米国の「サイバーセキュリティに関するバイデン大統領の声明」を受けての日本政府の「サイバーセキュリティ対策の強化について注意喚起」
こんにちは、丸山満彦です。
経済産業省、総務省、警察庁、NISCが2022.03.24に「サイバーセキュリティ対策の強化について注意喚起」を行っていますね。。。
ロシア・ウクライナ問題に関連して(それ以外にもランサムウェアとエモテットも)ということで、2月23日、3月1日に続いての注意喚起です。。。
● 経済産業省
・2022.03.24 サイバーセキュリティ対策の強化について注意喚起を行います
1.概要
昨今のサイバー攻撃事案のリスクの高まりを踏まえ、政府においては、2月23日に「昨今の情勢を踏まえたサイバーセキュリティ対策の強化について(別添1)」、3月1日に「サイバーセキュリティ対策の強化について(別添2)」注意喚起を行っております。
その後も、国内では、ランサムウェアによる攻撃をはじめとするサイバー攻撃事案の報告が続いており、また、エモテットと呼ばれるマルウェアによる感染の増加も見られるところです。また、米国では、3月21日に、バイデン大統領が、国内の重要インフラ事業者等に対して、ロシアが潜在的なサイバー攻撃の選択肢を模索しており警戒を呼びかける声明を発表するとともに、企業等に対してサイバーセキュリティ対策を強化する具体策を提示しています。
このようなランサムウェアやエモテットなど現下の情勢を踏まえ、政府機関や重要インフラ事業者をはじめとする各企業・団体等においては、組織幹部のリーダーシップの下、サイバー攻撃の脅威に対する認識を深めるとともに、上記の2月23日及び3月1日の注意喚起にある対策(①リスク低減のための措置、②インシデントの早期検知、③インシデント発生時の適切な対処・回復)の徹底をあらためてお願いいたします。
また、ランサムウェアやエモテットについては、これまで専門機関等において公表している情報・サイトを確認の上、対応を講じるようお願いいたします。あわせて、不審な動き等を検知した場合は、速やかに所管省庁、セキュリティ関係機関に対して情報提供いただくとともに、警察にもご相談ください。
2.中小企業向け対策
自社がサイバー攻撃による被害を受けた場合、その影響は自社にとどまらず、サプライチェーン全体の事業活動に及ぶ可能性があることを踏まえ、「サイバーセキュリティお助け隊サービス」の活用など積極的なサイバーセキュリティ対策に取り組むことを推奨します。
● 総務省
・2022.03.24 現下の情勢を踏まえたサイバーセキュリティ対策の強化について (注意喚起)
● 警察庁
・2022.03.24 [PDF]
● NISC
・2022.03.24 [PDF] 現下の情勢を踏まえたサイバーセキュリティ対策の強化について(注意喚起)
ということですが、米国のバイデン大統領の声明等は、、、
● White House
・2022.03.21 Statement by President Biden on our Nation’s Cybersecurity
| Statement by President Biden on our Nation’s Cybersecurity | バイデン大統領による我が国のサイバーセキュリティに関する声明 |
| This is a critical moment to accelerate our work to improve domestic cybersecurity and bolster our national resilience. I have previously warned about the potential that Russia could conduct malicious cyber activity against the United States, including as a response to the unprecedented economic costs we’ve imposed on Russia alongside our allies and partners. It’s part of Russia’s playbook. Today, my Administration is reiterating those warnings based on evolving intelligence that the Russian Government is exploring options for potential cyberattacks. | 今こそ、国内のサイバーセキュリティを向上させ、国家の強靭性を強化するための取り組みを加速させるべき重要な時です。 私は以前、同盟国やパートナーとともにロシアに課した前例のない経済的コストへの反応として、ロシアが米国に対して悪意のあるサイバー活動を行う可能性について警告しました。これはロシアの戦術の一部です。本日、ロシア政府がサイバー攻撃の可能性を探っているという新たな情報に基づいて、私の政権はこれらの警告を再確認しています。 |
| From day one, my Administration has worked to strengthen our national cyber defenses, mandating extensive cybersecurity measures for the Federal Government and those critical infrastructure sectors where we have authority to do so, and creating innovative public-private partnerships and initiatives to enhance cybersecurity across all our critical infrastructure. Congress has partnered with us on these efforts — we appreciate that Members of Congress worked across the aisle to require companies to report cyber incidents to the United States Government. | 初日から、私の政権は、連邦政府とその権限のある重要インフラ部門に広範なサイバーセキュリティ対策を義務付け、すべての重要インフラでサイバーセキュリティを強化するための革新的な官民パートナーシップとイニシアティブを構築し、国家のサイバー防衛の強化に努めてきました。議会はこれらの取り組みにおいて私たちと協力関係にあります。私たちは、議員たちが通路を越えて協力し、企業に米国政府へのサイバーインシデント報告を義務付けたことを高く評価しています。 |
| My Administration will continue to use every tool to deter, disrupt, and if necessary, respond to cyberattacks against critical infrastructure. But the Federal Government can’t defend against this threat alone. Most of America’s critical infrastructure is owned and operated by the private sector and critical infrastructure owners and operators must accelerate efforts to lock their digital doors. The Department of Homeland Security’s Cybersecurity and Infrastructure Security Agency (CISA) has been actively working with organizations across critical infrastructure to rapidly share information and mitigation guidance to help protect their systems and networks | 私の政権は、重要インフラに対するサイバー攻撃を阻止し、混乱させ、必要であれば対応するために、あらゆる手段を引き続き使用するつもりです。しかし、連邦政府だけではこの脅威から身を守ることはできません。米国の重要インフラのほとんどは民間企業によって所有・運営されており、重要インフラの所有者と運営者は、デジタルドアをロックする努力を加速させなければなりません。国土安全保障省のサイバーセキュリティおよびインフラセキュリティ局(CISA)は、重要インフラの各組織と積極的に協力し、システムやネットワークの保護に役立つ情報や緩和策を迅速に共有することに努めています。 |
| If you have not already done so, I urge our private sector partners to harden your cyber defenses immediately by implementing the best practices we have developed together over the last year. You have the power, the capacity, and the responsibility to strengthen the cybersecurity and resilience of the critical services and technologies on which Americans rely. We need everyone to do their part to meet one of the defining threats of our time — your vigilance and urgency today can prevent or mitigate attacks tomorrow. | まだの方は、私たちが昨年開発したベストプラクティスを実施し、直ちにサイバー防衛を強化するよう、民間企業のパートナーに強く求めます。皆さんには、米国人が依存する重要なサービスや技術のサイバーセキュリティと回復力を強化する力、能力、そして責任があります。私たちは、現代の決定的な脅威の1つに対応するために、すべての人が自分の役割を果たす必要があります。今日のあなたの警戒心と緊急性は、明日の攻撃を防止または軽減することができます。 |
・2022.03.21 FACT SHEET: Act Now to Protect Against Potential Cyberattacks
| FACT SHEET: Act Now to Protect Against Potential Cyberattacks | ファクトシート: 潜在的なサイバー攻撃から身を守るために今すぐ行動しよう |
