« ロシア デジタル市場における公正な行動の原則を承認 by 連邦独占禁止局 | Main | NATO CCDCOE 最近のサイバー事件 軍事・国家安全保障の意思決定者のための検討事項 第14号は2021年の振り返り (2022.01) »

2022.02.22

NATO CCDCOE 「国家サイバーセキュリティ戦略策定のためのガイド」第2版 (2021.11)

こんにちは、丸山満彦です。

昨年の11月にNATO CCECOEから「国家サイバーセキュリティ戦略策定のためのガイド」第2版が公開されていたんですね。。。

ITU、欧州評議会、マイクロソフト、世界銀行等が参加していますね。。。Dig4では、Deloitteが参加していますね。。。

 

The NATO Cooperative Cyber Defence Centre of Excellence

・2021.11 2nd Edition of the Guide to developing a National Cybersecurity Strategy

2nd Edition of the Guide to developing a National Cybersecurity Strategy 「国家サイバーセキュリティ戦略策定のためのガイド」第2版
The 2nd, revised Guide to Developing a National Cybersecurity Strategy, published in November 2021, results from a unique multistakeholder collaboration tapping into the knowledge, experience, and expertise of more than 20 international, industry and academic organisations in the field of national cybersecurity strategies and policies, including the ITU, Council of Europe, Microsoft, World Bank, several international security policy think tanks active in the field, and a number of regional intergovernmental organisations. CCDOE’s participation in the effort builds on its decade-worth of research on national cybersecurity strategies; the Centre’s experts led the Guide’s work stream on international cooperation and its publications are included among the Guide’s reference materials. The Guide provides a reference framework to support countries’ ongoing efforts to design, adopt, implement, and update a comprehensive national cybersecurity strategy. It was published in November 2021 and is available on a dedicated website. 2021年11月に発行された第2版「国家サイバーセキュリティ戦略策定ガイド」は、ITU、欧州評議会、マイクロソフト、世界銀行、この分野で活躍する複数の国際安全保障政策シンクタンク、多数の地域政府間組織など、国家サイバーセキュリティ戦略・政策の分野で活躍する20以上の国際機関、産業界、学術団体の知識、経験、専門性を活用した、ユニークなマルチステークホルダー・コラボレーションから生まれたものです。また、CCDOEの専門家は、国際協力に関するガイドのワークストリームを主導し、CCDOEの出版物はガイドの参考資料に含まれています。本ガイドは、包括的な国家サイバーセキュリティ戦略を設計、採用、実施、更新する各国の継続的な取り組みを支援するための参考フレームワークを提供しています。2021年11月に発行され、専用ウェブサイトで公開されています。

 

重点7分野が書いています。。。

 FA1 Governance  FA1 ガバナンス
 FA2 Risk management in national cybersecurity  FA2 国家のサイバーセキュリティにおけるリスク管理
 FA3 Preparedness and resilience  FA3 準備と回復力(Preparedness and resilience
 FA4 Critical Infrastructure services and essential services  FA4 重要インフラサービスと必須サービス
 FA5 Capability and capacity building and awareness raising  FA5 能力、キャパシティビルディング、意識向上
 FA6 Legislation and Regulation  FA6 立法と規制
 FA7 International Cooperation  FA7 国際協力

なるほどね。。。

 

・[PDF] Strategic Engagement in Cybersecurity - Guide to Developing a National Cybersecurity Strategy - Strategic Engagement in Cybersecurity - 2nd Edition 2021

