« 金融庁 「金融分野における個人情報保護に関するガイドライン」等の改正 | Main | 米国 GAO 政府・社会に影響を与えるトレンド (2022.03.15) »

2022.03.28

米国 上院 S.3894 - 継続的診断・軽減 (CDM) を通じたサイバーセキュリティの推進に関する法律案

こんにちは、丸山満彦です。

米国の場合、議会に法案が提出されたからと言って必ずしも成立するわけでもないので、議論が進んできてから気にすれば良いのだろうというのが私の直感なんですが、こんなことまで法案として出すのか、、、ということでちょっとメモ。。。です。。。

米国では、連邦政府において継続的診断・軽減プログラム (CDM) が進められていますが、色々と苦労しているような感じがします。。。

Congress.Gov

・22022.03.22 S.3894 - Advancing Cybersecurity Through Continuous Diagnostics and Mitigation Act

 

 

S.3894 - Advancing Cybersecurity Through Continuous Diagnostics and Mitigation Act S.3894 - 継続的診断・軽減を通じたサイバーセキュリティの推進に関する法律
To amend the Homeland Security Act of 2002 to authorize the Secretary of Homeland Security to establish a continuous diagnostics and mitigation program in the Cybersecurity and Infrastructure Security Agency of the Department of Homeland Security, and for other purposes. 2002年国土安全保障法を改正し、国土安全保障省サイバーセキュリティおよびインフラセキュリティ庁に継続的診断・軽減プログラムを設立することを国土安全保障長官に許可すること、およびその他の目的のために。
IN THE SENATE OF THE UNITED STATES 米国上院にて
22-Mar-22 2022年3月22日
Mr. Cornyn (for himself and Ms. Hassan) introduced the following bill; which was read twice and referred to the Committee on Homeland Security and Governmental Affairs Cornyn 氏(自らを代表して、および Hassan 氏)は次の法案を提出し、2 回読まれ、国土安全保障・ 政府問題委員会に付託された。
A BILL 議案
To amend the Homeland Security Act of 2002 to authorize the Secretary of Homeland Security to establish a continuous diagnostics and mitigation program in the Cybersecurity and Infrastructure Security Agency of the Department of Homeland Security, and for other purposes. 2002年国土安全保障法を改正し、国土安全保障省サイバーセキュリティおよびインフラセキュリティ庁に継続的診断・軽減プログラムを設立することを国土安全保障長官に許可すること、およびその他の目的のために、国土安全保障法を改正すること。
Be it enacted by the Senate and House of Representatives of the United States of America in Congress assembled, アメリカ合衆国議会の上院と下院によって制定される。
SECTION 1. SHORT TITLE. 第1条 短い法律名
This Act may be cited as the “Advancing Cybersecurity Through Continuous Diagnostics and Mitigation Act”. 本法は、「継続的診断・軽減を通じたサイバーセキュリティの推進に関する法律」と称することができる。
SEC. 2. ESTABLISHMENT OF FEDERAL INTRUSION DETECTION AND PREVENTION SYSTEM AND CONTINUOUS DIAGNOSTICS AND MITIGATION PROGRAM IN THE CYBERSECURITY AND INFRASTRUCTURE SECURITY AGENCY. 第2条 サイバーセキュリティおよびインフラセキュリティ庁における連邦侵入検知・防止システムおよび継続的診断・軽減プログラムを設立する。
(a) In General.—Section 2213 of the Homeland Security Act of 2002 (6 U.S.C. 663) is amended by adding at the end the following: (a) 一般的に-2002年国土安全保障法(6 U.S.C. 663)の第2213条は、末尾に以下を追加することにより改正される。
“(g) Continuous Diagnostics And Mitigation.— (g) 継続的な診断と軽減
“(1) PROGRAM.— (1) プログラム
“(A) IN GENERAL.—The Secretary, acting through the Director, shall, with or without reimbursement, deploy, operate, and maintain a continuous diagnostics and mitigation program for agencies under which the Secretary shall— (A) 全般:長官は、長官を通じて、償還の有無にかかわらず、政府機関のための継続的診断と軽減プログラムを展開、運営、維持しなければならない。
“(i) assist agencies to continuously diagnose and mitigate cyber threats and vulnerabilities; (i) サイバー脅威と脆弱性を継続的に診断し、軽減するために機関を支援する。
“(ii) develop and provide the capability to collect, analyze, and visualize information relating to security data and cybersecurity risks at agencies; (ii) 省庁のセキュリティデータおよびサイバーセキュリティリスクに関する情報を収集、分析、可視化する能力を開発し、提供する。