| The Biden-Harris Administration has warned repeatedly about the potential for Russia to engage in malicious cyber activity against the United States in response to the unprecedented economic sanctions we have imposed. There is now evolving intelligence that Russia may be exploring options for potential cyberattacks. | バイデン=ハリス政権は、我々が課した前例のない経済制裁に対抗して、ロシアが米国に対して悪質なサイバー活動を行う可能性について繰り返し警告してきました。 現在、ロシアが潜在的なサイバー攻撃の選択肢を探っている可能性があるという情報が進展中です。 |
| The Administration has prioritized strengthening cybersecurity defenses to prepare our Nation for threats since day one. President Biden’s Executive Order is modernizing the Federal Government defenses and improving the security of widely-used technology. The President has launched public-private action plans to shore up the cybersecurity of the electricity, pipeline, and water sectors and has directed Departments and Agencies to use all existing government authorities to mandate new cybersecurity and network defense measures. Internationally, the Administration brought together more than 30 allies and partners to cooperate to detect and disrupt ransomware threats, rallied G7 countries to hold accountable nations who harbor ransomware criminals, and taken steps with partners and allies to publicly attribute malicious activity. | 米国政府は初日から、脅威に対する国家の備えとして、サイバーセキュリティの防御を強化することを優先してきました。バイデン大統領の大統領令は、連邦政府の防御を近代化し、広く使用されている技術のセキュリティを向上させるものです。大統領は、電力、パイプライン、水道部門のサイバーセキュリティを強化する官民の行動計画を立ち上げ、各省庁に対し、既存のあらゆる政府権限を用いて新たなサイバーセキュリティおよびネットワーク防御策を義務付けるように指示しました。国際的には、ランサムウェアの脅威を検出して破壊するために30以上の同盟国やパートナーを集め、ランサムウェアの犯罪者をかくまった国の責任を問うためにG7諸国を結集し、パートナーや同盟国とともに悪質な行為を公にするための措置を講じました。 |
| We accelerated our work in November of last year as Russian President Vladimir Putin escalated his aggression ahead of his further invasion of Ukraine with extensive briefings and advisories to U.S. businesses regarding potential threats and cybersecurity protections. The U.S. Government will continue our efforts to provide resources and tools to the private sector, including via CISA’s Shields-Up campaign and we will do everything in our power to defend the Nation and respond to cyberattacks. But the reality is that much of the Nation’s critical infrastructure is owned and operated by the private sector and the private sector must act to protect the critical services on which all Americans rely. | 昨年11月には、ロシアのウラジーミル・プーチン大統領がウクライナへのさらなる侵攻を前にして攻撃をエスカレートさせたため、潜在的な脅威とサイバーセキュリティ保護に関する米国企業への大規模な説明と勧告を行い、活動を加速させました。米国政府は、CISAのシールドアップキャンペーンを含め、民間企業にリソースやツールを提供する努力を続け、国家を防衛しサイバー攻撃に対応するために全力を尽くします。しかし、現実には、国家の重要インフラの多くが民間企業によって所有・運営されており、民間企業はすべてのアメリカ人が依存する重要サービスを保護するために行動しなければなりません。 |
| We urge companies to execute the following steps with urgency: | 我々は、企業が以下のステップを緊急に実行することを強く求めます。 |
| ・Mandate the use of multi-factor authentication on your systems to make it harder for attackers to get onto your system; | ・攻撃者がシステムに侵入するのを困難にするため、システム上で多要素認証の使用を義務付けてください。 |
| ・Deploy modern security tools on your computers and devices to continuously look for and mitigate threats; | ・コンピュータやデバイスに最新のセキュリティツールを導入し、継続的に脅威を発見し、軽減してください。 |
| ・Check with your cybersecurity professionals to make sure that your systems are patched and protected against all known vulnerabilities, and change passwords across your networks so that previously stolen credentials are useless to malicious actors; | ・サイバーセキュリティの専門家に相談し、既知の脆弱性に対してパッチが適用され、システムが保護されていることを確認し、ネットワーク全体のパスワードを変更し、以前に盗まれた認証情報が悪意のある行為者にとって無用になるようにしてください。 |
| ・Back up your data and ensure you have offline backups beyond the reach of malicious actors; | ・データをバックアップし、悪意ある者の手の届かないところにオフラインでバックアップしておいてください。 |
| ・Run exercises and drill your emergency plans so that you are prepared to respond quickly to minimize the impact of any attack; | ・攻撃の影響を最小限に抑えるため、緊急時対応策の訓練や演習を行い、迅速に対応できるようにしてください。 |
| ・Encrypt your data so it cannot be used if it is stolen; | ・データを暗号化し、盗まれても使用できないようにしてください。 |
| ・Educate your employees to common tactics that attackers will use over email or through websites, and encourage them to report if their computers or phones have shown unusual behavior, such as unusual crashes or operating very slowly; and | ・攻撃者が電子メールやウェブサイトで使用する一般的な手口について従業員を教育し、コンピュータや携帯電話が異常にクラッシュしたり、動作が非常に遅くなるなどの異常な動作を示した場合は、報告するよう奨励します。 |
| ・Engage proactively with your local FBI field office or CISA Regional Office to establish relationships in advance of any cyber incidents. Please encourage your IT and Security leadership to visit the websites of CISA and the FBI where they will find technical information and other useful resources. | ・そして、地元のFBI支局やCISA地域事務局と積極的に関わり、サイバーインシデントに備えて関係を構築しておいてください。IT部門やセキュリティ部門のリーダーには、CISAやFBIのウェブサイトを訪問し、技術情報やその他の有用なリソースを入手するよう勧めてください。 |
| We also must focus on bolstering America’s cybersecurity over the long term. We encourage technology and software companies to: | また、長期的に米国のサイバーセキュリティを強化することにも注力しなければなりません。私たちは、テクノロジーおよびソフトウェア企業に対して、次のことを推奨します。 |
