« 個人情報保護委員会 令和3年改正個人情報保護法について、政令・規則・民間部門ガイドライン案の意見募集の結果を公示+公的部門ガイドライン案の意見募集を開始 | Main | 米国 CISA 相互運用可能な情報共有フレームワークを開発するためのアプローチ:公共安全通信技術の将来的な相互運用性とデータ共有の確保 »

2021.11.02

MITRE 連邦政府のサイバーセキュリティを向上させるための議会への8つの提言

こんにちは、丸山満彦です。

MITREが連邦政府のサイバーセキュリティを向上させるための議会への8つの提言を公表していました。。。おそらく2021.10.29?

米連邦政府向けですが、日本政府向けと考えても大きな違いは無いようには思うので、真似る必要はないですが、参考にしてもよいかもですね。。。

 

MITRE

・2021.10.29 EIGHT RECOMMENDATIONS FOR CONGRESS TO IMPROVE FEDERAL CYBERSECURITY

・[PDF] EIGHT RECOMMENDATIONS FOR CONGRESS TO IMPROVE FEDERAL CYBERSECURITY 

20211102-62409

 

Eight recommendations for Congressional action to improve federal agency cybersecurity while increasing the efficiency and effectiveness of its oversight efforts  連邦政府機関のサイバーセキュリティを向上させるとともに、監視活動の効率性と有効性を高めるために、議会が行うべき8つの提言 
1.Give Federal Cybersecurity Leadership More Authority to Oversee Cyber Risk Management at Agencies and Departments. 
1.連邦政府のサイバーセキュリティ担当者に、各省庁のサイバーリスク管理を監督する権限を与える。 

Strengthen the National Cyber Director, Federal CIO, and Federal CISO offices so that they have the capacity and authority to actively help agencies prioritize, act on, and measure progress to create greater unity of effort across government.  国家サイバー長官、連邦CIO、連邦CISOのオフィスを強化し、各省庁が優先順位をつけ、行動し、進捗を測定することを積極的に支援する能力と権限を持たせ、政府全体での取り組みの統一を図る。
2.Identify and Modernize Complex Legacy IT Systems to Reduce Costs and Vulnerabilities.  2.複雑なレガシーITシステムを特定して近代化し、コストと脆弱性を削減する。
Identify and modernize those mission-critical systems that contribute most to maintenance costs and security vulnerabilities.  保守コストとセキュリティの脆弱性に最も貢献しているミッションクリティカルなシステムを特定し、近代化する。
3. Create an Integrated Cyber Risk Management Framework.  3. 統合されたサイバーリスクマネジメントフレームワークを構築する。
Create an approach to risk management that incorporates threat evaluation along with human and physical risk management.  脅威の評価と人的・物理的なリスク管理を統合したリスク管理のアプローチを構築する。
4. Support Zero Trust Architecture (ZTA) Implementation.  4. ゼロトラストアーキテクチャー(ZTA)の導入を支援する。
Ensure agencies have the resources needed to implement the plans developed under Executive Order 14028, and conduct oversight activities to monitor implementation efforts.  各省庁が、大統領令14028に基づいて策定された計画を実施するために必要なリソースを確保し、実施の取り組みを監視するための監督活動を行う。
5.Support Modernization of CISA Cyber Defense Systems.  5. CISAのサイバー防衛システムの近代化を支援する。
Fund modernization of the National Cybersecurity Protection System (including EINSTEIN), the Continuous Diagnostics and Mitigation Program, and related services to help ensure CISA’s ability to provide cyber defense and threat hunting as agencies move to cloud services and ZTA.  国家サイバーセキュリティ保護システム(EINSTEINを含む)、継続的診断・軽減プログラム、および関連サービスの近代化に資金を提供し、各省庁がクラウドサービスやZTAに移行する際に、CISAがサイバー防御と脅威の狩猟を提供できるようにする。
6. Mandate Supply Chain Risk Management Assessments Throughout Program Lifecycles.  6. プログラムのライフサイクルを通じたサプライチェーン・リスク管理の評価を義務付ける。
The Federal Acquisition Security Council, CISA, and NIST should transform supply chain risk assessments so that they operate throughout the lifecycle of programs.  連邦調達セキュリティ委員会、CISA、NISTは、サプライチェーン・リスク評価をプログラムのライフサイクル全体で運用できるように変革すべきである。
7.Update Congressional Oversight Using FITARA as a Model.  7.FITARA をモデルとした議会の監視体制に更新する。 
Replace long narrative agency reports with a model utilizing clear and concise priorities and measurable milestones of progress in a format conducive to Congressional oversight.  政府機関の長文報告書を、議会の監視に適した形式で、明確かつ簡潔な優先事項と測定可能なマイルストーンによる進捗状況を示すモデルに置き換える。
8. Require That Cybersecurity Be a Cross-Agency Priority in the President’s Management Agenda.  8. 大統領のマネジメント・アジェンダにおいて、サイバーセキュリティを省庁横断的な優先事項とすることを求める。
Ensure that cybersecurity is a key performance goal and shift toward use of metrics based on those used by CISOs and industry.  サイバーセキュリティが重要な業績目標であることを確認し、CISOや産業界で使用されているものに基づいた測定基準の使用に移行する。

