米国 国土安全保障省運輸保安庁 鉄道事業関連者を対象としたセキュリティ指令等(24時間以内の報告等)
こんにちは、丸山満彦です。
米国 国土安全保障省運輸保安局 (DHS - TSA) が鉄道事業関連者を対象とした2つのセキュリティ指令とガイダンスを公表していますね。。。
こんな要求がありますね。。。
・サイバーセキュリティコーディネーターを任命する。
・24時間以内にCISAにサイバーセキュリティインシデントを報告する。
・業務中断のリスクを軽減するためのサイバーセキュリティ事故対応計画を策定し、実施する。
・システムに潜在するギャップや脆弱性を特定するためのサイバーセキュリティ脆弱性評価を実施する。
● U.S. Department of Homeland Security
・2021.12.02 DHS Announces New Cybersecurity Requirements for Surface Transportation Owners and Operators
DHS Announces New Cybersecurity Requirements for Surface Transportation Owners and Operators | DHS、陸上交通機関の所有者および運営者に対する新たなサイバーセキュリティ要件を発表 |
WASHINGTON – DHS’s Transportation Security Administration (TSA) today announced two new Security Directives and additional guidance for voluntary measures to strengthen cybersecurity across the transportation sector in response to the ongoing cybersecurity threat to surface transportation systems and associated infrastructure. These actions are among several steps DHS is taking to increase the cybersecurity of U.S. critical infrastructure. | ワシントン発 - 米国土安全保障省 (DHS) 運輸保安庁(TSA)は本日、陸上交通システムおよび関連インフラに対するサイバーセキュリティの脅威が続いていることを受け、運輸部門全体のサイバーセキュリティを強化するため、2つの新しいセキュリティ指令と自主的な対策のための追加ガイダンスを発表しました。これらの措置は、米国の重要インフラのサイバーセキュリティを強化するためにDHSが講じているいくつかの措置の一つです。 |
“These new cybersecurity requirements and recommendations will help keep the traveling public safe and protect our critical infrastructure from evolving threats,” said Secretary of Homeland Security Alejandro N. Mayorkas. “DHS will continue working with our partners across every level of government and in the private sector to increase the resilience of our critical infrastructure nationwide.” | DHSのアレハンドロ・N・マヨルカス長官は、「これらの新しいサイバーセキュリティの要件と推奨事項は、旅行者の安全を守り、進化する脅威から重要なインフラを保護するのに役立ちます。DHSは、政府や民間企業のあらゆるレベルのパートナーと協力して、全国の重要インフラの回復力を高めていきます」と述べています。 |
TSA is increasing the cybersecurity of the transportation sector through Security Directives, appropriately tailored regulations, and voluntary engagement with key stakeholders. In developing its approach, including these new Security Directives, TSA sought input from industry stakeholders and federal partners, including the Department’s Cybersecurity and Infrastructure Security Agency (CISA), which provided expert guidance on cybersecurity threats to the transportation network and countermeasures to defend against them. | TSAは、セキュリティ指令、適切に調整された規制、主要な利害関係者との自主的な取り組みを通じて、輸送部門のサイバーセキュリティを向上させています。 これらの新しいセキュリティ指令を含むアプローチを開発するにあたり、TSAは業界関係者や連邦政府のパートナーに意見を求めました。その中には、輸送ネットワークに対するサイバーセキュリティの脅威とその対策に関する専門的なガイダンスを提供した、米国連邦政府のサイバーセキュリティ・重要インフラセキュリティ庁(CISA)も含まれています。 |
The TSA Security Directives announced today target higher-risk freight railroads, passenger rail, and rail transit, based on a determination that these requirements need to be issued immediately to protect transportation security. These Directives require owners and operators to: | 本日発表されたTSAセキュリティ指令は、輸送の安全を守るためにこれらの要件を直ちに発行する必要があるとの判断に基づき、リスクの高い貨物鉄道、旅客鉄道、鉄道輸送を対象としています。 これらの指示書は、所有者と運営者に以下を要求しています。 |
・designate a cybersecurity coordinator; | ・サイバーセキュリティコーディネーターを任命する。 |
・report cybersecurity incidents to CISA within 24 hours; | ・24時間以内にCISAにサイバーセキュリティインシデントを報告する。 |
・develop and implement a cybersecurity incident response plan to reduce the risk of an operational disruption; and, | ・業務中断のリスクを軽減するためのサイバーセキュリティ事故対応計画を策定し、実施する。 |
・・complete a cybersecurity vulnerability assessment to identify potential gaps or vulnerabilities in their systems. | ・システムに潜在するギャップや脆弱性を特定するためのサイバーセキュリティ脆弱性評価を実施する。 |
TSA is also releasing guidance recommending that all other lower-risk surface transportation owners and operators voluntarily implement the same measures. Further, TSA recently updated its aviation security programs to require that airport and airline operators implement the first two provisions above. TSA intends to expand the requirements for the aviation sector and issue guidance to smaller operators. TSA also expects to initiate a rule-making process for certain surface transportation entities to increase their cybersecurity resiliency. | また、TSAは、リスクの低い他のすべての陸上交通機関の所有者および運営者が自発的に同じ対策を実施することを推奨するガイダンスを発表しています。 さらに、TSA最近、航空セキュリティプログラムを更新し、空港や航空会社の運営者が上記の最初の2つの条項を実施することを求めています。TSAは、航空部門の要件を拡大し、小規模な事業者に対してガイダンスを発行する予定です。またTSAは、特定の陸上交通機関に対して、サイバーセキュリティの回復力を高めるための規則制定プロセスを開始する予定です。 |
These efforts are part of a series of new steps to prioritize cybersecurity across DHS. Secretary Mayorkas first outlined his vision for the Department’s cybersecurity priorities in March, which included a series of focused 60-day sprints designed to elevate existing work, remove roadblocks to progress, and launch new initiatives and partnerships to achieve DHS’s cybersecurity mission and implement Biden-Harris Administration priorities. To learn more about the sprints, please visit www.dhs.gov/cybersecurity. | これらの取り組みは、DHS全体でサイバーセキュリティを優先させるための一連の新しいステップの一環です。マヨルカース長官は、3月にDHSのサイバーセキュリティの優先順位に関するビジョンを初めて発表しました。このビジョンには、既存の作業を向上させ、進捗を妨げる障害を取り除き、DHSのサイバーセキュリティの使命を達成し、バイデン-ハリス政権の優先事項を実施するために、新たな取り組みやパートナーシップを立ち上げることを目的とした、60日間の集中的なスプリントが含まれています。 スプリントの詳細については、www.dhs.gov/cybersecurity をご覧ください。 |
To view TSA’s Security Directives and guidance documents, please visit here | TSAのセキュリティ指令およびガイダンス文書については、here をご覧ください。 |
セキュリティ指令
・Surface Transportation Cybersecurity Toolkit
鉄道サイバーセキュリティの強化
・[PDF] Enhancing Rail Cybersecurity - SD 1580-21-01
公共輸送機関と鉄道の乗客のサイバーせキュリティの強化
・[PDF] Enhancing Public Transportation and Passenger Railroad Cybersecurity - SD 1582-21-01
陸上輸送機関のサイバーせキュリティの強化
・[PDF] Enhancing Surface Transportation Cybersecurity - IC 2021-01
鉄道サイバーセキュリティの強化
・[PDF] Enhancing Rail Cybersecurity - SD 1580-21-01
PURPOSE AND GENERAL INFORMATION | 目的および一般情報 |
The Transportation Security Administration (TSA) is issuing this security directive due to the ongoing cybersecurity threat to surface transportation systems and associated infrastructure to prevent against the significant harm to the national and economic security of the United States that could result from the "degradation, destruction, or malfunction of systems that control this infrastructure," See National Security Memorandum on Improving Cybersecurity for Critical Infrastructure Control Systems (July 29, 2021). This Security Directive is being issued under the authority of 49 U.S.C.114(l)(2)(A)[1] | 運輸保安局(TSA)は、陸上交通システムおよび関連インフラに対するサイバーセキュリティの脅威が続いていることから、「このインフラを制御するシステムの劣化、破壊、誤作動」に起因する米国の国家安全保障および経済安全保障への重大な損害を防止するために、このセキュリティ指令を発行します。 重要インフラ制御システムのサイバーセキュリティの向上に関する国家安全保障覚書(2021年7月29日)を参照してください。このセキュリティ指令は、49 U.S.C.114(l)(2)(A)[1]の権限に基づいて発行される。 |
This Security Directive, which applies to all freight railroad carriers (Owner/Operators) described in 49 CFR 1580.101, requires four critical actions: | このセキュリティ指令は、49 CFR 1580.101に記載されているすべての貨物鉄道事業者(所有者/運用者)に適用され、次の4つの重要なアクションを要求している。 |
