米国 連邦政府 重要インフラ制御システムのサイバーセキュリティの向上に関する国家安全保障に関する覚書
こんにちは、丸山満彦です。
バイデン米大統領が重要インフラ制御システムのサイバーセキュリティの向上に関する国家安全保障に関する覚書に署名をしていますね。。。また、これを受けて国土安全保障省と商務省が声明を発表し、NISTがそれを受けて
・2021.07.28 (press) Background Press Call on Improving Cybersecurity of U.S. Critical Infrastructure
・2021.07.28 FACT SHEET: Biden Administration Announces Further Actions to Protect U.S. Critical Infrastructure
・2021.07.28 National Security Memorandum on Improving Cybersecurity for Critical Infrastructure Control Systems
第2条で、「産業用制御システム・サイバーセキュリティ・イニシアティブ」の設立に触れられていますね。これは、連邦政府と重要なインフラコミュニティ間の自発的な共同作業ということですかね。。。
このイニシアチブの主な目的は、脅威の可視性、兆候、検出、警告を提供し、重要な制御システムと運用におけるサイバーセキュリティの対応機能を促進するテクノロジーとシステムの展開を促進および促進することにより、米国の重要なインフラストラクチャを防御することのようです。また、この覚書では、すべての重要なインフラストラクチャセクターで一貫したベースラインのサイバーセキュリティ目標の必要性、および制御システムに依存する選択された重要なインフラストラクチャのセキュリティ制御の必要性が強調されていますね。。。
National Security Memorandum on Improving Cybersecurity for Critical Infrastructure Control Systems | 重要インフラ制御システムのサイバーセキュリティの向上に関する国家安全保障に関する覚書 |
STATEMENTS AND RELEASES | 声明およびリリース |
Protection of our Nation’s critical infrastructure is a responsibility of the government at the Federal, State, local, Tribal, and territorial levels and of the owners and operators of that infrastructure. The cybersecurity threats posed to the systems that control and operate the critical infrastructure on which we all depend are among the most significant and growing issues confronting our Nation. The degradation, destruction, or malfunction of systems that control this infrastructure could cause significant harm to the national and economic security of the United States. | わが国の重要インフラの保護は、連邦、州、地方、部族、地域レベルの政府、およびインフラの所有者と運営者の責任です。 私たち全員が依存している重要インフラを制御・運用するシステムにもたらされるサイバーセキュリティの脅威は、我が国が直面している最も重要かつ拡大しつつある問題の一つです。 このインフラを制御するシステムの劣化、破壊、誤作動は、米国の国家安全保障および経済安全保障に重大な損害を与える可能性があります。 |
Section 1. Policy. It is the policy of my Administration to safeguard the critical infrastructure of the Nation, with a particular focus on the cybersecurity and resilience of systems supporting National Critical Functions, defined as the functions of Government and the private sector so vital to the United States that their disruption, corruption, or dysfunction would have a debilitating effect on national security, economic security, public health or safety, or any combination thereof. | 第1条 方針:わが国の重要インフラを保護することは、わが政権の政策であり、特に国家重要機能を支えるシステムのサイバーセキュリティと回復力に重点を置く。国家重要機能とは、政府および民間企業の機能であって、米国にとって極めて重要であり、その破壊、腐敗、機能不全は、国家安全保障、経済安全保障、公衆衛生、安全、またはそれらの組み合わせに衰退的な影響を与えると定義される。 |
Sec. 2. Industrial Control Systems Cybersecurity Initiative. Accordingly, I have established an Industrial Control Systems Cybersecurity Initiative (Initiative), a voluntary, collaborative effort between the Federal Government and the critical infrastructure community to significantly improve the cybersecurity of these critical systems. The primary objective of this Initiative is to defend the United States’ critical infrastructure by encouraging and facilitating deployment of technologies and systems that provide threat visibility, indications, detection, and warnings, and that facilitate response capabilities for cybersecurity in essential control system and operational technology networks. The goal of the Initiative is to greatly expand deployment of these technologies across priority critical infrastructure. | 第2条 産業用制御システム・サイバーセキュリティ・イニシアチブ: したがって、私は、これらの重要なシステムのサイバーセキュリティを大幅に向上させるために、連邦政府と重要なインフラコミュニティの間で自発的かつ協力的な取り組みである産業用制御システム・サイバーセキュリティ・イニシアチブ(イニシアチブ)を設立した。 このイニシアティブの主な目的は、脅威の可視化、兆候、検知、警告を提供し、基幹制御システムおよび運用技術ネットワークにおけるサイバーセキュリティのための対応能力を促進する技術およびシステムの展開を奨励、促進することにより、米国の基幹インフラを防御することです。 このイニシアティブの目標は、優先度の高い重要インフラへのこれらの技術の導入を大幅に拡大することである。 |