 

 

 

The Need for Further Congressional Action  議会のさらなる活動の必要性 
It is time for additional Congressional action to help meet the changing threat landscape facing America today by updating law and policy regulating federal government cybersecurity, and by funding and overseeing modernization of federal IT and cybersecurity systems. Law governing federal agency cybersecurity and oversight last received a major update with passage of the Federal Information Security Modernization Act of 2014. Since then, the government has continued to struggle with both basic cybersecurity hygiene and advanced threats, as borne out by numerous reports from the Government Accountability Office (GAO) and agency inspectors general. Updates are needed to the laws governing federal cybersecurity to align them with current cybersecurity best practices, to reduce spending on audits and reports, and to clarify roles and responsibilities of the many federal players involved.  連邦政府のサイバーセキュリティを規制する法律と政策を更新し、連邦政府のITおよびサイバーセキュリティシステムの近代化に資金を提供して監督することで、今日のアメリカが直面する脅威の変化に対応するために、議会がさらなる行動を起こす時が来ています。連邦政府機関のサイバーセキュリティを規制する法律とその監督は、2014年の連邦情報セキュリティ近代化法の成立により大幅に更新されました。それ以来、政府は、政府説明責任局(GAO)や各省庁の監察官による数多くの報告書が示すように、基本的なサイバーセキュリティの衛生管理と高度な脅威の両方に苦慮し続けています。連邦政府のサイバーセキュリティに関する法律を現在のサイバーセキュリティのベストプラクティスに合わせ、監査や報告書にかかる費用を削減し、関係する多くの連邦政府関係者の役割と責任を明確にするためには、法律の更新が必要です。 
Further, federal agencies are taking action to modernize legacy IT systems and to update cybersecurity programs on their own initiative and with the leadership of the White House. Congress should weigh in with support for these efforts while also overseeing them on behalf of the public.  さらに、連邦政府機関は、ホワイトハウスのリーダーシップのもと、独自のイニシアティブで、レガシーITシステムの近代化やサイバーセキュリティプログラムの更新に取り組んでいます。議会は、これらの取り組みを支援すると同時に、国民を代表してそれらを監視する必要があります。
This paper identifies eight ways that Congress can act to improve federal cybersecurity practices and to meet the advanced threats posed by China, Russia, ransomware gangs, and other nation-state and criminal actors. These changes will improve the government’s ability to deploy and maintain secure systems ready for today’s threats and increase the effectiveness and efficiency of oversight activities.  本稿では、連邦政府のサイバーセキュリティ業務を改善し、中国、ロシア、ランサムウェア・ギャング、その他の国家や犯罪者がもたらす高度な脅威に対応するために、議会が行動できる8つの方法を示しています。これらの変更は、今日の脅威に備えて安全なシステムを展開・維持する政府の能力を向上させ、監視活動の有効性と効率性を高める。
Recommendations  推奨事項 
1. Give Federal Cybersecurity Leadership More Authority to Oversee Cyber Risk Management at Agencies and Departments  1.連邦政府のサイバーセキュリティ担当者に、各省庁のサイバーリスク管理を監督する権限を与える。 
Authority over Executive Branch cybersecurity should be brought together into a more coordinated team structure with appropriate resources and staff to carry out their duties. The National Cyber Director’s office and the Federal CIO and CISO offices need to be strengthened so that they are more than policy and oversight organizations, with capacity and authority to play an active role helping agencies prioritize and measure progress of their cyber efforts to create greater unity of effort across government.  行政機関のサイバーセキュリティに関する権限は、職務を遂行するための適切なリソースとスタッフを備えた、より調整されたチーム構造にまとめられるべきである。国家サイバー長官のオフィス、連邦CIOとCISOのオフィスは、政策と監視の組織以上のものとなるよう強化する必要があり、政府全体での取り組みの統一性を高めるために、各省庁がサイバーの取り組みの優先順位付けと進捗状況の測定を支援する積極的な役割を果たす能力と権限を持つ必要があります。
2. Identify and Modernize Complex Legacy IT Systems to Reduce Costs and Vulnerability  2.複雑なレガシーITシステムを特定して近代化し、コストと脆弱性を削減する。
