米国 CISA 拘束的運用指令23-02 インターネットに公開された管理インターフェイスからのリスクの軽減

こんにちは、丸山満彦です。

米国 CISAが「拘束的運用指令23-02 インターネットに公開された管理インターフェイスからのリスクの軽減」を公表していますね。。。Attack Surface Managaement

 

● Cybersecurity and Infrastracture Security Agency; CISA

・2023.06.13 Binding Operational Directive 23-02

Binding Operational Directive 23-02	拘束的運用指令23-02
MITIGATING THE RISK FROM INTERNET-EXPOSED MANAGEMENT INTERFACES	インターネットに公開された管理インターフェイスからのリスクの軽減
This page contains a web-friendly version of the Cybersecurity and Infrastructure Security Agency’s Binding Operational Directive 23-02: Mitigating the Risk from Internet-Exposed Management Interfaces.	このページには、サイバーセキュリティ・インフラセキュリティ庁拘束的運用指令23-02「インターネットに公開された管理インターフェースからのリスクの軽減」が掲載されている。
A Binding Operational Directive is a compulsory direction to federal, executive branch, departments and agencies for purposes of safeguarding federal information and information systems. 44 U.S.C. § 3552(b)(1). Section 3553(b)(2) of title 44, U.S. Code, authorizes the Secretary of the Department of Homeland Security (DHS) to develop and oversee the implementation of Binding Operational Directives. Federal agencies are required to comply with these Directives. 44 U.S.C. § 3554(a)(1)(B)(ii). These Directives do not apply to statutorily defined “national security systems” or to certain systems operated by the Department of Defense or the Intelligence Community. 44 U.S.C. § 3553(b), (d), (e)(2), (e)(3). This Directive refers to the systems to which it applies as “Federal Civilian Executive Branch” systems, and to agencies operating those systems as “Federal Civilian Executive Branch” agencies.	拘束的運用指令とは、連邦政府の情報および情報システムを保護する目的で、連邦政府、行政府、各省庁に対する強制的な指示である。 44 U.S.C. § 3552(b)(1). 合衆国法典第 44 編第 3553 条(b)(2)は、国土安全保障省（DHS）の長官に拘束的運用指令の策定と実施を監督する権限を与えている。連邦政府機関は、これらの指令に従うことが要求される。 44 U.S.C. § 3554(a)(1)(B)(ii). これらの指令は、法令で定義された「国家安全保障システム」、または国防総省もしくは情報機関によって運営される特定のシステムには適用されない。 44 U.S.C. § 3553(b), (d), (e)(2), (e)(3). 本指令は、本指令が適用されるシステムを「連邦文民行政機関」システムと呼び、これらのシステムを運用する機関を「連邦文民行政機関」機関と呼ぶ。
Background	背景
As agencies and organizations have gained better visibility of their networks and improved endpoint detection and response, threat actors have adjusted tactics to evade these protections by targeting network devices supporting the underlying network infrastructure. Recent threat campaigns underscore the grave risk to the federal enterprise posed by improperly configured network devices.	機関や組織がネットワークの可視性を高め、エンドポイントの検出と対応を改善するにつれて、脅威者は、基盤となるネットワークインフラを支えるネットワークデバイスを標的とすることで、これらの保護を回避する戦術を調整してきました。最近の脅威キャンペーンは、不適切に設定されたネットワークデバイスが連邦企業にもたらす重大なリスクを浮き彫りにしている。
Threat actors have used certain classes of network devices to gain unrestricted access to organizational networks leading to full scale compromises. Inadequate security, misconfigurations, and out of date software make these devices more vulnerable to exploitation. The risk is further compounded if device management interfaces are connected directly to, and accessible from, the public-facing internet. Most device management interfaces are designed to be accessed from dedicated physical interfaces and/or management networks and are not meant to be accessible directly from the public internet.	脅威行為者は、特定のクラスのネットワークデバイスを使用して、組織のネットワークに無制限にアクセスし、本格的な侵害に至っている。不適切なセキュリティ、設定ミス、古いソフトウェアによって、これらのデバイスは悪用されやすくなっている。デバイス管理インターフェイスがインターネットに直接接続され、そこからアクセスできる場合、リスクはさらに深刻になります。ほとんどのデバイス管理インターフェースは、専用の物理インターフェースおよび/または管理ネットワークからアクセスするように設計されており、公共のインターネットから直接アクセスすることは想定されていない。
This Directive requires agencies to take steps to reduce the attack surface created by insecure or misconfigured management interfaces across certain classes of devices.	本指令は、特定のクラスのデバイスにおいて、安全でない、または誤った設定の管理インターフェイスによって生じる攻撃面を減らすための措置を講じることを機関に求めている。
Scope	適用範囲