Sec. 3. Furthering the Industrial Control Systems Cybersecurity Initiative. The Initiative creates a path for Government and industry to collaborate to take immediate action, within their respective spheres of control, to address these serious threats. The Initiative builds on, expands, and accelerates ongoing cybersecurity efforts in critical infrastructure sectors and is an important step in addressing these threats. We cannot address threats we cannot see; therefore, deploying systems and technologies that can monitor control systems to detect malicious activity and facilitate response actions to cyber threats is central to ensuring the safe operations of these critical systems. The Federal Government will work with industry to share threat information for priority control system critical infrastructure throughout the country. | 第3条 産業用制御システム・サイバーセキュリティ・イニシアティブの推進:このイニシアティブは、政府と産業界が協力して、それぞれの支配領域内で、これらの深刻な脅威に対処するための迅速な行動をとるための道筋を作るものである。 このイニシアティブは、重要なインフラ分野で現在行われているサイバーセキュリティの取り組みを基礎とし、それを拡大、加速させるものであり、これらの脅威に対処するための重要な一歩となる。 目に見えない脅威に対処することはできない。したがって、制御システムを監視して悪意のある活動を検知し、サイバー脅威への対応行動を促進することができるシステムや技術を展開することは、これらの重要なシステムの安全な運用を確保するための中心となる。 連邦政府は産業界と協力して、国内の優先制御システム重要インフラの脅威情報を共有する。 |
(a) The Initiative began with a pilot effort with the Electricity Subsector, and is now followed by a similar effort for natural gas pipelines. Efforts for the Water and Wastewater Sector Systems and Chemical Sector will follow later this year. | (a)本イニシアティブは、電力サブセクターでの試験的な取り組みから始まり、現在では天然ガスパイプラインについても同様の取り組みを行っている。 今年後半には、上下水道部門のシステムと化学部門の取り組みが予定されている。 |
(b) Sector Risk Management Agencies, as defined in section 9002(a)(7) of Public Law 116-283, and other executive departments and agencies (agencies), as appropriate and consistent with applicable law, shall work with critical infrastructure stakeholders and owners and operators to implement the principles and policy outlined in this memorandum. | (b) 公法116-283の第9002条(a)(7)項で定義されているセクターリスク管理機関、およびその他の行政省庁(機関)は、適切かつ適用法に沿って、重要インフラの利害関係者および所有者・運営者と協力して、本覚書に記載されている原則および方針を実施するものとする。 |
Sec. 4. Critical Infrastructure Cybersecurity Performance Goals. Cybersecurity needs vary among critical infrastructure sectors, as do cybersecurity practices. However, there is a need for baseline cybersecurity goals that are consistent across all critical infrastructure sectors, as well as a need for security controls for select critical infrastructure that is dependent on control systems. | 第4条 重要インフラのサイバーセキュリティ・パフォーマンス目標 :サイバーセキュリティのニーズは、サイバーセキュリティの慣行と同様に、重要インフラ部門によって異なる。 しかし、すべての重要インフラ部門で一貫したベースラインのサイバーセキュリティ目標が必要であり、また、制御システムに依存している厳選された重要インフラのセキュリティ管理も必要である。 |
(a) Pursuant to section 7(d) of Executive Order 13636 of February 12, 2013 (Improving Critical Infrastructure Cybersecurity), the Secretary of Homeland Security, in coordination with the Secretary of Commerce (through the Director of the National Institute of Standards and Technology) and other agencies, as appropriate, shall develop and issue cybersecurity performance goals for critical infrastructure to further a common understanding of the baseline security practices that critical infrastructure owners and operators should follow to protect national and economic security, as well as public health and safety. | (a) 2013年2月12日付の大統領令第13636号(重要インフラのサイバーセキュリティの向上)の第7(d)節に従い、国土安全保障長官は、商務長官(国立標準技術研究所所長を通じて)および必要に応じて他の機関と連携し、国家および経済の安全、ならびに公衆衛生と安全を守るために重要インフラの所有者および運営者が従うべき基本的なセキュリティ慣行についての共通理解を深めるために、重要インフラのサイバーセキュリティのパフォーマンス目標を策定し、発行する。 |
