米国 国土安全保障省 監察官室 2015年サイバーセキュリティ法の下での情報共有を改善するために必要な追加的な進捗状況 (CISA)

こんにちは、丸山満彦です。

米国の国土安全保障省の監査官室 (OIG) が過去の情報共有についての指摘事項の進捗状況についての監査報告が公表していますね。。。

ここに出てくるAISについては、CISAのAUTOMATED INDICATOR SHARING を参照...日本では、NEC、富士通、日立等が5年ほど前から加盟していますね、、、

 

● Oversight.Gov - Department of Homeland Security

・2022.08.22 Additional Progress Needed to Improve Information Sharing under the Cybersecurity Act of 2015

・[PDF] OIG-22-59-Aug22.pdf

 

HS OIG HIGHLIGHTS	国土安全保障省 監査官室 ハイライト
Additional Progress Needed to Improve Information  Sharing under the Cybersecurity Act of 2015	2015年サイバーセキュリティ法の下での情報共有の改善に必要な追加的な進展
Why We Did This Review	このレビューを行った理由
The Cybersecurity Act of 2015 requires the Department of Homeland Security to establish a capability and process for Federal entities to receive cyber threat information from non-Federal entities. The Act requires Inspectors General from the Intelligence Community and appropriate agencies to submit a joint report to Congress every 2 years on Federal Government actions to share cyber threat information. We conducted this review to evaluate CISA’s progress meeting the Cybersecurity Act’s requirements for 2019 and 2020.	2015年サイバーセキュリティ法は、国土安全保障省に対し、連邦機関が連邦機関以外からサイバー脅威情報を受け取るための能力とプロセスを確立することを求めている。同法は、情報コミュニティと適切な機関の検査官が、サイバー脅威情報を共有するための連邦政府の行動について、2年ごとに議会に共同報告書を提出することを義務付けている。我々は、2019年と2020年のサイバーセキュリティ法の要件を満たすCISAの進捗を評価するために、このレビューを実施した。
What We Recommend	推奨事項
We recommend CISA complete system upgrades, hire needed staff, encourage compliance with information sharing agreements and develop a formal reporting process with quality controls.	CISAは、システムのアップグレードを完了し、必要な要員を雇用し、情報共有契約の遵守を奨励し、品質管理を伴う正式な報告プロセスを開発することを推奨する。
What We Found	発見事項
The Cybersecurity and Infrastructure Security Agency (CISA) has addressed the basic information sharing requirements of the Cybersecurity Act of 2015 (Cybersecurity Act) but has made limited progress improving the overall quality of threat information. In 2019 and 2020, CISA continued to leverage its Automated Indicator Sharing (AIS) capability to share cyber threat information between the Federal Government and the private sector. During that time, CISA reportedly increased the number of Federal participants by more than 15 percent and increased the number of non-Federal participants by 13 percent. CISA asserted it increased the overall number of cyber threat indicators it shared and received by more than 162 percent, but it could not validate this number.	サイバーセキュリティ・インフラセキュリティ庁（CISA）は、2015年サイバーセキュリティ法（Cybersecurity Act）の基本的な情報共有要件に取り組んできたが、脅威情報の全体的な質の向上は限定的な進展にとどまっている。2019年と2020年、CISAは引き続き自動指標共有（AIS）機能を活用し、連邦政府と民間セクターの間でサイバー脅威情報を共有した。この間、CISAは連邦政府の参加者数を15％以上増やし、連邦政府以外の参加者数を13％増やしたと報告されている。CISAは、共有し受け取ったサイバー脅威指標の全体数を162%以上増加させたと主張しているが、この数字を検証することはできなかった。
The quality of information shared with AIS participants was not always adequate to identify and mitigate cyber threats. According to Federal and private sector entities we interviewed, most of the cyber threat indicators did not contain enough contextual information to help decision makers take action. We attribute this to limited AIS functionality, inadequate staffing, and external factors. We reported on these same challenges in our Cybersecurity Act evaluation for 2017 and 2018.	AIS参加者と共有される情報の質は、サイバー脅威を特定し緩和するために必ずしも適切ではなかった。我々がインタビューした連邦政府と民間企業によると、ほとんどのサイバー脅威指標は、意思決定者が行動を起こすのに役立つ十分な文脈的情報を含んでいなかった。これは、AISの機能制限、不十分な人員配置、および外部要因によるものだと考えている。我々は、2017年と2018年のサイバーセキュリティ法の評価で、これらと同じ課題について報告した。
Deficiencies in the quality of threat information shared among AIS participants may hinder the Federal Government’s ability to identify and mitigate potential cyber vulnerabilities and threats.	AIS参加者間で共有される脅威情報の質に欠陥があると、連邦政府が潜在的なサイバー脆弱性や脅威を特定し、緩和する能力に支障をきたす可能性がある。
CISA Response	CISAの対応
CISA concurred with all four recommendations. We included a copy of CISA’s comments in Appendix B.	CISAは、4つの推奨事項すべてに同意した。附属書BにCISAのコメントの写しを掲載した。

