米国 国土安全保障省 拘束力のある運用指令22-01 悪用された既知の脆弱性についての重大なリスクの低減

こんにちは、丸山満彦です。

米国国土安全保障省が拘束力のある運用指令22-01 悪用された既知の脆弱性についての重大なリスクの低減を発行していますね。。。

報告はCDM連邦ダッシュボードになっていくんですね。。。

 

● Cybesecurity and Infrastructure Security Agency:CISA - National Cyber Awareness System  - Current Activity

・2021.11.03 CISA Issues BOD 22-01: Reducing the Significant Risk of Known Exploited Vulnerabilities

・2021.11.03 [PDF] Fact Sheet

 

● Cyber.dhs.Gov (Cybersecurity Directives)

・2021.11.03 Binding Operational Directive 22-01 Reducing the Significant Risk of Known Exploited Vulnerabilities

 

Binding Operational Directive 22-01	拘束力のある運用指令22-01
Reducing the Significant Risk of Known Exploited Vulnerabilities	悪用された既知の脆弱性についての重大なリスクの低減
This page contains a web-friendly version of the Cybersecurity and Infrastructure Security agency’s Binding Operational Directive 22-01 - Reducing the Significant Risk of Known Exploited Vulnerabilities.	このページは、サイバーセキュリティ・重要インフラセキュリティ庁の拘束力のある運用指令22-01 - 既悪用された既知の脆弱性についての重大なリスクの低減をウェブ上に記載したものです。
A binding operational directive is a compulsory direction to federal, executive branch, departments and agencies for purposes of safeguarding federal information and information systems.	拘束力のある運用指令とは、連邦政府の情報や情報システムを保護する目的で、連邦政府の行政府の部局や各省庁に対して強制的に指示するものです。
Section 3553(b)(2) of title 44, U.S. Code, authorizes the Secretary of the Department of Homeland Security (DHS) to develop and oversee the implementation of binding operational directives.	米国法典第44編第3553条(b)(2)項は、国土安全保障省(DHS)の長官に、拘束力のある運用指令を作成し、その実施を監督する権限を与えています。
Federal agencies are required to comply with DHS-developed directives.	連邦の各省庁は、DHSが作成した指令に従うことが求められます。
These directives do not apply to statutorily defined “national security systems” nor to certain systems operated by the Department of Defense or the Intelligence Community.	これらの指令は、法律で定義された「国家安全保障システム」や、国防総省や情報機関が運営する特定のシステムには適用されません。
Background	背景
The United States faces persistent and increasingly sophisticated malicious cyber campaigns that threaten the public sector, the private sector, and ultimately the American people’s security and privacy. The federal government must improve its efforts to protect against these campaigns by ensuring the security of information technology assets across the federal enterprise. Vulnerabilities that have previously been used to exploit public and private organizations are a frequent attack vector for malicious cyber actors of all types. These vulnerabilities pose significant risk to agencies and the federal enterprise. It is essential to aggressively remediate known exploited vulnerabilities to protect federal information systems and reduce cyber incidents.	米国は、公共部門、民間部門、そして最終的には米国民のセキュリティとプライバシーを脅かす、執拗でますます洗練された悪質なサイバーキャンペーンに直面しています。連邦政府は、連邦政府全体の情報技術資産のセキュリティを確保することで、これらのキャンペーンから守るための取り組みを改善しなければなりません。過去に官民の組織で悪用された脆弱性は、あらゆる種類の悪意のあるサイバー攻撃者が頻繁に攻撃の対象としています。これらの脆弱性は、各省庁や連邦政府全体に大きなリスクをもたらします。連邦政府の情報システムを保護し、サイバーインシデントを減らすためには、悪用された既知の脆弱性を積極的に修正することが不可欠です。