1. Designate a Cybersecurity Coordinator who is required to be available to TSA and the Department of Homeland Security's Cybersecurity and Infrastructure Security Agency (CISA) at all times (all hours/all days) to coordinate implementation of cybersecurity practices, and manage of security incidents, and serve as a principal point of contact with TSA and CISA for cybersecurity-related matters; | 1. TSAと国土安全保障省のCybersecurity and Infrastructure Security Agency(CISA)に常時(全時間/全日)対応し、サイバーセキュリティ対策の実施を調整し、セキュリティインシデントを管理し、サイバーセキュリティ関連事項についてTSAとCISAとの主要な連絡窓口となることが求められるサイバーセキュリティコーディネーターを指定する。 |
2. Report cybersecurity incidents to CISA; | 2. サイバーセキュリティ・インシデントをCISAに報告する。 |
3. Develop a Cybersecurity Incident Response Plan to reduce the risk of operational disruption should their Information and/or Operational Technology systems be affected by a cybersecurity incident; and | 3. 自社の情報および/または業務技術システムがサイバーセキュリティインシデントの影響を受けた場合に、業務中断のリスクを軽減するためのサイバーセキュリティインシデント対応計画を策定すること。 |
4. Conduct a cybersecurity vulnerability assessment using the form provided by TSA and submit the form to TSA. The vulnerability assessment will include an assessment of current practices and activities to address cyber risks to Information and Operational Technology systems, identify gaps in current cybersecurity measures, and identify remediation measures and a plan for the Owner/Operator to implement the remediation measures to address any identified vulnerabilities and gaps,[2] | 4. TSAが提供するフォームを使用して、サイバーセキュリティの脆弱性評価を実施し、TSAに提出すること。脆弱性評価には、情報技術および運用技術システムに対するサイバーリスクに対処するための現在の慣行および活動の評価、現在のサイバーセキュリティ対策のギャップの特定、および特定された脆弱性およびギャップに対処するための改善策および所有者/運用者による改善策の実施計画が含まれる[2]。 |
To avoid duplicate reporting, information provided to CISA pursuant to this Security Directive will be shared by CISA with TSA and may also be shared with the National Response Center and other agencies as appropriate. Similarly, information provided to TSA pursuant to this Security Directive will be shared with CISA and may also be shared with the National Response Center and other agencies as appropriate.[3] All information that must be reported to TSA or CISA pursuant to this Security Directive is sensitive security information subject to the protections of 49 CFR part 1520. | 重複した報告を避けるため、本セキュリティ指令に従ってCISAに提供された情報は、CISAがTSAと共有し、必要に応じて国家対策センターや他の機関とも共有する。同様に、本セキュリティ指令に従ってTSAに提供された情報は、CISAと共有され、必要に応じて国家対応センターおよびその他の機関とも共有されることがある。[3] 本セキュリティ指令に従ってTSAまたはCISAに報告しなければならないすべての情報は、49 CFRパート1520の保護の対象となる機密情報である。 |
TSA and CISA will use information submitted for vulnerability identification, trend analysis, or to generate anonymized indicators of compromise or other cybersecurity products to prevent other cybersecurity incidents. | TSAとCISAは、他のサイバーセキュリティ事件を防止するために、脆弱性の特定、傾向分析、または匿名化された侵害の指標や他のサイバーセキュリティ製品を生成するために提出された情報を使用する。 |
ACTIONS REQUIRED | 必要な措置 |
A. Cybersecurity Coordinator | A. サイバーセキュリティ・コーディネーター |
1. Owner/Operators must designate and use a primary and at least one alternate Cybersecurity Coordinator at the corporate level. | 1. 所有者/運用者は、企業レベルで主要なサイバーセキュリティ・コーディネーターと少なくとも1人の代替コーディネーターを指定し、使用しなければならない。 |
2. Owner/Operators must provide in writing to TSA, at TSA-Surface-Cyber@tsa.dhs.gov, the names, titles, phone number(s), and email address(es) of the Cybersecurity Coordinator and alternate Cybersecurity Coordinator(s) required by paragraph A.1. within seven days of the effective date of this Security Directive, commencement of new operations, or change in any of the information required by this section. | 2. 所有者/事業者は、本セキュリティ指令の発効日、新規事業の開始、または本項で要求される情報のいずれかの変更から7日以内に、A.1.項で要求されるサイバーセキュリティ・コーディネーターおよび代替のサイバーセキュリティ・コーディネーターの名前、役職、電話番号、電子メールアドレスをTSA(TSA-Surface-Cyber@tsa.dhs.gov)に書面で提供しなければならない。 |
3. The Cybersecurity Coordinator and alternate must— | 3. サイバーセキュリティ・コーディネータと代替者は以下のことをしなければならない。 |
a. Be a U.S. citizen who is eligible for a security clearance; | a. セキュリティ・クリアランスを受ける資格のある米国市民であること。 |
b. Serve as the primary contact for cyber-related intelligence information and cybersecurity-related activities and communications with TSA and CISA; | b. サイバー関連の情報や、TSAおよびCISAとのサイバーセキュリティ関連の活動およびコミュニケーションの主要な連絡先となること。 |
c. Be accessible to TSA and CISA 24 hours a day, seven days a week; | c. TSAおよびCISAに24時間いつでもアクセスできること。 |
d. Coordinate cyber and related security practices and procedures internally; and | d. サイバー及び関連するセキュリティの実践及び手順を内部で調整する。 |
e. Work with appropriate law enforcement and emergency response agencies. | e. 適切な法執行機関および緊急対応機関と連携する。 |
B. Reporting Cybersecurity Incidents | B. サイバーセキュリティインシデントの報告 |
1. Owner/Operators must report cybersecurity incidents to CISA involving systems that the Owner/Operator has responsibility to operate and/or maintain including: | 1. 所有者/運用者は、以下を含む、所有者/運用者が運用および/または保守する責任を有するシステムに関わるサイバーセキュリティ・インシデントをCISAに報告しなければならない。 |
a. Unauthorized access of an Information or Operational Technology system; | a. 情報技術または運用技術システムへの不正なアクセス |
b. Discovery of malicious software on an Information or Operational Technology system; | b. 情報技術又は業務技術システム上での悪意のあるソフトウェアの発見 |
c. Activity resulting in a denial of service to any Information or Operational Technology system; and/or | c. 情報技術・業務技術システムへのサービス拒否をもたらす行為。 |
d. Any other cybersecurity incident that results in operational disruption to the freight railroad carrier's Information or Operational Technology systems or other aspects of the Owner/Operator's rail systems or facilities, or an incident that has the potential to cause impact to a large number of customers or passengers (as applicable), critical infrastructure or core government functions, or impacts national security, economic security or public health and safety. | d. 貨物鉄道事業者の情報もしくは運用技術システム、または所有者/運用者の鉄道システムもしくは施設の他の側面に対する運用上の混乱をもたらすその他のサイバーセキュリティインシデント、または多数の顧客もしくは乗客(該当する場合)、重要なインフラもしくは政府の中核機能に影響を与える可能性のあるインシデント、または国家安全保障、経済安全保障もしくは公衆衛生と安全に影響を与えるインシデント。 |
2. Owner/Operators must report the incidents required by this section as soon as practicable, but no later than 24 hours after a cybersecurity incident is identified. | 2. 所有者/運用者は、サイバーセキュリティインシデントが確認されてから24時間以内に、実行可能な限り速やかに、本項で求められるインシデントを報告しなければならない。 |
3. Reports required by this section must be made to CISA Central using CISA's Reporting System form at: https://us-cert.cisa.gov/forms/report or by calling (888) 282-0870.[4] All reported information will be protected in a manner appropriate for the sensitivity and criticality of the information. | 3. 本セクションで義務付けられている報告は、CISAのReporting Systemフォーム(https://us-cert.cisa.gov/forms/report)または電話(888)282-0870を使用してCISA Centralに行われなければならない。[4] 報告されたすべての情報は、その情報の機密性および重要性に応じて適切な方法で保護される。 |