20220221-234102

目次

1 Document Overview 1 文書の概要
1.1 Purpose 1.1 目的
1.2 Scope 1.2 範囲
1.3 Overall structure and usage of the Guide 1.3 ガイドの全体構成と使用方法
1.4 Target audience 1.4 対象者
2 Introduction 2 はじめに
2.1 What is cybersecurity 2.1 サイバーセキュリティとは
2.2 Benefits of a National Cybersecurity Strategy and strategy development process 2.2 国家サイバーセキュリティ戦略の利点と戦略策定プロセス
3 Lifecycle of a National Cybersecurity Strategy 3 国家サイバーセキュリティ戦略のライフ・サイクル
Introduction はじめに
3.1 Phase I: Initiation 3.1 フェーズI:開始
3.1.1 Identifying the Lead Project Authority 3.1.1 主任プロジェクト機関の特定
3.1.2 Establishing a Steering Committee 3.1.2 運営委員会の設立
3.1.3 Identifying stakeholders to be involved in the development of the Strategy 3.1.3 戦略の策定に関与すべきステークホルダーの特定
3.1.4 identifying human and financial resources 3.1.4 人的資源及び財政的資源の特定
3.1.5 Planning the development of the Strategy 3.1.5 ストラテジーの開発計画
3.2 Phase II: Stocktaking and analysis 3.2 フェーズⅡ:ストックテイキングと分析
3.2.1 Assessing the national cybersecurity landscape 3.2.1 国のサイバーセキュリティの状況の評価
3.2.2 Assessing the cyber-risk landscape 3.2.2 サイバーリスクの状況を評価する
3.3 Phase III: Production of the National Cybersecurity Strategy 3.3 フェーズIII:国家サイバーセキュリティ戦略の作成
3.3.1 Drafting the National Cybersecurity Strategy 3.3.1 国家サイバーセキュリティ戦略の起草
3.3.2 Consulting with a broad range of national, regional and international stakeholders 3.3.2 国内、地域、国際的な利害関係者との幅広い協議
3.3.3 Seeking formal approval 3.3.3 正式な承認を求める
3.3.4 Publishing and promoting the Strategy 3.3.4 戦略の発表と促進
3.4 Phase IV: Implementation 3.4 フェーズⅣ:実施
3.4.1 Developing the action plan 3.4.1 行動計画の策定
3.4.2 Determining initiatives to be implemented 3.4.2 実施すべきイニシアティブの決定
3.4.3 Allocating human and financial resources for the implementation 3.4.3 実施のための人的及び財政的資源の割り当て
3.4.4 Setting timeframes and metrics 3.4.4 タイムフレームと評価基準の設定
3.5 Phase V: Monitoring and evaluation 3.5 フェーズV:モニタリングと評価
3.5.1 Establishing a formal process 3.5.1 正式なプロセスの確立
3.5.2 Monitoring the progress of the implementation of the Strategy 3.5.2 戦略の実施の進捗状況のモニタリング
3.5.3 Evaluating the outcomes of the Strategy 3.5.3 ストラテジーの成果の評価
4 Overarching Principles 4 全体的な原則
Introduction はじめに
4.1 Vision 4.1 ビジョン
4.2 Comprehensive approach and tailored priorities 4.2 包括的なアプローチと個別の優先事項
4.3 Inclusiveness 4.3 包括性
4.4 Economic and social prosperity 4.4 経済的・社会的繁栄
4.5 Fundamental human rights 4.5 基本的人権
4.6 Risk management and resilience 4.6 リスク管理とレジリエンス
4.7 Appropriate set of policy instruments 4.7 適切な政策手段のセット
4.8 Clear leadership, roles, and resource allocation 4.8 明確なリーダーシップ、役割、および資源配分
4.9 Trust environment 4.9 信頼できる環境
5 National Cybersecurity Good Practice 5 国家的なサイバーセキュリティの優れた実践
Introduction はじめに
5.1 Focus area 1 – Governance 5.1 重点分野1 - ガバナンス
5.1.1 Ensure the highest level of support 5.1.1 最高レベルのサポートを確保する
5.1.2 Establish a competent cybersecurity authority 5.1.2 有能なサイバーセキュリティ当局の設立
5.1.3 Ensure intra-governmental cooperation 5.1.3 政府内の協力を確保する
5.1.4 Ensure inter-sectoral cooperation 5.1.4 セクター間の協力を確保する
5.1.5 Allocate dedicated budget and resources 5.1.5 専用の予算とリソースを割り当てる
5.1.6 Develop an implementation plan 5.1.6 実施計画の策定
5.2 Focus area 2 - Risk management in national cybersecurity 5.2 重点分野 2 - 国家のサイバーセキュリティにおけるリスク管理
5.2.1 Conduct a cyber threat assessment and align policies with the ever-expanding cyber threat landscape 5.2.1 サイバー脅威の評価を行い、拡大し続けるサイバー脅威の状況に合わせて政策を調整する
5.2.2 Define a risk-management approach 5.2.2 リスク管理アプローチを定義する
5.2.3 Identify a common methodology for managing cybersecurity risk 5.2.3 サイバーセキュリティリスクを管理するための共通の方法論を特定する
5.2.4 Develop sectoral cybersecurity risk profiles 5.2.4 セクターごとのサイバーセキュリティリスクプロファイルの作成
5.2.5 Establish cybersecurity policies 5.2.5 サイバーセキュリティポリシーの確立
5.3 Focus area 3 - Preparedness and resilience 5.3 重点分野3:準備と回復力(Preparedness and resilience
5.3.1 Establish cyber-incident response capabilities 5.3.1 サイバーインシデント対応能力の確立
