米国 ホワイトハウス サイバーセキュリティ戦略実施計画
こんにちは、丸山満彦です。
今年の3月に発表された国家サイバーセキュリティ戦略が発表され、先日は、OMBから2025年度予算における政権のサイバーセキュリティ優先事項が発表されましたが、今回は、戦略を実行に移すための実施計画ですね。。。
誰が、いつまでに、何をするのか?ということが書かれていると言う感じですかね。。。
● U.S. White House
・2023.07.13 FACT SHEET: Biden-Harris Administration Publishes the National Cybersecurity Strategy Implementation Plan
| FACT SHEET: Biden-Harris Administration Publishes the National Cybersecurity Strategy Implementation Plan | ファクトシート:バイデン-ハリス政権、国家サイバーセキュリティ戦略実施計画を発表 |
| President Biden has made clear that all Americans deserve the full benefits and potential of our digital future. The Biden-Harris Administration’s recently released National Cybersecurity Strategy calls for two fundamental shifts in how the United States allocates roles, responsibilities, and resources in cyberspace: | バイデン大統領は、すべてのアメリカ国民がデジタルの未来の恩恵と可能性を最大限に享受する資格があることを明確にした。バイデン-ハリス政権が最近発表した国家サイバーセキュリティ戦略は、米国がサイバー空間における役割、責任、資源をどのように配分するかについて、2つの根本的な転換を求めている: |
| Ensuring that the biggest, most capable, and best-positioned entities – in the public and private sectors – assume a greater share of the burden for mitigating cyber risk | 官民を問わず、最も規模が大きく、最も能力があり、最も有利な立場にある事業体が、サイバー・リスク低減のためにより大きな負担を負うようにする。 |
| Increasing incentives to favor long-term investments into cybersecurity | サイバーセキュリティへの長期投資を促進するインセンティブを高める。 |
| Today, the Administration is announcing a roadmap to realize this bold, affirmative vision. It is taking the novel step of publishing the National Cybersecurity Strategy Implementation Plan (NCSIP) to ensure transparency and a continued path for coordination. This plan details more than 65 high-impact Federal initiatives, from protecting American jobs by combatting cybercrimes to building a skilled cyber workforce equipped to excel in our increasingly digital economy. The NCSIP, along with the Bipartisan Infrastructure Law, CHIPS and Science Act, Inflation Reduction Act, and other major Administration initiatives, will protect our investments in rebuilding America’s infrastructure, developing our clean energy sector, and re-shoring America’s technology and manufacturing base. | 本日、政府は、この大胆かつ積極的なビジョンを実現するためのロードマップを発表する。国家サイバーセキュリティ戦略実施計画(NCSIP)を公表するという斬新なステップを踏み、透明性と継続的な協調の道筋を確保する。この計画には、サイバー犯罪に対抗することで米国の雇用を守ることから、デジタル化が進む経済社会で活躍できる熟練したサイバー人材の育成まで、65を超える影響力の大きい連邦政府の取り組みが詳述されている。NCSIPは、超党派インフラ法、CHIPSおよび科学法、インフレ削減法、その他の主要な政権イニシアティブとともに、米国のインフラ再建、クリーン・エネルギー部門の開発、米国の技術・製造基盤の再構築への投資を保護する。 |
| Each NCSIP initiative is assigned to a responsible agency and has a timeline for completion. Some initiatives, such as the issuance of the Administration’s Cybersecurity Priorities for the Fiscal Year 2025 Budget, have been completed ahead of schedule. Other completed activities, such as the transmittal of the May 26th Department of Defense 2023 Cyber Strategy to Congress, and the June 20th creation of a new National Security Cyber Section by the Justice Department, are key milestones in completing initiatives. This is the first iteration of the plan, which is a living document that will be updated annually. | NCSIPの各イニシアティブは担当機関に割り当てられ、完了までのスケジュールが定められている。2025会計年度予算における政権のサイバーセキュリティ優先事項の発表など、一部のイニシアチブは予定よりも早く完了している。5月26日の国防省2023年サイバー戦略の議会への提出や、6月20日の司法省による国家安全保障サイバー課の新設など、その他の完了した活動は、イニシアチブを完了するための重要なマイルストーンである。これは計画の最初の反復であり、毎年更新される生きた文書である。 |