This directive establishes a CISA-managed catalog of known exploited vulnerabilities that carry significant risk to the federal enterprise https://cisa.gov/known-exploited-vulnerabilities and establishes requirements for agencies to remediate any such vulnerabilities included in the catalog. CISA will determine vulnerabilities warranting inclusion in the catalog based on reliable evidence that the exploit is being actively used to exploit public or private organizations by a threat actor. This directive enhances but does not replace BOD 19-02, which addresses remediation requirements for critical and high vulnerabilities on internet-facing federal information systems identified through CISA’s vulnerability scanning service.	この指令は、連邦政府全体に重大なリスクをもたらす既知の悪用された脆弱性のCISA管理カタログ（https://cisa.gov/known-exploited-vulnerabilities）を確立し、カタログに含まれるそのような脆弱性を修正するための各省庁の要件を確立します。CISAは、その脆弱性が脅威の行為者によって公的または私的な組織を悪用するために積極的に使用されているという信頼できる証拠に基づいて、カタログに掲載する価値のある脆弱性を決定します。この指令は、CISAの脆弱性スキャン・サービスを通じて特定されたインターネットに接続した連邦情報システムの重要な脆弱性と高い脆弱性の修正要件を扱うBOD19-02を強化するものであり、これに代わるものではありません。
Scope	適用範囲
This directive applies to all software and hardware found on federal information systems managed on agency premises or hosted by third parties on an agency’s behalf. These required actions apply to any federal information system, including an information system used or operated by another entity on behalf of an agency, that collects, processes, stores, transmits, disseminates, or otherwise maintains agency information.	この指令は、省庁の敷地内で管理されているか、または省庁に代わって第三者がホストしている連邦情報システムにあるすべてのソフトウェアとハードウェアに適用されます。これらの必須行動は、機関の情報を収集、処理、保存、送信、配布、またはその他の方法で維持する、省庁に代わって他の組織体が使用または運営する情報システムを含む、あらゆる省庁の情報システムに適用されます。
Required Actions	必要な措置
Within 60 days of issuance, agencies shall review and update agency internal vulnerability management procedures in accordance with this Directive. If requested by CISA, agencies will provide a copy of these policies and procedures. At a minimum, agency policies must:	発行から60日以内に、各省庁はこの指令に従って省庁内部の脆弱性管理手順を見直し、更新しなければならない。CISAが要求した場合、各省庁はこれらのポリシーと手順のコピーを提供する。最低でも、省庁のポリシーは以下の通りでなければならない。
a. Establish a process for ongoing remediation of vulnerabilities that CISA identifies, through inclusion in the CISA-managed catalog of known exploited vulnerabilities, as carrying significant risk to the federal enterprise within a timeframe set by CISA pursuant to this directive;	a. この指令に従ってCISAが設定した時間枠内で、CISAが管理する既知の悪用された脆弱性のカタログに含めることによって、連邦政府全体に重大なリスクをもたらすものとしてCISAが特定した脆弱性を継続的に修復するためのプロセスを確立すること。
b. Assign roles and responsibilities for executing agency actions as required by this directive;	b. この指令で必要とされる省庁の行動を実行するための役割と責任を割り当てる。
c. Define necessary actions required to enable prompt response to actions required by this directive;	c. この指令によって要求される行動に迅速に対応できるようにするために必要な行動を定義する。
d. Establish internal validation and enforcement procedures to ensure adherence with this Directive; and	d. この指令の遵守を確実にするための内部検証と実施手順を確立する。
e. Set internal tracking and reporting requirements to evaluate adherence with this Directive and provide reporting to CISA, as needed.	e. 本指令の遵守状況を評価し、必要に応じてCISAに報告するための内部追跡および報告要件を設定する。