 

附属書BによるCISAの対応...

Appendix B: CISA Comments to the Draft Repor	報告書（案）に対するCISAのコメント
...	...
Recommendation 1: We recommend the Director of CI SA develop and implement a formal process to verify the number of cyber threat indicators shared through its Automated Indicator Sharing capability to enable accurate reporting and oversight.	推奨事項1：我々は、CI SA長官に対し、正確な報告と監視を可能にするため、自動指標共有機能を通じて共有されたサイバー脅威指標の数を検証する正式なプロセスを開発し、実施することを推奨する。
Response: Concur. On March 1, 2022, CISA's Cybersecurity Division launched its next generation version of AIS, "AIS 2.0," which, among other actions, created the capability to apply a CISA "opinion score" to Cyber Threat Indicators (CTI) in AIS.	対応：同意する。2022年3月1日、CISAのサイバーセキュリティ部門はAISの次世代バージョン「AIS 2.0」を発表し、AISのサイバー脅威指標（CTI）にCISAの「意見スコア」を適用する機能などを創設した。
This opinion score provides an assessment of whether or not the information can be corroborated with other sources available to the entity submitting the opinion to AIS. CISA publicly shares information on the opinion score methodology in the November 2021 document, "Automated Indicator Sharing (AIS) Scoring Framework Used for indicator Enrichment," Vl.0. 1 This scoring can help those receiving information from AIS make informed decision in support of cyber defense.	この意見スコアは、AISに意見を提出する主体が利用できる他の情報源で情報の裏付けが取れるかどうかの評価を行うものである。CISAは、2021年11月の文書「Automated Indicator Sharing (AIS) Scoring Framework Used for indicator Enrichment」Vl.0において、意見スコア方法についての情報を公開している。1 このスコアリングは、AISから情報を受け取る側が、サイバー防衛を支援するために、情報に基づいた意思決定を行うことを支援することができる。
CISA requests that the OIG consider this recommendation resolved and closed, as implemented.	CISAは、監査官室がこの推奨事項を解決し、実施済みとして終了したものとみなすことを要請する。
Recommendation 2: Develop and implement an approach to encourage Federal agencies and the private sector to comply with information sharing agreements and requirements, and report actions taken with information sharing agreements and requirements for Automated Indicator Sharing.	推奨事項2：連邦政府機関と民間企業が情報共有協定と要件を遵守することを奨励するアプローチを開発・実施し、情報共有協定と自動化指標共有の要件で取られた行動を報告すること。
Response: Concur. In November 2021 , CISA's Cybersecurity Division issued its "Automated Indicator Sharing (AIS) 2.0 Submission Guide, Vl.0,"2 which was intended to increase effective sharing participation in advance of the March 1, 2022, launch of AIS 2.0 by providing guidance for AIS participants when submitting Structured Threat Information Expression (STIX) format via the Trusted Automated Exchange of Intelligence Information (TAXII). Further, the AIS 2.0 Submission Guidance Vl.0 can be utilized with the AIS 2.0 Profile Vl.0 3 document to help AIS participants understand all requirements for AIS submissions.	対応：同意する。これは、2022 年 3 月 1 日の AIS 2.0 の開始に先立ち、AIS 参加者が Trusted Automated Exchange of Intelligence Information（TAXII）を介して Structured Threat Information Expression（STIX）形式を提出する際にガイダンスを提供し、有効な共有参加を拡大することを意図したものであった2。さらに、AIS 2.0 Submission Guidance Vl.0 は、AIS 2.0 Profile Vl.0 3 文書とともに利用することで、AIS 参加者が AIS 提出のためのすべての要件を理解できるようにすることができる。