4. The report to CISA must include the following information, as available to the reporting Owner/Operator at the time of the report: | 4. CISAへの報告には、報告者である所有者/事業者が報告時に入手可能な以下の情報を含めなければならない。 |
a. The name ofthe reporting individual and contact information, including a telephone number and email address. The report must also explicitly specify that the information is being reported in order to satisfy the reporting requirements in this Security Directive. | a. 報告者の名前と、電話番号や電子メールアドレスなどの連絡先。報告書には、本セキュリティ指令の報告要件を満たすために情報が報告されていることを明示しなければならない。 |
b. The affected rail system(s) or facilities, including identifying information and location. | b. 識別情報と場所を含む、影響を受けた鉄道システムまたは施設。 |
c. Description of the threat, incident, or activity, to include: | c. 脅威、インシデント、または活動の説明、以下を含む。 |
i. Earliest known date of compromise; | i. 侵害が確認された最も古い日付。 |
ii. Date of Detection; | ii. 検知された日付。 |
iii. Information about who has been notified and what action has been taken; | iii. 誰が通知を受け、どのような措置が取られたかに関する情報。 |
iv. Any relevant information observed or collected by the Owner/Operators, such as malicious IP addresses, malicious domains, malware hashes and/or samples, or the abuse of legitimate software or accounts; and | iv. 悪意のあるIPアドレス、悪意のあるドメイン、マルウェアのハッシュおよび/またはサンプル、あるいは正規のソフトウェアやアカウントの不正使用など、所有者/運用者が観察または収集したあらゆる関連情報;および |
v. Any known threat information, to include information about the source of the threat or attack, if available. | v. 脅威や攻撃の発生源に関する情報を含む、既知の脅威情報(入手可能な場合)。 |
d. A description of the incident's impact or potential impact on Information or Operational Technology systems and operations. This information must also include an assessment of actual or imminent adverse impacts to service operations, operational delays, and/or data theft that have or are likely to be incurred, as well as any other information that would be informative in understanding the impact or potential impact of the cybersecurity incident. | d. 情報技術または運用技術のシステムおよび運用に対するインシデントの影響または影響の可能性についての説明。この情報には、発生した、または発生する可能性のある、サービス運営への実際のまたは差し迫った悪影響、運営上の遅延、および/またはデータの盗難に関する評価、ならびにサイバーセキュリティインシデントの影響または潜在的な影響を理解する上で参考となるその他の情報も含まれなければならない。 |
5. A description of all responses that are planned or under consideration, to include, for example, a reversion to manual operations of train movement and control, if applicable. | 5. 計画中または検討中のすべての対応策の説明。これには、例えば、該当する場合には、列車の移動と制御を手動に戻すことなどが含まれる。 |
6. Any additional relevant information. If all the required information is not available at the time of reporting, Owner/Operators must submit an initial report within the specified timeframe and supplement as additional information becomes available. | 6. その他の関連情報。報告の時点ですべての必要な情報が入手できない場合、所有者/運用者は、指定された時間枠内に最初の報告書を提出し、追加情報が入手できたときに補足しなければならない。 |
7. TSA will accept a report to CISA by an Owner/Operator of a cybersecurity incident under this section as satisfying the reporting requirement to TSA under 49 CFR 1570.203, for the same incident, if the report to CISA explicitly specifies that the information is being reported in order to satisfy the reporting requirements in this Security Directive. | 7. TSAは、CISAへの報告が、本セキュリティ指令の報告要件を満たすために情報を報告することを明示的に指定している場合、本節に基づくサイバーセキュリティ・インシデントの所有者/運用者によるCISAへの報告を、同じインシデントに関する49 CFR 1570.203に基づくTSAへの報告要件を満たすものとして受け入れる。 |
C. Implementing a Cybersecurity Incident Response Plan | C. サイバーセキュリティ・インシデント対応計画の導入 |
1. Within 180 days from the effective date of this Security Directive, unless otherwise directed, Owner/Operators must develop and adopt a Cybersecurity Incident Response Plan that includes measures to reduce the risk of operational disruption, or other significant business or functional degradation to necessary capacity, should their rail system or facility experience a cybersecurity incident, The Cybersecurity Incident Response Plan must provide specific measures sufficient to ensure the following objectives, as technically applicable and feasible: | 1. 本セキュリティ指令の発効日から180日以内に、別段の指示がない限り、所有者/運用者は、鉄道システムまたは施設がサイバーセキュリティ事故を経験した場合に、業務の中断、または必要な能力に対する他の重大な事業または機能の低下のリスクを低減するための措置を含む、サイバーセキュリティ事故対応計画を策定し、採用しなければならない。サイバー・セキュリティ・インシデント対応計画は、技術的に適用可能で実現可能な限り、以下の目的を確保するのに十分な具体的な手段を提供しなければならない。 |
a. Prompt identification, isolation and segregation of the infected systems from uninfected systems, networks, and devices to prioritize: | a. 感染したシステムを、感染していないシステム、ネットワーク、およびデバイスから優先的に特定、隔離、分離すること。 |
i. Limiting the spread of autonomous malware, | i. 自律型マルウェアの拡散を制限すること。 |
ii. Denying continued attacker access to systems, | ii. 攻撃者によるシステムへの継続的なアクセスを拒否すること。 |
iii. Determining extent of compromise, and | iii. 侵害の範囲を特定すること、および |
iv. Preservation of evidence or partially encrypted data system storage. | iv. 証拠の保存、または部分的に暗号化されたデータシステムの保存。 |
b. Security and integrity of backed-up data, including measures to secure and safely maintain backups offline, and Implement procedures requiring scanning of stored backup data with host security software to check that it is free of malicious artifacts when the backup is made and when tested for restoration. | b. バックアップデータのセキュリティと完全性(バックアップをオフラインで安全に維持するための手段を含む)と 保存されたバックアップデータをホストセキュリティソフトウェアでスキャンし、バックアップ作成時と復元テスト時に悪意のあるアーティファクトがないことをチェックすることを要求する手順の実施。 |
c. Established capability and governance for isolating the Information Technology and Operational Technology systems in the event of a cybersecurity incident that arises to the level of potential operational disruption while maintaining operational standards and limits. | c. 運用基準と制限を維持しつつ、運用に支障をきたす可能性があるレベルのサイバーセキュリティインシデントが発生した場合に、情報技術および運用技術システムを隔離するための能力とガバナンスを確立していること。 |
2. The Cybersecurity Incident Response Plan must, at a minimum, identify who (by position) is responsible for implementing the specific measures and any necessary resources needed to implement these measures. | 2. サイバーセキュリティインシデント対応計画は、少なくとも、特定の対策を実施する責任を負う者(役職別)と、これらの対策を実施するために必要なリソースを特定しなければならない。 |
3. The Owner/Operator must conduct situational exercises to test the effectiveness of procedures, and personnel responsible for implementing measures, in the Cybersecurity Incident Response Plan, no less than annually. | 3. 所有者/運用者は、サイバーセキュリティインシデント対応計画における手順、及び対策の実施に責任を持つ人員の有効性をテストするために、少なくとも年1回、状況的演習を実施しなければならない。 |
4. Within 7 days of completing the requirements in this section (section C.), Owner/Operators must ensure that their Cybersecurity Coordinator or other accountable executive submits a statement to TSA at SurfOpsRail-SD@tsa.dhs.gov certifying the Rail Owner/Operator has met the requirements. Documentation of compliance must be provided to TSA upon request and without a subpoena. | 4. 本セクション(C.セクション)の要件を完了してから7日以内に、所有者/運用者は、そのサイバーセキュリティコーディネーターまたはその他の責任ある幹部が、鉄道所有者/運用者が要件を満たしていることを証明する声明をTSA(SurfOpsRail-SD@tsa.dhs.gov)に提出するようにしなければならない。コンプライアンスの文書は、要求に応じて、召喚状なしにTSAに提供されなければならない。 |
D. Cybersecurity Vulnerability Assessment | D. サイバーセキュリティの脆弱性評価 |