5.3.2 Establish contingency plans for cybersecurity crisis management and disaster recovery 5.3.2 サイバーセキュリティ危機管理及び災害復旧のためのコンティンジェンシープランの確立
5.3.3 Promote information-sharing 5.3.3 情報共有の促進
5.3.4 Conduct cybersecurity exercises 5.3.4 サイバーセキュリティ演習の実施
5.3.5 Establish impact or severity assessment of cybersecurity incidents 5.3.5 サイバーセキュリティインシデントの影響度又は深刻度評価の確立
5.4 Focus area 4 - Critical Infrastructure and essential services 5.4 重点分野4 - 重要インフラと必須サービス
5.4.1 Establish a risk-management approach to identifying and protecting critical infrastructure and essential services 5.4.1 重要なインフラストラクチャ及び不可欠なサービスを特定し保護するためのリスク管理手法を確立する
5.4.2 Adopt a governance model with clear responsibilities 5.4.2 明確な責任を伴うガバナンスモデルを採用する
5.4.3 Define minimum cybersecurity baselines 5.4.3 最低限のサイバーセキュリティのベースラインを定義する
5.4.4 Utilise a wide range of market levers 5.4.4 広範な市場レバ-の活用
5.4.5 Establish public private partnerships 5.4.5 官民パートナーシップの確立
5.5 Focus area 5 - Capability and capacity building and awareness raising 5.5 重点分野 5 - 能力・キャパシティビルディング、意識向上
5.5.1 Strategically plan capability and capacity building and awareness raising 44 5.5.1 能力・キャパシティビルディングと意識向上を戦略的に計画する 44
5.5.2 Develop cybersecurity curricula 5.5.2 サイバーセキュリティのカリキュラムの開発
5.5.3 Stimulate capacity development and workforce training 5.5.3 能力開発と労働力訓練の活性化
5.5.4 Implement a coordinated cybersecurity awareness-raising programme 5.5.4 協調的なサイバーセキュリティ意識向上プログラムの実施
5.5.5 Foster cybersecurity innovation and R&D 5.5.5 サイバーセキュリティのイノベーションと研究開発を促進する
5.5.6 Tailor programmes for vulnerable sectors and groups 5.5.6 脆弱なセクターやグループのためのプログラムの調整
5.6 Focus area 6 - Legislation and regulation 5.6 重点分野6 - 立法と規制
5.6.1 Establish a domestic legal framework for cybersecurity 5.6.1 サイバーセキュリティに関する国内法的枠組みの確立
5.6.2 Establish a domestic legal framework on cybercrime and electronic evidence 5.6.2 サイバー犯罪及び電子証拠に関する国内法的枠組みの確立
5.6.3 Recognise and safeguard human rights and liberties 5.6.3 人権及び自由を認識し保護する。
5.6.4 Create compliance mechanisms 5.6.4 コンプライアンス・メカニズムの構築
5.6.5 Promote capacity-building for law enforcement 5.6.5 法執行機関のキャパシティ・ビルディングの促進
5.6.6 Establish inter-organisational processes 5.6.6 組織間のプロセスの確立
5.6.7 Support international cooperation to combat cyber threats and cybercrime 5.6.7 サイバー脅威及びサイバー犯罪と闘うための国際協力の支援
5.7 Focus area 7 - International cooperation 5.7 重点分野 7 - 国際協力
5.7.1 Recognise cybersecurity as a component of foreign policy and align domestic and international efforts 5.7.1 サイバーセキュリティを外交政策の一環として認識し、国内及び国際的な取り組みを調整する
5.7.2 Engage in international discussions and commit to implementation 5.7.2 国際的な議論に参加し、実施にコミットする
5.7.3 Promote formal and informal cooperation in cyberspace 5.7.3 サイバースペースにおける公式及び非公式の協力を促進する。
5.7.4 Promote capacity building for international cooperation 5.7.4 国際協力のための能力開発を促進する
6 Reference Materials 6 参考資料
 NCS Lifecycle  NCSのライフサイクル
 Initiation  開始
 Stocktaking and Analysis  ストックテーキングと分析
 Production  制作
 Implementation  実装
 Monitoring and Evaluation  モニタリングと評価
 Overarching Principles  基本的な考え方
 Vision  ビジョン
 Comprehensive approach and tailored priorities  包括的なアプローチと個別の優先事項
 Inclusiveness  包括性
 Economic and Social Prosperity  経済的・社会的繁栄
 Fundamental human rights  基本的人権
 Risk management and resilience  リスク管理とレジリエンス
 Appropriate set of policy instruments  適切な政策手段のセット
 Clear leadership, roles, and resource allocation  明確なリーダーシップ、役割、資源配分
 Trust environment  信頼できる環境
 Focus Areas  重点分野
 FA1 Governance  FA1 ガバナンス
 FA2 Risk management in national cybersecurity  FA2 国家のサイバーセキュリティにおけるリスク管理
 FA3 Preparedness and resilience  FA3 準備と回復力(Preparedness and resilience
 FA4 Critical Infrastructure services and essential services  FA4 重要インフラサービスと必須サービス
 FA5 Capability and capacity building and awareness raising  FA5 能力、キャパシティビルディング、意識向上
 FA6 Legislation and Regulation  FA6 立法と規制
 FA7 International Cooperation  FA7 国際協力
7 Acronyms 7 頭字語

