« 日本の防衛副大臣が米サイバー軍を訪問し、CYBERCOM司令官のポール・ナカソネ大将と会談したようですね | Main | NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「ティラノサウルスとスズメ」 »

2021.08.16

サイバースペース・ソラリウム委員会が2021年実施報告書を公表していますね。。。

こんにちは、丸山満彦です。

サイバースペース・ソラリウム委員会が2021年実施報告書を公表していますね。。。

Cyberspace Solarium Commission (CSC)

・2021.08.12 2021 Annual Report on Implementation

2020年3月に発行された報告書 [PDF] では、82の勧告が出されたわけですが、その後のフォローアップです。。。

約35%が実施されているか、実施に近づいており、約44%が実施に向けて順調に進んでいるとのことですね。。。

・[PDF] 2021 ANNUAL REPORT ON IMPLEMENTATION

20210815-234450

目次です。。。

Executive Summary エグゼクティブ・サマリー
Commission Background 委員会の背景
Evaluating Progress 進歩を評価する
Measuring Impact and Promoting Future Success 影響力の測定と将来の成功の促進
Identification of Threats, Opportunities, and Priorities 脅威、機会、優先事項の特定
Evaluating the Implementation of the Layered Cyber Deterrence Strategy 重層的サイバー抑止戦略の実施状況の評価
Shape Behavior 行動の形成
Deny Benefits 利益を否定する
Impose Costs コストの負担
 Implementation of CSC Recommendations サイバースペース・ソラリウム委員会による提言の実施
Recommendations from the Cyberspace Solarium Commission Report サイバースペース・ソラリウム委員会報告書の提言
Pillar One: Reform the U.S. Government’s Structure and Organization for Cyberspace 柱1:サイバースペースのための米国政府の構造と組織の改革
Pillar Two: Strengthen Norms and Non-military Tools 柱2:規範と非軍事的手段の強化
Pillar Three: Promote National Resilience 柱3:国家の強靭性の促進
Pillar Four: Reshape the Cyber Ecosystem toward Greater Security 柱4:サイバー・エコシステムをより安全なものへと再構築する
Pillar Five: Operationalize Cybersecurity Collaboration with the Private Sector 柱5:民間企業とのサイバーセキュリティ協力の実現
Pillar Six: Preserve and Employ the Military Instrument of Power 柱6:軍事力を維持・活用する
Cyberspace Solarium Commission White Papers サイバースペース・ソラリウム委員会白書
White Paper #1: Cybersecurity Lessons from the Pandemic 白書#1:パンデミックから得られるサイバーセキュリティの教訓
White Paper #2: National Cyber Director 白書#2:国家サイバー長官
White Paper #3: Growing a Stronger Federal Cyber Workforce 白書#3:より強力な連邦サイバー人材の育成
White Paper #4: Building a Trusted ICT Supply Chain 白書#4:信頼できるICTサプライチェーンの構築

 

