米国 CISA 拘束的運用指令23-01 - 連邦ネットワークにおける資産の可視化と脆弱性検出の改善

こんにちは、丸山満彦です。

CISAが、連邦政府機関にサイバーセキュリティ資産の可視化と脆弱性検出の改善のために、「拘束的運用指令23-01 - 連邦ネットワークにおける資産の可視化と脆弱性検出の改善」を発出していますね。。。

SBOMの前提としての作業という位置づけですかね。。。

対象は例によって、連邦文民行政機関 (Federal Civilian Executive Branch: FCEB) のシステムで米軍のシステムや情報機関のシステムは基本は対象外ですね。。。

● Cybeersecurity & Ingrastructure Security Agency: CISA 

・2022.10.03 CISA DIRECTS FEDERAL AGENCIES TO IMPROVE CYBERSECURITY ASSET VISIBILITY AND VULNERABILITY DETECTION

 

CISA DIRECTS FEDERAL AGENCIES TO IMPROVE CYBERSECURITY ASSET VISIBILITY AND VULNERABILITY DETECTION	CISA、連邦政府機関にサイバーセキュリティ資産の可視化と脆弱性検出の改善を指示
New Binding Operational Directive Establishes Core Actions to Achieve Operational Visibility Throughout Federal Civilian Executive Branch	新しい拘束的運用指令は、連邦文民行政機関全体で運用の可視性を達成するための中核的な行動を確立する
WASHINGTON – The Cybersecurity and Infrastructure Security Agency (CISA) issued today Binding Operational Directive (BOD) 23-01, Improving Asset Visibility and Vulnerability Detection on Federal Networks, that directs federal civilian agencies to better account for what resides on their networks.	ワシントン - サイバーセキュリティおよびインフラセキュリティ局（CISA）は本日、拘束的運用指令（BOD）23-01「連邦ネットワークにおける資産の可視化と脆弱性検出の改善」を発行し、連邦民間機関に対して、ネットワーク上に存在するものをより適切に説明するように指示した。
Over the past several years, CISA has been working urgently to gain greater visibility into risks facing federal civilian networks, a gap made clear by the intrusion campaign targeting SolarWinds devices. The Biden-Harris Administration and Congress have supported significant progress by providing key authorities and resources. This Directive takes the next step by establishing baseline requirements for all Federal Civilian Executive Branch (FCEB) agencies to identify assets and vulnerabilities on their networks and provide data to CISA on defined intervals.	過去数年間、CISAは連邦政府民間ネットワークが直面するリスクの可視性を高めるために緊急に取り組んできたが、SolarWindsのデバイスを標的とした侵入キャンペーンによってそのギャップが明らかになった。バイデン＝ハリス政権と議会は、重要な権限とリソースを提供することにより、大きな進展を支援してきた。この指令は、次のステップとして、すべての連邦文民行政機関（FCEB）に対して、そのネットワーク上の資産と脆弱性を特定し、定められた間隔でCISAにデータを提供する基本要件を確立するものである。
“Threat actors continue to target our nation’s critical infrastructure and government networks to exploit weaknesses within unknown, unprotected, or under-protected assets,” said CISA Director Jen Easterly. “Knowing what’s on your network is the first step for any organization to reduce risk. While this Directive applies to federal civilian agencies, we urge all organizations to adopt the guidance in this directive to gain a complete understanding of vulnerabilities that may exist on their networks. We all have a role to play in building a more cyber resilient nation.”	CISA長官のJen Easterlyは次のように述べている。「脅威者は、未知の、保護されていない、または保護されていない資産の弱点を突くために、我が国の重要なインフラと政府ネットワークをターゲットにし続けている。ネットワーク上に何があるのかを知ることは、どのような組織にとってもリスクを減らすための最初のステップである。この指令は連邦政府民間機関に適用されるが、すべての組織がこの指令のガイダンスを採用し、ネットワークに存在する可能性のある脆弱性を完全に理解することを強く勧める。私たちは皆、よりサイバーレジリエンスの高い国家を築くために果たすべき役割を担っている。」
CISA is committed to using its cybersecurity authorities to gain greater visibility and drive timely risk reduction across federal civilian agencies. Implementation of this Directive will significantly increase visibility into assets and vulnerabilities across the federal government, in turn improving capabilities by both CISA and each agency to detect, prevent, and respond to cybersecurity incidents and better understand trends in cybersecurity risk.	CISAは、サイバーセキュリティの権限を用いて、連邦文民行政機関全体でより大きな可視性を獲得し、タイムリーなリスク削減を推進することを約束する。この指令の実施により、連邦政府全体の資産と脆弱性に対する可視性が大幅に向上し、その結果、CISAと各機関の両方によるサイバーセキュリティ事件の検出、防止、対応能力が向上し、サイバーセキュリティリスクの傾向がよりよく理解されるようになる。
This Directive is a mandate for federal civilian agencies. However, CISA recommends that private businesses and state, local, tribal and territorial (SLTT) governments review it and prioritize implementation of rigorous asset and vulnerability management programs.	この指令は、連邦文民行政機関に義務付けられている。しかし、CISAは、民間企業や州・地方・部族・準州（SLTT）政府がこれを見直し、厳格な資産および脆弱性管理プログラムの実施を優先させることを推奨している。
The new Directive can be found at Binding Operational Directive (BOD) 23-01.	新指令は、拘束的運用指令（BOD）23-01に掲載されている。

拘束的運用規則...

