米国 下院国土安全保障委員会 サイバーセキュリティ・インフラ保護に関する小委員会 CISA長官に質問... (2023.04.27)

こんにちは、丸山満彦です。

下院安全保障委員会 サイバーセキュリティ・インフラ保護に関する小委員会の公聴会でCISA長官との質疑が公表されていますね。。。

質疑のテーマ...

・CISAの重要性の強調

・金融部門における規制の重複

・CISAにおける人材確保

・地方におけるサイバーセキュリティの確保（特に人材）

・省庁間の連携

ですね。。。

CISAのJen Easterly長官[wikipedia]は女性です。ちなみに、諜報機関のトップのAvril Haines情報長官[wikipedia]も女性ですね。。。

 

⚫︎The House - Committee on Homeland Security

・2023.04.28 “CISA’s Mission Has Never Been More Urgent”: Director Easterly Shares Insights on the State of American Cybersecurity in Subcommittee Hearing

 

“CISA’s Mission Has Never Been More Urgent”: Director Easterly Shares Insights on the State of American Cybersecurity in Subcommittee Hearing	CISAの使命はかつてないほど緊急だ： イースタリー長官、小委員会の公聴会で米国のサイバーセキュリティの現状について見識を示す
WASHINGTON, D.C. – This week, the Committee on Homeland Security’s Subcommittee on Cybersecurity and Infrastructure Protection, led by Chairman Andrew Garbarino (R-NY), held a hearing with testimony from Cybersecurity and Infrastructure Security Agency (CISA) Director Jen Easterly on the nation’s current cybersecurity posture. In the hearing, Members and Director Easterly highlighted the importance of public-private cooperation and interagency coordination in defending our nation’s critical infrastructure from the federal and state level to communities across America.	ワシントン D.C. - 今週、アンドリュー・ガルバリノ委員長（ニューヨーク州選出）が率いる国土安全保障委員会のサイバーセキュリティとインフラ保護に関する小委員会は、サイバーセキュリティとインフラセキュリティ庁（CISA）のジェン・イースタリー長官から、国の現在のサイバーセキュリティ態勢について証言を得た公聴会を開催しました。公聴会では、メンバーおよびイースターリー長官が、連邦・州レベルからアメリカ全土のコミュニティまで、国の重要インフラを守るための官民協力と省庁間の調整の重要性を強調しました。
WATCH: Director Easterly Delivers Opening Remarks: “CISA’s Mission Has Never Been More Urgent”	視聴：イースタリー長官、開会の辞「CISAの使命はかつてないほど緊急だ
In her opening statement, Director Easterly gave an in-depth analysis of CISA’s crucial work as our nation’s risk advisor and the agency’s alignment with the Committee’s CISA 2025 initiative:	イースタリー長官は冒頭で、CISAがわが国のリスクアドバイザーとして重要な役割を担っていること、また同委員会のCISA 2025イニシアチブと同機関が連携していることを詳細に説明した：
“The threats we face have become more complex, more geographically disbursed, and they affect the entire cyber ecosystem from federal civilian government agencies to businesses large and small, to state and local governments and, ultimately, the American people. CISA’s mission has never been more urgent…To serve as both a sector risk management agency and, more broadly, as the national coordinator for critical infrastructure and resilience…Co-creating a culture of collaboration to enable us to attract and retain the best talent in the nation and indeed growing that talented workforce by nearly a thousand new teammates. Meticulously executing our rapidly expanding budget to ensure we remain responsible stewards of taxpayer dollars…I greatly appreciate this Committee’s steadfast work to help CISA achieve these goals and also appreciate that the tenants outlined in the CISA 2025 plan from optimizing the organization, growing in expert cyber workforce, enhancing operational visibility, advancing our capabilities, harnessing partnerships, and measuring outcomes to determine progress are all well-aligned. So, our efforts together can advance a shared vision for cybersecurity in America…Working with our trusted partners to enable a collective defense of our critical infrastructure, to include working with those target-rich and cyber-poor entities like small businesses, and school districts, and water facilities, and hospitals and local election offices to ensure that they have the resources and tools they need.”	