EXECUTIVE SUMMARY  エグゼクティブサマリー 
The United States has a problem in cyberspace. The recent torrent of hacks, intrusions, breaches, ransomware, and shutdowns demonstrates that we have much more to do to secure Americans’ lives and livelihoods online. This is true for the private sector, where it is far past time for business leaders to proactively protect critical infrastructure and secure sensitive information. It is also true for the government, where issues of jurisdic tion, bureaucracy, and underinvestment hamper efforts to combat cyber threats, build effective public-private collabora tion, and promote responsible behavior in cyberspace. Complex and interwoven challenges like these were precisely what motivated the Cyberspace Solarium Commission’s work and informed the Commission’s March 2020 report. Last year we concluded that attaining meaningful security in cyberspace requires action across many coordinated fronts. We have seen a great deal of progress in implementing the original 82 recommendations from that report, as well as the recommendations we added in white papers along the way.  米国は、サイバー空間において問題を抱えています。最近のハッキング、侵入、違反、ランサムウェア、業務停止が続け様に起こっている状況は、米国人のオンラインでの生活と人生を安全にするために、私たちがすべきことがたくさんあることを示しています。これは民間企業にも言えることで、ビジネスリーダーが重要なインフラの保護や機密情報の保護に積極的に取り組むべき時期はとうに過ぎています。また、政府においても、管轄権、官僚主義、投資不足などの問題が、サイバー脅威への対策、効果的な官民協力体制の構築、サイバー空間における責任ある行動の促進を妨げています。このような複雑に絡み合った課題こそが、サイバースペース・ソラリウム委員会の活動の動機であり、2020年3月に発表された同委員会の報告書にも反映されています。昨年、私たちは、サイバースペースにおいて意味のあるセキュリティを達成するためには、多くの連携した最前線での行動が必要であると結論づけました。私たちは、この報告書に記載された82の提言と、途中でホワイトペーパーに追加した提言の実施において、大きな進歩を遂げています。
But these changes are just beginning, and the threat remains every bit as real this year. As a country, we all—businesses, government, civil society, and individuals—need to act with more speed and agility when it comes to securing cyberspace. That means investing in enterprise cybersecurity before attacks happen, developing a clear cyber strategy, sharing threat information at the speed of data, ensuring that our teachers have the tools they need to kindle a spark of interest that will one day lead a student to a cyber job, and so much more. Keeping in mind the monumental work still ahead of us, we find several highlights in assessing the Commission’s progress to date:  しかし、これらの変化はまだ始まったばかりで、今年も脅威は全く同じように存在しています。国として、企業、政府、市民社会、個人のすべてが、サイバー空間の安全を確保するために、より迅速かつ敏捷に行動する必要があります。そのためには、攻撃を受ける前に企業のサイバーセキュリティに投資すること、明確なサイバー戦略を策定すること、データの速さで脅威情報を共有すること、学生がいつかサイバー関連の仕事に就けるように興味の火をつけるために必要なツールを教師が確保することなど、多くのことを行う必要があります。私たちの前にはまだ大きな課題が残されていることを念頭に置きつつ、委員会のこれまでの進捗状況を評価する上で、いくつかのポイントを見つけました。 
Evaluating the Big Picture – The Commission’s report was more than a collection of recommendations. It was also a strategic approach to and assessment of the cyber threat landscape. In some cases, the accuracy of the Commission’s analysis is obvious: the drumbeat of significant cyberattacks undeniably increased as expected, but we certainly did not predict that the COVID-19 pandemic would create a new opportunity for such attacks. In other cases, evaluating the Commission’s work is more difficult. While the Commission’s strategic approach of layered cyber deterrence has remained a valuable framework for evaluating possible U.S. actions to defend against attacks of significant consequence, understanding its larger impact will require more time and better mechanisms for measuring improvements in national cybersecurity. In the meantime, individual recommendations that anchor that strategic approach are well on their way to implementation.  全体像の評価 - 本委員会の報告書は、単なる提言集ではありません。 委員会の報告書は、サイバー脅威の状況に対する戦略的なアプローチと評価でもあります。場合によっては、委員会の分析の正確さが明らかになることもあります。しかし、COVID-19のパンデミックがそのような攻撃の新たな機会を生み出すとは予測していませんでした。一方で、委員会の活動を評価することはより困難です。重層的なサイバー抑止力という委員会の戦略的アプローチは、重大な結果をもたらす攻撃から米国を守るために可能な行動を評価するための貴重な枠組みであり続けていますが、その大きな影響を理解するには、より多くの時間と、国家のサイバーセキュリティの改善を測定するためのより良いメカニズムが必要です。ここまでの間、この戦略的アプローチを支える個々の提言は、実施に向けて順調に進んでいます。
Major Steps Forward – A number of the Commission’s key recommendations have been implemented by the Congress or executive branch; in other cases, significant progress toward their implementation is being made. The establishment, nomination, and confirmation of a National Cyber Director (Recommendation 1.3) represents significant progress toward implementing the Commission’s highest-priority goals. The FY21 National Defense Authorization Act included provisions to strengthen the Cybersecurity and Infrastructure Security Agency (Recommendation 1.4), codify Sector Risk Management Agencies (Recommendation 3.1), establish a Continuity of the Economy plan (Recommendation 3.2), establish a Joint Cyber Planning Office (Recommendation 5.4), and require a force structure assessment of the Cyber Mission Force (Recommendation 6.1). Meanwhile, both Trump and Biden administration actions have made inroads toward implementing an information and communications technology or ICT industrial base strategy (Recommendation 4.6), and the President’s Budget Request proposes a Cyber Response and Recovery Fund (Recommendation 3.3).  大きな前進 - 委員会の主要な提言の多くは、議会または行政府によって実施されており、その他のケースでも、実施に向けて大きな進展が見られています。国家サイバー長官の設置、指名、確認(提言1.3)は、委員会の最優先目標の実施に向けて大きく前進したことを意味します。21年度国防権限法には、サイバーセキュリティ・インフラセキュリティ庁の強化(提言1.4)、セクターリスク管理機関の成文化(提言3.1)、経済継続計画の策定(提言3.2)、合同サイバー計画室の設置(提言5.4)、サイバー任務部隊の戦力構造評価の義務付け(提言6.1)などの条項が盛り込まれました。一方、トランプ、バイデン両政権の行動は、情報通信技術(ICT)産業基盤戦略(提言4.6)の実施に向けて前進しており、大統領予算要求では、サイバー対応・復興基金(提言3.3)が提案されています。