| ・Build security into your products from the ground up — “bake it in, don’t bolt it on” — to protect both your intellectual property and your customers’ privacy. | ・自社の知的財産と顧客のプライバシーの両方を保護するために、製品に最初からセキュリティを組み込むこと(「bake it in, don't bolt it on」(ボルトで取り付けるのではなく、焼き付ける))。 |
| ・Develop software only on a system that is highly secure and accessible only to those actually working on a particular project. This will make it much harder for an intruder to jump from system to system and compromise a product or steal your intellectual property. | ・高度に安全で、特定のプロジェクトに実際に携わっている人たちだけがアクセスできるシステム上で、ソフトウェアを開発すること。 そうすれば、侵入者がシステムからシステムへ移動して、製品を危険にさらしたり、知的財産を盗んだりすることが非常に難しくなります。 |
| ・Use modern tools to check for known and potential vulnerabilities. Developers can fix most software vulnerabilities — if they know about them. There are automated tools that can review code and find most coding errors before software ships, and before a malicious actor takes advantage of them. | ・既知および潜在的な脆弱性をチェックするために、最新のツールを使用する。開発者は、ソフトウェアの脆弱性のほとんどを修正することができます - 彼らがそれを知っていれば。 自動化されたツールは、ソフトウェアを出荷する前に、そして悪意ある行為者がそれを利用する前に、コードをレビューしてほとんどのコーディングエラーを発見することができます。 |
| ・Software developers are responsible for all code used in their products, including open source code. Most software is built using many different components and libraries, much of which is open source. Make sure developers know the provenance (i.e., origin) of components they are using and have a “software bill of materials” in case one of those components is later found to have a vulnerability so you can rapidly correct it. | ・ソフトウェア開発者は、オープンソースコードを含め、製品に使用されているすべてのコードに対して責任を負います。ほとんどのソフトウェアは、多くの異なるコンポーネントやライブラリを使用して構築されており、その多くはオープンソースです。 開発者は、使用しているコンポーネントの出所(起源)を把握し、それらのコンポーネントのいずれかに脆弱性があることが後で判明した場合に備えて「ソフトウェア部品表」を用意し、迅速に修正できるようにしてください。 |
| ・Implement the security practices mandated in the President’s Executive Order, Improving our Nation’s Cybersecurity. Pursuant to that EO, all software the U.S. government purchases is now required to meet security standards in how it is built and deployed. We encourage you to follow those practices more broadly. | ・大統領令「国家のサイバーセキュリティを改善する」で義務付けられているセキュリティ対策を実施する。この大統領令に基づき、米国政府が購入するすべてのソフトウェアは、その構築と展開の方法においてセキュリティ基準を満たすことが求められるようになりました。私たちは、より広範にこれらの慣行に従うことをお勧めします。 |
サイバーセキュリティの部分だけ。。。その後にウクライナ問題(中国の対応も含む)の質疑が続き、興味深いのですが、、、
| Press Briefing by Press Secretary Jen Psaki and Deputy NSA for Cyber and Emerging Technologies Anne Neuberger, March 21, 2022 | ジェン・プサキ報道官とアン・ニューバーガーNSAサイバー・エマージング・テクノロジー担当副長官によるプレス・ブリーフィング(2022年3月21日)。 |
| 2:45 P.M. EDT | 2:45 P.M. EDT |
| MS. PSAKI: Hi, everyone. Okay, we have a very special return guest today, Deputy National Security Advisor Anne Neuberger, who is here to provide a brief update on cyber. You probably have seen the statement from the President we issued, as well as a factsheet; she’ll talk about that. Has a little bit of time to take some questions, and then we’ll do a briefing from there. | サキ報道官: 皆さん、こんにちは。 今日は特別に、アン・ノイバーガー国家安全保障副顧問にお越しいただき、サイバーに関する簡単な最新情報をお伝えします。 おそらく皆さんは、私たちが発表した大統領声明とファクトシートをご覧になったと思いますが、それについてお話します。 少し質問を受ける時間がありますので、そこからブリーフィングを行います。 |
| With that, I’ll turn it over to Anne. | それでは、アンさんにバトンタッチします。 |
| MS. NEUBERGER: Thank you, Jen. Good afternoon, everyone. | ノイバーガー副顧問: ありがとうございます、ジェン。 皆さん、こんにちは。 |
| This afternoon, the President released a statement and factsheet regarding cyber threats to the homeland, urging private sector partners to take immediate action to shore up their defenses against potential cyberattacks. | 本日午後、大統領は国土へのサイバー脅威に関する声明とファクトシートを発表し、民間セクターのパートナーに対し、潜在的なサイバー攻撃に対する防御を強化するために直ちに行動を起こすよう要請しました。 |
| We’ve previously warned about the potential for Russia to conduct cyberattacks against the United States, including as a response to the unprecedented economic costs that the U.S. and Allies and partners imposed in response to Russia’s further invasion of Ukraine. | 我々は以前から、ロシアが米国に対してサイバー攻撃を行う可能性について警告してきました。その中には、ロシアによるウクライナへのさらなる侵攻に対して、米国と同盟国およびパートナーが課した前例のない経済コストに対する反応としてのものも含まれています。 |
| Today, we are reiterating those warnings, and we’re doing so based on evolving threat intelligence that the Russian government is exploring options for potential cyberattacks on critical infrastructure in the United States. | 本日、私たちはこれらの警告を繰り返し、ロシア政府が米国の重要インフラに対する潜在的なサイバー攻撃のオプションを模索しているという進化した脅威情報に基づいて、この警告を行なっています。 |
| To be clear, there is no certainty there will be a cyber incident on critical infrastructure. So why am I here? Because this is a call to action and a call to responsibility for all of us. | はっきり言えば、重要インフラへのサイバー攻撃が必ず起こるというわけではありません。 では、なぜ私がここにいるのか? それは、これは私たち全員への行動要請であり、責任追及の呼びかけだからです。 |
| At the President’s direction, the administration has worked extensively over the last year to prepare to meet this sort of threat, providing unprecedented warning and advice to the private sector and mandating cybersecurity measures where we have the authority to do so. | 大統領の指示のもと、行政は昨年、この種の脅威に備えるために広範囲に働きかけ、民間部門に前例のない警告と助言を与え、権限のあるところにはサイバーセキュリティ対策を義務付けてきました。 |