「私たちが直面する脅威は、より複雑化し、地理的に分散し、連邦民政局から大小の企業、州・地方政府、そして最終的には米国民まで、サイバーエコシステム全体に影響を及ぼすようになりました。セクターのリスクマネジメント機関として、またより広くは、重要インフラとレジリエンスの国家コーディネーターとしての役割を果たすために、CISAの使命は、かつてないほど緊急性を帯びています...。国内最高の人材を引き付け、維持できるようにするため、協力の文化を共同創造し、実際に1000人近くの新しいチームメイトを増やしています。急速に拡大する予算をきめ細かく執行し、税金に対する責任ある管理者であり続けることを確実にします。私は、CISAがこれらの目標を達成するための本委員会の地道な活動に大いに感謝しています。また、組織の最適化、サイバー人材の育成、運用の可視性の強化、能力の向上、パートナーシップの活用、進捗を判断するための成果測定など、CISA 2025計画に示された十項目がすべてうまく合致していることを評価しています。ですから、私たちが共に努力することで、アメリカのサイバーセキュリティに関する共通のビジョンを推進することができるのです...。信頼できるパートナーと協力し、重要インフラの集団防衛を可能にする。これには、中小企業、学区、水道施設、病院、地方選挙事務所など、標的が多くサイバーに弱い事業体と協力し、必要なリソースやツールを確保することが含まれます。」
WATCH: Chairman Garbarino Urges CISA Director to Avoid Duplicative Regulations in Financial Services Sector	視聴： ガルバリノ委員長、金融サービス分野における重複規制の回避をCISA長官に要請
In his opening line of questioning, Chairman Garbarino detailed the strain of duplicative regulations on critical infrastructure entities, including those in the financial services sector:	ガルバリノ会長は冒頭の質問で、金融サービス部門を含む重要インフラ事業体に対する重複した規制の負担について詳述した：
“The cyber workforce is spending 30 to 40 percent of their time on regulatory compliance. I just met with a major bank last week who said that by the end of this year, when some other regulations come out, it’s probably going to be closer to 50 percent. The SEC proposed a rule that seems to conflict with the requirements in the congressionally-mandated Cyber Incident Reporting for Critical Infrastructure Act…What steps did you and [SEC] Chairman Gensler take to harmonize the proposed SEC rule with the Cyber Incident Reporting for Critical Infrastructure Act rule-making?”	「サイバー人材は、時間の30～40パーセントを規制遵守に費やしています。先週、ある大手銀行と会ったところ、他の規制が導入される今年末には、おそらく50％近くになるだろうとのことでした。SECは、議会が義務付けた重要インフラ向けサイバーインシデント報告法の要件と矛盾するような規則を提案しました。SECの規則提案と重要インフラ向けサイバーインシデント報告法の規則策定を調和させるために、あなたとゲンスラー（SEC）委員長はどのような手順を踏んだのですか。」
Director Easterly answered:	イースタリー長官の回答：
“Having spent four and half years at Morgan Stanley…I am very sympathetic to those views. We don’t want to create burden or chaos, what we want to do is ensure that we get the information in a streamlined way. So, of course we’ve had discussions across the government…The good news is in the legislation that you all gave us, it very specifically accounts for any crossover. So very specifically, the legislation says that if there is a requirement to report to another agency and they have a reporting timeline that’s similar to ours, if they have substantially similar information then you can sign a memorandum of agreement, so you don’t have to report twice. We are working to ensure that that is a streamlined process. It’s really important from a harmonization perspective.”	「モルガン・スタンレーで4年半を過ごした経験から...そうした意見には非常に共感しています。私たちは、負担や混乱を招くことを望んでいるわけではなく、合理的な方法で情報を得られるようにしたいのです。そこで、もちろん政府全体で議論してきました。良いニュースは、皆さんからいただいた法案の中で、クロスオーバーについて非常に具体的に説明されていることです。具体的には、他の機関に報告する必要があり、その機関の報告スケジュールが私たちと似ている場合、その機関が実質的に同様の情報を持っている場合、覚書を交わすことができ、二重に報告する必要がない、というものです。私たちは、このプロセスが合理的であることを保証するために努力しています。ハーモナイゼーションの観点から、これは本当に重要なことなのです。