・2022.10.03 BINDING OPERATIONAL DIRECTIVE 23-01 - IMPROVING ASSET VISIBILITY AND VULNERABILITY DETECTION ON FEDERAL NETWORKS

BINDING OPERATIONAL DIRECTIVE 23-01 - IMPROVING ASSET VISIBILITY AND VULNERABILITY DETECTION ON FEDERAL NETWORKS	拘束的運用指令23-01 - 連邦ネットワークにおける資産の可視化と脆弱性検出の改善
A binding operational directive is a compulsory direction to federal, executive branch, departments and agencies for purposes of safeguarding federal information and information systems. 44 U.S.C. § 3552(b)(1). Section 3553(b)(2) of title 44, U.S. Code, authorizes the Secretary of the Department of Homeland Security (DHS) to develop and oversee the implementation of binding operational directives. Federal agencies are required to comply with these directives. 44 U.S.C. § 3554(a)(1)(B)(ii). These directives do not apply to statutorily defined “national security systems” or to certain systems operated by the Department of Defense or the Intelligence Community. 44 U.S.C. § 3553(b), (d), (e)(2), (e)(3). This directive refers to the systems to which it applies as “Federal Civilian Executive Branch” systems, and to agencies operating those systems as “Federal Civilian Executive Branch” agencies.	拘束的運用指令とは、連邦政府の情報および情報システムを保護する目的で、連邦、行政府、機関に対する強制的な指示である。 44 U.S.C. § 3552(b)(1)。 合衆国法典第 44 編第 3553 条(b)(2)は、国土安全保障省（DHS）の長官に拘束的運用指令 を策定し、その実施を監督する権限を与えるものである。連邦機関は、これらの指令に従うことを要求される。 44 U.S.C. § 3554(a)(1)(B)(ii). これらの指令は、法令で定義された「国家安全保障システム」、または国防総省もしくは情報機関によって運用される特定のシステムには適用されない。 44 U.S.C. § 3553(b), (d), (e)(2), (e)(3)。 この指令は、適用されるシステムを「連邦文民行政機関システム」と呼び、それらのシステムを運用する機関を「連邦文民行政機関」と呼ぶ。
Background	背景
Continuous and comprehensive asset visibility is a basic pre-condition for any organization to effectively manage cybersecurity risk. Accurate and up-to-date accounting of assets residing on federal networks is also critical for CISA to effectively manage cybersecurity for the Federal Civilian Executive Branch (FCEB) enterprise.	継続的かつ包括的な資産の可視化は、あらゆる組織がサイバーセキュリティリスクを効果的に管理するための基本的な前提条件である。また、連邦ネットワーク上に存在する資産の正確かつ最新の会計処理は、CISAが連邦文民行政機関（FCEB）エンタープライズのサイバーセキュリティを効果的に管理するために不可欠である。
The purpose of this Binding Operational Directive is to make measurable progress toward enhancing visibility into agency assets and associated vulnerabilities. While the requirements in this Directive are not sufficient for comprehensive, modern cyber defense operations, they are an important step to address current visibility challenges at the component, agency, and FCEB enterprise level. The requirements of this Directive focus on two core activities essential to improving operational visibility for a successful cybersecurity program: asset discovery and vulnerability enumeration.	この拘束的運用指令の目的は、機関の資産と関連する脆弱性に対する可視性の強化に向けて、測定可能な進歩を遂げることである。本指令の要件は、包括的で近代的なサイバー防衛作戦には不十分であるが、部局、機関、および FCEB エンタープライズレベルにおける可視性の現在の課題に対処するための重要なステップである。本指令の要件は、サイバーセキュリティプログラムを成功させるために運用の可視性を向上させるために不可欠な2つの中核的活動、すなわち資産の発見と脆弱性一覧に焦点を当てている。
・Asset discovery is a building block of operational visibility, and it is defined as an activity through which an organization identifies what network addressable IP-assets reside on their networks and identifies the associated IP addresses (hosts). Asset discovery is non-intrusive and usually does not require special logical access privileges.	・資産の発見とは、運用の可視性の構成要素であり、組織がネットワーク上に存在するネットワークアドレス可能なIP資産を識別し、関連するIPアドレス（ホスト）を識別する活動として定義される。資産発見は非侵入型であり、通常、特別な論理的アクセス権限を必要としない。
・Vulnerability enumeration identifies and reports suspected vulnerabilities on those assets. It detects host attributes (e.g., operating systems, applications, open ports, etc.), and attempts to identify outdated software versions, missing updates, and misconfigurations. It validates compliance with or deviations from security policies by identifying host attributes and matching them with information on known vulnerabilities. Understanding an asset’s vulnerability posture is dependent on having appropriate privileges, which can be achieved through credentialed network-based scans or a client installed on the host endpoint.	・脆弱性一覧は、これらの資産に存在する脆弱性の疑いを特定し、報告する。ホストの属性（OS、アプリケーション、オープンポートなど）を検出し、古いソフトウェアバージョン、アップデートの欠落、設定の誤りなどを特定しようとするものである。ホストの属性を特定し、既知の脆弱性に関する情報と照合することで、セキュリティポリシーへの準拠や逸脱を検証する。資産の脆弱性ポスチャを理解するには、適切な権限が必要である。この権限は、資格のあるネットワークベースのスキャンや、ホストのエンドポイントにインストールされたクライアントによって実現される場合がある。