 



■ 参考 各国のサイバーセキュリティ戦略

■ EUの場合

European Commission

・2020.12.16 The EU's Cybersecurity Strategy in the Digital Decade

・[PDF] Factsheet

20210513-120625

 

■ ドイツの場合

Bundesministerium des Innern, für Bau und Heimat 

プレス

・2021.09.08 (press) Cybersicherheitsstrategie für Deutschland 2021 beschlossen

戦略本文

・[PDF] Cybersicherheitsstrategie für Deutschland 2021

20210926-60648

 

■ UKの場合

National Cyber Security Centre

2021.12.15 (news) Government publishes blueprint to protect UK from cyber threats

・2021.12.15 Policy paper National Cyber Strategy 2022

・[heml] National Cyber Strategy 2022

 ・[PDF] National Cyber Strategy 2022

20211217-55613

 

■ U.S. の場合

・2018.09.20 President Trump Unveils America’s First Cybersecurity Strategy in 15 Years

・[PDF] NATIONAL CYBER STRATEGY of the United States of America


20210513-121917

・仮訳 [DOCX

 

■ 日本の場合

内閣官房 - サイバーセキュリティセンター - サイバーセキュリティ戦略本部

・2021.09.27 第31回会合

・[PDF] 報道発表資料

・[PDF] サイバーセキュリティ2021

 

■ 中国の場合

 中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)

 プレス発表

戦略全文

・2016.12.27 国家网络空间安全战略

・英語訳

 ・2016.12.27 National Cyberspace Security Strategy

 

 

■ ロシアの場合(NATO CCDCOEの論文)

● NATO CCDCOE

2020 [PDF] The Past, Present, and Future of Russia’s Cyber Strategy and Forces by Bilyana Lilly and Joe Cheravitch



■ インドの場合

Data Security Council of India

・2020.08.15 [PDF] National Cyber Security Strategy 2020

20210513-131956

 

■ シンガポールの場合

● Cyber Security Agency of Singapore

・2021.10.05 Singapore Updates National Cybersecurity Strategy

The Singapore Cybersecurity Strategy 2021

・[PDF]

20211011-134730

 


まるちゃんの情報セキュリティ気まぐれ日記

|

« ロシア デジタル市場における公正な行動の原則を承認 by 連邦独占禁止局 | Main | NATO CCDCOE 最近のサイバー事件 軍事・国家安全保障の意思決定者のための検討事項 第14号は2021年の振り返り (2022.01) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« ロシア デジタル市場における公正な行動の原則を承認 by 連邦独占禁止局 | Main | NATO CCDCOE 最近のサイバー事件 軍事・国家安全保障の意思決定者のための検討事項 第14号は2021年の振り返り (2022.01) »