1. Owner/Operators must complete a cybersecurity vulnerability assessment and identify cybersecurity gaps using a fom provided by TSA. The form utilizes the functions and categories found in the National Institute of Standards and Technology (NIST) Cybersecurity Guidance Framework. | 1. 所有者/運用者は、TSAが提供するフォームを使用して、サイバーセキュリティの脆弱性評価を行い、サイバーセキュリティのギャップを特定しなければならない。このフォームは、米国標準技術研究所(NIST)のサイバーセキュリティ・ガイダンス・フレームワークにある機能とカテゴリーを利用している。 |
2. Owner/Operators must identify remediation measures to address the vulnerabilities and cybersecurity gaps identified during the assessment and implement the plan for applying the identified measures. | 2. 所有者/運用者は、評価中に特定された脆弱性とサイバーセキュリティ・ギャップに対処するための改善策を特定し、特定された対策を適用するための計画を実施しなければならない。 |
3. The completed vulnerability assessment form and remediation plan required by this section must be submitted to TSA within 90 days of the effective date of this Security Directive. [5] The required information must be submitted via email to TSA at SurfOpsRail-SD@tsa.dhs.gov, using appropriate methods to protect any Sensitive Security Information contained in the completed assessment and the remediation plan. | 3, 本項で要求される完成した脆弱性評価フォームと改善計画は、本セキュリティ指令の発効日から90日以内にTSAに提出しなければならない。[5] 必要な情報は、完成した評価と改善計画に含まれる機密性の高いセキュリティ情報を保護するための適切な方法を用いて、電子メールでTSA(SurfOpsRail-SD@tsa.dhs.gov)に提出しなければならない。 |
PROCEDURES FOR SECURITY DIRECTIVES | セキュリティ指令の手順 |
A. Owner/Operators must: | A. 所有者/運用者は以下を行わなければならない。 |
1. Immediately provide written confirmation of receipt of this Security Directive via email to TSA at SurfOpsRail-SD@tsa.dhs.gov. | 1. TSA(SurfOpsRail-SD@tsa.dhs.gov)に電子メールで本セキュリティ指令の受領確認書を直ちに提出すること。 |
2. Immediately disseminate the information and measures in this Security Directive to corporate senior management, security management representatives, and any personnel having responsibilities in implementing the provisions in this Security Directive. | 2. このセキュリティ指令の情報と対策を、企業の上級管理者、セキュリティ管理担当者、およびこのセキュリ ティ指令の規定を実施する責任を持つすべての人員に直ちに広めること。 |
3. Brief all individuals responsible for implementing this Security Directive. | 3. 本セキュリティ指令の実施に責任を持つすべての個人に説明する。 |
B. Owner/Operators must share this Security Directive with persons that may be subject to the requirements of the Directive. | B. 所有者/運用者は、本セキュリティ指令の要件の対象となる可能性のある人物と本セキュリティ指令を共有しなければならない。 |
C. Owner/Operators must immediately notify TSA at SurfOpsRail-SD@tsa.dhs.gov, if unable to implement any of the measures in this Security Directive within the required timeframe. | C. 所有者/運用者は、要求された時間枠内で本セキュリティ指令のいずれかの手段を実施できない場合、直ちにTSA(SurfOpsRail-SD@tsa.dhs.gov)に通知しなければならない。 |
DEFINITIONS | 用語の定義 |
A. Cybersecurity incident means an event that, without lawful authority, jeopardizes, disrupts or otherwise impacts, or is reasonably likely to jeopardize, disrupt or otherwise impact, the integrity, confidentiality, or availability of computers, information or communications systems or networks, physical or virtual infrastructure controlled by computers or information systems, or information resident on the system. This definition includes an event that is under investigation or evaluation by the owner/operator as a possible cybersecurity incident without final determination of the event's root cause or nature (such as malicious, suspicious, benign). | A. サイバーセキュリティ事件とは、合法的な権限なしに、コンピュータ、情報または通信システムもしくはネットワーク、コンピュータもしくは情報システムによって制御される物理的もしくは仮想的なインフラ、またはシステムに常駐する情報の完全性、機密性、または可用性を危険にさらす、混乱させる、もしくはその他の方法で影響を与える、または危険にさらす、混乱させる、もしくはその他の方法で影響を与える可能性が合理的に高い事象を意味する。この定義には、事象の根本原因または性質(悪意のあるもの、疑わしいもの、良性のものなど)を最終的に決定することなく、サイバーセキュリティ事件の可能性として所有者/運用者が調査または評価中の事象が含まれる。 |
B. Days means calendar days unless otherwise indicated. | B. 日数は、特に明記されていない限り、暦日を意味する。 |
C. Information Technology System means any services, equipment, or interconnected systems or subsystems of equipment that are used in the automatic acquisition, storage, analysis, evaluation, manipulation, management, movement, control, display, switching, interchange, transmission, or reception of data or information that fall within the responsibility of the Owner/Operator to operate and/or maintain. | C. 情報技術システムとは、データまたは情報の自動取得、保存、分析、評価、操作、管理、移動、制御、表示、切り替え、交換、送信、または受信に使用されるサービス、機器、または相互に接続されたシステムまたは機器のサブシステムで、所有者/運用者の操作および/または保守の責任範囲内にあるものをいう。 |
D. Operational disruption means a deviation from or interruption of normal activities or operations that results in a loss of data, system availability, system reliability, or control of systems, or indicates unauthorized access to, or malicious software present on, critical information technology systems | D. 運用上の混乱とは、データ、システムの可用性、システムの信頼性、またはシステムの制御の喪失、あるいは重要な情報技術システムへの不正アクセスまたは悪意のあるソフトウェアの存在を示す、通常の活動または運用からの逸脱または中断を意味する。 |
E. Operational Technology System is a general term that encompasses several types of control systems, including industrial control systems, supervisory control and data acquisition systems, distributed control systems, and other control system configurations, such as programmable logic controllers, fire control systems, and physical access control systems, often found in the industrial sector and critical infrastructure. Such systems consist of combinations of programmable electrical, mechanical, hydraulic, pneumatic devices or systems that interact with the physical environment or manage devices that interact with the physical environment. | E. 運用技術システムとは、産業用制御システム、監視制御およびデータ取得システム、分散型制御システム、その他の制御システム構成(プログラマブル・ロジック・コントローラ、火災制御システム、物理的アクセス制御システムなど)を含む、いくつかのタイプの制御システムを包含する一般的な用語であり、産業部門や重要なインフラでよく見られるものです。このようなシステムは、物理的環境と相互作用する、または物理的環境と相互作用する装置を管理する、プログラム可能な電気、機械、油圧、空気圧の装置またはシステムの組み合わせで構成される。 |
F. Unauthorized Access of an Information Technology or Operational Technology System means access from an unknown or unauthorized source, whether external or internal; access by a third party or former employee; an employee accessing systems for which he or she is not authorized; and may include a non-malicious violation of the Owner/Operators policies, such as the use of shared credential by an employee otherwise authorized to access the system. | F. 情報技術または運用技術システムへの不正アクセスとは、外部または内部を問わず、不明または無許可のソースからのアクセス、第三者または元従業員によるアクセス、従業員が権限のないシステムにアクセスすることを意味し、システムへのアクセスを許可されていない従業員が共有のクレデンシャルを使用するなど、所有者/運用者のポリシーに対する悪意のない違反を含むことがある。 |
APPROVAL OF ALTERNATIVE MEASURES | 代替措置の承認 |
Owner/Operators must immediately notify TSA via email at TSA-Surface-Cyber@tsa.dhs.gov if unable to implement any of the measures in this Security Directive. Owner/Operators may submit proposed alternative measures and the basis for submitting the alternative measures to TSA for approval to the email address above. | 所有者/運用者は、本セキュリティ指令のいずれかの対策を実施できない場合、直ちにTSAに電子メール(TSA-Surface-Cyber@tsa.dhs.gov)で通知しなければならない。所有者/運用者は、代替措置の提案とその根拠をTSAに提出し、承認を得ることができますが、その際には上記の電子メールアドレスに連絡してください。 |