Discovery of assets and vulnerabilities can be achieved through a variety of means, including active scanning, passive flow monitoring, querying logs, or in the case of software defined infrastructure, API query. Many agencies’ existing Continuous Diagnostics and Mitigation (CDM) implementations leverage such means to make progress toward intended levels of visibility. Asset visibility is not an end in itself, but is necessary for updates, configuration management, and other security and lifecycle management activities that significantly reduce cybersecurity risk, along with exigent activities like vulnerability remediation. The goal of this Directive is for agencies to comprehensively achieve the following outcomes without prescribing how to do so:	資産と脆弱性の発見は、アクティブスキャン、パッシブフローモニタリング、ログへのクエリ、またはソフトウェア定義インフラの場合はAPIクエリなど、さまざまな手段で行うことができる。多くの機関の既存の継続的診断・軽減（CDM）実装では、このような手段を活用して、意図したレベルの可視化に向けて前進している。資産の可視化はそれ自体が目的ではなく、脆弱性修正のような緊急の活動とともに、アップデート、構成管理、その他のセキュリティおよびライフサイクルマネジメントの活動によって、サイバーセキュリティのリスクを大幅に軽減するために必要なものである。本指令の目標は、各機関が以下の成果を包括的に達成することであり、その方法を規定するものではない。
・Maintain an up-to-date inventory of networked assets as defined in the scope of this directive;	・本指令の適用範囲に定義されるネットワーク資産の最新のインベントリを維持する。
・Identify software vulnerabilities, using privileged or client-based means where technically feasible;	・技術的に可能な場合、特権的またはクライアントベースの手段を用いて、ソフトウェアの脆弱性を特定する。
・Track how often the agency enumerates its assets, what coverage of its assets it achieves, and how current its vulnerability signatures are; and	・技術的に可能な場合は、特権的またはクライアントベースの手段を使用して、ソフトウェアの脆弱性を特定する。
・Provide asset and vulnerability information to CISA’s CDM Federal Dashboard.	・CISAのCDM Federal Dashboardに資産と脆弱性の情報を提供する。
Agencies may request CISA’s assistance in conducting an engineering survey to baseline current asset management capabilities. CISA will work with requesting agencies to provide technical and program assistance to resolve gaps, optimize scanning, and support achieving the required actions in this Directive.	各機関は、現在の資産管理能力を基準化するためのエンジニアリング・サーベイの実施においてCISAの支援を要請することができる。CISAは、要請した機関と協力して、ギャップを解決し、スキャニングを最適化し、本指令の要求事項の達成を支援するための技術的及びプログラム的支援を提供する。
This Directive’s requirements advance the priorities set forth in the Executive Order 14028 on Improving the Nation’s Cybersecurity, specifically Sec. 7 (Improving Detection of Cybersecurity Vulnerabilities and Incidents on Federal Government Networks), and provide operational clarity in achieving policy set forth in previous OMB Memoranda, including M-21-02, M-22-05, and M-22-09. Compliance with this Directive also supports BOD 22-01, Managing Unacceptable Risk Vulnerabilities in Federal Enterprise, as it will enable agencies to enhance the management of known exploited vulnerabilities that can be detected using automated tools.	本指令の要件は、国家のサイバーセキュリティの改善に関する大統領令14028、特に第7項（連邦政府ネットワークにおけるサイバーセキュリティの脆弱性とインシデントの検出の改善）で定められた優先事項を促進し、M-21-02、M-22-05、M-22-09などの以前のOMBメモランダムで定められた政策の達成に運用上の明確さを提供するものである。また、本指令を遵守することにより、BOD 22-01「連邦エンタープライズにおける許容できないリスクの脆弱性管理」をサポートし、自動化ツールを使用して検出可能な既知の悪用される脆弱性の管理を強化することが可能になるためである。
Scope	適用範囲
These required actions apply to any FCEB unclassified federal information system, including any federal information system used or operated by another entity on behalf of an agency, that collects, processes, stores, transmits, disseminates, or otherwise maintains agency information.	これらの要求事項は、FCEBの非分類連邦情報システム（機関に代わって他の機関が使用または運用する連邦情報システムを含み、機関情報を収集、処理、保存、伝送、配布、または維持するもの）に適用される。
This Directive applies to all IP-addressable networked assets that can be reached over IPv4 and IPv6 protocols. For the purpose of this directive, an IP-addressable networked asset is defined as any reportable (i.e., non-ephemeral) information technology or operational technology asset that is assigned an IPv4 or IPv6 address and accessible over IPv4 or IPv6 networks, regardless of the environment it operates in. The scope includes, but is not limited to, servers and workstations, virtual machines, routers and switches, firewalls, network appliances, and network printers — whether in on-premises, roaming, and cloud operated deployment models. The scope excludes ephemeral assets, such as containers and third-party-managed software as a service (SaaS) solutions.	この指令は、IPv4及びIPv6プロトコルを介して到達可能な、IPアドレス指定可能な全てのネットワーク資産に適用される。 この指令の目的上、IPアドレス指定可能なネットワーク資産とは、IPv4またはIPv6アドレスが割り当てられ、IPv4またはIPv6ネットワーク上でアクセスできる、報告可能（すなわち、非エフェメラル）な情報技術または運用技術資産と定義し、その運用環境を問わないものとする。この範囲には、オンプレミス、ローミング、クラウドのいずれの展開モデルであっても、サーバー、ワークステーション、仮想マシン、ルーター、スイッチ、ファイアウォール、ネットワーク機器、ネットワークプリンターが含まれるが、これらに限定されるものではない。コンテナやサードパーティが管理するSaaSソリューションなどの一時的な資産は対象外とする。