For the purposes of this Directive, a “networked management interface” is defined as a dedicated device interface that is accessible over network protocols and is meant exclusively for authorized users to perform administrative activities on a device, a group of devices, or the network itself.	本指令において、「ネットワーク管理インターフェース」とは、ネットワークプロトコルでアクセス可能な専用デバイスインターフェースであり、デバイス、デバイスのグループ、またはネットワーク自体に対する管理活動を行うために、許可されたユーザのみが使用できるものと定義される。
The requirements in this Directive apply only to devices meeting BOTH of the following criteria:	本指令の要件は、以下の基準の両方を満たすデバイスにのみ適用される：
1. Devices residing on or supporting federal information systems and/or networks that belong to one of the following classes: routers, switches, firewalls, VPN concentrators, proxies, load balancers, and out of band server management interfaces (such as iLo and iDRAC).	1. ルータ、スイッチ、ファイアウォール、VPN コンセントレータ、プロキシ、ロードバランサ、帯域外サーバ管理インターフェイス（iLo や iDRAC など）のいずれかに属する連邦情報システムおよび/またはネットワークに存在する、またはそれをサポートするデバイス。
2. Devices for which the management interfaces are using network protocols for remote management over public internet, including, but not limited to: Hypertext Transfer Protocol (HTTP), Hypertext Transfer Protocol Secure (HTTPS), File Transfer Protocol (FTP), Simple Network Management Protocol (SNMP), Teletype Network (Telnet), Trivial File Transfer Protocol (TFTP), Remote Desktop Protocol (RDP), Remote Login (rlogin), Remote Shell (RSH), Secure Shell (SSH), Server Message Block (SMB), Virtual Network Computing (VNC), and X11 (X Window System).	2. 管理インターフェイスが、公衆インターネット上でリモート管理するためのネットワークプロトコルを使用しているデバイス（以下を含むが、これに限定されない）： ハイパーテキスト転送プロトコル（HTTP）、ハイパーテキスト転送プロトコルセキュア（HTTPS）、ファイル転送プロトコル（FTP）、簡易ネットワーク管理プロトコル（SNMP）、テレタイプネットワーク（Telnet）、Trivial File Transfer Protocol（TFTP）、リモートであるクリプト（RDP）、リモートログイン（rlogin）、リモートシェル（RSH）、セキュリティシェル（SSH）、サーバーメッセージブロック（SMB）、VNC、X11 (X Window System)。
This Directive does NOT apply to web applications and interfaces used for managing Cloud Service Provider (CSP) offerings including but not limited to, Application Programming Interfaces (APIs) or management portals.	本指令は、アプリケーション・プログラミング・インターフェース（API）や管理ポータルなど、クラウドサービスプロバイダ（CSP）の提供を管理するために使用されるウェブアプリケーションやインターフェースには適用されないが、これらに限定されない。
Zero Trust Architecture	ゼロ・トラスト・アーキテクチャ
Zero Trust provides a collection of concepts and approaches designed to minimize uncertainty in enforcing accurate, least privilege per-request access decisions in information systems and services, recognizing that all networks must be viewed as potentially compromised.  Zero Trust Architecture is an enterprise approach to design and implement component relationships, workflow planning, and access policies around Zero Trust concepts.	ゼロ・トラストは、情報システムおよびサービスにおいて、リクエストごとの正確な最小特権アクセス決定を実施する際の不確実性を最小化するために設計された概念およびアプローチの集合体であり、すべてのネットワークが潜在的に危険であると見なされなければならないことを認識する。 ゼロトラスト・アーキテクチャは、ゼロトラストの概念に基づき、コンポーネント関係、ワークフロー計画、アクセスポリシーを設計・実装するエンタープライズアプローチである。
For the purposes of this Directive, as outlined in the required actions section below, networked management interfaces are allowed to remain accessible from the internet on networks where agencies employ capabilities to mediate all access to the interface in alignment with OMB M-22-09, NIST 800-207, the TIC 3.0 Capability Catalog, and CISA's Zero Trust Maturity Model.	本指令の目的上、以下の必要な措置のセクションで概説するように、ネットワーク化された管理インターフェイスは、OMB M-22-09, NIST 800-207, TIC 3.0 Capability Catalog, 及び CISA の Zero Trust Maturity Model に沿って、インターフェイスへのすべてのアクセスを仲介する機能を機関が採用するネットワーク上で、インターネットからのアクセスを維持できるようにする。
Required Actions	必要な措置
All federal civilian executive-branch agencies are required to comply with the following actions for all federal information systems hosted by agencies or third parties on their behalf.	すべての連邦文民行政機関は、機関または第三者がホストするすべての連邦情報システムに対して、以下の行動を遵守することが要求される。
1. Within 14 days of notification by CISA or discovery by an agency of a networked management interface in scope for this Directive, agencies will take at least one of the following actions:	1. 本指令の適用範囲にあるネットワーク管理インタフェースをCISAが通知、または機関が発見してから14日以内に、機関は以下のアクションのうち少なくとも1つを実施する：
