« シンガポール シンガポール軍は、第4のサービスとしてデジタル・インテリジェンス・サービス(DIS)を設立 | Main | 科学技術振興機構 俯瞰ワークショップ報告書 「俯瞰セミナー&ワークショップ報告書:トラスト研究の潮流 ~人文・社会科学から人工知能、医療まで~」 »

2022.03.06

米国 S.3600 - Strengthening American Cybersecurity Act of 2022案が上院で可決

こんにちは、丸山満彦です。

米国サイバーセキュリティ強化法案が上院で可決されたようですね。。。これは、サイバーインシデント報告法案 (Cyber Incident Reporting Act) 、連邦情報セキュリティ近代化法 (the Federal Information Security Modernization Act of 2021) 、2022年連邦安全なクラウドの改善と雇用に関する法律(Federal Secure Cloud Improvement and Jobs Act) の一部を合体せたもののようですね(中でタイトルで分かれています)。。。

なので、事業者に対して、対象となるサイバーインシデントが発生したと合理的に考えた時から72時間以内に、CISA長官に報告することが求められ、ランサムウェアで身代金を支払った場合には、支払った後24時間以内にCISA長官に報告しないといけないという条項は入っています。。。

条文にゼロトラストアーキテクチャが入ってくるんですね。。。

 

Congress

・提出者:Gary Peters (D-MI) 上院議員[wikipedia]

S.3600 - Strengthening American Cybersecurity Act of 2022

2022.02.08 法案(XML / HTMLTXTPDF

 

法案の目次

Sec. 1. Short title. 第1条 略称
Sec. 2. Table of contents. 第2条 目次
TITLE I—FEDERAL INFORMATION SECURITY MODERNIZATION ACT OF 2022 第1編 2022年連邦情報セキュリティ近代化法
Sec. 101. Short title. 第101条 略称
Sec. 102. Definitions. 第102条. 定義
Sec. 103. Title 44 amendments. 第103条 第44編の改正
Sec. 104. Amendments to subtitle III of title 40. 第104条 第40編第III章の改正
Sec. 105. Actions to enhance Federal incident transparency. 第105条 連邦事件の透明性を高めるための措置
Sec. 106. Additional guidance to agencies on FISMA updates. 第106条 FISMA更新に関する政府機関への追加ガイダンス
Sec. 107. Agency requirements to notify private sector entities impacted by incidents. 第107条 インシデントの影響を受ける民間セクター団体に通知するための政府機関要件
Sec. 108. Mobile security standards. 第108条 モバイルセキュリティ基準
Sec. 109. Data and logging retention for incident response. 第109条 インシデント対応のためのデータ及びログの保存
Sec. 110. CISA agency advisors. 第110条 CISA省庁アドバイザー
Sec. 111. Federal penetration testing policy. 第111条 連邦侵入テスト方針
Sec. 112. Ongoing threat hunting program. 第112条 継続的な脅威探索プログラム
Sec. 113. Codifying vulnerability disclosure programs. 第113条 脆弱性開示プログラムの成文化
Sec. 114. Implementing zero trust architecture. 第114条 ゼロ・トラスト・アーキテクチャーの導入
Sec. 115. Automation reports. 第115条 自動化レポート
Sec. 116. Extension of Federal acquisition security council and software inventory. 第116条 連邦購買セキュリティ協議会の拡大とソフトウェアインベントリ
Sec. 117. Council of the Inspectors General on Integrity and Efficiency dashboard. 第117条 誠実さと効率性に関する検査官委員会のダッシュボード
Sec. 118. Quantitative cybersecurity metrics. 第118条 定量的なサイバーセキュリティの測定基準
Sec. 119. Establishment of risk-based budget model. 第119条 リスクベースの予算モデルの確立
Sec. 120. Active cyber defensive study. 第120条 アクティブ・サイバー・ディフェンス研究
Sec. 121. Security operations center as a service pilot. 第121条 サービスとしてのセキュリティオペレーションセンター試験
Sec. 122. Extension of Chief Data Officer Council. 第122条 チーフ・データ・オフィサー・カウンシルの拡大
Sec. 123. Federal Cybersecurity Requirements. 第123条 連邦政府のサイバーセキュリティ要件
TITLE II—CYBER INCIDENT REPORTING FOR CRITICAL INFRASTRUCTURE ACT OF 2022 第2編 2022年の重要インフラに関するサイバーインシデント報告法
Sec. 201. Short title. 第201条 略称
Sec. 202. Definitions. 第202条 定義
Sec. 203. Cyber incident reporting. 第203条 定義 サイバーインシデントの報告
Sec. 204. Federal sharing of incident reports. 第204条 インシデントレポートの連邦共有
Sec. 205. Ransomware vulnerability warning pilot program. 第205条 ランサムウェア脆弱性警告パイロットプログラム
Sec. 206. Ransomware threat mitigation activities. 第206条 ランサムウェアの脅威を軽減する活動
Sec. 207. Congressional reporting. 第207条 議会への報告
TITLE III—FEDERAL SECURE CLOUD IMPROVEMENT AND JOBS ACT OF 2022 第3編 2022年連邦安全なクラウドの改善と雇用に関する法律
Sec. 301. Short title. 第301条 略称
Sec. 302. Findings. 第302条 調査結果
Sec. 303. Title 44 amendments. 第303条 第44編の修正

 

1200pxseal_of_the_united_states_congress

 


 

比較的わかりやすい記事

ZDNet

・2022.03.03 Senate passes cybersecurity act forcing orgs to report cyberattacks, ransom payments

The act forces critical infrastructure organizations to report cyberattacks to CISA within 72 hours and ransomware payments within 24 hours.

 

Gov Info Security

・2022.03.02 US Senate Passes Incident Reporting, FISMA Update Bill

 

 


過去の法案についての参考

まるちゃんの助法セキュリティ気まぐれ日記

・ 2021.10.09 米国 Cyber Incident Nortification Act of 2021案と Cyber Incident Reporting Act of 2021案

 

|

« シンガポール シンガポール軍は、第4のサービスとしてデジタル・インテリジェンス・サービス(DIS)を設立 | Main | 科学技術振興機構 俯瞰ワークショップ報告書 「俯瞰セミナー&ワークショップ報告書:トラスト研究の潮流 ~人文・社会科学から人工知能、医療まで~」 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« シンガポール シンガポール軍は、第4のサービスとしてデジタル・インテリジェンス・サービス(DIS)を設立 | Main | 科学技術振興機構 俯瞰ワークショップ報告書 「俯瞰セミナー&ワークショップ報告書:トラスト研究の潮流 ~人文・社会科学から人工知能、医療まで~」 »