Congress and agencies should identify and modernize mission critical legacy systems that most contribute to agencies’ maintenance costs and security vulnerabilities. Recent MITRE analysis shows that systems using many programming languages have disproportionately higher maintenance costs and security vulnerabilities. Identifying mission critical IT systems that use many programming languages is a way to help target modernization efforts toward systems most likely to generate disproportionate costs and exhibit greater security vulnerability.  議会と政府機関は、政府機関の維持費とセキュリティ脆弱性の原因となっているミッションクリティカルなレガシーシステムを特定し、近代化する必要があります。最近のMITREの分析によると、多くのプログラミング言語を使用しているシステムは、メンテナンスコストとセキュリティ脆弱性が不釣り合いに高くなっています。多くのプログラミング言語を使用しているミッションクリティカルなITシステムを特定することは、不均衡なコストを発生させ、より大きなセキュリティ脆弱性を示す可能性の高いシステムに近代化の取り組みを集中させるのに役立つ方法である。
3. Create an Integrated Cyber Risk Management Framework 3. 統合されたサイバーリスクマネジメントフレームワークを構築する。
Authorization and funding are needed to create a new and integrated threat-hunting-focused approach to cyber risk management. Existing cyber risk management techniques and tools have evolved over decades in a piecemeal fashion and have typically focused on managing vulnerabilities. Best practice in cybersecurity has shifted toward a threat-hunting focus, yet legacy risk evaluations retain a heavy focus on vulnerability management. It is time to take a comprehensive view that incorporates threat evaluation, along with human and physical risks, to create an Integrated Cyber Risk Management Framework that identifies a holistic set of data relevant to measuring and managing cyber risks to organizations; provides analytical approaches to make effective use of this information to understand and score risks; and enables effective discussions among various stakeholders about risks and their mitigation.  サイバー・リスク管理のために、脅威の探索に焦点を当てた新しい統合的なアプローチを構築するためには、権限と資金が必要である。既存のサイバーリスクマネジメントの技術やツールは、数十年にわたって断片的に進化してきたもので、一般的には脆弱性の管理に重点が置かれています。サイバーセキュリティのベストプラクティスは、脅威のハンティングに重点を置く方向にシフトしていますが、従来のリスク評価では脆弱性の管理に重点が置かれています。今こそ、脅威の評価に人的・物理的リスクを加えた包括的な視点で、組織のサイバーリスクの測定・管理に関連するデータの全体像を明らかにし、これらの情報を効果的に活用してリスクを理解・評価するための分析的アプローチを提供し、様々な利害関係者間でリスクとその軽減について効果的な議論を可能にする「統合サイバーリスク管理フレームワーク」を構築するべきである。
4. Support Zero Trust Architecture (ZTA) Implementation 4. ゼロトラストアーキテクチャー(ZTA)の導入を支援する。
Congress should support agency implementation of ZTA principles by ensuring that agencies have the resources they need to implement their plans developed under Executive Order (EO) 14028 and by conducting oversight activities to monitor implementation efforts according to Administration guidance. To enable these actions, federal agencies should be tasked with reporting to Congress on their plans for and implementation of the concepts of trustless end points.  議会は、政府機関が大統領令(EO)14028に基づいて策定した計画を実施するために必要なリソースを確保し、政府のガイダンスに従って実施の取り組みを監視するための監視活動を行うことで、政府機関によるZTA原則の実施を支援する必要があります。これらの活動を可能にするために、連邦政府機関は、トラストレス・エンドポイントの概念の計画と実施について議会に報告する任務を負うべきである。
5. Support Modernization of CISA Cyber Defense Systems 5. CISAのサイバー防衛システムの近代化を支援する。