a. Remove the interface from the internet by making it only accessible from an internal enterprise network (CISA recommends an isolated management network);	a. エンタープライズ内部ネットワークからのみアクセスできるようにして、インターフェイスをインター ネットから削除する（CISA は、隔離された管理ネットワークを推奨している）；
b. Deploy capabilities, as part of a Zero Trust Architecture, that enforce access control to the interface through a policy enforcement point separate from the interface itself (preferred action).	b. ゼロトラストアーキテクチャの一部として、インタフェース自体とは別のポリシー実施ポイントを通じてインタフェースへのアクセス制御を実施する機能を導入する（好ましい措置）。
2. Agencies will implement technical and/or management controls to ensure that all management interfaces on existing and newly added devices, identified as in scope for this Directive, have at least one of the following protections in place:	2. 当局は、本指令の適用範囲として特定された既存及び新規追加デバイスのすべての管理インターフェイスに、以下の保護のうち少なくとも1つが適用されるように、技術及び/又は管理制御を実施する：
a. The interface is removed from the internet by making it only accessible from an internal enterprise network (CISA recommends an isolated management network);	a. エンタープライズ内部ネットワークからのみアクセスできるようにすることで、インター フェースをインターネットから排除する（CISA は、隔離された管理ネットワークを推奨してい る）；
b. The interface is protected by capabilities, as part of a Zero Trust Architecture, that enforce access control to the interface through a policy enforcement point separate from the interface itself (preferred action).	b. ゼロトラストアーキテクチャの一部として、インタフェース自体とは別のポリシー実施ポイントを通じてインタフェースへのアクセス制御を実施する機能によってインタフェースが保護されている（望ましい措置）。
CISA Actions	CISAのアクション
1. CISA will scan for devices and interfaces in scope of this Directive and notify agencies of all findings.	1. CISAは、本指令の適用範囲にあるデバイスとインタフェースをスキャンし、すべての発見事項を各機関に通知する。
2. CISA will provide federal agencies a reporting interface and standard remediation plan templates if remediation efforts exceed required timeframes.	2. CISAは、改善努力が要求される期間を超えた場合、報告インターフェースと標準的な改善計画テンプレートを連邦機関に提供する。
3. CISA will engage agencies to review status and provide technical expertise for hardening specific devices, as requested and as appropriate.	3. CISAは、要請に応じて、また必要に応じて、特定のデバイスのハードニングの状況を確認し、技術的な専門知識を提供するために、各省庁と連携する。
4. CISA will engage Agency CIOs, CISOs, and SAORMs throughout the escalation process, if necessary.	4. CISA は、必要に応じて、エスカレーション・プロセスを通じて、省庁の CIO、CISO、および SAORM を関与させる。
5. Within 2 years following the issuance of this Directive, CISA will review and update this Directive as needed to reflect changes in the general cybersecurity landscape and will revise guidance to help agencies better identify, track, and report the networked management interfaces they operate.	5. CISA は、本指令の発行後 2 年以内に、一般的なサイバーセキュリティの状況の変化を反映し て、必要に応じて本指令を見直し、更新し、機関が運用するネットワーク管理インタフェースの識別、 追跡、報告を改善するための指針を改訂する。
6. CISA will provide additional guidance to agencies via the CISA website, through updates to this Directive, and through individual engagements upon request (via [mail]).	6. CISA は、CISA のウェブサイト、本指令の更新、及び要請による個別対応（[mail] 経由）を通じて、各省庁に追加のガイダンスを提供する予定である。
7. Within 6 months of issuance and yearly thereafter, CISA will submit a report on the status of Federal Civilian Executive Branch (FCEB), pertaining to their compliance with this Directive, to the Secretary of DHS and the Director of OMB.	7. CISAは、発行から6ヶ月以内及びその後毎年、連邦文民行政機関（FCEB）の本指令への準拠状況に関する報告書を、DHS長官及びOMB長官に提出する予定である。
Implementation Guidance	実施ガイダンス
Binding Operational Directive 23-02 Implementation Guidance assists federal agencies with implementation of the Directive requirements. While the primary audience for this document is FCEB agencies, other entities may find the content useful. At a minimum, CISA expects FCEB agencies to meet or exceed the guidance in this document. The guidance seeks to answer the most common questions asked by federal agencies. CISA will update this document with commonly asked questions and as new information becomes available.	拘束的運用指令 23-02 実施ガイダンスは、連邦政府機関による本指令要件の実施を支援するものである。この文書の主な対象者はFCEB機関であるが、他の機関もこの内容を有用と考えるかもしれない。CISAは、最低限、FCEB機関が本文書のガイダンスを満たすか、それを上回ることを期待する。本ガイダンスは、連邦政府機関から最もよく聞かれる質問に答えることを目的としている。CISAは、よくある質問や新しい情報が入手可能になった場合、この文書を更新する予定である。