Required Actions	要求される対応
1. By April 3, 2023, all FCEB agencies are required to take the following actions on all federal information systems in scope of this directive:	1. 2023年4月3日までに、すべてのFCEB機関は、この指令の対象となるすべての連邦情報システムにおいて、以下の措置を講じることが求められる。
a. Perform automated asset discovery every 7 days. While many methods and technologies can be used to accomplish this task, at minimum this discovery must cover the entire IPv4 space used by the agency.	a. 7日ごとに自動資産探索を実施する。このタスクを達成するために多くの方法と技術を使用することができるが、最低限、この発見は、機関が使用するIPv4空間全体をカバーする必要がある。
b. Initiate vulnerability enumeration across all discovered assets, including all discovered nomadic/roaming devices (e.g., laptops), every 14 days.	b. 発見されたすべての資産（発見されたノマディック／ローミングデバイス（例：ラップトップ）を含む）に対して、14日ごとに脆弱性一覧を開始すること。
i. CISA understands that in some instances achieving full vulnerability discovery on the entire enterprise may not complete in 14 days. Enumeration processes should still be initiated at regular intervals to ensure all systems within the enterprise are scanned on a regular cadence within this window.	i. CISAは、エンタープライズ全体の完全な脆弱性の発見が14日間で完了しない場合があることを理解している。エンタープライズ内の全システムがこの期間内に定期的にスキャンされるように、列挙プロセスを定期的に開始する必要がある。
ii. To the maximum extent possible and where available technologies support it, all vulnerability enumeration performed on managed endpoints (e.g., servers, workstations, desktops, laptops) and managed network devices (e.g., routers, switches, firewalls) must be conducted with privileged credentials (for the purpose of this directive, both network-based credentialed scans and client- or agent-based vulnerability detection methods are viewed as meeting this requirement).	ii. 可能な限り最大限、利用可能な技術でサポートする場合、管理対象エンドポイント（例：サーバー、ワークステー ション、デスクトップ、ラップトップ）および管理対象ネットワークデバイス（例：ルーター、スイッチ、 ファイアウォール）に対して実施するすべての脆弱性一覧は、特権的資格情報を使用して実施しなければ ならない（この指令では、ネットワークベースの資格情報スキャンおよびクライアントまたはエージェント ベースの脆弱性検出方法の両方を、この要件を満たすものと見なす）。
iii. All vulnerability detection signatures used must be updated at an interval no greater than 24 hours from the last vendor-released signature update.	iii. 使用するすべての脆弱性検出シグネチャは、ベンダーがリリースした最後のシグネチャ更新から24時間を超えない間隔で更新されなければならない。
iv. Where the capability is available, agencies must perform the same type of vulnerability enumeration on mobile devices (e.g., iOS and Android) and other devices that reside outside of agency on-premises networks.	iv. 機能が利用可能な場合、機関は、モバイルデバイス（iOSおよびAndroidなど）および機関のオンプレミスネットワークの外に存在するその他のデバイスに対して、同じタイプの脆弱性一覧を実行しなければならない。
v. All alternative asset discovery and vulnerability enumeration methods (e.g., for systems with specialized equipment or those unable to utilize privileged credentials) must be approved by CISA.	v. すべての代替的な資産発見及び脆弱性一覧方法（例えば、特殊な機器を有するシステムや特権的な認証情報を利用できないシステムなど）は、CISAによって承認されなければならない。
c. Initiate automated ingestion of vulnerability enumeration results (i.e., detected vulnerabilities) into the CDM Agency Dashboard within 72 hours of discovery completion (or initiation of a new discovery cycle if previous full discovery has not been completed).	c. 発見完了後 72 時間以内に、脆弱性一覧結果（検出された脆弱性）の CDM Agency Dashboard への自動取り込みを開始する（または、以前の完全な発見が完了していない場合は、新しい発見サイクルを開始する）。
d. Develop and maintain the operational capability to initiate on-demand asset discovery and vulnerability enumeration to identify specific assets or subsets of vulnerabilities within 72 hours of receiving a request from CISA and provide the available results to CISA within 7 days of request.	d. CISAからの要請を受けてから72時間以内に、特定の資産または脆弱性のサブセットを特定するためのオンデマンドの資産発見と脆弱性一覧を開始し、要請から7日以内に利用可能な結果をCISAに提供する運用能力を開発し維持する。
i. CISA understands that in some instances agencies may not be able to complete a full vulnerability discovery on the entire enterprise within this period. It is still necessary to initiate the enumeration process within this time period as any available results will provide CISA and agencies situational awareness in response to imminent threats.	i. CISAは、場合によっては、機関がこの期間内にエンタープライズ全体の完全な脆弱性発見を完了できないことがあることを理解している。利用可能な結果があれば、差し迫った脅威に対応するためのCISA及び機関の状況認識が得られるため、この期間内に列挙プロセスを開始することが依然として必要である。