| For example, just last week, federal agencies convened more than 100 companies to share new cybersecurity threat information in light of this evolving threat intelligence. During those meetings, we shared resources and tools to help companies harden their security, like advisories sourced from sensitive threat intelligence and hands-on support from local FBI field offices and sister regional offices, including their Shields Up program. | 例えば、先週、連邦政府機関は100社以上の企業を招集し、この進化する脅威情報を踏まえて、新たなサイバーセキュリティ脅威情報を共有したところです。 この会議では、機密性の高い脅威情報を基にした勧告や、FBI の地方支局および姉妹支局による実地支援(Shields Up プログラムなど)など、企業のセキュリティ強化を支援するリソースやツールも共有しました。 |
| The meeting was part of an extensive cybersecurity resilience effort that we began in the fall, prompted by the President. Agencies like Energy, EPA, Treasury, and DHS have hosted both classified and unclassified briefings with hundreds of owners and operators of privately owned critical infrastructure. CISA, NSA, and FBI have published cybersecurity advisories that set out protections the private sector can deploy to improve security. | この会議は、大統領に促されて秋に開始したサイバーセキュリティの回復に向けた広範な取り組みの一環として行われたものです。 エネルギー省、環境保護庁、財務省、DHSなどの機関は、民間が所有する重要インフラの所有者や運営者を対象に、機密・非機密の両面で説明会を開催してきました。 CISA、NSA、FBIは、民間企業がセキュリティ向上のために導入できる保護策を示したサイバーセキュリティアドバイザリーを発表しました。 |
| The President has also directed departments and agencies to use all existing government authorities to mandate new cybersecurity and network defense measures. You’ve seen us do that where we have the authority to do so, including TSA’s work that mandated directives for the oil and gas pipelines following the Colonial Pipeline incident that highlighted the significant gaps in resilience for that sector. | また、大統領は各省庁に対し、既存のあらゆる政府権限を用いて、新たなサイバーセキュリティおよびネットワーク防御対策を義務付けるよう指示しました。 例えば、コロニアル・パイプライン事件では、石油・ガスパイプラインの回復力に大きなギャップがあることが明らかになりましたが、TSA はこの事件を受けて、石油・ガスパイプラインに対する指令の策定を義務付けるなど、権限があるところでは私たちがそれを行っているのを皆さんはご存知でしょう。 |
| Our efforts together over the past year has helped drive much-needed and significant improvements. But there’s so much more we need to do to have the confidence that we’ve locked our digital doors, particularly for the critical services Americans rely on. | この1年間、私たちは共に努力し、必要とされる重要な改善を推進することができました。 しかし、特に米国人が依存している重要なサービスにおいて、デジタルドアをロックしたと確信するためには、さらに多くのことを行う必要があります。 |
| The majority of our critical infrastructure, as you know, is owned and operated by the private sector. And those owners and operators have the ability and the responsibility to harden the systems and networks we all rely on. | ご存知のように、重要インフラの大部分は民間企業によって所有・運営されています。 そして、これらの所有者や運営者は、私たち全員が依存しているシステムやネットワークを強化する能力と責任を持っています。 |
| Notwithstanding these repeated warnings, we continue to see adversaries compromising systems that use known vulnerabilities for which there are patches. This is deeply troubling. | このような再三の警告にもかかわらず、敵対者は、パッチが存在する既知の脆弱性を利用して、システムを侵害するケースが後を絶ちません。 これは非常に困ったことです。 |
| So we’re urging, today, companies to take the steps within your control to act immediately to protect the services millions of Americans rely on and to use the resources the federal government makes available. The factsheet released alongside the President’s statement contains the specific actions that we’re calling companies to do. | そこで本日、私たちは企業に対して、何百万人ものアメリカ人が信頼しているサービスを保護するために、自分の手の届く範囲で直ちに行動し、連邦政府が提供するリソースを利用するよう求めています。 大統領の声明と同時に発表されたファクトシートには、私たちが企業に呼びかけている具体的なアクションが記載されています。 |
| I would be remiss if I didn’t reiterate the President’s thanks to Congress for its partnership in this effort, including making cybersecurity resources available in the Bipartisan Infrastructure Law and, most recently, for working across the aisle to require companies to report cyber incidents to the federal government. That will ensure federal resources are focused on the most important cyber threats to the American people. | 超党派インフラ法においてサイバーセキュリティのリソースを利用できるようにしたこと、また最近では、企業がサイバーインシデントを連邦政府に報告することを義務付けるために、党派を超えて協力したことなど、この取り組みにおける議会の協力に対して、大統領から改めて謝意を表明しないのは不注意と言わざるを得ません。 これにより、連邦政府のリソースが米国民にとって最も重要なサイバー脅威に集中することが保証されます。 |
| We welcome additional congressional work to identify new authorities that can help address gaps and drive down collective cybersecurity risk. | 私たちは、サイバーセキュリティのリスクに対処するための新たな権限を特定するための議会のさらなる活動を歓迎します。 |
| Bottom line: This is about us — the work we need to do to lock our digital doors and to put the country in the best defensive position. | 結論 これは私たちのことであり、私たちのデジタル・ドアをロックし、国を最高の防御態勢に置くために必要な作業です。 |
| And there is them. As the President has said: The United States is not seeking confrontation with Russia. But he has also said that if Russia conducts disruptive cyberattacks against critical infrastructure, we will be prepared to respond. | そして、彼らです。 大統領も言っています。米国はロシアとの対立を望んでいません。 しかし、ロシアが重要なインフラに対して破壊的なサイバー攻撃を行った場合、我々は対応する用意があるとも言っています。 |
| Thank you. | ありがとうございました。 |