Many of CISA’s cyber defense systems were designed for an era when most agency systems were operated internally and most network traffic was unencrypted. In the years since, agencies have conducted extensive migrations of systems to cloud service providers and are beginning to implement ZTA for their networks. CISA has recognized this change and is seeking to update its suite of programs providing security services to federal agencies so that they provide effective defenses for today’s agency IT architectures and better support threat-hunting activities by defenders. Congress can support these efforts by ensuring adequate funding for modernization of the National Cybersecurity Protection System (which includes the EINSTEIN system referenced in EO 14028), the Continuous Diagnostics and Mitigation Program, and other related efforts in the years ahead.  CISAのサイバー・ディフェンス・システムの多くは、ほとんどの機関のシステムが内部で運用され、ほとんどのネットワーク・トラフィックが暗号化されていなかった時代に合わせて設計されている。その後、各省庁はシステムをクラウドサービスプロバイダーに大規模に移行し、ネットワークにZTAを導入し始めています。CISAは、このような変化を認識し、連邦政府機関にセキュリティサービスを提供する一連のプログラムを更新して、今日の政府機関のITアーキテクチャに効果的な防御を提供し、防御側の脅威探索活動をよりよくサポートすることを目指しています。議会は、国家サイバーセキュリティ保護システム(EO 14028 で言及されている EINSTEIN システムを含む)、継続的診断・軽減プログラム、およびその他の関連する取り組みの近代化のために、今後数年間で十分な資金を確保することで、これらの取り組みを支援することができます。
6. Mandate Supply Chain Risk Management Assessments Throughout Program Lifecycles 6. プログラムのライフサイクルを通じたサプライチェーン・リスク管理の評価を義務付ける。
The SECURE Technology Act passed in 2018 established the interagency Federal Acquisition Security Council (FASC), which is chaired by the Federal CISO. The FASC has a broad mandate for both cyber and supply chain policy. In the past, supply chain risk assessments have been rare, and when performed are generally associated with final steps before a high-value acquisition. This approach does not address the ubiquitous, continuously evolving nature of supply chain risk. Continuous supply chain risk assessment and mitigation is essential to reducing incidents. The FASC, working with both CISA and NIST, needs to transform supply chain risk assessments so they operate from early-stage requirements definition through program lifecycle.  2018年に成立した「SECURE Technology Act」では、連邦CISOが議長を務める省庁間の「Federal Acquisition Security Council(FASC)」が設立されました。FASCは、サイバー政策とサプライチェーン政策の両方について幅広い権限を持っています。これまで、サプライチェーンのリスク評価はまれで、実施されたとしても、一般的には高額な買収の前の最終段階に関連していました。このアプローチでは、ユビキタスで継続的に進化するサプライチェーンリスクの性質に対応できません。継続的なサプライチェーンリスクの評価と緩和は、インシデントを減らすために不可欠です。FASCは、CISAとNISTと協力して、サプライチェーン・リスク評価を変革し、初期段階の要件定義からプログラム・ライフサイクルまで運用できるようにする必要がある。
7. Update Congressional Oversight Using FITARA as a Model 7.FITARA をモデルとした議会の監視体制に更新する。 
Congress should update its oversight of agency cybersecurity by using the Federal Information Technology Acquisition Reform Act (FITARA) as a model to replace existing unstructured agency reporting. The FITARA scorecard provides transparency into key measures of agency progress in improving IT management every six months by establishing clear milestones against which all agencies measure and report their progress. Existing cybersecurity reporting requirements result in lengthy narratives subjectively describing agency cybersecurity programs, but not in concise and repeatable measurements of progress on key objectives across agencies. A FITARA-style cybersecurity scorecard can be the subject of Congressional oversight hearings where Executive Branch and agency leaders can testify on their progress and on areas where improvement and additional Congressional support is needed. This reporting model could also be used to streamline the extensive reporting agencies currently produce for Congress, GAO, and the IG community. Because cybersecurity is a rapidly evolving field where both threats and defensive strategies change frequently, a more rapid reporting and oversight cycle would help Congress ensure that agencies are staying current with those changes and have the resources needed to do so.  