| Eighteen agencies are leading initiatives in this whole-of-government plan demonstrating the Administration’s deep commitment to a more resilient, equitable, and defensible cyberspace. The Office of the National Cyber Director (ONCD) will coordinate activities under the plan, including an annual report to the President and Congress on the status of implementation, and partner with the Office of Management and Budget (OMB) to ensure funding proposals in the President’s Budget Request are aligned with NCSIP initiatives. The Administration looks forward to implementing this plan in continued collaboration with the private sector, civil society, international partners, Congress, and state, local, Tribal, and territorial governments. As an example of the Administration’s commitment to public-private collaboration, ONCD is also working on a request for information regarding cybersecurity regulatory harmonization that will be published in the near future. | この政府全体の計画では、18の省庁がイニシアチブを主導しており、よりレジリエンスが高く、公平で、防衛可能なサイバースペースに対するガバナンスの深さを示している。国家サイバー局長室(Office of the National Cyber Director: ONCD)は、大統領と議会への実施状況に関する年次報告など、計画の下での活動を調整し、行政管理予算局(Office of Management and Budget: OMB)と連携して、大統領予算要求における資金調達案がNCSIPの取り組みと整合していることを確認する。ガバナンスは、民間セクター、市民社会、国際パートナー、議会、州、地方、部族、地域政府との継続的な協力のもと、この計画を実施することを楽しみにしている。官民協働に対する政権のコミットメントの一例として、ONCDはサイバーセキュリティ規制の調和に関する情報提供要請にも取り組んでおり、近日中に公表される予定である。 |
| The NCSIP is not intended to capture all Federal agency activities in support of the NCS. The following are sample initiatives from the plan, which is organized by the NCS pillars and strategic objectives. | NCSIPは、NCSを支援する連邦機関の活動をすべて把握することを意図したものではない。以下は、NCSの柱と戦略目標によって構成された計画からのイニシアティブのサンプルである。 |
| Pillar One | Defending Critical Infrastructure | 柱1:重要インフラの防衛 |
| Update the National Cyber Incident Response Plan (1.4.1): During a cyber incident, it is critical that the government acts in a coordinated manner and that private sector and SLTT partners know how to get help. The Cybersecurity and Infrastructure Security Agency (CISA) will lead a process to update the National Cyber Incident Response Plan to more fully realize the policy that “a call to one is a call to all.” The update will also include clear guidance to external partners on the roles and capabilities of Federal agencies in incident response and recovery. | 国家サイバーインシデント対応計画を更新する(1.4.1): サイバーインシデントが発生した場合、政府が協調して行動し、民間部門やSLTTパートナーが支援を受ける方法を知っていることが極めて重要である。サイバーセキュリティ・インフラセキュリティ庁(CISA)は、「一人への呼びかけは全員への呼びかけである」という方針をより完全に実現するため、国家安全保障局(National Cyber Incident Response Plan)の更新プロセスを主導する。この更新には、インシデント対応と復旧における連邦機関の役割と能力に関する外部パートナーへの明確なガイダンスも含まれる。 |
| Pillar Two | Disrupting and Dismantling Threat Actors | 柱2:脅威行為者の破壊と解体 |
| Combat Ransomware (2.5.2 and 2.5.4): Through the Joint Ransomware Task Force, which is co-chaired by CISA and the FBI, the Administration will continue its campaign to combat the scourge of ransomware and other cybercrime. The FBI will work with Federal, international, and private sector partners to carry out disruption operations against the ransomware ecosystem, including virtual asset providers that enable laundering of ransomware proceeds and web fora offering initial access credentials or other material support for ransomware activities. A complementary initiative, led by CISA, will include offering resources such as training, cybersecurity services, technical assessments, pre-attack planning, and incident response to high-risk targets of ransomware, like hospitals and schools, to make them less likely to be affected and to reduce the scale and duration of impacts if they are attacked. | ランサムウェアに対抗する(2.5.2および2.5.4): CISAとFBIが共同議長を務めるランサムウェア対策合同委員会(Joint Ransomware Task Force)を通じて、行政はランサムウェアやその他のサイバー犯罪の脅威と闘うキャンペーンを継続する。FBIは、連邦政府、国際機関、民間セクターのパートナーと協力し、ランサムウェアの収益の洗浄を可能にする仮想資産プロバイダや、ランサムウェアの活動に対する初期アクセス認証情報やその他の重要な支援を提供するウェブフォーラなど、ランサムウェアのエコシステムに対する破壊作戦を実施する。CISAが主導する補完的な取り組みには、病院や学校といったランサムウェアの高リスクターゲットに対して、トレーニング、サイバーセキュリティサービス、技術アセスメント、事前攻撃計画、インシデント対応などのリソースを提供することで、これらのターゲットが被害を受けにくくし、攻撃を受けた場合の影響の規模や期間を縮小することが含まれる。 |