| MS. PSAKI: All right. Let me just first ask, for those of you in the aisles, if you’re not a photographer, there’s plenty of seats. So if you could sit down, that would be great, and not crowd the others in the seats. | サキ報道官: ありがとうございます。 最初にお伺いしますが、通路にいらっしゃる方、もしカメラマンでなければ、席はたくさんあります。 他の方と混雑しないように、座っていただけると助かります。 |
| So, we don’t have unlimited time, so if people — we just want to get to as many people as possible. | 時間が無制限にあるわけではないので、できるだけ多くの人に参加してもらいたいのです。 |
| So, go ahead. | では、どうぞ。 |
| Q Thank you, Jen. Hi, Anne. Just a quick question on the Viasat attack that happened on the 24th of Feb, the day Russia attacked Ukraine. We’ve obviously seen that impact satellite communication networks in Eastern Europe. And since then, the FBI and CISA have issued warnings that similar attacks can happen against U.S. companies. | Q ありがとうございます、ジェン。 こんにちは、アン。 2月24日、ロシアがウクライナを攻撃した日に起こったViasatの攻撃についてちょっと質問です。 東欧の衛星通信ネットワークに影響を与えたことは明らかです。 それ以来 FBI と CISA は同様の攻撃が米国企業にも起こりうるという警告を発しています。 |
| Is the U- — is the U.S. in a position to perhaps identify who is behind the hack at this moment? | 米国は、現時点でハッキングの背後にいる人物を特定できる立場にあるのでしょうか。 |
| MS. NEUBERGER: It’s a really good question. So, first, I want to lift up: FBI and CISA and NSA also highlighted protective security measures that U.S. companies can put in place to protect against exactly that kind of attack. We have not yet attributed that attack, but we’re carefully looking at it because, as you noted, of the impact not only in Ukraine but also in satellite communication systems in Europe as well. | ノイバーガー副顧問:実にいい質問ですね。 そこで、まず、持ち上げておきたいことがあります。FBI と CISA と NSA は、まさにその種の攻撃から守るために、米国企業が導入可能な保護的なセキュリティ対策も強調しています。 しかし、ご指摘の通り、ウクライナだけでなく、欧州の衛星通信システムにも影響があるため、我々は慎重に調査しています。 |
| Q Does the sophistication of the attack, perhaps the timing of it, suggest that it’s a state actor? I mean, are you willing to — | Q 攻撃の精巧さ、おそらくそのタイミングは、国家的な行為であることを示唆しているのでしょうか。 つまり、あなたは喜んで... |
| MS. NEUBERGER: Those are certainly factors that are — we’re looking at carefully as we look at who is responsible for them. | ノイバーガー副顧問:これらは確かに要因の一つであり、私たちは誰の仕業であるかを注意深く見ています。 |
| MS. PSAKI: Phil. | サキ報道官: フィル。 |
| Q The “evolving intelligence,” it doesn’t mean that it’s a certainty there’s going to be an attack. Can you explain for the layman what you’re seeing right now that precipitated this statement today, and what the evolving intelligence may be now compared to on the 24th or prior to the invasion? | Q 「進化する情報」とは、攻撃があることが確実だという意味ではありませんね。 また、24日や侵攻前と比較して、進化する情報はどのようなものなのでしょうか? |
| MS. NEUBERGER: Absolutely. So, the first part of that is: You’ve seen the administration continuously lean forward and share even fragmentary pieces of information we have to drive and ensure maximum preparedness by the private sector. | ノイバーガー副顧問:もちろんです。 まず、その最初の部分は 民間部門が最大限の備えをするために、政権が絶えず身を乗り出して、断片的な情報でも共有しているのをご存じでしょう。 |
| So as soon as we learned about that, last week we hosted classified briefings with companies and sectors who we felt would be most affected, and provided very practical, focused advice. | そのため、先週は、この事態を知るや否や、最も影響を受けると思われる企業やセクターに対して機密扱いのブリーフィングを行い、非常に実践的で集中的なアドバイスを提供しました。 |
| Today’s broader, unclassified briefing is to raise that broader awareness and to raise that call to action. | 本日は、そのような幅広い意識を高め、行動を喚起するための、より広範な非公開のブリーフィングを行います。 |
| Q So there was something specific you saw last week that was raised to the industries that it would have affected, is what you’re saying? | Q つまり、先週見た中で、影響を受けるであろう業界に提起した具体的なものがあったということですね? |
| MS. NEUBERGER: So I want to reiterate: There is no evidence of any — of any specific cyberattack that we’re anticipating for. There is some preparatory activity that we’re seeing, and that is what we shared in a classified context with companies who we thought might be affected. And then we’re lifting up a broader awareness here in this — in this warning. | ノイバーガー副顧問: ですから、もう一度申し上げます。私たちが予期しているような具体的なサイバー攻撃の証拠はありません。 私たちが見ているのはいくつかの準備活動で、それは私たちが影響を受けるかもしれないと考えた企業と機密扱いで共有したものです。 そして、この警告の中で、より広い範囲での認識を高めています。 |
| MS. PSAKI: Major? | サキ報道官: メジャー? |
| Q Hey, Anne. When you say a “call to action,” many who hear you say that might believe that something is imminent. Is it? | Q やあ、アン。 あなたが「行動を喚起する」と言うと、それを聞いた多くの人は何かが差し迫っていると考えるかもしれません。 そうでしょうか? |
| MS. NEUBERGER: So, first, a “call to action” is because there are cyberattacks that occur every day. Hundreds of millions of dollars were paid in ransoms by U.S. companies just last year against criminal activity happening in the U.S. today. Every single day, there should be a call to action. | ノイバーガー副顧問: まず、「行動への呼びかけ」というのは、毎日のようにサイバー攻撃が行われているからです。 今日、米国で起きている犯罪行為に対して、昨年だけでも数億ドルの身代金が米国企業によって支払われています。毎日、行動への呼びかけが必要です。 |
| We’re using the opportunity of this evolving threat intelligence regarding potential cyberattacks against critical infrastructure to reiterate those with additional focus specifically to critical infrastructure owners and operators to say, “You have the responsibility to take these steps to protect the critical services Americans rely on.” | 私たちは、重要インフラに対するサイバー攻撃の可能性に関する脅威情報が進化しているこの機会を利用して、特に重要インフラの所有者や運営者に対して、「あなた方には、アメリカ人が依存する重要なサービスを保護するためにこれらの措置を取る責任があります」と、さらに焦点を絞ってこれらを繰り返し伝えているのです。 |