2. Within 6 months of CISA publishing requirements for vulnerability enumeration performance data, all FCEB agencies are required to initiate the collection and reporting of vulnerability enumeration performance data, as relevant to this directive, to the CDM Dashboard. This data will allow for CISA to automate oversight and monitoring of agency scanning performance including the measurement of scanning cadence, rigor, and completeness.	2. CISAが脆弱性一覧パフォーマンスデータの要件を公表してから6カ月以内に、すべてのFCEB機関は、この指令に関連する脆弱性一覧パフォーマンスデータの収集と報告をCDMダッシュボードに開始することが求められる。このデータにより、CISAはスキャニングの定時性、厳密性、完全性の測定を含む機関のスキャニング性能の監督と監視を自動化することができるようになる。
3. By April 3, 2023, agencies and CISA, through the CDM program, will deploy an updated CDM Dashboard configuration that enables access to object-level vulnerability enumeration data for CISA analysts, as authorized in the Executive Order on Improving the Nation’s Cybersecurity.	3. 2023年4月3日までに、各機関とCISAは、CDMプログラムを通じて、「国家のサイバーセキュリティの改善に関する行政命令」で認められた、CISAアナリストがオブジェクトレベルの脆弱性一覧データにアクセスできる最新のCDMダッシュボード構成を配備する予定である。
Reporting Requirements and Metrics	報告要件と測定基準
1. Six, twelve, and eighteen months after the issuance, FCEB agencies will either:	1. 発行から6ヶ月後、12ヶ月後、18ヶ月後、FCEB機関は以下のいずれかを行う。
(1) Provide CISA (through a reporting interface in CyberScope) a progress report to include any obstacles, dependencies, or other issues that may prevent them from meeting the directive requirements and expected completion dates, OR	(1) CISA（CyberScopeの報告インターフェースを通じて）に対し、指令の要件を満たすことを妨げる可能性のある障害、依存関係、その他の問題、および完了予定日を含む進捗報告書を提出する。
(2) Work with CISA through the CDM program review process outlined in OMB M-22-05, or superseding guidance, to identify and resolve gaps or issues that prevent full operationalization of asset management capabilities, including those requirements in this directive.	(2) OMB M-22-05又はそれに代わるガイダンスに概説されているCDMプログラム・レビュープロセスを通じてCISAと協力し、本指令の要件を含む資産管理能力の完全運用を妨げるギャップ又は問題を特定し、解決する。
CISA Actions	CISAの対応
1. Within 6 months of issuance, CISA will publish data requirements for agencies to provide machine-level vulnerability enumeration performance data in a common data schema.	1. CISAは、発行から6カ月以内に、各機関が機械レベルの脆弱性一覧パフォーマンスデータを共通のデータスキーマで提供するためのデータ要件を公開する予定である。
2. Within 18 months of issuance, CISA will review this directive to ensure the requirements remain relevant to the cybersecurity landscape.	2. CISAは、発行から18カ月以内に、本指令を見直し、要件がサイバーセキュリティの状況に引き続き適合していることを確認する。
3. Annually, by the end of each fiscal year, CISA will provide a status report to the Secretary of Homeland Security, the Director of OMB, and the National Cyber Director identifying cross-agency status, agency asset discovery and vulnerability management performance indicators, and outstanding issues in implementation of this Directive (scanning performance monitoring data, including the measurement of scanning cadence, rigor, and completeness). Additionally, CISA will report quarterly progress to OMB.	3. CISAは、毎年、各会計年度末までに、国土安全保障長官、OMB長官、及び国家サイバー長官に対して、機関間の状況、機関の資産発見及び脆弱性管理のパフォーマンス指標、並びに本指令の実施における未解決の問題（スキャンの定時性、厳格性、完全性の測定を含む、スキャンパフォーマンスモニタリングデータ）を特定する状況報告書を提出する。さらに、CISA は、四半期ごとに OMB に進捗状況を報告する。
4. CISA will monitor agency compliance with this Directive and will provide assistance upon request to support agency implementation.	4. CISAは、機関が本指令を遵守していることを監視し、機関の実施を支援するために要求に応じて支援を提供する。
Implementation Guidance	実施ガイダンス
The purpose of the Implementation Guidance document is to help federal agencies interpret and implement CISA’s Binding Operational Directive (BOD) 23-01. While the primary audience for this document is Federal Civilian Executive Branch (FCEB) agencies, other entities may find the content useful. At a minimum, CISA expects FCEB agencies to meet or exceed the guidance in this document. The guidance seeks to answer the most common questions asked by federal agencies. CISA will update this document with commonly asked questions and as new information becomes available.	実施ガイダンスの目的は、連邦政府機関がCISAの拘束的運用指令（BOD）23-01を解釈し実施するのを支援することである。この文書の主な対象者は連邦文民行政機関（FCEB）であるが、他の機関もこの内容を有用と考えるかもしれない。CISAは、少なくとも連邦文民行政機関が本書のガイダンスを満たすか、それを上回ることを期待している。このガイダンスは、連邦政府機関から寄せられる最も一般的な質問に答えようとするものである。CISAは、よくある質問や新しい情報が入手可能になったときに、この文書を更新する予定である。