“(iii) employ shared services, collective purchasing, blanket purchase agreements, and any other economic or procurement models the Secretary determines appropriate to maximize the costs savings associated with implementing the program; (iii) 共有サービス、共同購入、包括購入契約、およびプログラムの実施に伴うコスト削減を最大化するために長官が適切と判断するその他の経済モデルまたは調達モデルを採用する。
“(iv) assist agencies in setting information security priorities and assessing and managing cybersecurity risks; (iv) 情報セキュリティの優先順位を設定し、サイバーセキュリティのリスクを評価・管理する上で、政府機関を支援する。
“(v) develop policies and procedures for reporting systemic cybersecurity risks and potential incidents based upon data collected under the program; and (v) プログラムの下で収集されたデータに基づいて、体系的なサイバーセキュリティリスクと潜在的なインシデントを報告するための方針と手順を策定する。
“(vi) promote the adoption of a zero trust security model in improving agency cybersecurity readiness. (vi) 省庁のサイバーセキュリティ対応力を向上させるため、ゼロ・トラスト・セキュリティ・モデルの採用を促進する。
“(B) REGULAR IMPROVEMENT.—The Secretary shall regularly— (B) 定期的な改善 - 長官は、定期的に以下を行うものとする。
“(i) deploy new technologies and modify existing technologies to the continuous diagnostics and mitigation program required under subparagraph (A), as appropriate, to improve the program; and (i) (A)号に基づいて要求される継続的診断・軽減プログラムに、適宜、新技術を導入し、既存技術を修正し、プログラムを改善すること。
“(ii) update the technical requirements documentation of the continuous diagnostics and mitigation program required under subparagraph (A) to account for emerging technology capabilities such as cloud computing and comprehensive cloud security controls. (ii) クラウドコンピューティングや包括的なクラウドセキュリティ管理などの新しい技術能力を考慮し、(A)号に基づき要求される継続的診断・軽減プログラムの技術要件文書を更新すること。
“(2) AGENCY RESPONSIBILITIES.—Notwithstanding any other provision of law, each agency that uses the continuous diagnostics and mitigation program under paragraph (1) shall, continuously and in real time, provide to and allow access for the Secretary to collect all information, assessments, analyses, and raw data collected by the program, in a manner specified by the Secretary. (2) 省庁の責任:法律の他の規定にかかわらず、(1)項の継続的診断・軽減プログラムを使用する各省庁は、長官が指定する方法で、継続的かつリアルタイムに、プログラムが収集するすべての情報、評価、分析、生データを長官に提供し、長官によるアクセスを許可するものとする。
“(3) RESPONSIBILITIES OF THE SECRETARY.—In carrying out the continuous diagnostics and mitigation program under paragraph (1), the Secretary, acting through the Director, shall— (3) 長官の責任:(1)項の継続的診断及び軽減プログラムを実施するにあたり、長官は長官を通じ、次のことを行う。
“(A) share with agencies relevant analysis and products developed under the program; (A) このプログラムの下で開発された関連分析および製品を各省庁と共有する。
“(B) provide regular reports on cybersecurity risks to agencies; (B) サイバーセキュリティのリスクに関する定期的な報告書を各省庁に提供する。
“(C) provide comparative assessments of cybersecurity risks for agencies; (C) 政府機関に対し、サイバーセキュリティリスクの比較評価を提供する。
“(D) oversee the integration of continuous diagnostics and mitigation products and services into agency systems; (D) 継続的な診断と軽減のための製品およびサービスを省庁のシステムに統合することを監督する。
“(E) establish performance requirements for product integrators; (E) 製品インテグレータの性能要件を定める。
“(F) at the request of an agency, provide technical assistance in selecting, procuring, and integrating continuous diagnostics and mitigation products and services; (F) 省庁の要請に応じて、継続的診断・軽減製品およびサービスの選択、調達、統合に関する技術支援を提供する。
“(G) not less than once each fiscal year, submit to the appropriate committees of Congress a report that includes— (G) 毎会計年度に一度以上、以下を含む報告書を議会の適切な委員会に提出する。
“(i) the progress made by each agency to meet continuous diagnostics and mitigation benchmarks from the beginning of the implementation through the date of the report; and (i) 実施開始から報告書の日付まで、継続的診断・軽減ベンチマークを満たすために各機関が行った進捗状況。