| Q And as a follow-up: “Critical infrastructure” is a broad term. Is it as broad as you typically mean it when the government speaks about critical infrastructure, or is there something you’ve seen that you can be more — a little bit more specific within that large frame of critical infrastructure? | Q 補足ですが、「重要インフラ」というのは幅広い言葉ですね。 それとも、重要インフラという大きな枠の中で、より-もう少し-具体的に説明できるようなことがあるのでしょうか? |
| MS. NEUBERGER: I won’t get into specific sectors at this time, because the steps that are needed to lock our digital doors need to be done across every sector of critical infrastructure. And even those sectors that we do not see any specific threat intelligence for, we truly want those sectors to double down and do the work that’s needed. | ノイバーガー副顧問:デジタルドアをロックするために必要な措置は、重要インフラのすべてのセクターで実施する必要があるからです。 また、具体的な脅威情報がないセクターについても、そのセクターが必要な作業を倍加して行うことを望んでいます。 |
| MS. PSAKI: Jacqui. | サキ報道官: ジャッキー。 |
| Q You guys, the administration, successfully declassified a lot of intelligence about what the Russians were planning leading up to the invasion to prebut what they might do. Can you do that a little bit here and at least list some of the industries that might be the biggest targets so that they can have a heightened awareness about what might be coming? | Q あなた方政権は、ロシアが侵攻前に何を計画していたか、何をしでかすかについての多くの情報の機密指定を解除することに成功しました。 ここでそれを少しやって、少なくとも最大のターゲットになりそうな産業をいくつか挙げて、これから起こるかもしれないことについて意識を高めてもらうことはできませんか? |
| MS. NEUBERGER: As we consider declassifying intelligence, to your excellent point, that really has been the work that has been done the last few weeks and was driven by a focus on outcomes. It was driven by the President’s desire to avoid war at all costs, to really invest in diplomacy. | ノイバーガー副顧問:情報の機密解除を検討する上で、ご指摘の通り、ここ数週間は成果を重視した作業が行われてきました。 戦争は何としても避け、外交に力を入れたいという大統領の意向に従ったものです。 |
| So, as we consider this information, the first step we did was we gave classified, detailed briefings to the companies and sectors for which we had some preparatory information about. And then for those where we don’t, that’s the purpose of today’s unclassified briefing: to give that broad warning. And I want to lift up the factsheet, which is really the call to action for specific activities to do. | そこで、これらの情報を検討する中で、まず、準備のための情報がある企業や分野に対しては、機密扱いで詳細なブリーフィングを行いました。 そして、そうでないものについては、今日の非機密のブリーフィングの目的である、幅広い警告を与えることです。 そして、具体的な活動を呼びかけるファクトシートも公開したいと思います。 |
| Q So you believe the people, the industries that need to know about this risk know? | Q では、このリスクについて知る必要のある人々や業界は知っているとお考えですか? |
| MS. NEUBERGER: We believe the key entities who need to know have been provided classified briefings. I mentioned, for example, just last week, several hundred companies were brought in to get that briefing. | ノイバーガー副顧問:知る必要のある重要な団体には、機密扱いのブリーフィングが提供されていると考えています。 例えば、先週、数百の企業がそのブリーフィングを受けるために集められたと申し上げました。 |
| MS. PSAKI: Peter. | サキ報道官:ピーター |
| Q Does the U.S. have any evidence that Russia has attempted a hack, either here in the U.S., in Europe, or in Ukraine, over the course of the last several weeks since this offensive began? | Q この攻勢が始まってからこの数週間の間に、ロシアが米国内、欧州、ウクライナでハッキングを試みたという証拠を米国は持っているのでしょうか? |
| MS. NEUBERGER: So, we certainly believe that Russia has conducted cyberattacks to undermine, coerce, and destabilize Ukraine. And we attributed some of those a couple of weeks ago. | ノイバーガー副顧問:私たちは、ロシアがウクライナを弱体化させ、強制し、不安定化させるためにサイバー攻撃を行ったと確信しています。 そして、私たちは2週間前にそのうちのいくつかを指摘しました。 |
| We consistently see nation states doing preparatory activity. That preparatory activity can pan out to become an incident; it cannot. And that’s the reason we’re here. | 私たちは一貫して、国家が準備活動を行うのを見てきました。 このような準備活動は、インシデントに発展することもあれば、発展しないこともあります。 それが、私たちがここにいる理由です。 |
| Q So, specifically in the U.S., as there was an assessment early on that we thought that we would be a likely target here, why do you think we have not seen any attack on critical infrastructure in the United States to this point so far? | Q では、特に米国において、早い段階から私たちは米国が標的になる可能性が高いと評価していましたが、これまでのところ、米国で重要インフラへの攻撃が見られないのはなぜだと思われますか? |
| MS. NEUBERGER: I can’t speak to Putin or Russian leadership’s strategic thinking regarding how cyberattacks factor in. | ノイバーガー副顧問:プーチンやロシア指導部の戦略的思考について、サイバー攻撃がどのような影響を及ぼすかについて、私は言及することができません。 |
| What I can speak to is the preparatory work we’ve been doing here in the U.S. and the fact that as soon as we have some evolving threat intelligence regarding a shift in that intention, that were coming out and raising the awareness to heighten our preparedness as well. | 私たちが米国で行ってきた準備作業と、その意図の変化に関する脅威の情報が入り次第、すぐに公表し、私たちの準備態勢を強化するために意識を高めてきたという事実をお話しすることは可能です。 |
| Q So you can’t say declaratively that we stopped an attack, I guess I’m saying, to this point on critical infrastructure? | Q つまり、重要インフラへの攻撃を阻止したと断言することはできないのですね。 |
