な機能を支えるネットワークを守る能力にかかっています。これは純粋に技術的な問題ではありません。国家のサイバーセキュリティ戦略をどのように政策や手続きに反映させるか、すべての関係者に理解してもらう必要があります。意思決定者に対して、サイバーセキュリティの戦略レベルを行使することが重要です。戦略的レベルでの意思決定は、サイバーレジリエンスの不可欠な部分を形成しており、したがって演習の一部でなければなりません。大規模なサイバーイベント時の意思決定の側面には次のようなものがあります。 |
→ who has the authority to make which decisions; | → 誰がどのような意思決定を行う権限を持っているか。 |
→ how long it takes to effectuate the decisions; | → 意思決定を実行するのに必要な時間。 |
→ how the information used to make the decisions should be classified; | → 意思決定に使用する情報をどのように分類するか。 |
→ how transparent the process is; and | → プロセスの透明性は? |
→ whether mechanisms to share information between | → 省庁間で情報を共有する仕組みがあるか |
agencies, the private sector and partners are available. | 省庁や民間企業、パートナーとの間で情報を共有する仕組みが利用できるかどうか。 |
The NATO CCDCOE annually executes Locked Shields, the largest and most complex live-fire cyber defence exercise in the world. Over the past ten years, the CCDCOE has leveraged partnerships with industry to create more complex networks including industrial control systems (ICS)/SCADA and military networks. This provides the training audience with a unique opportunity to practice how they would respond to an actual cyberattack. | NATO CCDCOEは、毎年、世界最大かつ最も複雑な実戦的サイバー防衛演習である「ロックド・シールド」を実施しています。過去10年間、CCDCOEは、産業界とのパートナーシップを活用して、産業制御システム(ICS)/SCADAや軍事ネットワークなど、より複雑なネットワークを構築してきました。これにより、訓練参加者は、実際のサイバー攻撃にどのように対応するかを練習することができるようになりました。 |
Locked Shields began as a purely technical competition pitting first-rate ethical hackers against national cyber defenders. In 2017, the CCDCOE integrated a strategic decision-making element to the exercise to demonstrate the dependencies of societies on cyber-enabled infrastructure and provide a platform for nations to exercise decisionmaking at the political and strategic level. Cyberattacks may have an enormous impact effect on modern society and national leaders need to practice appropriate and timely responses to defend their nations. The strategic decision-making element of cyber exercises such as Locked Shields allows senior leadership the opportunity to gather stakeholders from government and private industry to discuss their roles in defence during a cyberattack. | ロックド・シールドは、一流の倫理的なハッカーと国家的なサイバー防衛者を競う、純粋に技術的なコンペティションとして始まりました。2017年、CCDCOEは、戦略的意思決定の要素を演習に組み込み、社会がサイバー対応のインフラに依存していることを示し、各国が政治的・戦略的レベルで意思決定を行うためのプラットフォームを提供しました。サイバー攻撃は、現代社会に甚大な影響を及ぼす可能性があり、国家のリーダーは、自国を守るために適切かつタイムリーな対応を実践する必要があります。ロックド・シールドのようなサイバー演習の戦略的意思決定の要素は、政府や民間企業の関係者を集めて、サイバー攻撃の際の防衛における役割を議論する機会を上層リーダーに与えます。 |
Adding a strategic element to cyber exercises also allows senior leadership to: | また、サイバー演習に戦略的要素を加えることで、上層リーダーは以下のことが可能になります。 |
→ practice processes and procedures as outlined in national cyber strategies; | → 国家のサイバー戦略に記載されているプロセスや手順を実践する。 |
→ understand the coordination and decision-making process during a cyber event, both domestically and internationally; and | → 国内外におけるサイバー攻撃の際の調整と意思決定のプロセスの理解 |
→ understand cyber interdependencies, not just between | → 公共機関と民間機関の間だけではなく、各機関の間でのサイバーの相互依存関係を理解する。 |
public and private institutions, but also among likeminded nations. | 官民間だけでなく、同じ志を持つ国家間でのサイバーの相互依存関係を理解する。 |
Locked Shields is a two-day exercise with the strategic decision-making element of the exercise occurring as a separate phase on the afternoon of the second day (approximately four hours). During the first part of the strategic decision-making exercise, which is conducted as a Tabletop Exercise (TTX), the training audience receives injects focused on how they would react to the cyber vulnerabilities which have been exploited during the technical part of the exercise. The second part consists of interviews where participants may practice their strategic communications in response to a cyberattack. | 「ロックド・シールド」は2日間の演習で、戦略的意思決定の要素は2日目の午後に別のフェーズとして行われます(約4時間)。戦略的意思決定演習の第1部は、テーブルトップ演習(TTX)として実施され、演習参加者は、技術的な部分で悪用されたサイバー脆弱性にどのように対処するかに焦点を当てたインジェクションを受けます。第2部はインタビューで、参加者はサイバー攻撃に対応するための戦略的コミュニケーションを練習します。 |
The target audience for the strategic decision-making exercise is ministers and senior government officials (at ministries of defence, interior, foreign affairs and finance), military and civilian CERTs and executives from key private industry. | 戦略的意思決定演習の対象者は、国防省、内務省、外務省、財務省の大臣や政府高官、軍人や民間のCERT、主要な民間企業の役員などです。 |
It is always beneficial to practice the national response to a cyber crisis in an exercise environment before having to respond to an actual situation. In this light, the benefits of also conducting strategic decision-making exercises should be evident. Bluntly expressed, there is nothing to lose except the chance to get better and more resilient. | サイバー危機に対する国の対応を、実際の状況に対応する前に演習環境で練習することは、常に有益です。この点からも、戦略的意思決定のための演習を行うことのメリットは明らかでしょう。率直に言って、より良く、より強くなるチャンス以外に失うものはありません。 |
Since the ‘correct answers’ to exercise injects depend on national cyber strategies, participation in strategic decision-making exercises is an excellent opportunity to test these strategies and make sure that all aspects are adequately covered. | 演習のインジェクションに対する「正解」は、国家のサイバー戦略に依存するため、戦略的意思決定演習への参加は、これらの戦略を検証し、すべての側面が適切にカバーされていることを確認する絶好の機会となります。 |
The focus of cyber exercises will naturally remain on exercising the technical aspects of cybersecurity, but to create an in-depth resilience it is also necessary to exercise strategic decision-making regularly. Luckily, more and more nations seem to realise this and the appetite for strategic decision-making exercises is growing as demonstrated for instance in the latest iteration of the exercise Locked Shields which finished on 15 April. | サイバー演習の焦点は、当然ながらサイバーセキュリティの技術的な側面を演習することにありますが、徹底的なレジリエンスを構築するためには、戦略的な意思決定を定期的に行うことも必要です。幸いなことに、ますます多くの国がこのことに気付いているようで、戦略的意思決定のための演習に対する意欲は高まっています。例えば、4月15日に終了した最新の演習「ロックド・シールド」がその一例です。 |
« NIST SP 1800-30 (ドラフト)遠隔医療リモート患者モニタリングエコシステムの保護(第2ドラフト) | Main | 米国の精製石油パイプライン運用会社がランサムウェアにやられ、被害拡大を防止するためにパイプラインを停止した »
Comments