議会は、連邦情報技術取得改革法(FITARA)をモデルとして使用し、既存の非構造化機関の報告書を置き換えることで、機関のサイバーセキュリティに対する監視を更新する必要があります。FITARAのスコアカードは、すべての機関が進捗状況を測定し報告するための明確なマイルストーンを設定することで、6ヶ月ごとのIT管理の改善における機関の進捗状況の主要な指標に透明性を与えています。既存のサイバーセキュリティ報告要件では、各省庁のサイバーセキュリティプログラムを主観的に説明する長い説明文が作成されますが、各省庁の主要な目的に対する進捗状況を簡潔かつ反復可能に測定することはできません。FITARA方式のサイバーセキュリティ・スコアカードは、議会の監視公聴会の対象とすることができ、行政機関や各省庁のリーダーが、進捗状況や、改善や議会の追加支援が必要な分野について証言することができます。また、この報告モデルは、各省庁が現在、議会、GAO、IGコミュニティ向けに作成している膨大な報告書を合理化するためにも利用できます。サイバーセキュリティは、脅威と防御戦略の両方が頻繁に変化する、急速に進化する分野であるため、より迅速な報告と監視のサイクルは、議会が各機関がこれらの変化に対応し、そのために必要なリソースを持っていることを確認するのに役立ちます。
8. Require That Cybersecurity Be a Cross-Agency Priority in the President’s Management Agenda 8. 大統領のマネジメント・アジェンダにおいて、サイバーセキュリティを省庁横断的な優先事項とすることを求める。
Congress should require that cybersecurity be included as a specific Cross-Agency Priority (CAP) in the President’s Management Agenda to ensure that cybersecurity is a key performance goal for the government each year. In implementing cybersecurity as a CAP, metrics should include measures comparable to how federal and business CISOs measure their organizations’ performance and how cyber insurers evaluate client risk. These metrics can also be adopted in IG and GAO reviews to help ensure consistency across management and audit processes and to streamline the data collection process for agencies. More rapid completion of audits would help make audits a more actionable tool for management and oversight of federal cybersecurity.  議会は、サイバーセキュリティが毎年の政府の主要なパフォーマンス目標であることを確実にするために、大統領のマネジメント・アジェンダにおける特定の機関横断的優先事項(CAP)として、サイバーセキュリティを含めることを要求すべきである。CAPとしてサイバーセキュリティを実施するにあたり、連邦政府や企業のCISOが組織のパフォーマンスを測定する方法や、サイバー保険会社が顧客のリスクを評価する方法に匹敵する測定基準を盛り込む必要があります。また、これらの測定基準をIGやGAOのレビューに採用することで、管理・監査プロセスの一貫性を確保し、各省庁のデータ収集プロセスを効率化することができます。監査をより迅速に完了させることで、監査が連邦政府のサイバーセキュリティの管理・監督のためのより実用的なツールとなるでしょう。
Conclusion  結論 
Congress has taken many actions to support federal cybersecurity. However, cybersecurity is a rapidly evolving field and further action is needed to push federal cybersecurity forward. Congressional action can help ensure that the federal government is positioned to meet current and emerging threats and is managed according to current best practices. The eight recommendations in this paper provide options for Congress that would support efforts at improving federal agency cybersecurity while making the oversight process more efficient and effective.  議会は、連邦政府のサイバーセキュリティを支援するために多くの行動をとってきた。しかし、サイバーセキュリティは急速に進化している分野であり、連邦サイバーセキュリティを推進するためにはさらなる行動が必要である。議会の行動は、連邦政府が現在の脅威と新たな脅威に対応するための体制を整え、現在のベストプラクティスに沿って管理されることを保証するのに役立ちます。本稿の8つの提言は、連邦政府機関のサイバーセキュリティを向上させる取り組みを支援すると同時に、監視プロセスをより効率的かつ効果的にするための選択肢を議会に提供するものである。

|

« 個人情報保護委員会 令和3年改正個人情報保護法について、政令・規則・民間部門ガイドライン案の意見募集の結果を公示+公的部門ガイドライン案の意見募集を開始 | Main | 米国 CISA 相互運用可能な情報共有フレームワークを開発するためのアプローチ:公共安全通信技術の将来的な相互運用性とデータ共有の確保 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 個人情報保護委員会 令和3年改正個人情報保護法について、政令・規則・民間部門ガイドライン案の意見募集の結果を公示+公的部門ガイドライン案の意見募集を開始 | Main | 米国 CISA 相互運用可能な情報共有フレームワークを開発するためのアプローチ:公共安全通信技術の将来的な相互運用性とデータ共有の確保 »