[1] This provision from section 101 of the Aviation and Transportation Security Act, Pub, L. 107-71 (1 15 Stat. 597; Nov. 19, 2001), states: "Notwithstanding any other provision of law or executive order (including an executive order requiring a cost-benefit analysis), if the Administrator determines that a regulation or security directive must be issued immediately in order to protect transportation security, the Administrator shall issue the regulation or security directive without providing notice or an opportunity for comment and without prior approval of the Secretary." | [1] 航空・運輸保安法(Pub, L. 107-71 (1 15 Stat. 597; Nov. 19, 2001))の第101条のこの規定は、次のように述べています。「法律または行政命令(費用便益分析を要求する行政命令を含む)の他の規定にかかわらず、輸送の安全を守るために規制またはセキュリティ指令を直ちに発行しなければならないと管理者が判断した場合、管理者は通知またはコメントの機会を提供することなく、また長官の事前承認なしに規制またはセキュリティ指令を発行するものとする」。 |
[2] This form has received emergency approval from the Office of Information and Regulatory Affairs. See OMB Control No. 1652-0074, expiration date May 3 1, 2022. | [2] このフォームは、Office of Information and Regulatory Affairsの緊急承認を得ています。OMB Control No.1652-0074、有効期限は2022年5月3日1日を参照。 |
[3] Presidential Policy Directive (PPD)-41 calls for federal cyber incident response agencies to share incident information with each other to achieve unity of governmental effort. See PPD-41 at section Ill,D, | [3] 大統領政策指令(PPD)-41は、政府の努力の統一を達成するために、連邦のサイバー・インシデント対応機関がインシデント情報を相互に共有することを求めています。PPD-41のセクションIll,Dを参照。 |
[4] CISA's Incident Reporting System provides a secure web-enabled means of reporting computer security incidents to CISA. This system assists analysts in providing timely handling of the security incidents Railroads and Rail Transit Agencies must report pursuant to this Security Directive as well as the ability to conduct improved analysis. | [4] CISAのインシデント報告システムは、コンピュータ・セキュリティ・インシデントをCISAに報告するための安全なWeb対応手段を提供する。このシステムは、鉄道会社および鉄道輸送機関が本セキュリティ指令に基づいて報告しなければならないセキュリティ・インシデントをタイムリーに処理し、改善された分析を行う能力を提供することで、分析者を支援する。 |
[5] To the extent the Owner/Operator identifies gaps or other vulnerabilities in their implementation of cybersecurity recommendations, the assessment submitted to TSA and CISA will be Sensitive Security Information and must be protected according to the requirements in 49 CFR part 1520. |
[5] 所有者/運用者がサイバーセキュリティ勧告の実施においてギャップやその他の脆弱性を特定する範囲で、TSAおよびCISAに提出される評価は、49 CFRパート1520の要件に従って機密性の高いセキュリティが保護される。情報としなければならない。 |
公共輸送機関と鉄道の乗客のサイバーせキュリティの強化
・[PDF] Enhancing Public Transportation and Passenger Railroad Cybersecurity - SD 1582-21-01
PURPOSE AND GENERAL INFORMATION | 目的および一般情報 |
The Transportation Security Administration (TSA) is issuing this security directive due to the ongoing cybersecurity threat to surface transportation systems and associated infrastructure to prevent against the significant harm to the national and economic security of the United States that could result from the "degradation, destruction, or malfunction of systems that control this infrastructure." See National Security Memorandum on Improving Cybersecurity for Critical Infrastructure Control Systems (July 29, 2021). This Security Directive is being issued under the authority of 49 U.S.C.114(l)(2)(A)[1] | 運輸保安局(TSA)は、陸上交通システムおよび関連インフラに対するサイバーセキュリティの脅威が続いていることから、「このインフラを制御するシステムの劣化、破壊、誤作動」によって生じる可能性のある米国の国家および経済安全保障への重大な損害を防止するために、このセキュリティ指令を発行する。重要インフラ制御システムのサイバーセキュリティの向上に関する国家安全保障覚書(2021年7月29日)を参照。本セキュリティ指令は、49 U.S.C.114(l)(2)(A)[1]の権限に基づいて発行される。 |
This Security Directive, which applies to all Public Transportation/Passenger Rail (PTPR) owner/operators identified in 49 CFR 1582.101 that own or operate a passenger railroad or a rail transit system[2] requires four critical actions: | このセキュリティ指令は、旅客鉄道または鉄道輸送システムを所有または運営する、49 CFR 1582.101で特定されるすべての公共輸送/旅客鉄道(PTPR)の所有者/運用者に適用され[2]、次の4つの重要なアクションを必要とする。 |
1. Designate a Cybersecurity Coordinator who is required to be available to TSA and the Department of Homeland Security's Cybersecurity and Infrastructure Security Agency (CISA) at all times (all hours/all days) to coordinate implementation of cybersecurity practices, and manage of security incidents, and serve as a principal point of contact with TSA and CISA for cybersecurity-related matters; | 1. TSAと国土安全保障省のCybersecurity and Infrastructure Security Agency(CISA)がいつでも(全時間/全日)サイバーセキュリティの実施を調整し、セキュリティインシデントを管理し、サイバーセキュリティ関連事項についてTSAとCISAとの主要な連絡窓口となるサイバーセキュリティコーディネーターを指名すること。 |
2. Report cybersecurity incidents to CISA; | 2. サイバーセキュリティ・インシデントをCISAに報告する。 |
3. Develop a Cybersecurity Incident Response Plan to reduce the risk of operational disruption should their Information and/or Operational Technology systems be affected by a cybersecurity incident; and | 3. 自社の情報および/または業務技術システムがサイバーセキュリティインシデントの影響を受けた場合に、業務中断のリスクを軽減するためのサイバーセキュリティインシデント対応計画を策定すること。 |
4. Conduct a cybersecurity vulnerability assessment using the form provided by TSA and submit the form to TSA. The vulnerability assessment will include an assessment of current practices and activities to address cyber risks to Inf01mation and Operational Technology systems, identify gaps in current cybersecurity measures, and identify remediation measures and a plan for the Owner/Operator to implement the remediation measures to address any identified vulnerabilities and gaps.[3] | 4. TSAが提供するフォームを使用してサイバーセキュリティの脆弱性評価を実施し、TSAにフォームを提出する。脆弱性評価には、情報および運用技術システムに対するサイバーリスクに対処するための現在の慣行および活動の評価、現在のサイバーセキュリティ対策におけるギャップの特定、および特定された脆弱性およびギャップに対処するための改善策および所有者/運用者による改善策の実施計画が含まれる[3]。 |
To avoid duplicate reporting, information provided to CISA pursuant to this Security Directive will be shared by CISA with TSA and may also be shared with the National Response Center and other agencies as appropriate. Similarly, information provided to TSA pursuant to this Security Directive will be shared with CISA and may also be shared with the National Response Center and other agencies as appropriate.[4] All information that must be reported to TSA or CISA pursuant to this Security Directive is sensitive security information subject to the protections of 49 CFR part 1520. | 重複した報告を避けるため、本セキュリティ指令に従ってCISAに提供された情報は、CISAがTSAと共有し、必要に応じて国家対策センターや他の機関とも共有する。同様に、本セキュリティ指令に従ってTSAに提供された情報は、CISAと共有され、必要に応じて国家対応センターおよびその他の機関とも共有されることがある。[4] 本セキュリティ指令に従ってTSAまたはCISAに報告しなければならないすべての情報は、49 CFRパート1520の保護の対象となる機密情報である。 |
TSA and CISA will use information submitted for vulnerability identification, trend analysis, or to generate anonymized indicators of compromise or other cybersecurity products to prevent other cybersecurity incidents. | TSAとCISAは、他のサイバーセキュリティ事件を防止するために、脆弱性の特定、傾向分析、または匿名化された侵害の指標や他のサイバーセキュリティ製品を生成するために提出された情報を使用する。 |
ACTIONS REQUIRED | 必要な措置 |
A. Cybersecurity Coordinator | A. サイバーセキュリティコーディネーター |