 

 

実施ガイドライン... 用語定義とFAQですね...

 

・2022.10.03 IMPLEMENTATION GUIDANCE FOR CISA BINDING OPERATIONAL DIRECTIVE 23-01: IMPROVING ASSET VISIBILITY AND VULNERABILITY DETECTION ON FEDERAL NETWORKS

IMPLEMENTATION GUIDANCE FOR CISA BINDING OPERATIONAL DIRECTIVE 23-01: IMPROVING ASSET VISIBILITY AND VULNERABILITY DETECTION ON FEDERAL NETWORKS	CISA拘束的運用指令23-01の実施ガイダンス：連邦政府のネットワークにおける資産の可視化と脆弱性の検出の改善
The purpose of this document is to help federal agencies interpret and implement CISA’s Binding Operational Directive (BOD) 23-01. While the primary audience for this document is Federal Civilian Executive Branch (FCEB) agencies, other entities may find the content useful. At a minimum, CISA expects FCEB agencies to meet or exceed the guidance in this document. The guidance seeks to answer the most common questions asked by federal agencies. CISA will update this document with commonly asked questions and as new information becomes available.	この文書の目的は、連邦政府機関がCISAの拘束的運用指令（BOD）23-01を解釈し、実施するのを支援することである。この文書の主な対象者は連邦政府文民行政機関（FCEB）であるが、他の機関もこの内容を有用と考えるかもしれない。CISAは、少なくとも連邦政府文民行政機関が本書のガイダンスを満たすか、それを上回ることを期待している。このガイダンスは、連邦政府機関から寄せられる最も一般的な質問に答えようとするものである。CISAは、よくある質問や新しい情報が入手可能になったときに、この文書を更新する予定である。
Glossary	用語集
Vulnerability enumeration performance data – Otherwise referred to as scanning logs, vulnerability enumeration performance data describes datapoints or measurements that provide visibility on the level of performance relative to the requirements in this directive, using automation and machine-level data (e.g., logs/events indicating successful credentialed enumeration completion, date/timestamps surrounding enumeration activities, and signature/plug-in update date/timestamps). Data requirements to satisfy this objective will be published in a common data schema and made available to every Federal agency.	脆弱性一覧パフォーマンスデータ - スキャンログとも呼ばれる脆弱性一覧パフォーマンスデータは、自動化およびマシンレベルのデータ（例：認証された列挙の成功を示すログ/イベント、列挙活動に関する日付/タイムスタンプ、署名/プラグイン更新日付/タイムスタンプ）を使用して、この指令の要件に対するパフォーマンスのレベルを可視化するデータポイントまたは測定値について説明する。この目的を満たすためのデータ要件は、共通のデータ・スキーマで公開され、すべての連邦機関が利用できるようにする予定である。
Vulnerability enumeration – A technique to list host attributes (e.g., operating systems, applications, and open ports) and associated vulnerabilities. Vulnerability enumeration typically requires privileged access to gain full visibility at the application and configuration levels.	脆弱性一覧 - ホストの属性（オペレーティングシステム、アプリケーション、オープンポートなど） と関連する脆弱性をリストアップする技術。脆弱性一覧は、通常、アプリケーションおよび構成レベルで完全な可視性を得るために、特権的なアクセス を必要とする。
Privileged credentials – A local or network account or a process with sufficient access to enumerate system configurations and software components across an entire asset. Administrators must apply the principle of least privilege and/or separation of duties on the accounts used for vulnerability enumeration. Poisoning and machine-in-the-middle type attacks commonly target accounts with elevated privileges, including those used for vulnerability enumeration.	特権資格情報 - 資産全体のシステム構成とソフトウェアコンポーネントを列挙するために十分なアクセス権を持つローカルまたはネットワークアカウント、またはプロセス。管理者は、脆弱性一覧に使用するアカウントに最小特権の原則および/または職務分離の原則を適用する必要がある。ポイズニングおよびマシン・イン・ザ・ミドル型の攻撃は、脆弱性一覧に使用されるアカウントを含め、通常、昇格した特権を持つアカウントを標的としている。
Roaming devices – Devices that leave an agency’s on-premises networks, connect to other private networks, and directly access the public internet.	ローミングデバイス - 機関のオンプレミスネットワークを離れ、他のプライベートネットワークに接続し、公衆インターネットに直接アクセスするデバイス。
Nomadic devices – Devices that permanently reside outside of agency networks.	ノマディックデバイス – 機関内ネットワークの外に常時存在するデバイス。
Frequently Asked Questions	よくある質問
Q: What is the scope of this directive? Which devices specifically need to be scanned?	Q: この指令の対象は何であるか？具体的にどのデバイスをスキャンする必要があるか？
A: This directive applies to all IP-addressable networked assets that can be reached over IPv4 and IPv6 protocols. An IP-addressable networked asset is defined as any reportable (i.e., non-ephemeral) information technology or operational technology asset that is assigned an IPv4 or IPv6 address and accessible over IPv4 or IPv6 networks, regardless of the environment in which it operates. The scope includes, but is not limited to, servers and workstations, virtual machines, routers and switches, firewalls, network appliances, and network printers — whether in on-premises, roaming, or cloud-operated deployment models. The scope excludes ephemeral assets such as containers and third-party managed software as a service (SaaS) solutions.	A: この指令は、IPv4およびIPv6プロトコルを介して到達可能な、すべてのIPアドレス指定可能なネットワーク資産に適用される。IPアドレス指定可能なネットワーク資産とは、IPv4またはIPv6アドレスが割り当てられ、IPv4またはIPv6ネットワーク上でアクセスできる、報告可能な（すなわち、非エフェメラルな）情報技術または運用技術資産であり、それが運用されている環境に関係なく、定義されている。この範囲には、オンプレミス、ローミング、クラウド運用のいずれの展開モデルであっても、サーバー、ワークステーション、仮想マシン、ルーター、スイッチ、ファイアウォール、ネットワーク機器、ネットワークプリンターが含まれるが、これらに限定されるものではない。ただし、コンテナやサードパーティ製のSaaSソリューションなど、一時的な資産は対象外とする。