Remediate each vulnerability according to the timelines set forth in the CISA-managed vulnerability catalog. The catalog will list exploited vulnerabilities that carry significant risk to the federal enterprise with the requirement to remediate within 6 months for vulnerabilities with a Common Vulnerabilities and Exposures (CVE) ID assigned prior to 2021 and within two weeks for all other vulnerabilities. These default timelines may be adjusted in the case of grave risk to the Federal enterprise.	CISAが管理する脆弱性カタログに記載されているスケジュールに従って、各脆弱性を修正すること。カタログには、連邦政府全体に重大なリスクをもたらす悪用された脆弱性がリストアップされ、2021年以前に割り当てられたCVE（Common Vulnerabilities and Exposures）IDを持つ脆弱性については6ヶ月以内に、その他のすべての脆弱性については2週間以内に修復することが要求されている。これらのデフォルトのタイムラインは、連邦政府全体にとって重大なリスクがある場合に調整されることがある。
Report on the status of vulnerabilities listed in the repository. In line with requirements for the Continuous Diagnostics and Mitigation (CDM) Federal Dashboard deployment and OMB annual FISMA memorandum requirements, agencies are expected to automate data exchange and report their respective Directive implementation status through the CDM Federal Dashboard. Initially agencies may submit quarterly reports through CyberScope submissions or report through the CDM Federal Dashboard. Starting on October 1, 2022, agencies that have not migrated reporting to the CDM Federal Dashboard will be required to update their status through CyberScope bi-weekly.	リポジトリに登録されている脆弱性の状況を報告する。継続的診断・緩和（CDM）連邦ダッシュボードの展開に関する要件およびOMBの年次FISMAメモランダム要件に沿って、各省庁はデータ交換を自動化し、CDM連邦ダッシュボードを通じてそれぞれの指令の実施状況を報告することが期待されている。初期段階では、各省庁はサイバースコープ提出による四半期報告を行うか、CDM連邦ダッシュボードを通じて報告することができる。2022年10月1日からは、CDM連邦ダッシュボードへの報告を移行していない省庁は、サイバースコープを通じて隔週で状況を更新することが求められる。
CISA Actions	CISAの活動
Maintain the catalog of known exploited vulnerabilities at https://cisa.gov/known-exploited-vulnerabilities and alert agencies of updates for awareness and action.	既知の悪用されている脆弱性のカタログを https://cisa.gov/known-exploited-vulnerabilities で管理し、更新があった場合には各省庁に注意を促し、認識と行動を促す。
CISA will publish the thresholds and conditions for including and adding vulnerabilities to the catalog at https://cisa.gov/known-exploited-vulnerabilities.	CISAは、カタログに脆弱性を含めたり追加したりするためのしきい値と条件をhttps://cisa.gov/known-exploited-vulnerabilities で公表する。
As necessary following the issuance of this Directive, CISA will review this Directive to account for changes in the general cybersecurity landscape and consider issuing Supplemental Direction to incorporate additional vulnerability management best practices for federal information systems.	本指令の発行後、必要に応じて、CISAは一般的なサイバーセキュリティ環境の変化を考慮して本指令を見直し、連邦情報システムの追加的な脆弱性管理のベストプラクティスを取り入れるために、補足的な指令の発行を検討する。
Annually, by the end of each fiscal year, provide a status report to the Secretary of Homeland Security, the Director of the Office of Management and Budget (OMB), and the National Cyber Director identifying cross-agency status and outstanding issues in implementation of this Directive.	毎年、各会計年度末までに、国土安全保障長官、行政管理予算局（OMB）長官、国家サイバー長官に、本指令の実施における省庁横断的な状況と未解決の問題を示す状況報告書を提出する。
Resources and Contact Information	リソースと連絡先情報
General information, assistance, and reporting – cyberdirectives@cisa.dhs.gov	一般的な情報、支援、および報告 - cyberdirectives@cisa.dhs.gov
Click here for CISA managed catalog of known exploited vulnerabilities	CISAが管理する既知のエクスプロイトされた脆弱性のカタログはこちらを参照してください。
Click here to sign up for automatic alerts when new vulnerabilities are added to the catalog	カタログに新しい脆弱性が追加された際の自動通知に登録するにはこちらを参照してください。