ガイド...Q&A形式でわかりやすいです...

・2023.06.13 Binding Operational Directive 23-02 Implementation Guidance

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.06.11 経済産業省 「ASM（Attack Surface Management）導入ガイダンス～外部から把握出来る情報を用いて自組織のIT資産を発見し管理する～」(2023.05.29)

 

 

こんにちは、丸山満彦です。

CISAが、「米国 CISA 拘束的運用指令23-02 インターネットに公開された管理インターフェイスからのリスクの軽減」を公表していますね。。。Attack Surface Managementですかね。。。

● Cybersecurity and Infrastracture Security Agency

・2023.06.13 Binding Operational Directive 23-02

 

 

Binding Operational Directive 23-02	拘束的運用指令23-02
MITIGATING THE RISK FROM INTERNET-EXPOSED MANAGEMENT INTERFACES	インターネットに公開された管理インターフェイスからのリスクの軽減
This page contains a web-friendly version of the Cybersecurity and Infrastructure Security Agency’s Binding Operational Directive 23-02: Mitigating the Risk from Internet-Exposed Management Interfaces.	このページでは、サイバーセキュリティ・インフラセキュリティ庁の拘束的運用指令23-02のウェブ版を掲載している。
A Binding Operational Directive is a compulsory direction to federal, executive branch, departments and agencies for purposes of safeguarding federal information and information systems. 44 U.S.C. § 3552(b)(1). Section 3553(b)(2) of title 44, U.S. Code, authorizes the Secretary of the Department of Homeland Security (DHS) to develop and oversee the implementation of Binding Operational Directives. Federal agencies are required to comply with these Directives. 44 U.S.C. § 3554(a)(1)(B)(ii). These Directives do not apply to statutorily defined “national security systems” or to certain systems operated by the Department of Defense or the Intelligence Community. 44 U.S.C. § 3553(b), (d), (e)(2), (e)(3). This Directive refers to the systems to which it applies as “Federal Civilian Executive Branch” systems, and to agencies operating those systems as “Federal Civilian Executive Branch” agencies.	拘束的運用指令とは、連邦政府の情報および情報システムを保護する目的で、連邦政府、行政府、各省庁に対する強制的な指示である。 44 U.S.C. § 3552(b)(1). 合衆国法典第 44 編第 3553 条(b)(2)は、国土安全保障省（DHS）の長官に拘束的運用指令の策定と実施を監督する権限を与えている。連邦政府機関は、これらの指令に従うことが要求される。 44 U.S.C. § 3554(a)(1)(B)(ii). これらの指令は、法令で定義された「国家安全保障システム」、または国防総省もしくは情報機関によって運営される特定のシステムには適用されない。 44 U.S.C. § 3553(b), (d), (e)(2), (e)(3). 本指令は、本指令が適用されるシステムを「連邦文民行政機関」システムと呼び、これらのシステムを運用する機関を「連邦文民行政機関」機関と呼ぶ。
Background	背景
As agencies and organizations have gained better visibility of their networks and improved endpoint detection and response, threat actors have adjusted tactics to evade these protections by targeting network devices supporting the underlying network infrastructure. Recent threat campaigns underscore the grave risk to the federal enterprise posed by improperly configured network devices.	機関や組織がネットワークの可視性を高め、エンドポイントの検出と対応を改善するにつれて、脅威者は、基盤となるネットワークインフラを支えるネットワークデバイスを標的とすることで、これらの保護を回避する戦術を調整してきました。最近の脅威キャンペーンは、不適切に設定されたネットワークデバイスが連邦企業にもたらす重大なリスクを浮き彫りにしている。