1. Owner/Operators must designate and use a primary and at least one alternate Cybersecurity Coordinator at the corporate level. | 1. 所有者/運用者は、企業レベルで主要なサイバーセキュリティ・コーディネーターと少なくとも1人の代替コーディネーターを指定し、使用しなければならない。 |
2. Owner/Operators must provide in writing to TSA, at TSA-Surface-Cyber@tsa.dhs.gov, the names, titles, phone number(s), and email address(es) of the Cybersecurity Coordinator and alternate Cybersecurity Coordinator(s) required by paragraph A.1. within seven days of the effective date of this Security Directive, commencement of new operations, or change in any of the information required by this section. | 2. 所有者/事業者は、本セキュリティ指令の発効日、新規事業の開始、または本項で要求される情報のいずれかの変更から7日以内に、A.1.項で要求されるサイバーセキュリティ・コーディネーターおよび代替のサイバーセキュリティ・コーディネーターの名前、役職、電話番号、電子メールアドレスをTSA(TSA-Surface-Cyber@tsa.dhs.gov)に書面で提供しなければならない。 |
3. The Cybersecurity Coordinator and alternate must— | 3. サイバーセキュリティ・コーディネータと代替者は以下のことをしなければならない。 |
a. Be a U.S. citizen who is eligible for a security clearance; | a. セキュリティ・クリアランスを受ける資格のある米国市民であること。 |
b. Serve as the primary contact for cyber-related intelligence information and cybersecurity-related activities and communications with TSA and CISA; | b. サイバー関連の情報や、TSAおよびCISAとのサイバーセキュリティ関連の活動およびコミュニケーションの主要な連絡先となること。 |
c. Be accessible to TSA and CISA 24 hours a day, seven days a week; | c. TSAおよびCISAに24時間いつでもアクセスできること。 |
d. Coordinate cyber and related security practices and procedures internally; and | d. サイバー及び関連するセキュリティの実践及び手順を内部で調整する。 |
e. Work with appropriate law enforcement and emergency response agencies. | e. 適切な法執行機関および緊急対応機関と連携する。 |
B. Reporting Cybersecurity Incidents | B. サイバーセキュリティインシデントの報告 |
1. Owner/Operators must report cybersecurity incidents to CISA involving systems that the Owner/Operator has responsibility to operate and/or maintain including: | 1. 所有者/運用者は、以下を含む、所有者/運用者が運用および/または保守する責任を有するシステムに関わるサイバーセキュリティ・インシデントをCISAに報告しなければならない。 |
a. Unauthorized access of an Information or Operational Technology system; | a. 情報技術または運用技術システムへの不正なアクセス |
b. Discovery of malicious software on an Information or Operational Technology system; | b. 情報技術又は業務技術システム上での悪意のあるソフトウェアの発見 |
c. Activity resulting in a denial of service to any Information or Operational Technology system; and/or | c. 情報技術・業務技術システムへのサービス拒否をもたらす行為。 |
d. Any other cybersecurity incident that results in operational disruption to the Owner/Operator's Information or Operational Technology systems or other aspects of the Owner/Operator's rail systems or facilities, or an incident that has the potential to cause impact to a large number of passengers, critical infrastructure or core government functions, or impacts national security, economic security or public health and safety. | d. 所有者/運用者の情報/運用技術システム、または所有者/運用者の鉄道システムや施設の他の側面に対する運用上の混乱をもたらすその他のサイバーセキュリティインシデント、または多数の乗客、重要なインフラ、または政府の中核機能に影響を与える可能性のあるインシデント、または国家安全保障、経済安全保障、または公衆衛生と安全に影響を与えるインシデント。 |
2. Owner/Operators must report the incidents required by this section as soon as practicable, but no later than 24 hours after a cybersecurity incident is identified. | 2. 所有者/運用者は、サイバーセキュリティインシデントが確認されてから24時間以内に、実行可能な限り速やかに、本項で求められるインシデントを報告しなければならない。 |
3. Reports required by this section must be made to CISA Central using CISA's Reporting System form at: https://us-cert.ci$@.gov/forms/report or by calling (888) 282-0870. [5] All reported information will be protected in a manner appropriate for the sensitivity and criticality of the information. | 3. 本セクションで義務付けられている報告は、CISAのReporting Systemフォーム(https://us-cert.cisa.gov/forms/report)または電話(888)282-0870を使用してCISA Centralに行われなければならない。[5] 報告されたすべての情報は、その情報の機密性および重要性に応じて適切な方法で保護される。 |
4. The report to CISA must include the following information, as available to the reporting Owner/Operator at the time of the report: | 4. CISAへの報告には、報告者である所有者/運用者が報告時に入手可能な以下の情報が含まれていなければならない。 |
a. The name of the reporting individual and contact information, including a telephone number and email address. The report must also explicitly specify that the information is being reported in order to satisfy the reporting requirements in this Security Directive. | a. 報告者の名前と、電話番号や電子メールアドレスなどの連絡先。報告書には、本セキュリティ指令の報告要件を満たすために情報が報告されていることを明示しなければならない。 |
b. The affected rail system(s) or facilities, including identifying information and location. | b. 識別情報と場所を含む、影響を受けた鉄道システムまたは施設。 |
c. Description of the threat, incident, or activity, to include: | c. 脅威、インシデント、または活動の説明、以下を含む。 |
i. Earliest known date of compromise; | i. 侵害が確認された最も古い日付。 |
ii. Date of Detection; | ii. 検知された日付。 |
iii. Information about who has been notified and what action has been taken; | iii. 誰が通知を受け、どのような措置が取られたかに関する情報。 |
iv. Any relevant information observed or collected by the Owner/Operators, such as malicious IP addresses, malicious domains, malware hashes and/or samples, or the abuse of legitimate software or accounts; and | iv. 悪意のあるIPアドレス、悪意のあるドメイン、マルウェアのハッシュおよび/またはサンプル、あるいは正規のソフトウェアやアカウントの不正使用など、所有者/運用者が観察または収集したあらゆる関連情報;および |
v. Any known threat information, to include information about the source of the threat or attack, if available. | v. 脅威や攻撃の発生源に関する情報を含む、既知の脅威情報(入手可能な場合)。 |
d. A description of the incident's impact or potential impact on Information or Operational Technology systems and operations. This information must also include an assessment of actual or imminent adverse impacts to service operations, operational delays, and/or data theft that have or are likely to be incurred, as well as any other information that would be informative in understanding the impact or potential impact of the cybersecurity incident. | d. 情報技術または運用技術のシステムおよび運用に対するインシデントの影響または影響の可能性についての説明。この情報には、発生した、または発生する可能性のある、サービス運営に対する実際のまたは差し迫った悪影響、運営上の遅延、および/またはデータ盗難の評価、ならびにサイバーセキュリティインシデントの影響または潜在的な影響を理解する上で参考となるその他の情報も含まれなければならない。 |
5. A description of all responses that are planned or under consideration, to include, for example, a reversion to manual operations of train movement and control, if applicable. | 5. 計画中または検討中のすべての対応策の説明。これには、例えば、該当する場合には、列車の移動と制御を手動に戻すことなどが含まれる。 |
6. Any additional relevant information. If all the required information is not available at the time of reporting, Owner/Operators must submit an initial report within the specified timeframe and supplement as additional information becomes available. | 6. その他の関連情報。報告の時点ですべての必要な情報が入手できない場合、所有者/運用者は、指定された時間枠内に最初の報告書を提出し、追加情報が入手できたときに補足しなければならない。 |
7. TSA will accept a report to CISA by an Owner/Operator of a cybersecurity incident under this section as satisfying the reporting requirement to TSA under 49 CFR 1570203, for the same incident, if the report to CISA explicitly specifies that the information is being reported in order to satisfy the reporting requirements in this Security Directive. | 7. TSAは、CISAへの報告が、本セキュリティ指令の報告要件を満たすために情報を報告することを明示的に指定している場合、本節に基づくサイバーセキュリティ・インシデントの所有者/運用者によるCISAへの報告を、同じインシデントに関する49 CFR 1570.203に基づくTSAへの報告要件を満たすものとして受け入れる。 |