WATCH: Rep. Lee Highlights the Importance of Expanding Our Nation’s Cyber Workforce	視聴： リー議員、我が国のサイバー人材拡充の重要性を強調
Subcommittee Vice Chair Laurel Lee (R-FL) asked Director Easterly about increasing retention and recruitment in CISA and expanding the cyber workforce:	小委員会のLaurel Lee副委員長（R-FL）は、Easterly理事に対し、CISAにおける人材確保と採用の増加、サイバー人材の拡大について質問した：
“I know one of the challenges that faces CISA and many other partners across sector, as it relates to technology and cyber is recruitment and retention of appropriate talented trained people. And I know CISA launched the Cyber Talent Management System back in 2021 with the intention to be to recruit and retain the appropriate professionals you need for your workforce. How has CTMS been working? You mentioned the expansion of your team, have you been able to effectively and efficiently recruit? And how does your FY 24 request support the use of that operation and recruitment?	「テクノロジーとサイバーに関連して、CISAや他の多くのパートナーが直面する課題の1つが、適切な訓練を受けた優秀な人材の採用と維持であることは承知しています。CISAが2021年にサイバー人材管理システムを立ち上げたのも、労働力に必要な適切な専門家を採用し、維持することを意図してのことだと思います。CTMSはどのように機能しているのでしょうか？チームの拡大ということですが、効果的かつ効率的に採用できているのでしょうか？また、24年度の要求では、その運用と採用をどのようにサポートするのでしょうか？」
Director Easterly answered:	イースタリー長官の回答：
“I think we’re at about 80 people with a Cyber Talent Management System…We are hoping to use CTMS more aggressively this year. But I will tell you, I think the recruiting that we’ve done to date is a real success story. 516 people last year, [and] we’re on pace to exceed that. Our retention level is between seven and eight percent. And it’s not just quantity, we’re bringing in some of the best talent across the country…I’m okay if somebody comes work to work at CISA for three to five years and then goes off to a hospital or a power company or a bank to help them with their critical infrastructure security, because at the end of the day, this is really about collective cyber defense, and we need to work together hand in hand.”	「サイバー人材マネジメントシステム "を導入しているのは80名程度でしょうか...今年はもっと積極的にCTMSを活用していきたいと考えています。しかし、これまで行ってきたリクルーティングは、本当に成功だと思います。昨年は516名でしたが、それを上回るペースで推移しています。採用率は7〜8％です。また、量だけでなく、全国から優秀な人材が集まってきています...。CISAで3～5年働いて、その後、病院や電力会社、銀行などの重要インフラのセキュリティに携わる人が出てきても構いません。なぜなら、結局のところ、これは本当に集団的サイバー防衛に関するもので、私たちは手を携えて一緒に働く必要があるからです。」
WATCH: Rep. Gimenez Asks Director Easterly About Dangers Posed by Chinese-Manufactured Port Cranes	視聴： 中国製港湾クレーンの危険性についてイースタリー長官に質問するギメネス議員。
Subcommittee on Transportation and Maritime Security Chairman Carlos Gimenez (R-FL) highlighted his oversight work investigating the threats posed by Chinese-manufactured cranes at U.S. ports and asked Director Easterly about China’s dangerous monopoly and threats of espionage:	運輸・海上保安小委員会のカルロス・ギメネス委員長（共和党）は、米国の港で中国製のクレーンがもたらす脅威を調査する監視業務を取り上げ、イースタリー長官に中国の危険な独占とスパイの脅威について尋ねた：