| MS. NEUBERGER: Correct. | ノイバーガー副顧問: その通りです。 |
| Q Okay. Thank you. | Q わかりました。 ありがとうございました。 |
| MS. PSAKI: Colleen. | サキ報道官: コリーンさん。 |
| Q Can you explain a little bit more what preparatory activity on the part of the Russians would be? What does that look like? | Q ロシア側の準備活動とはどのようなものか、もう少し説明してもらえますか? それはどのようなものですか? |
| MS. NEUBERGER: So, preparatory activity could mean scanning websites; it could be hunting for vulnerabilities. There’s a range of activity that malicious cyber actors use, whether they’re nation state or criminals. | ノイバーガー副顧問:準備活動とは、ウェブサイトをスキャンすることかもしれませんし、脆弱性を探し出すことかもしれません。悪意のあるサイバーアクターが用いる活動は、それが国家であろうと犯罪者であろうと、さまざまなものがあります。 |
| The most troubling piece and really one I mentioned a moment ago is we continue to see known vulnerabilities, for which we have patches available, used by even sophisticated cyber actors to compromise American companies, to compromise companies around the world. And that’s one of the reasons — and that makes it far easier for attackers than it needs to be. | 最も厄介なのは、先ほど申し上げたように、パッチが提供されている既知の脆弱性が、巧妙なサイバー行為者によって利用され、米国企業や世界中の企業を危険にさらす事例が後を絶たないという点です。 そのため、攻撃者は必要以上に簡単に攻撃できるようになっています。 |
| It’s kind of — you know, I joke — I grew up in New York — you had a lock and an alarm system. The houses that didn’t or left the door open clearly were making it easier than they should have. Right? No comment about New York. (Laughter.) | 私はニューヨークで育ったのですが、鍵や警報装置があるのが当たり前でした。 そうでない家やドアを開けっ放しにしている家は、明らかに必要以上に攻撃をしやすくしているんです。 そうでしょう? ニューヨークのことはノーコメントです。 (笑)。 |
| So, clearly what we’re asking for is: Lock your digital doors. Make it harder for attackers. Make them do more work. Because a number of the practices we include in the factsheet will make it significantly harder, even for a sophisticated actor, to compromise a network. | ですから、私たちが求めているのは、はっきりとこうです。デジタルのドアに鍵をかけなさい。 攻撃者にとってより困難なものにすること。 攻撃者にもっと仕事をさせることです。 なぜなら、このファクトシートに記載されている多くの実践は、洗練された攻撃者にとっても、ネットワークを侵害することを著しく困難にするからです。 |
| MS. PSAKI: Go ahead. | サキ報道官:続けてください。 |
| Q Sorry, just to be clear: The warning today, is this in response to some of these more desperate tactics we’ve seen from Russia on ground? Are you now fearing that there might be more of a cyber risk because of what we’re seeing on the ground in Ukraine? | Q すみません、はっきりさせておきたいのですが、今日の警告は、私たちが地上で目にしたロシアのより絶望的な戦術に対応するものなのでしょうか? ウクライナで起きていることを受けて、サイバーリスクが高まることを懸念しているのでしょうか? |
| MS. NEUBERGER: So, we’ve given a number of threat intel- — of threat warnings over the last number of weeks that Russia could consider conducting cyberattacks in response to the very significant economic costs the U.S. and partners have put on Russia in response. This speaks to evolving threat intelligence and a potential shift in intention to do so. | ノイバーガー副顧問: ここ数週間、私たちは、米国とパートナー諸国がロシアに課した多大な経済的コストに対抗して、ロシアがサイバー攻撃を行う可能性があるという脅威情報を何度も警告しています。 これは、脅威の情報が進化していることと、その意図が変化する可能性があることを物語っています。 |
| Q And do you have a message for individuals? You’re talking a lot about private companies. What about households? Should they be worried about cyberattacks here? | Q そして、個人へのメッセージはありますか? あなたは民間企業について多くのことを語っています。 一般家庭はどうでしょうか。 サイバー攻撃について心配する必要があるのでしょうか? |
| MS. NEUBERGER: The items in the factsheet apply to companies and individuals as well. I’m specifically speaking to companies because there’s a responsibility to protect the critical services Americans rely on. But every individual should take a look at that fact sheet because it’s a truly helpful one. We only put in place the things that we really try to practice and work to practice ourselves. | ノイバーガー副顧問:ファクトシートの項目は、企業にも個人にも適用されます。 特に企業についてお話しするのは、米国人が依存する重要なサービスを保護する責任があるからです。 しかし、このファクトシートは本当に役に立つものなので、すべての個人が目を通すべきでしょう。 私たちは、自分たちが本当に実践しようと努力したものだけを導入しています。 |
| MS. PSAKI: Jordan. | サキ報道官:ジョーダン。 |
| Q Thanks. As part of this preparatory activity, do you have evidence that Russian hackers have infiltrated the networks of U.S. companies already and just haven’t carried out the attacks? | Q ありがとうございます。 この準備活動の一環として、ロシアのハッカーがすでに米国企業のネットワークに侵入しており、攻撃を実行していないだけだという証拠はあるのでしょうか? |
| MS. NEUBERGER: There was — as I noted, we frequently see preparatory activity. Whenever we do, we do sensitive warnings to the individual companies and provide them information to ensure they can look quickly at their networks and remediate what may be occurring. | ノイバーガー副顧問:ありました。先ほど申し上げたように、私たちは頻繁に準備活動を目にします。 その都度、個々の企業に対して敏感な警告を行い、彼らが迅速に自社のネットワークを見て、発生している可能性があるものを修正できるように情報を提供しています。 |
| Q So have you seen any evidence that there have been infiltrations as part of that activity? | Q では、そのような活動の一環として侵入があったという証拠を見たことがありますか? |
| MS. NEUBERGER: We routinely see information about infiltrations. Right? Technology is not as secure as it needs to be. I mentioned the ransomware activity. There are multiple nation-state actors. It’s a line of work for the intelligence community and the FBI to knock on a company’s door and say, “We’ve seen some evidence of an intrusion. We’ll work with you. We’ll make these resources available via a regional office to work with you to help you recover.” That’s — that’s pretty routine practice. | ノイバーガー副顧問:私たちは日常的に侵入に関する情報を目にしています。 そうでしょう? テクノロジーは必要なほど安全ではありません。 ランサムウェアの活動については触れました。 国民国家のアクターは複数存在します。 情報機関やFBIが企業のドアを叩いて、「侵入の証拠を見つけました」と言うのは一種の仕事です。 私たちはあなたと一緒に仕事をします。 地域事務所を通じて、復旧に必要なリソースを提供します」と言うのです。 これはごく日常的なことです。 |