(b) This effort shall begin with the Secretary of Homeland Security issuing preliminary goals for control systems across critical infrastructure sectors no later than September 22, 2021, followed by the issuance of final cross-sector control system goals within 1 year of the date of this memorandum. Additionally, following consultations with relevant agencies, the Secretary of Homeland Security shall issue sector-specific critical infrastructure cybersecurity performance goals within 1 year of the date of this memorandum. These performance goals should serve as clear guidance to owners and operators about cybersecurity practices and postures that the American people can trust and should expect for such essential services. That effort may also include an examination of whether additional legal authorities would be beneficial to enhancing the cybersecurity of critical infrastructure, which is vital to the American people and the security of our Nation. | (b) この取り組みは、国土安全保障省長官が2021年9月22日までに重要インフラ部門全体の制御システムに関する暫定的な目標を発表することから始まり、その後、この覚書の日付から1年以内に部門横断的な制御システムの最終目標を発表するものとする。 さらに、関連機関との協議を経て、国土安全保障省長官は、本覚書の日付から1年以内に、セクター別の重要インフラのサイバーセキュリティのパフォーマンス目標を発表するものとする。 これらのパフォーマンス目標は、米国民が信頼でき、そのような重要なサービスに対して期待すべきサイバーセキュリティの実践と姿勢について、所有者と運営者に対する明確なガイダンスとなるべきである。 この取り組みには、米国民と国家の安全に不可欠な重要インフラのサイバーセキュリティを強化するために、追加の法的権限が有益であるかどうかの検討も含まれる。 |
Sec. 5. General Provisions. (a) Nothing in this memorandum shall be construed to impair or otherwise affect: | 第5条 一般規定: (a) この覚書のいかなる部分も、以下に影響を与えるものとは解釈されない。 |
(i) the authority granted by law to an executive department or agency, or the head thereof; or | (i) 法律によって行政省庁やその長に与えられた権限、または |
(ii) the functions of the Director of the Office of Management and Budget relating to budgetary, administrative, or legislative proposals. | (ii) 予算案、行政案、立法案に関連する行政管理予算局長官の機能。 |
(b) This memorandum shall be implemented consistent with applicable law and subject to the availability of appropriations, where funding assistance may be required to implement control system cybersecurity recommendations. | (b) 本覚書は、制御システムのサイバーセキュリティに関する提言を実施するために資金援助が必要な場合には、適用される法律と一致し、かつ予算の有無に応じて実施されるものとする。 |
(c) This memorandum is not intended to, and does not, create any right or benefit, substantive or procedural, enforceable at law or in equity by any party against the United States, its departments, agencies, or entities, its officers, employees, or agents, or any other person. | (c) 本覚書は、米国、その省庁、機関、事業体、その役員、従業員、代理人、またはその他の者に対して、法律上または衡平法上の強制力のある、実質的または手続き上のいかなる権利または利益も創出することを意図したものではなく、また創出するものでもない。 |
JOSEPH R. BIDEN JR. | ジョセフ・R・バイデン・Jr. |
商務省の声明
・ 2021.07.28 Joint Statement by Secretaries Mayorkas and Raimondo on President Biden’s New National Security Memorandum
● NIST
White House National Security Memo Issued | NIST & DHS Developing Cybersecurity Performance Goals for Critical Infrastructure Control Systems | ホワイトハウスの国家安全保障メモが発行されました|NISTとDHSが重要インフラ制御システムのサイバーセキュリティパフォーマンス目標を策定中 |
President Biden on July 28, 2021, signed a new National Security Memorandum, “Improving Cybersecurity for Critical Infrastructure Control Systems which directs the Department of Homeland Security (DHS) to work with the Department of Commerce (DOC) in developing cybersecurity performance goals that will drive adoption of effective practices and controls. NIST will play a role in that collaboration. | バイデン大統領は2021年7月28日、新しい国家安全保障メモ「Improving Cybersecurity for Critical Infrastructure Control Systems」に署名しました。このメモは、国土安全保障省(DHS)が商務省(DOC)と協力して、効果的な実践と管理の採用を促進するサイバーセキュリティのパフォーマンス目標を策定するよう指示しています。NISTはその協力の一翼を担うことになります。 |
NIST conducts research and provides resources to improve the cybersecurity of Operational Technology. Among activities that will contribute to implementing the National Security Memorandum, NIST is revising its Guide to Industrial Control Systems (ICS) Security (SP 800-82). | NISTは、運用技術のサイバーセキュリティを向上させるための研究とリソースの提供を行っています。国家安全保障メモランダムの実施に貢献する活動として、NISTは産業用制御システム(ICS)セキュリティガイド(SP 800-82)の改訂を行っています。 |
See: Joint Statement by Secretary Mayorkas and Secretary Raimondo on President Biden’s New National Security Memorandum | 参照:バイデン大統領の新「国家安全保障に関する覚書」に対するマヨルカズ長官とライモンド長官の共同声明 |
Comments