Threat actors have used certain classes of network devices to gain unrestricted access to organizational networks leading to full scale compromises. Inadequate security, misconfigurations, and out of date software make these devices more vulnerable to exploitation. The risk is further compounded if device management interfaces are connected directly to, and accessible from, the public-facing internet. Most device management interfaces are designed to be accessed from dedicated physical interfaces and/or management networks and are not meant to be accessible directly from the public internet.	脅威行為者は、特定のクラスのネットワークデバイスを使用して、組織のネットワークに無制限にアクセスし、本格的な侵害に至っている。不適切なセキュリティ、設定ミス、古いソフトウェアによって、これらのデバイスは悪用されやすくなっている。デバイス管理インターフェイスがインターネットに直接接続され、そこからアクセスできる場合、リスクはさらに深刻になる。ほとんどのデバイス管理インターフェースは、専用の物理インターフェースおよび/または管理ネットワークからアクセスするように設計されており、公共のインターネットから直接アクセスすることは想定されていない。
This Directive requires agencies to take steps to reduce the attack surface created by insecure or misconfigured management interfaces across certain classes of devices.	本指令は、特定のクラスのデバイスにおいて、安全でない、または誤った設定の管理インターフェイスによって生じる攻撃面を減らすための措置を講じることを機関に求めている。
Scope	適用範囲
For the purposes of this Directive, a “networked management interface” is defined as a dedicated device interface that is accessible over network protocols and is meant exclusively for authorized users to perform administrative activities on a device, a group of devices, or the network itself.	本指令において、「ネットワーク管理インターフェース」とは、ネットワークプロトコルでアクセス可能な専用デバイスインターフェースであり、デバイス、デバイスのグループ、またはネットワーク自体に対する管理活動を行うために、許可されたユーザのみが使用できるものと定義される。
The requirements in this Directive apply only to devices meeting BOTH of the following criteria:	本指令の要件は、以下の基準の両方を満たすデバイスにのみ適用される：
1. Devices residing on or supporting federal information systems and/or networks that belong to one of the following classes: routers, switches, firewalls, VPN concentrators, proxies, load balancers, and out of band server management interfaces (such as iLo and iDRAC).	1. ルータ、スイッチ、ファイアウォール、VPN コンセントレータ、プロキシ、ロードバランサ、帯域外サーバ管理インターフェイス（iLo や iDRAC など）のいずれかに属する連邦情報システムおよび/またはネットワークに存在する、またはそれをサポートするデバイス。
2. Devices for which the management interfaces are using network protocols for remote management over public internet, including, but not limited to: Hypertext Transfer Protocol (HTTP), Hypertext Transfer Protocol Secure (HTTPS), File Transfer Protocol (FTP), Simple Network Management Protocol (SNMP), Teletype Network (Telnet), Trivial File Transfer Protocol (TFTP), Remote Desktop Protocol (RDP), Remote Login (rlogin), Remote Shell (RSH), Secure Shell (SSH), Server Message Block (SMB), Virtual Network Computing (VNC), and X11 (X Window System).	2. 管理インターフェイスが、公衆インターネット上でリモート管理するためのネットワークプロトコルを使用しているデバイス（以下を含むが、これに限定されない）： ハイパーテキスト転送プロトコル（HTTP）、ハイパーテキスト転送プロトコルセキュア（HTTPS）、ファイル転送プロトコル（FTP）、簡易ネットワーク管理プロトコル（SNMP）、テレタイプネットワーク（Telnet）、Trivial File Transfer Protocol（TFTP）、リモートであるクリプト（RDP）、リモートログイン（rlogin）、リモートシェル（RSH）、セキュリティシェル（SSH）、サーバーメッセージブロック（SMB）、VNC、X11 (X Window System)。
This Directive does NOT apply to web applications and interfaces used for managing Cloud Service Provider (CSP) offerings including but not limited to, Application Programming Interfaces (APIs) or management portals.	本指令は、アプリケーション・プログラミング・インターフェース（API）や管理ポータルなど、クラウドサービスプロバイダ（CSP）の提供を管理するために使用されるウェブアプリケーションやインターフェースには適用されないが、これらに限定されない。