C. Implementing a Cybersecurity Incident Response Plan | C. サイバーセキュリティ・インシデント対応計画の導入 |
1. Within 180 days from the effective date of this Security Directive, unless otherwise directed, Owner/Operators must develop and adopt a Cybersecurity Incident Response Plan that includes measures to reduce the risk of operational disruption, or other significant business or functional degradation to necessary capacity, should their rail system or facility experience a cybersecurity incident. The Cybersecurity Incident Response Plan must provide specific measures sufficient to ensure the following objectives, as technically applicable and feasible: | 1. 本セキュリティ指令の発効日から180日以内に、別段の指示がない限り、所有者/運用者は、鉄道システムまたは施設がサイバーセキュリティ事故を経験した場合に、業務の中断、または必要な能力に対する他の重大な事業または機能の低下のリスクを低減するための措置を含む、サイバーセキュリティ事故対応計画を策定し、採用しなければならない。サイバー・セキュリティ・インシデント対応計画は、技術的に適用可能で実現可能な限り、以下の目的を確保するのに十分な具体的な手段を提供しなければならない。 |
a. Prompt identification, isolation and segregation of the infected systems from uninfected systems, networks, and devices to prioritize: | a. 感染したシステムを、感染していないシステム、ネットワーク、およびデバイスから優先的に特定、隔離、分離する。 |
i. Limiting the spread of autonomous malware, | i. 自律型マルウェアの拡散を制限すること。 |
ii. Denying continued attacker access to systems, | ii. 攻撃者によるシステムへの継続的なアクセスを拒否すること。 |
iii. Determining extent of compromise, and | iii. 侵害の範囲を特定すること、および |
iv. Preservation of evidence or partially encrypted data system storage. | iv. 証拠の保存、または部分的に暗号化されたデータシステムの保存。 |
b. Security and integrity of backed-up data, including measures to secure and safely maintain backups offline, and implement procedures requiring scanning of stored backup data with host security software to check that it is free of malicious artifacts when the backup is made and when tested for restoration. | b. バックアップされたデータのセキュリティと完全性。これには、バックアップをオフラインで安全に維持するための対策が含まれ、バックアップの作成時および復元テスト時に悪意のあるアーティファクトがないことを確認するために、ホストのセキュリティソフトウェアで保存されたバックアップデータのスキャンを要求する手順を実施する。 |
c. Established capability and governance for isolating the Information Technology and Operational Technology systems in the event of a cybersecurity incident that arises to the level of potential operational disruption while maintaining operational standards and limits. | c. 運用基準と制限を維持しつつ、運用に支障をきたす可能性があるレベルのサイバーセキュリティインシデントが発生した場合に、情報技術および運用技術システムを隔離するための能力とガバナンスを確立していること。 |
2. The Cybersecurity Incident Response Plan must, at a minimum, identify who (by position) is responsible for implementing the specific measures and any necessary resources needed to implement these measures. | 2. サイバーセキュリティインシデント対応計画は、少なくとも、特定の対策を実施する責任を負う者(役職別)と、これらの対策を実施するために必要なリソースを特定しなければならない。 |
3. The Owner/Operator must conduct situational exercises to test the effectiveness of procedures, and personnel responsible for implementing measures, in the Cybersecurity Incident Response Plan, no less than annually. | 3. 所有者/運用者は、サイバーセキュリティインシデント対応計画における手順、及び対策の実施に責任を持つ人員の有効性をテストするために、少なくとも年1回、状況的演習を実施しなければならない。 |
4. Within 7 days of completing the requirements in this section (section C.), Owner/Operators must ensure that their Cybersecurity Coordinator or other accountable executive submits a statement to TSA at SurfOpsRail-SD@tsa.dhs.gov certifying the Rail Owner/Operator has met the requirements. Documentation of compliance must be provided to TSA upon request and without a subpoena. | 4. 本セクション(C.セクション)の要件を完了してから7日以内に、所有者/運用者は、そのサイバーセキュリティコーディネーターまたはその他の責任ある幹部が、鉄道所有者/運用者が要件を満たしていることを証明する声明をTSA(SurfOpsRail-SD@tsa.dhs.gov)に提出するようにしなければならない。コンプライアンスの文書は、要求に応じて、召喚状なしにTSAに提供されなければならない。 |
D. Cybersecurity Vulnerability Assessment | D. サイバーセキュリティの脆弱性評価 |
1. Owner/Operators must complete a cybersecurity vulnerability assessment and identify cybersecurity gaps using a form provided by TSA. The form utilizes the functions and categories found in the National Institute of Standards and Technology (NIST) Cybersecurity Guidance Framework. | 1. 所有者/運用者は、TSAが提供するフォームを使用して、サイバーセキュリティの脆弱性評価を行い、サイバーセキュリティのギャップを特定しなければならない。このフォームは、米国標準技術研究所(NIST)のサイバーセキュリティ・ガイダンス・フレームワークにある機能とカテゴリーを利用している。 |
2. Owner/Operators must identify remediation measures to address the vulnerabilities and cybersecurity gaps identified during the assessment and implement the plan for applying the identified measures. | 2. 所有者/運用者は、評価中に特定された脆弱性とサイバーセキュリティ・ギャップに対処するための改善策を特定し、特定された対策を適用するための計画を実施しなければならない。 |
3. The completed vulnerability assessment form and remediation plan required by this section must be submitted to TSA within 90 days of the effective date of this Security Directive.[6] The required information must be submitted via email to TSA at SurfOpsRail-SD@tsa.dhs.gov, using appropriate methods to protect any Sensitive Security Information contained in the completed assessment and the remediation plan. | 3, 本項で要求される完成した脆弱性評価フォームと改善計画は、本セキュリティ指令の発効日から90日以内にTSAに提出しなければならない。[5] 必要な情報は、完成した評価と改善計画に含まれる機密性の高いセキュリティ情報を保護するための適切な方法を用いて、電子メールでTSA(SurfOpsRail-SD@tsa.dhs.gov)に提出しなければならない。 |
PROCEDURES FOR SECURITY DIRECTIVES | セキュリティ指令の手順 |
A. Owner/Operators must: | A. 所有者/運用者は以下を行わなければならない。 |
1. Immediately provide written confirmation of receipt of this Security Directive via email to TSA at SurfOpsRail-SD@tsa.dhs.gov. | 1. TSA(SurfOpsRail-SD@tsa.dhs.gov)に電子メールで本セキュリティ指令の受領確認書を直ちに提出すること。 |
2. Immediately disseminate the information and measures in this Security Directive to corporate senior management, security management representatives, and any personnel having responsibilities in implementing the provisions in this Security Directive. | 2, 本セキュリティ指令の情報と対策を、企業の上級管理者、セキュリティ管理担当者、及び本セ キュリティ指令の規定の実施に責任を持つすべての人員に直ちに周知する。 |
3. Brief all individuals responsible for implementing this Security Directive. | 3, 本セキュリティ指令の実施に責任を持つすべての個人に説明する。 |
B. Owner/Operators must share this Security Directive with persons that may be subject to the requirements of the Directive. | B. 所有者/運用者は、本セキュリティ指令の要件の対象となる可能性のある人物と本セキュリティ指令を共有しなければならない。 |
C. Owner/Operators must immediately notify TSA at SurfOpsRail-SD@tsa.dhs.gov, if unable to implement any of the measures in this Security Directive within the required timeframe. | C. 所有者/運用者は、要求された時間枠内で本セキュリティ指令のいずれかの対策を実施できない場合、直ちにTSA(SurfOpsRail-SD@tsa.dhs.gov)に通知しなければならない。 |
DEFINITIONS | 用語の定義 |