| Pillar Three | Shaping Market Forces and Driving Security and Resilience | 柱3:セキュリティとレジリエンスを推進するための市場の力の形成 |
| Software Bill of Materials (3.3.2): Increasing software transparency allows market actors to better understand their supply chain risk and to hold their vendors accountable for secure development practices. CISA continues to lead work with key stakeholders to identify an3 reduce gaps in software bill of materials (SBOM) scale and implementation. CISA will also explore requirements for a globally-accessible database for end of life/end of support software and convene an international staff-level working group on SBOM. | ソフトウェア部品表(3.3.2): ソフトウエアの透明性を高めることで、市場関係者はサプライチェーンのリスクをよりよく理解し、安全な開発慣行についてベンダーに責任を負わせることができる。CISAは、ソフトウェア部品表(SBOM)の規模および実装におけるギャップを特定し、これを低減するために、主要な利害関係者との作業を引き続き主導する。CISAはまた、耐用年数終了/サポート終了ソフトウェアに関する世界的にアクセス可能なデータベースの要件を検討し、SBOMに関する国際的なスタッフレベルの作業部会を招集する。 |
| Pillar Four | Investing in a Resilient Future | 柱4:レジリエンスな未来への投資 |
| Drive Key Cybersecurity Standards (4.1.3, 4.3.3): Technical standards are foundational to the Internet, and U.S. leadership in this area is essential to the vibrancy and security of cyberspace. Consistent with the National Standards Strategy, the National Institute of Standards and Technology (NIST) will convene the Interagency International Cybersecurity Standardization Working Group to coordinate major issues in international cybersecurity standardization and enhance U.S. federal agency participation in the process. NIST will also finish standardization of one or more quantum-resistant publickey cryptographic algorithms. | 主要なサイバーセキュリティ標準を推進する(4.1.3, 4.3.3): 技術標準はインターネットの基礎であり、この分野における米国のリーダーシップは、サイバースペースの活気とセキュリティにとって不可欠である。国家標準技術戦略に従い、国立標準技術研究所(NIST)は省庁間国際サイバーセキュリティ標準化作業部会を招集し、国際サイバーセキュリティ標準化における主要事項を調整し、そのプロセスへの米国連邦省庁の参加を強化する。NISTはまた、1つ以上の耐量子公開鍵暗号アルゴリズムの標準化を完了させる。 |
| Pillar Five | Forging International Partnerships to Pursue Shared Goals | 柱5:共通の目標を追求するために国際的なパートナーシップの構築 |
| International Cyberspace and Digital Policy Strategy (5.1.1 and 5.1.2): Cyberspace is inherently global, and policy solutions must reflect close collaboration with our partners and allies. The Department of State will publish an International Cyberspace and Digital Policy Strategy that incorporates bilateral and multilateral activities. State will also work to catalyze the development of staff knowledge and skills related to cyberspace and digital policy that can be used to establish and strengthen country and regional interagency cyber teams to facilitate coordination with partner nations. | 国際サイバースペース・デジタル政策戦略(5.1.1 および 5.1.2): サイバースペースは本質的にグローバルであり、政策解決にはパートナーや同盟国との緊密な協力が反映されなければならない。国務省は、二国間および多国間の活動を盛り込んだ「国際サイバースペース・デジタル政策戦略」を発表する。また、サイバースペースとデジタル政策に関連する職員の知識とスキルの開発を促進し、パートナー国との協調を促進するために、国や地域の省庁間サイバー・チームの設立と強化に活用できるようにする。 |
・[PDF]
・[DOCX] 仮訳
関連
OMB 2025 年度予算における政権のサイバーセキュリティ優先事項
・2023.06.27 [PDF] M-23-18 Administration Cybersecurity Priorities for the FY 2025 Budget
国家サイバーセキュリティ戦略
・2023.03.02 [PDF] National Cybersecurity Strategy
情報技術産業協議会の反応...