“About 70 to 80 percent of the cranes in the United States are actually made in China…I was made aware that there may be some threats with this. I have two things I am concerned about. Number one, if the CCP decides not to replace with replacement parts or spare parts when they break down, it could hurt our ability to provide commerce since most of the stuff that we move moves through these cranes. Or two, if it’s actually a Chinese software reporting back to the CCP so they can track everything that we do, what cargo is flowing through to where. Have you assessed that situation?”	「米国にあるクレーンの約70～80％は、実は中国製です...このことで何らかの脅威があるかもしれないと認識させられました。私が懸念していることは2つあります。1つは、中国共産党がクレーンが故障したときに交換部品やスペアパーツを提供しないと決めた場合、私たちが移動させる物のほとんどがこのクレーンを通して移動するので、私たちの商業活動に支障をきたす可能性があるということです。また、中国のソフトウェアが中国共産党に報告することで、私たちが行うすべての作業、どの貨物がどこを通っているのかを追跡できるようになれば、2つの可能性があります。そのような状況を評価したのですか？
Director Easterly answered:	イースタリー長官の回答：
“It is a real concern of ours…I think you’re referring to Zhenhua, the port machinery company, 70 to 80 percent and 23 seaports. We have significant concerns about supply chain disruptions as well as surveillance. We are working with our partners across the government to help with analysis and what we can do about it…This is a piece of a larger issue of Chinese technology encroaching into our national security, and I worry about that from a very strategic perspective. We’re actually setting up a counter-PRC cyber effort.”	「港湾機械の会社であるZhenhuaのことを指しているのだと思いますが、70～80％、23の海港がそうです。私たちは、監視だけでなく、サプライチェーンの混乱についても大きな懸念を持っています。私たちは、政府全体のパートナーと協力して、分析とそれに対して何ができるかを支援しています。これは、中国の技術が私たちの国家安全保障を侵食するという大きな問題の一部であり、私は非常に戦略的な観点からそれを心配しています。私たちは実際に、中国共産党のサイバー対策に取り組んでいるのです」。
WATCH: Rep. Ezell Questions CISA Director Easterly on Rural Cybersecurity Infrastructure	視聴：エゼル議員、地方のサイバーセキュリティ基盤についてCISAのイースタリー長官に質問する
Rep. Mike Ezell (R-MS) asked Director Easterly about cybersecurity infrastructure in rural communities throughout America:	マイク・エゼル議員（R-MS）は、イースタリー長官に、全米の地方におけるサイバーセキュリティのインフラについて質問しました：
“I live in basically a pretty rural district, and how is CISA addressing some of the challenges that cybersecurity [faces] in the rural areas, especially with the cyber workforce?”	「私は基本的にかなり田舎の地区に住んでいますが、CISAは地方におけるサイバーセキュリティ（が直面する）課題のいくつか、特にサイバー労働力についてどのように取り組んでいるのでしょうか？
Director Easterly answered:	イースタリー長官の回答：
“One of the things I’m most excited about is the cybersecurity grants for state and local. I think this is a really groundbreaking program. You know, a billion dollars is not a lot, but I think if we can prove out the model, we can actually make a real difference to those entities that, frankly, are not well resourced at all. As you know, 80 percent of the money goes out to local, and 25 percent of that goes to rural. It is very specifically focused on how to improve cybersecurity in places that typically don’t have resources. What we’ve seen to date is we’ve seen requests for training to improve that cyber workforce. We’ve seen requests for equipment and requests for assessment. And I think we’ve got 15 plans in. We have approved all but two of them, and then [in] seven, I think, the money’s already gone forward…We’re working very hard to get that out the door.”	「私が最も期待しているのは、州や地方を対象としたサイバーセキュリティ補助金です。これは本当に画期的なプログラムだと思います。10億ドルという金額は決して大きくはありませんが、このモデルを実証することができれば、正直なところ、十分な資源を持たない団体に、実際に変化をもたらすことができると思います。ご存じのように、この資金の80％は地方に、そのうちの25％は農村部に支払われます。これは、一般的にリソースのない場所でサイバーセキュリティを向上させる方法に非常に特化したものです。現在までのところ、サイバー人材育成のためのトレーニングの要望があります。また、機器や評価に関する要望もあります。そして、15件の計画が提出されたと思います。そのうちの2つを除いてはすべて承認し、7つについてはすでに資金が投入されています。」