Zero Trust Architecture	ゼロ・トラスト・アーキテクチャ
Zero Trust provides a collection of concepts and approaches designed to minimize uncertainty in enforcing accurate, least privilege per-request access decisions in information systems and services, recognizing that all networks must be viewed as potentially compromised.  Zero Trust Architecture is an enterprise approach to design and implement component relationships, workflow planning, and access policies around Zero Trust concepts.	ゼロ・トラストは、情報システムおよびサービスにおいて、リクエストごとの正確な最小特権アクセス決定を実施する際の不確実性を最小化するために設計された概念およびアプローチの集合体であり、すべてのネットワークが潜在的に危険であると見なされなければならないことを認識する。 ゼロトラスト・アーキテクチャは、ゼロトラストの概念に基づき、コンポーネント関係、ワークフロー計画、アクセスポリシーを設計・実装するエンタープライズアプローチである。
For the purposes of this Directive, as outlined in the required actions section below, networked management interfaces are allowed to remain accessible from the internet on networks where agencies employ capabilities to mediate all access to the interface in alignment with OMB M-22-09, NIST 800-207, the TIC 3.0 Capability Catalog, and CISA's Zero Trust Maturity Model.	本指令の目的上、以下の必要な措置のセクションで概説するように、ネットワーク化された管理インターフェイスは、OMB M-22-09, NIST 800-207, TIC 3.0 Capability Catalog, 及び CISA の Zero Trust Maturity Model に沿って、インターフェイスへのすべてのアクセスを仲介する機能を機関が採用するネットワーク上で、インターネットからのアクセスを維持できるようにする。
Required Actions	必要な措置
All federal civilian executive-branch agencies are required to comply with the following actions for all federal information systems hosted by agencies or third parties on their behalf.	すべての連邦文民行政機関は、機関または第三者がホストするすべての連邦情報システムに対して、以下の行動を遵守することが要求される。
1. Within 14 days of notification by CISA or discovery by an agency of a networked management interface in scope for this Directive, agencies will take at least one of the following actions:	1. 本指令の適用範囲にあるネットワーク管理インタフェースをCISAが通知、または機関が発見してから14日以内に、機関は以下のアクションのうち少なくとも1つを実施する：
a. Remove the interface from the internet by making it only accessible from an internal enterprise network (CISA recommends an isolated management network);	a. エンタープライズ内部ネットワークからのみアクセスできるようにして、インターフェイスをインター ネットから削除する（CISA は、隔離された管理ネットワークを推奨している）；
b. Deploy capabilities, as part of a Zero Trust Architecture, that enforce access control to the interface through a policy enforcement point separate from the interface itself (preferred action).	b. ゼロトラストアーキテクチャの一部として、インタフェース自体とは別のポリシー実施ポイントを通じてインタフェースへのアクセス制御を実施する機能を導入する（好ましい措置）。
2. Agencies will implement technical and/or management controls to ensure that all management interfaces on existing and newly added devices, identified as in scope for this Directive, have at least one of the following protections in place:	2. 当局は、本指令の適用範囲として特定された既存及び新規追加デバイスのすべての管理インターフェイスに、以下の保護のうち少なくとも1つが適用されるように、技術及び/又は管理制御を実施する：
a. The interface is removed from the internet by making it only accessible from an internal enterprise network (CISA recommends an isolated management network);	a. エンタープライズ内部ネットワークからのみアクセスできるようにすることで、インターフェースをインターネットから排除する（CISA は、隔離された管理ネットワークを推奨してい る）；