“(ii) a summary of the efforts of each agency to account for emerging technology capabilities; and (ii) 新興の技術能力を考慮した各機関の努力の概要。
“(H) take steps to ensure that the security data collected through the program is aggregated with other Government-wide cybersecurity programs to better automate defensive capabilities.”. (H) プログラムを通じて収集されたセキュリティ・データを他の政府全体のサイバーセキュリティ・プログラムと集約し、防御能力をより自動化できるようにするための措置を講じる。
(b) Continuous Diagnostics And Mitigation Strategy.— (b) 継続的診断・軽減戦略。
(1) IN GENERAL.—Not later than 180 days after the date of the enactment of this Act, the Secretary of Homeland Security shall develop a comprehensive continuous diagnostics and mitigation strategy to carry out the continuous diagnostics and mitigation program required under subsection (g) of section 2213 of the Homeland Security Act of 2002 (6 U.S.C. 663), as added by subsection (a). (1) 全般:本法律の制定日から 180 日以内に、国土安全保障長官は、2002 年国土安全保障法 (6 U.S.C. 663) の第 2213 項 (g) の下で義務付けられた継続的診断・軽減プログラムを実施するために、包括的継続的診断 および軽減戦略を策定するものとし、同項 (a) によって追加されるものとする。
(2) SCOPE.—The strategy required under paragraph (1) shall include the following: (2) 範囲:(1)項の下で要求される戦略は、以下を含むものとする。
(A) A description of the coordination and funding required to deploy, install, and maintain the tools, capabilities, and services that the Secretary of Homeland Security determines to be necessary to satisfy the requirements of such program. (A) 当該プログラムの要件を満たすために国土安全保障省長官が必要と判断したツール、能力、およびサービスを配備、設置、および維持するために必要な調整および資金の説明。
(B) A description of any obstacles facing the deployment, installation, and maintenance of tools, capabilities, and services under such program. (B) 当該プログラムの下で、ツール、能力、およびサービスの展開、設置、および維持に直面するあらゆる障害についての説明。
(C) Guidelines to help maintain and continuously upgrade tools, capabilities, and services provided under such program. (C) 当該プログラムの下で提供されるツール、能力、およびサービスの維持と継続的なアップグレードを支援するためのガイドライン。
(D) A plan for using the data collected by such program for creating a common framework for data analytics, visualization of enterprise-wide risks, and real-time reporting, and comparative assessments for cybersecurity risks. (D) データ分析、企業全体のリスクの可視化、リアルタイム報告、サイバーセキュリティリスクの比較評価のための共通のフレームワークを構築するために、当該プログラムによって収集されたデータを使用するための計画。
(E) Recommendations for using the data to enable the Cybersecurity and Infrastructure Security Agency to engage in cyber hunt and detection and response activities. (E) サイバーセキュリティ及びインフラセキュリティ庁がサイバーハント及び検知・対応活動に従事することを可能にするためのデータの使用に関する提言。
(F) Recommendations for future efforts and activities, including for the rollout of new and emerging tools, capabilities and services, proposed timelines for delivery, and whether to continue the use of phased rollout plans, related to securing networks, devices, data, and information and operational technology assets through the use of such program. (F) 当該プログラムの利用によるネットワーク、機器、データ、情報及び運用技術資産の安全確保に関連する、新規のツール、能力及びサービスの展開、提供のタイムライン案、段階的展開計画の利用継続の有無など、今後の取り組み及び活動に対する提言。
(G) Recommendations for improving the integration process of continuous diagnostics and mitigation products and capabilities within agency systems. (G) 継続的な診断と軽減のための製品及び機能の省庁システム内への統合プロセスを改善するための提言。
(3) FORM.—The strategy required under paragraph (1) shall be submitted in an unclassified form, but may contain a classified annex. (3) 書式 -第(1)項に基づき要求される戦略は、非分類された形式で提出されるものとするが、分類された附属書を含むことができる。