● Information Technology Industry Council; ITI
| ITI Hosts Release of U.S. National Cybersecurity Strategy Implementation Plan, Encourages Ongoing Industry Engagement to Realize Cyber Goals | ITI、米国国家サイバーセキュリティ戦略実施計画の公表を主催、サイバー目標実現に向けた産業界の継続的関与を促す |
| WASHINGTON – Today, global tech trade association ITI hosted the release of the White House National Cybersecurity Strategy’s implementation plan, “Securing the Digital Ecosystem for All Americans: The National Cybersecurity Strategy in Practice,” at an event featuring Acting National Cyber Director Kemba Walden and officials from across the U.S. government. Watch the event here. | ワシントン - 世界的なハイテク業界団体であるITIは本日、ホワイトハウスによる国家サイバーセキュリティ戦略の実施計画「すべてのアメリカ人のためのデジタル・エコシステムの確保」の発表を主催した: ケンバ・ウォルデン国家サイバー長官代行と米国政府関係者を招いたイベントで、「国家サイバーセキュリティ戦略の実践」が発表された。 イベントの模様はこちらから。 |
| In response to the implementation plan, ITI’s President and CEO Jason Oxman said, “Coupled with industry collaboration, the National Cybersecurity Strategy’s implementation plan can help to realize the vision of a more secure, resilient, and economically prosperous future. We are encouraged that the plan prioritizes harmonizing, streamlining, and deconflicting any new and existing regulations. If done successfully, this will give industry much-needed clarity on the rules of the road to drive security and resilience more efficiently. | ITIのジェイソン・オックスマン会長兼最高経営責任者(CEO)は、この実施計画に対し、「国家サイバーセキュリティ戦略の実施計画は、業界の協力と相まって、より安全でレジリエンスが高く、経済的に豊かな未来というビジョンの実現に貢献できる。 我々は、この計画が、新規および既存の規制の調和、合理化、混同の解消を優先していることを心強く思っている。これが成功すれば、セキュリティとレジリエンスをより効率的に推進するための道筋が明確になる。 |
| “We look forward to receiving further details about how implementation will unfold in key areas, including on regulatory harmonization, the cyber incident reporting for critical infrastructure (CIRCIA) rulemaking, SBOM guidance, the software liability framework, and securing global ICT supply chains. We encourage the administration to develop those initiatives in close consultation with the technology industry and other key stakeholders both in and outside of the government to drive tangible progress on the implementation plans. Importantly, the administration and Congress must work together closely to ensure that there are appropriate resources to accomplish the many critical tasks outlined in the plan. We commend the ONCD for quickly delivering an implementation plan following the Strategy’s rollout and look forward to our ongoing partnership to help guide a successful implementation.” | 「我々は、規制の調和、重要インフラのためのサイバーインシデント報告(CIRCIA)のルールメイキング、SBOMガイダンス、ソフトウェア責任の枠組み、グローバルなICTサプライチェーンの安全確保など、主要な分野でどのように実施されるのか、さらなる詳細を受け取ることを楽しみにしている。 われわれは、実施計画の具体的な進展を促進するため、政権がテクノロジー産業や政府内外の主要な利害関係者と緊密に協議しながら、これらのイニシアチブを策定することを奨励する。重要なことは、政権と議会が緊密に協力し、計画に示された多くの重要なタスクを達成するための適切なリソースを確保することである。我々は、ONCDが戦略の発表後、迅速に実施計画を提出したことを称賛し、実施を成功に導くための我々の継続的なパートナーシップに期待している。 |
| In addition to Acting Director Walden’s remarks, officials from the Office of the National Cyber Director, U.S. Department of State, National Security Council, U.S. Department of Homeland Security, U.S. Department of Justice, and National Institute of Standards and Technology spoke about the plan’s implementation across the federal government. | ウォルデン長官代理の発言に加え、国家サイバー長官室、米国務省、国家安全保障会議、米国土安全保障省、司法省、国立標準技術研究所の関係者が、連邦政府全体における計画の実施について語った。 |
● まるちゃんの情報セキュリティ気まぐれ日記
米国の安全保障戦略、サイバーセキュリティ戦略...
・2023.07.09 米国 OMB 2025 年度予算における政権のサイバーセキュリティ優先事項 (2023.06.27)
・2023.07.02 米国 GAO サイバーセキュリティ:国家サイバーセキュリティ戦略の立ち上げと実施
・2023.03.04 米国 国家サイバーセキュリティ戦略を発表
・2022.10.29 米国 国家防衛戦略
・2022.10.14 米国 国家安全保障戦略
Comments