| What we’re seeing now is an evolving threat intelligence to conduct potential cyberattacks on critical infrastructure. And that raises up a point because we’re concerned about potential disruption of critical services. | 今、私たちが目にするのは、重要インフラに対する潜在的なサイバー攻撃を行うための脅威情報が進化していることです。 私たちは、重要なサービスが中断される可能性を懸念しているため、この点が重要なのです。 |
| MS. PSAKI: Ken. | サキ報道官: ケン。 |
| Q Anne, you did a briefing for us about a month ago. Do you think the U.S. banking system is more vulnerable, less vulnerable since the briefing, given the warnings that the government has produced? | Q アン、あなたは1ヶ月ほど前に私たちのためにブリーフィングを行いましたね。 政府が出した警告を踏まえて、ブリーフィング以降、米国の銀行システムはより脆弱になったと思いますか、あるいは脆弱ではなくなったと思いますか? |
| MS. NEUBERGER: The U.S. banking sector truly takes cyber threats seriously, both individually and as a group. Treasury has worked extensively with the sector to share sensitive threat intelligence at the executive level, at the security executive level, repeatedly at the classified and unclassified level. So, I do not believe they’re more at risk, but it is always important for every critical infrastructure sector to double down in this heightened period of geopolitical tension to carefully look at any threat. | ノイバーガー副顧問:米国の銀行セクターは、個人としてもグループとしても、サイバーの脅威を真摯に受け止めています。 財務省は銀行セクターと幅広く協力し、機密性の高い脅威情報を役員レベル、セキュリティ担当役員レベル、機密・非密室レベルで繰り返し共有してきました。 しかし、地政学的な緊張が高まっている今、あらゆる重要なインフラ部門にとって、あらゆる脅威を慎重に見極め、対策を強化することが常に重要です。 |
| MS. PSAKI: Go ahead. | サキ報道官: どうぞ。 |
| Q Can you paint a worst-case scenario picture for us? What exactly are you most worried about if people — the private sector chooses to not take these steps? | Q 最悪のシナリオを描いていただけませんか? 民間企業がこうした措置をとらなかった場合、具体的に何が最も心配なのでしょうか? |
| MS. NEUBERGER: Clearly, what we’re always — I won’t get into hypotheticals, right? But the reason I’m here is because critical infrastructure — power, water, many hospitals — in the United States are owned by the private sector. And while the federal government makes extensive resources available — I mentioned FBI’s 56 regional offices — you can just walk in; CISA has offices near most FEMA sites in the United States. They’ve had their Shields Up program. We can make those resources available. For those sectors where we can mandate measures like oil and gas pipelines, we have. But it’s ultimately the private sector’s responsibility, in our current authority structure, to do those steps, to use those resources to take those steps. | ノイバーガー副顧問:明らかに、私たちはいつも - 仮説には立ち入りませんね? しかし、私がここにいるのは、米国の重要なインフラ(電力、水、多くの病院)が民間企業によって所有されているからです。 FBIの56の地域事務所を紹介しましたが、CISAは全米のほとんどのFEMA施設の近くに事務所を構えており、そこに行けばすぐに利用できます。 また、CISAは全米のほとんどのFEMA施設の近くにオフィスを構えており、「シールドアップ・プログラム」を実施しています。 このようなリソースを利用することができます。 石油やガスのパイプラインのように、私たちが対策を義務付けることができる分野では、そうしています。 しかし、現在の権限構造では、対策を講じたり、対策に必要なリソースを利用したりするのは、最終的には民間企業の責任です。 |
| So, the purpose here is to say: Americans rely on those critical services. Please act. And we’re here to support with the resources we have. | つまり、ここでの目的は、こう言うことなのです。アメリカ人はこれらの重要なサービスに依存しています。 どうか行動を起こしてください。 そして、私たちは持てるリソースでサポートします。 |
| MS. PSAKI: Kayla, last one. | サキ報道官: カイラ、最後です。 |
| Q Thank you. Anne, are you still seeing the Russians carrying out cyberattacks inside Ukraine? It’s been a few weeks since we’ve been discussing that in particular. | Q ありがとうございます。 アン、ロシアはまだウクライナ国内でサイバー攻撃を行っているのでしょうか? 特にそれについて議論していたのは数週間前のことです。 |
| And as financial tools levied by the West have proven ineffective, what cyber tools does the West have that it can possibly utilize? | また、西側諸国が行使する金融手段は効果がないことが証明されていますが、西側諸国が活用できる可能性のあるサイバーツールは何でしょうか? |
| MS. NEUBERGER: We do continue to see Russia conducting both — as you know, right? — significant malicious activity in Ukraine; major kinetic attacks, which have disrupted and killed lives; as well as cyber activity. And we believe the unprecedented economic costs the United States and partners have levied is significant in that way. | ノイバーガー副顧問:ロシアは引き続き、ご存じのように、両方の活動を展開していますね。- ウクライナにおける重大な悪意ある活動、人命を危険にさらす大規模な運動攻撃、そしてサイバー活動。 そして、米国とパートナー諸国がこれまでにない経済的犠牲を払っていることは、その意味で重要であると考えています。 |
| With regard to your question about whether cyberattacks would change that: I think the President was very clear we’re not looking for a conflict with Russia. If Russia initiates a cyberattack against the United States, we will respond. | サイバー攻撃で変わるかどうかという質問については、その通りです。大統領は、私たちがロシアとの紛争を望んでいるわけではないことを明確に述べたと思います。 ロシアが米国に対してサイバー攻撃を仕掛けた場合、我々は対応することになります。 |
| MS. PSAKI: Thank you, Anne, so much for joining us. | サキ報道官:アン、ありがとうございました。 |
| MS. NEUBERGER: Thank you. Thank you for having me. | ノイバーガー副顧問:ありがとうございます。 お招きいただき、ありがとうございます。 |
Comments