SEC. 3. FEDERAL INTRUSION DETECTION AND PREVENTION SYSTEM AND CONTINUOUS DIAGNOSTICS AND MITIGATION PILOT PROGRAM FOR STATE, LOCAL, TRIBAL, AND TERRITORIAL GOVERNMENTS. 第3条 連邦侵入検知・防止システムおよび州・地方・部族・準州政府向け継続的診断・軽減パイロット・プログラム。
(a) Definitions.—In this section— (a) 定義:本節では、以下を定義する。
(1) the terms “local government” and “State” have the meanings given those terms in section 3 of the Homeland Security Act of 2002 (6 U.S.C. 101); (1) 「地方自治体」および「州」という用語は、2002年国土安全保障法(6 U.S.C. 101)の第3節においてこれらの用語に与えられた意味を有する。
(2) the term “Secretary” means the Secretary of Homeland Security; and (2) 「長官」という用語は、国土安全保障省長官を意味する。
(3) the term “Tribal government” means the recognized governing body of any Indian or Alaska Native Tribe, band, nation, pueblo, village, community, component band, or component reservation, that is individually identified (including parenthetically) in the most recent list published pursuant to section 104 of the Federally Recognized Indian Tribe List Act of 1994 (25 U.S.C. 5131). (3) 「部族政府」とは、1994年連邦公認インディアン部族リスト法(25 U.S.C. 5131)の104項に従って発行された最新のリストで個別に特定(括弧書きを含む)されている、インディアンまたはアラスカ先住民族の認定統治団体を意味します。
(b) Establishment.—The Secretary shall conduct a Continuous Diagnostics and Mitigation Pilot Program with not less than 5 State, local, Tribal, or territorial governments to— (b) 設立:長官は、5つ以上の州、地方、部族、または準州政府と共に、以下の目的で継続的診断・軽減パイロット・プログラムを実施するものとする。
(1) promote the use of technologies and services in the continuous diagnostics and mitigation program described in subsection (g) of section 2213 of the Homeland Security Act of 2002 (6 U.S.C. 663), as added by section 2 of this Act, at the State, local, Tribal, and territorial government level; (1) 2002年国土安全保障法(6 U.S.C. 663)第2213節の(g)項に記載された継続的診断・軽減プログラムの技術およびサービスの使用を、州、地方、部族、および準州政府レベルで促進すること。
(2) with or without reimbursement, make accessing the technologies and services described in paragraph (1) by State, local, Tribal, and territorial governments as affordable and simple as possible; (2) 払い戻しの有無にかかわらず、州、地方、部族、および準州政府が (1) 項で述べた技術およびサービスをできる限り安価かつ簡便に利用できるようにする。
(3) promote the adoption of a zero trust security model in improving cybersecurity readiness at the State, local, Tribal, and territorial government level; and (3) 州、地方、部族、および準州政府レベルにおけるサイバーセキュリティの準備態勢を改善する上で、ゼロ・トラスト・セキュリティ・モデルの採用を促進する。
(4) provide technical assistance in integrating continuous diagnostics and mitigation technologies and products into State, local, Tribal, and territorial government systems. (4) 継続的な診断と軽減の技術および製品を州、地方、部族、および領土の政府システムに統合するための技術支援を提供する。
(c) Considerations.—In selecting a State, local, or Tribal government for participation in the pilot program established under subsection (b), the Secretary shall consider— (c) 考慮事項:(b)項に基づき設立されたパイロット・プログラムに参加する州、地方、または部族政府を選択する際、長官は以下を考慮するものとする。
(1) the extent to which the State, local, Tribal, or territorial government aligns its cybersecurity policies with the Center for Internet Security Critical Security Controls, the National Institute of Standards and Technology Cybersecurity Framework, or other widely accepted cybersecurity frameworks; and (1) 州、地方、部族、または準州政府が、Center for Internet Security Critical Security Controls、National Institute of Standards and Technology Cybersecurity Framework、またはその他の広く受け入れられたサイバーセキュリティの枠組みに、どの程度サイバーセキュリティ政策を合致させるか。