Remaining Priorities – Progress in implementing Commission recommendations has been remarkable, but not universal, and many key issues remain priorities for the Commission’s future work. Codifying the concept of Systemically Important Critical Infrastructure (Recommendation 5.1) and establishing a Joint Collaborative Environment (Recommendation 5.2) continue to be complex, challenging, and high-priority goals. The Cyber Diplomacy Act (Recommendation 2.1), which has yet to pass the Senate, would implement the Commission’s recommendation for a cyber-focused bureau at the State Department. Several recommendations—like the establishment of House Permanent Select and Senate Select Committees on Cybersecurity (Recommendation 1.2) and a National Data Security and Privacy Protection Law (Recommendation 4.7)—have met resistance and are unlikely to move forward in the near future. However, the Commission remains dedicated to refining and advancing these recommendations. The policy community may not be prepared to take on these hard problems today, but we are making sure that the recommendations are ready when the time comes.  残された優先事項 - 本委員会の提言の実施における進展は目覚しいものがありますが、万能ではなく、多くの重要な問題が委員会の今後の作業の優先事項として残されています。システム上重要な重要インフラの概念の成文化(提言5.1)と共同協力環境の確立(提言5.2)は、引き続き複雑で困難であり、優先度の高い目標です。いまだ上院を通過していないサイバー外交法(提言2.1)は、国務省にサイバーに特化した局を設置するという委員会の提言を実施するものです。サイバーセキュリティに関する下院常設特別委員会と上院特別委員会の設置(提言1.2)や、国家データセキュリティ・プライバシー保護法(提言4.7)など、いくつかの提言は抵抗を受けており、近い将来に前進する可能性は低いと思われます。しかし、当委員会は、これらの提言をさらに洗練させ、前進させることに専心しています。政策コミュニティは、今日、これらの難しい問題に取り組む準備ができていないかもしれないが、我々は、その時が来たときに提言が準備できるようにしています。 
The Commission is proud of its progress but recognizes that in order to determine where we go next in cybersecurity, we must be clear-eyed about what is not working. And we understand that many of the remaining recommendations are not low-hanging fruit; we need to keep climbing to get many of them done. Many critical recommendations are not imple mented yet, but that does not mean we intend to write them off as a loss and move on. With that in mind, the analysis below does more than just enumerate recommendations that have or have not been implemented. It also outlines remaining priorities and the adaptations made by the Commission to improve its approach.  本委員会は、これまでの成果を誇りに思っていますが、サイバーセキュリティで次に何をすべきかを決定するためには、何がうまくいっていないのかを明確に見極める必要があると認識しています。また、残された提言の多くは、低空飛行の果実ではないことを理解しており、その多くを成し遂げるためには前進し続ける必要があります。多くの重要な提言はまだ完了していませんが、だからといって、それらを損失として処理し、先に進むつもりはありません。このことを念頭に置いて、以下の分析では、実施済みまたは未実施の提言を列挙するだけではありません。また、残された優先事項と、そのアプローチを改善するために本委員会が行った適応策の概要も示しています。
We have endeavored to be very careful in our use of the word “success” in this report. Real success is protecting national critical infrastructure from malicious cyber activity. We believe that these recommendations will help the country achieve that success, but we are under no illusions that the work ends when a recommendation becomes law or an executive order incorporates a Commission priority. This report draws a map connecting our current reality in cyberspace to a future when Americans can rely on the digital infrastructure that surrounds us. Implementation of the Commission’s recommendations is only the very first step toward a connected world we can trust. All of us—and each of you—share responsibility for every step after that.  本報告書では、「成功」という言葉の使い方に細心の注意を払っています。真の成功とは、国家の重要インフラを悪意のあるサイバー活動から守ることです。私たちは、これらの提言が国がその成功を達成するのに役立つと信じていますが、提言が法律になったり、委員会の優先事項が大統領令に盛り込まれたりした時点で仕事が終わるという幻想は持っていません。本報告書は、サイバースペースにおける現在の現実と、米国人が私たちを取り巻くデジタルインフラに依存できるようになる未来とを結ぶ地図を描いています。委員会の提言の実施は、信頼できるつながりのある世界に向けた最初の一歩にすぎません。その後の一歩一歩には、私たち全員、そして皆さん一人ひとりが責任を負っています。 

 

20210816-72558

 


まるちゃんの情報セキュリティ気まぐれ日記

・2021.07.13 従来型抑止と戦略的抑止に対するサイバー脅威と脆弱性 by 米国サイバースペースソラリウム委員会の事務局長

・2021.03.25 U.S. GAO High-Riskシリーズ:連邦政府は主要なサイバーセキュリティの課題に対処するための重要な行動を早急に実施する必要がある

・2021.01.06 米国 2021年度 National Defense Authorization Act (NDAA) (国防授権法)成立 サイバー関係も・・・

・2020.10.04 サイバースペース・ソラリウム委員会

・2020.07.05 興味深い=>The reverse cascade: Enforcing security on the global IoT supply chain - In-Depth Research & Reports by Nathaniel Kim, Trey Herr, and Bruce Schneier


|

« 日本の防衛副大臣が米サイバー軍を訪問し、CYBERCOM司令官のポール・ナカソネ大将と会談したようですね | Main | NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「ティラノサウルスとスズメ」 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 日本の防衛副大臣が米サイバー軍を訪問し、CYBERCOM司令官のポール・ナカソネ大将と会談したようですね | Main | NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「ティラノサウルスとスズメ」 »