Rep. Ezell then asked about the greatest cyber threats facing our nation, and Director Easterly concluded:	続いてエゼル議員は、我が国が直面する最大のサイバー脅威について質問し、イースタリー長官は次のように締めくった：
“There are two epoch-defining threats and challenges. One is China, and the other is artificial intelligence. There are some incredible things that AI will do. But we need to ensure that just as we’re talking about technology being built with security in mind, we need to ensure that these fantastic capabilities have the right controls and guardrails to keep us safe and secure. I think those two challenges are things that we’re going to be concerned about over the next ten to 20 years and more.”	「時代を画する2つの脅威と課題があります。ひとつは中国、もうひとつは人工知能です。AIが行うことには信じられないようなことがある。しかし、私たちは、テクノロジーがセキュリティを考慮して構築されているという話と同じように、これらの素晴らしい能力には、私たちの安全と安心を守るための適切なコントロールとガードレールがあることを確認する必要があるのです。この2つの課題は、今後10年、20年以上にわたって懸念されることだと思います。」
WATCH: Rep. Luttrell Asks Director Easterly About the Importance of Interagency Cooperation in Cybersecurity	視聴： ラトレル議員、イースタリー長官にサイバーセキュリティにおける省庁間協力の重要性を問う
Rep. Morgan Luttrell (R-TX) highlighted the dangers of siloed cybersecurity rather than cooperation between agencies and the private sector:	モーガン・ラットレル議員（テキサス州選出）は、各省庁と民間企業との協力ではなく、サイロ化したサイバーセキュリティの危険性を強調した：
“You are the next phase of the combative frontier and the protection of our country. We’ll no longer fight wars the way that my colleagues and I did in the military with bombs, planes, and guns—it’s you…In cyberspace when it comes to threat and risk, we’re so siloed and that is an issue.  Are you having success in breaking down those silos when it comes to multi-department coordination?”	「皆さんは、戦闘的なフロンティアの次の段階であり、私たちの国を守る存在です。サイバー空間における脅威とリスクに関しては、私たちは非常にサイロ化されており、これは問題です。 複数の部署が連携する際、サイロを壊すことに成功しているのでしょうか。 」
Director Easterly answered:	イースタリー長官の回答：
“One of the things that the Joint Cyber Defense Collaborative gave us is the legislation. It’s the only cyber entity in statute that says we bring together the federal cyber ecosystem, so not just CISA but the FBI and NSA and Cybercom and other agencies. It was built to actually break down those silos, and we’ve been doing that over a short period of time. Not just bringing in industry, but bringing in state and local colleagues, bringing in international partners, and then by design bringing in the federal government. That is not an easy thing to do…I joined this job from the private sector, and I thought there were a lot of issues with silos and a lack of cohesion, and so we know what the problem is, and we are working hard to enable us to fix it.”	「統合サイバー防衛共同体が私たちに与えてくれたもののひとつは、法整備です。CISAだけでなく、FBI、NSA、サイバーコムなど、連邦政府のサイバーエコシステムを結集した、唯一のサイバー組織です。CISAだけでなく、FBI、NSA、サイバーコム、その他の機関など、連邦政府のサイバーエコシステムを結集するために作られたもので、短期間でそれを実現しました。産業界だけでなく、州や地域の仲間、国際的なパートナー、そして設計上、連邦政府を取り込むことになりました。私は民間企業からこの仕事に就きましたが、サイロや結束力の欠如など、多くの問題があると思いました。私たちは何が問題なのかを知り、それを解決できるよう努力しています。」

 

公聴会...

17:56くらいから始まります...

・2023.04.27 Garbarino to Lead Subcommittee Hearing With CISA Director Jen Easterly