A. Cybersecurity incident means an event that, without lawful authority, jeopardizes, disrupts or otherwise impacts, or is reasonably likely to jeopardize, disrupt or otherwise impact, the integrity, confidentiality, or availability of computers, information or communications systems or networks, physical or virtual infrastructure controlled by computers or information systems, or information resident on the system. This definition includes an event that is under investigation or evaluation by the owner/operator as a possible cybersecurity incident without final determination of the event's root cause or nature (such as malicious, suspicious, benign). | A. サイバーセキュリティ事件とは、合法的な権限なしに、コンピュータ、情報または通信システムもしくはネットワーク、コンピュータもしくは情報システムによって制御される物理的もしくは仮想的なインフラ、またはシステムに常駐する情報の完全性、機密性、または可用性を危険にさらす、混乱させる、もしくはその他の方法で影響を与える、または危険にさらす、混乱させる、もしくはその他の方法で影響を与える可能性が合理的に高い事象を意味する。この定義には、事象の根本原因または性質(悪意のあるもの、疑わしいもの、良性のものなど)を最終的に決定することなく、サイバーセキュリティ事件の可能性として所有者/運用者が調査または評価中の事象が含まれる。 |
B. Days means calendar days unless otherwise indicated. | B. 日数は、特に明記されていない限り、暦日を意味する。 |
C. Information Technology System means any services, equipment, or interconnected systems or subsystems of equipment that are used in the automatic acquisition, storage, analysis, evaluation, manipulation, management, movement, control, display, switching, interchange, transmission, or reception of data or information that fall within the responsibility of the Owner/Operator to operate and/or maintain. | C. 情報技術システムとは、データまたは情報の自動取得、保存、分析、評価、操作、管理、移動、制御、表示、切り替え、交換、送信、または受信に使用されるサービス、機器、または相互に接続されたシステムまたは機器のサブシステムで、所有者/運用者の操作および/または保守の責任範囲内にあるものをいう。 |
D. Operational disruption means a deviation from or interruption of normal activities or operations that results in a loss of data, system availability, system reliability, or control of systems, or indicates unauthorized access to, or malicious software present on, critical information technology systems | D. 運用上の混乱とは、データ、システムの可用性、システムの信頼性、またはシステムの制御の喪失、あるいは重要な情報技術システムへの不正アクセスまたは悪意のあるソフトウェアの存在を示す、通常の活動または運用からの逸脱または中断を意味する。 |
E. Operational Technology System is a general term that encompasses several types of control systems, including industrial control systems, supervisory control and data acquisition systems, distributed control systems, and other control system configurations, such as programmable logic controllers, fire control systems, and physical access control systems, often found in the industrial sector and critical infrastructure. Such systems consist of combinations of programmable electrical, mechanical, hydraulic, pneumatic devices or systems that interact with the physical environment or manage devices that interact with the physical environment. | E. 運用技術システムとは、産業用制御システム、監視制御およびデータ取得システム、分散型制御システム、その他の制御システム構成(プログラマブル・ロジック・コントローラ、火災制御システム、物理的アクセス制御システムなど)を含む、いくつかのタイプの制御システムを包含する一般的な用語であり、産業部門や重要なインフラでよく見られるものです。このようなシステムは、物理的環境と相互作用する、あるいは物理的環境と相互作用する装置を管理する、プログラム可能な電気、機械、油圧、空気圧の装置またはシステムの組み合わせで構成される。 |
F. Unauthorized Access ofan Information Technology or Operational Technology System means access from an unknown or unauthorized source, whether external or internal; access by a third party or former employee; an employee accessing systems for which he or she is not authorized; and may include a non-malicious violation of the Owner/Operators policies, such as the use of shared credential by an employee otherwise authorized to access the system. | F. 情報技術または運用技術システムへの不正アクセスとは、外部または内部を問わず、不明または無許可のソースからのアクセス、第三者または元従業員によるアクセス、従業員が権限のないシステムにアクセスすることを意味し、システムへのアクセスを許可されていない従業員が共有のクレデンシャルを使用するなど、所有者/運用者のポリシーに対する悪意のない違反を含むことがある。 |
APPROVAL OF ALTERNATIVE MEASURES | 代替措置の承認 |
Owner/Operators must immediately notify TSA via email at TSA-Surface-Cyber@tsa.dhs.gev if unable to implement any ofthe measures in this Security Directive. Owner/Operators may submit proposed alternative measures and the basis for submitting the alternative measures to TSA for approval to the email address above. | 所有者/運用者は、本セキュリティ指令のいずれかの対策を実施できない場合、直ちにTSAに電子メール(TSA-Surface-Cyber@tsa.dhs.gov)で通知しなければならない。所有者/運用者は、代替措置の提案とその根拠をTSAに提出し、承認を得ることができますが、その際には上記の電子メールアドレスに連絡してください。 |
[1] This provision from section 101 of the Aviation and Transportation Security Act, Pub, L. 107-71 (115 Stat. 597; Nov. 19, 2001), states: "Notwithstanding any other provision of law or executive order (including an executive order requiring a cost-benefit analysis), if the Administrator determines that a regulation or security directive must be issued immediately in order to protect transportation security, the Administrator shall issue the regulation or security directive without providing notice or an oppoflunity for comment and without prior approval of the Secretary." | [1] 航空・運輸保安法(Pub, L. 107-71 (115 Stat. 597; Nov. 19, 2001))の第101条のこの規定は、次のように述べています。「法律または行政命令(費用便益分析を要求する行政命令を含む)の他の規定にかかわらず、行政長官が輸送の安全を守るために規制またはセキュリティ指令を直ちに発行しなければならないと判断した場合、行政長官は、通知またはコメントの機会を提供することなく、また長官の事前承認なしに規制またはセキュリティ指令を発行するものとする。 |
[2] The applicability does not include bus-only operations. In addition, section 114(d) provides the Administrator of TSA the authority for security of all modes of transportation; section 114(f) provides specific additional duties and powers to the Administrator; 114(m) provides authority for the Administrator to take actions that support other agencies, | [2] この適用対象には、バス専用の運行は含まれない。また、第114条(d)はTSA長官に全ての交通機関のセキュリティに関する権限を与え、第114条(f)は長官に特定の追加任務と権限を与え、第114条(m)は長官に他の機関を支援する行動をとる権限を与えている。 |
[3] This form has received emergency approval from the Office of Information and Regulatory Affairs. See OMB Control No. 1652-0074, expiration date May 31, 2022, | [3] このフォームは、Office of Information and Regulatory Affairsから緊急承認を得ています。OMB Control No.1652-0074、有効期限は2022年5月31日を参照。 |
[4] Presidential Policy Directive (PPD)-41 calls for federal cyber incident response agencies to share incident information with each other to achieve unity of governmental effort, See PPD-41 at section Ill.D. | [4] 大統領政策指令(PPD)-41は、政府の努力の統一を達成するために、連邦のサイバー・インシデント対応機関が互いにインシデント情報を共有することを求めている(PPD-41のセクションIll.D参照)。 |
[5] CISA's Incident Reporting System provides a secure web-enabled means of reporting computer security incidents to CISA. This system assists analysts in providing timely handling of the security incidents Railroads and Rail Transit Agencies must report pursuant to this Security Directive as well as the ability to conduct improved analysis. | [5] CISAのインシデント報告システムは、コンピュータ・セキュリティ・インシデントをCISAに報告するための安全なWeb対応手段を提供する。このシステムは、鉄道会社および鉄道輸送機関が本セキュリティ指令に基づいて報告しなければならないセキュリティ・インシデントをタイムリーに処理し、改善された分析を行う能力を提供することで、分析者を支援する。 |
[6] To the extent the Owner/Operator identifies gaps or other vulnerabilities in their implementation of cybersecurity recommendations, the assessment submitted to TSA and CISA will be Sensitive Security Information and must be protected according to the requirements in 49 CFR part 1520. | [6] 所有者/運用者がサイバーセキュリティ勧告の実施においてギャップやその他の脆弱性を特定する範囲で、TSAおよびCISAに提出される評価は、49 CFRパート1520の要件に従って機密性の高いセキュリティが保護される。情報としなければならない。 |
« 知的財産戦略本部 意見募集 「プラットフォームにおけるデータ取扱いルールの実装ガイダンス(案)」 | Main | 米国 GAO サイバーセキュリティ:国の重要インフラをより良く保護するための連邦政府の行動が緊急に求められている »
Comments