(2) the capability of the State, local, Tribal, or territorial government to deploy and maintain over time continuous diagnostics and mitigation products and services. (2) 国家、地方、部族、または準州政府が、継続的な診断と軽減のための製品およびサービスを展開し、長期的に維持する能力。
(d) Program Requirements.—The pilot program established under this section— (d) プログラムの要件:本節に基づき設立されたパイロットプログラムは、以下の通りである。
(1) may not require participants to utilize certain strategies or tools, and shall allow participants to select and integrate tools for meeting the objectives of the pilot program; and (1) 特定の戦略やツールの利用を参加者に義務付けることはできず、パイロットプログラムの目的を達成するためのツールを参加者が選択し、統合できるようにしなければならない。
(2) shall include comprehensive training curriculum and integration assistance to close the technical expertise gap between employees of State, local, Tribal, and territorial governments and employees of the Cybersecurity and Infrastructure Security Agency. (2) 州、地方、部族、および準州政府の職員とサイバーセキュリティおよびインフラセキュリティ局の職員との間の技術的専門知識の格差を解消するための包括的なトレーニングカリキュラムと統合支援を含むものとする。
(e) Report.—Not later than 180 days after the date on which the pilot program terminates under this section, the Secretary shall submit to Congress a report that includes— (e) 報告書:本条に基づく試験的プログラムが終了した日から 180 日以内に、長官は以下を含む報告書を議会に提出するものとする。
(1) an assessment of the replicability and the costs and benefits of conducting a permanent State, local, Tribal, and territorial government continuous diagnostics and mitigation program as described in subsection (g) of section 2213 of the Homeland Security Act of 2002 (6 U.S.C. 663), as added by section 2 of this Act; (1) 2002年国土安全保障法(6 U.S.C. 663)第2213節の(g)項に記載されている、州、地方、部族、および準州政府の継続的診断と軽減プログラムを恒常的に実施することの再現性ならびに費用と利益の評価、本法の第2節により追加されたもの。
(2) the extent to which State, local, Tribal, and territorial governments in the pilot program adhere to widely accepted cybersecurity standards and frameworks and the impact that those policies have on potential widespread sub-Federal continuous diagnostics and mitigation integration; and (2) パイロットプログラムに参加する州、地方、部族、および準州の政府が、広く受け入れられているサイバーセキュリティの基準および枠組みをどの程度遵守しているか、およびこれらの政策が連邦政府以下の継続的診断と軽減の統合に与える潜在的影響。
(3) an assessment of the cybersecurity readiness of participants in the pilot program established under this section prior to participation in the pilot program as compared to after completion of the pilot program. (3) 本条に基づき設立されたパイロットプログラム参加者のサイバーセキュリティ準備態勢について、パイロットプログラム参加前とパイロットプログラム終了後を比較した評価。
(f) Termination.—The authority to conduct the pilot program under subsections (a) through (d) shall terminate on the date that is 3 years after the date of enactment of this Act. (f) 終了-(a)~(d)項に基づくパイロット・プログラムを実施する権限は、本法律の制定日から3年後の日に終了するものとする。

 

Fig1_20220328115201

 


 

CDMが出てくる記事。。。

まるちゃんの情報セキュリティ気まぐれ日記

・2021.11.05 米国 国土安全保障省 拘束力のある運用指令22-01 悪用された既知の脆弱性についての重大なリスクの低減

・2021.11.02 MITRE 連邦政府のサイバーセキュリティを向上させるための議会への8つの提言

・2021.08.05 米国連邦議会上院 国土安全保障・政府問題委員会 「アメリカのデータは危険にさらされている」

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2020.08.19 米国GAO 国土安全保障省と特定の機関は、ネットワーク監視プログラムの実装上の欠点に対処する必要がある

・2020.08.14 NIST SP 800-207 Zero Trust Architecture

|

« 金融庁 「金融分野における個人情報保護に関するガイドライン」等の改正 | Main | 米国 GAO 政府・社会に影響を与えるトレンド (2022.03.15) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 金融庁 「金融分野における個人情報保護に関するガイドライン」等の改正 | Main | 米国 GAO 政府・社会に影響を与えるトレンド (2022.03.15) »