Q: How does the pre-existing requirement to perform endpoint detection and response (EDR) differ from the requirements of this BOD? To what extent does EDR address asset visibility needs?	Q: エンドポイントの検出と対応（EDR）を実行するという既存の要件は、このBODの要件とどのように違うのか？また、EDRは資産の可視化のニーズにどの程度対応しているか？
A: Asset visibility is a prerequisite for determining where to deploy EDR. While most EDR tools do not provide vulnerability information, the directive gives agencies the flexibility to use any tool that provides credential or client-level vulnerability information. If an agency deploys EDR tools that can provide vulnerability information, those tools can be used in place of a client-based scanner.	A: 資産の可視化は、EDRを導入する場所を決定するための前提条件である。ほとんどのEDRツールは脆弱性情報を提供しませんが、この指令は、クレデンシャルまたはクライアントレベルの脆弱性情報を提供するいかなるツールも使用する柔軟性を機関に与えている。もし、機関が脆弱性情報を提供できるEDRツールを配備していれば、それらのツールをクライアントベースのスキャナーの代わりに使用することができる。
Q: This BOD uses the term “networked assets.” Does that imply cloud is out of scope?	Q: このBODでは、"ネットワーク化された資産 "という用語が使われている。これは、クラウドが対象外であることを意味するのか。
A: Any non-ephemeral asset with an IP address is in scope, including applicable cloud assets. Many cloud use cases are unique. Many agencies have SaaS instances where agencies are unable to run their own scans. In the case of traditional data center collocations, infrastructure as a service (IaaS), and in some cases platform as a service (PaaS), all assets with an IP address are in scope. The scope excludes ephemeral assets such as containers and third-party managed SaaS solutions.	A: IPアドレスを持つ非継続的な資産であれば、適用可能なクラウド資産も含めて対象範囲である。多くのクラウドのユースケースは独特である。多くの機関は、機関が独自のスキャンを実行できないSaaSインスタンスを持っている。従来のデータセンターのコロケーション、IaaS（Infrastructure as a Service）、場合によってはPaaS（Platform as a Service）の場合、IPアドレスを持つすべての資産がスコープに含まれる。コンテナやサードパーティ製のマネージドSaaSソリューションのような一時的な資産は対象外である。
Q: Why does the directive say “initiate scans” instead of “execute” or “complete scans”?	Q: なぜ指令では、「実行」や「スキャン完了」ではなく、「スキャンを開始する」となっているのか？
A: Sometimes, especially in large enterprises, vulnerability scans may not be complete within the 14-day timeframe required in the BOD. To overcome this issue, BOD 23-01 requires agencies to initiate a new scan every 14 days regardless of whether the previous scan has completed. Agencies are also required to feed available results for the previous scan three days after the new scan is initiated, even when the previous scan is not fully complete.	A: 特に大企業では、BODで要求されている14日間の期間内に脆弱性スキャンを完了できないことがある。この問題を克服するために、BOD 23-01は、前回のスキャンが完了したかどうかにかかわらず、14日ごとに新しいスキャンを開始するよう機関に要求している。また、前回のスキャンが完全に終了していない場合でも、新しいスキャンが開始されてから3日後に、前回のスキャンの結果を提供することが義務付けられている。
Q: What is the difference between “asset management” and “asset discovery”?	Q: "資産管理 "と "資産発見 "の違いは何であるか？
A: Asset management and asset discovery are two distinct activities that frequently go hand in hand. Asset management is the active monitoring and administration of endpoints using a centralized solution, such as unified endpoint management (UEM), mobile device management (MDM), or enterprise mobility management (EMM). Inventories from asset management solutions may be used to feed the information about agency assets into the results of a comprehensive asset discovery effort.	A: 資産管理と資産発見は、しばしば手を取り合って行われる2つの異なる活動である。資産管理は、統合エンドポイント管理（UEM）、モバイルデバイス管理（MDM）、エンタープライズモビリティ管理（EMM）などの集中型ソリューションを使用して、エンドポイントを積極的に監視および管理することである。資産管理ソリューションのインベントリは、機関の資産に関する情報を、包括的な資産探索の取り組みの結果に反映させるために使用することができる。
Asset discovery is the process of checking an IPv4 or IPv6 network for active and inactive hosts (e.g., networked assets) by using a variety of methods. The most common discovery methods include actively trying to communicate with all IP addresses in a range using a scan tool such as “nmap” (which is only feasible on smaller IPv4 based networks), or by passively monitoring traffic on the wire to detect activity from any new assets.	資産発見とは、さまざまな方法を用いて、IPv4またはIPv6ネットワークにアクティブなホストと非アクティブなホスト（ネットワーク上の資産など）があるかどうかを確認するプロセスである。最も一般的な発見方法は、「nmap」などのスキャンツールを使用して範囲内のすべてのIPアドレスとの通信を積極的に試みる方法（これは小規模なIPv4ベースのネットワークでのみ実行可能）、またはワイヤ上のトラフィックをパッシブに監視して新しい資産からのアクティビティを検出する方法などがある。