b. The interface is protected by capabilities, as part of a Zero Trust Architecture, that enforce access control to the interface through a policy enforcement point separate from the interface itself (preferred action).	b. ゼロトラストアーキテクチャの一部として、インタフェース自体とは別のポリシー実施ポイントを通じてインタフェースへのアクセス制御を実施する機能によってインタフェースが保護されている（望ましい措置）。
CISA Actions	CISAのアクション
1. CISA will scan for devices and interfaces in scope of this Directive and notify agencies of all findings.	1. CISAは、本指令の適用範囲にあるデバイスとインタフェースをスキャンし、すべての発見事項を各機関に通知する。
2. CISA will provide federal agencies a reporting interface and standard remediation plan templates if remediation efforts exceed required timeframes.	2. CISAは、改善努力が要求される期間を超えた場合、報告インターフェースと標準的な改善計画テンプレートを連邦機関に提供する。
3. CISA will engage agencies to review status and provide technical expertise for hardening specific devices, as requested and as appropriate.	3. CISAは、要請に応じて、また必要に応じて、特定のデバイスのハードニングの状況を確認し、技術的な専門知識を提供するために、各省庁と連携する。
4. CISA will engage Agency CIOs, CISOs, and SAORMs throughout the escalation process, if necessary.	4. CISA は、必要に応じて、エスカレーション・プロセスを通じて、省庁の CIO、CISO、および SAORM を関与させる。
5. Within 2 years following the issuance of this Directive, CISA will review and update this Directive as needed to reflect changes in the general cybersecurity landscape and will revise guidance to help agencies better identify, track, and report the networked management interfaces they operate.	5. CISA は、本指令の発行後 2 年以内に、一般的なサイバーセキュリティの状況の変化を反映し て、必要に応じて本指令を見直し、更新し、機関が運用するネットワーク管理インタフェースの識別、 追跡、報告を改善するための指針を改訂する。
6. CISA will provide additional guidance to agencies via the CISA website, through updates to this Directive, and through individual engagements upon request (via [mail]).	6. CISA は、CISA のウェブサイト、本指令の更新、及び要請による個別対応（[mail] 経由）を通じて、各省庁に追加のガイダンスを提供する予定である。
7. Within 6 months of issuance and yearly thereafter, CISA will submit a report on the status of Federal Civilian Executive Branch (FCEB), pertaining to their compliance with this Directive, to the Secretary of DHS and the Director of OMB.	7. CISAは、発行から6ヶ月以内及びその後毎年、連邦文民行政機関（FCEB）の本指令への準拠状況に関する報告書を、DHS長官及びOMB長官に提出する予定である。
Implementation Guidance	実施ガイダンス
Binding Operational Directive 23-02 Implementation Guidance assists federal agencies with implementation of the Directive requirements. While the primary audience for this document is FCEB agencies, other entities may find the content useful. At a minimum, CISA expects FCEB agencies to meet or exceed the guidance in this document. The guidance seeks to answer the most common questions asked by federal agencies. CISA will update this document with commonly asked questions and as new information becomes available.	拘束的運用指令 23-02 実施ガイダンスは、連邦政府機関による本指令要件の実施を支援するものである。この文書の主な対象者はFCEB機関であるが、他の機関もこの内容を有用と考えるかもしれない。CISAは、最低限、FCEB機関が本文書のガイダンスを満たすか、それを上回ることを期待する。本ガイダンスは、連邦政府機関から最もよく聞かれる質問に答えることを目的としている。CISAは、よくある質問や新しい情報が入手可能になった場合、この文書を更新する予定である。

 

Q＆A形式になっていてわかりやすいです。。。

・2023.06.13 Binding Operational Directive 23-02 Implementation Guidance