CISA requests that the OIG consider this recommendation resolved and closed, as implemented.	CISAは、監査官室がこの推奨事項を解決し、実施済みとして終了したものとみなすことを要請する。
Recommendation 3: Complete Automated Indicator Sharing 2.0 upgrades.	推奨3：Automated Indicator Sharing 2.0のアップグレードを完了させる。
Response: Concur. CISA's Cybersecurity Division completed upgrades on March 1, 2022, for AIS to leverage the latest STIX/TAXII 2.0 standards for capturing and communicating cyber threat intelligence. Furthermore, on June 2, 2022, CISA demonstrated the AIS 2.0 operational capabilities to DHS OIG to show that the requirements of this recommendation were met.	対応：同意する。CISAのサイバーセキュリティ部門は、2022年3月1日にAISのアップグレードを完了し、サイバー脅威情報の取得と伝達のための最新のSTIX/TAXII 2.0標準を活用するようにした。さらに、2022年6月2日、CISAは国土安全保障省 監査官室に対してAIS 2.0の運用能力を実演し、本推奨事項の要件が満たされていることを示した。
CISA requests that the OIG consider this recommendation resolved and closed, as implemented.	CISAは、監査官室がこの推奨事項を解決し、実施済みとして終了したものとみなすことを要請する。
Recommendation 4: Place priority on hiring administrative and operational staffing to conduct the strategic planning, coordination, analysis, and performance measurement needed to mitigate cybersecurity risks.	推奨事項4：サイバーセキュリティのリスクを軽減するために必要な戦略的計画、調整、分析、パフォーマンス測定を実施するための管理・運営要員の雇用を優先する。
Response: Concur. Over the past 18 months, CISA's Cybersecurity Division has added additional contractual resources to better support these efforts, and are also in the process of assessing a longer-term approach to allocate resources to fully support this critical mission area. Estimated Completion Date: January 31 , 2023.	対応：同意する。過去18ヶ月間、CISAのサイバーセキュリティ部門は、これらの取り組みをより良く支援するために契約上のリソースを追加し、また、この重要な任務分野を完全に支援するためのリソースを配分する長期的なアプローチを評価している最中である。予定される完了日は2023年1月31日である。

 

1 "Automated Indicator Sharing (AIS) Scoring Framework Used for Indicator Enrichment" Vl.0, November 2021 - https:/www.cisa.gov/sites/default/files/publications/AIS%20Scoring%20Framework%20Used%20for20Indicator%20Enrichment%20Vl.0_508.pdf

2 "Automated Indicator Sharing (AIS) 2.0 Submission Guide", Vl.0, November 2021 -https://www.cisa.gov/sites/default/files/publications/AIS%202.0%20Submission%20Guide%20V1.0_508.pdf

3 "Automated Indicator Sharing (AIS) Profile: Requirements for STIX Submissions," Vl.0, October 2021 -­
https://www.cisa.gov/sites/default/files/publications/AIS%202.0%20Profile%20Vl.0_508.pdf

 

・[DOCX] 仮訳

 

---

 

● NEC

・2017.03.15 NEC、米国国土安全保障省が推進する官民でサイバー脅威情報を共有する枠組み「AIS」に加入

● 富士通

・2017.07.19 米国国土安全保障省が推進する「AIS」のサイバー脅威インテリジェンス（CTI）と当社のCTI活用システムの連携を実証

● 日立

・2017.08.17 HIRT-PUB17007：米国AISシステムとの接続