Asset discovery helps organizations find unmanaged assets that are present on the network to ensure they are brought under appropriate management. It also helps organizations identify networked devices, such as Internet of Things (IoT), that cannot be centrally managed. It is possible for an asset to fall off the management tool due to inactivity or other reasons, requiring it to be rediscovered.	資産検出は、ネットワーク上に存在する管理されていない資産を発見し、適切な管理下に置くことを可能にする。また、IoT（Internet of Things）など、一元管理できないネットワーク上のデバイスを特定することもできる。不活性化などの理由で管理ツールから外れてしまい、再認識する必要がある場合もあり得る。
Q: Why does the directive reference the software bill of materials (SBOM) in the Background section but not in subsequent sections?	Q: なぜ指令は背景のセクションでソフトウェア部品表（SBOM）に言及し、それ以降のセクションで言及しないのか？
A: SBOM is mentioned in the introduction to convey the Administration’s vision and describe our desired state in the long term. The directive focuses on very specific first steps that can be achieved within the next 6-12 months and are prerequisites for broader adoption of SBOM. Without comprehensive asset management, agencies will be unable to effectively use SBOMs to manage risk posed by asset components or libraries.	A: SBOMは、行政のビジョンを伝え、長期的に望ましい状態を説明するために、序章で言及されている。この指令は、今後6〜12ヶ月以内に達成可能で、SBOMをより広く採用するための前提条件となる、非常に具体的な最初のステップに焦点を合わせている。包括的な資産マネジメントがなければ、機関はSBOMを効果的に使用して、資産の構成要素やライブラリによってもたらされるリスクを管理することはできないだろう。
Q: We offer public wireless access in conference rooms and lobbies. Are guest networks in scope?	Q: 当社は、会議室やロビーで公衆無線アクセスを提供している。ゲストネットワークは対象であるか？
A:  Guest hosts are not in scope, provided the guest networks are physically segmented from agency networks.	A: ゲストネットワークが機関のネットワークから物理的に分離されている場合、ゲストホストは適用範囲外である。
Q: Are bring-your-own-device (BYOD) assets in scope?	Q：BYOD（Bring-Your-Own-Device）資産は範囲内か？
A: Most federal agencies do not allow BYOD on enterprise networks. If they do, then BYOD devices are in scope. This does not apply to personally owned equipment that connects to federal networks via web interface (e.g., website visitors or remote users connecting via SSL remote access solutions).	A：ほとんどの連邦政府機関では、エンタープライズ・ネットワーク上でのBYODを許可していません。BYODが許可されている場合、そのデバイスは対象範囲に含まれる。ただし、Webインタフェース経由で連邦政府のネットワークに接続する個人所有の機器（Webサイトの訪問者やSSLリモートアクセスソリューションで接続するリモートユーザーなど）には適用されない。
Q: Are air-gapped networks in scope? It may not be possible to transfer a signature to air-gapped networks within 24 hours.	Q：エアギャップ・ネットワークは範囲に含まれるか？24時間以内にエアギャップ・ネットワークに署名を転送することは不可能かもしれない。
A: Many logically isolated networks and systems are incorrectly considered air-gapped. Any device, system, or network that is directly connected to the operating environment, or is connected to another system that is connected to the operating environment, is not considered air-gapped and is in scope for BOD 23-01. Only systems that are truly physically air-gapped are out of scope.	A: 論理的に分離されたネットワークやシステムの多くは、誤ってエアギャップされていると考えられている。動作環境に直接接続されている、または動作環境に接続されている他のシステムに接続されているデバイス、システム、またはネットワークは、エアギャップとはみなされず、BOD 23-01の適用範囲に含まれる。本当に物理的にエアギャップされているシステムのみが対象外である。
Q: Does the BOD include requirements for scanning software and configuration enumerations?	Q: BODには、スキャンソフトウェアや構成列挙の要件が含まれているか？
A: No, the BOD requirements address only basic (IP) asset discovery and vulnerability enumeration. The current BOD does not address hardware management, software management, or configuration management and associated controls. Note that some vulnerabilities due to misconfigurations and basic configurations may be captured by standard vulnerability scanners.	A: いいえ。BOD要件は、基本的な（IP）資産の発見と脆弱性一覧のみを扱っている。現在のBODは、ハードウェア管理、ソフトウェア管理、構成管理および関連するコントロールには対応していません。なお、設定ミスや基本的な設定による脆弱性は、標準的な脆弱性スキャナで捕捉できる場合がある。
Q: Which cloud assets are in scope?	Q: どのクラウド資産が対象になるか？
A: Agencies are responsible for the discovery and enumeration of networked assets under agency control, such as assets in authority-to-operate (ATO) inventories. Each cloud instance is unique, but in general, third-party hosting solutions where agencies still control physical or virtual hosts, such as infrastructure as a service, are within the scope of this directive.	A: 機関は、ATO（Authority-to-Operate）インベントリ内の資産など、機関の管理下にあるネットワーク資産の発見と列挙に責任を負う。クラウドのインスタンスはそれぞれ異なるが、一般的に、機関が物理的または仮想的なホストを引き続き管理するサードパーティのホスティングソリューション（サービスとしてのインフラストラクチャなど）は、この指令の対象範囲内である。
Q: Are communications devices, such as IP telephony, VOIP phones, cameras, and unified communications peripherals in scope?	Q: IP電話、VOIP電話、カメラ、ユニファイドコミュニケーション周辺機器などの通信機器も対象となるか？
A: Yes, these devices are in scope. Adversaries have specifically targeted these devices as they are typically more difficult to harden.	A: はい、これらのデバイスは対象である。一般的にハード化が困難なため、攻撃者はこれらのデバイスを特にターゲットにしている。