« 英国 著作権と人工知能 (AI) に関する実施規範をつくるようですね。。。(2023.06.29) | Main | ENISA 健康分野のサイバーセキュリティ状況 (2023.07.05) »

2023.07.09

米国 OMB 2025 年度予算における政権のサイバーセキュリティ優先事項 (2023.06.27)

こんにちは、丸山満彦です。

米国が2025年度予算におけるサイバーセキュリティの優先事項を公表していますね。。。すでに公表されている[PDF]サイバーセキュリティ戦略に沿っていますね。。。研究開発分野については別途公表されるようです。。。

 

The White House - OMB - INFORMATION AND GUIDANCE - Memoranda

2023.06.27 [PDF] M-23-18 Administration Cybersecurity Priorities for the FY 2025 Budget

20230709-71333

SUBJECT:  Administration Cybersecurity Priorities for the FY 2025 Budget  件名  2025 年度予算における政権のサイバーセキュリティ優先事項 
This memorandum outlines the Administration’s cross-agency cybersecurity investment priorities for formulating fiscal year (FY) 2025 Budget submissions to the Office of Management and Budget (OMB), consistent with spring guidance.  Guidance on cybersecurity research and development priorities will be released in a separate memorandum.  Consistent with the five pillars of the National Cybersecurity Strategy (NCS), departments and agencies should prioritize five cybersecurity effort areas: 1) Defend Critical Infrastructure; 2) Disrupt and Dismantle  Threat Actors; 3) Shape Market Forces to Drive Security and Resilience; 4) Invest in a Resilient Future; and 5) Forge International Partnerships to Pursue Shared Goals.  These priorities should be addressed within the FY 2025 Budget guidance levels provided by OMB.  この覚書は、行政管理予算局(OMB)に提出する 2025 会計年度予算の策定における、行政の省庁横断的なサイバーセキュリティ投資の優先順位を、春のガイダンスに沿って概説するものである。 サイバーセキュリティの研究開発の優先順位に関するガイダンスは、別の覚書で発表される予定である。 国家サイバーセキュリティ戦略(NCS)の5つの柱に沿って、各省庁は5つのサイバーセキュリティの取り組み分野に優先順位をつけるべきである: 1) 重要インフラの防衛、2) 脅威行為者の破壊と解体、3) セキュリティとレジリエンスを推進するための市場力の形成、4) レジリエンスの高い未来への投資、5) 共通の目標を追求するための国際的パートナーシップの構築である。 これらの優先事項は、OMBが提示した2025年度予算のガイダンス・レベルの範囲内で取り組むべきである。
OMB and the Office of the National Cyber Director (ONCD) will jointly review agency responses to these priorities in the FY 2025 Budget submissions, identify potential gaps, and identify potential solutions to those gaps.  OMB, in coordination with ONCD, will provide feedback to agencies on whether their submissions are adequately addressed and are consistent with overall cybersecurity strategy and policy, aiding agencies’ multiyear planning through the regular budget process.  OMBと国家サイバー局長室(ONCD)は共同で、2025年度予算提出におけるこれらの優先事項に対する各省庁の対応を検討し、潜在的なギャップを特定し、それらのギャップに対する潜在的な解決策を特定する。 OMB は ONCD と連携して、各省庁が提出した予算が適切に対処され、全体的なサイバーセキュリティ戦略・政策と整合しているかどうかについて各省庁にフィードバックを提供し、各省庁が通常の予算プロセスを通じて複数年計画を立てる際の助けとする。
Cybersecurity Investment Priorities  サイバーセキュリティ投資の優先事項 
Defend Critical Infrastructure – NCS Pillar 1  NCS 柱1 重要インフラの防衛 
Modernize Federal Defenses  連邦防衛の近代化 
In accordance with the President’s direction in the NCS, the Executive Order 14028,  Improving the Nation’s Cybersecurity, and National Security Memorandum 8, Improving the Cybersecurity of National Security, Department of Defense, and Intelligence Community Systems, the U.S. Government must continue to strengthen and modernize its information technology systems.  Agency investments should lead to durable, long-term solutions that are secure by design.  Budget submissions should demonstrate how they:    NCS における大統領の指示、大統領令 14028「国家のサイバーセキュリティ改善」、国家安全保障覚書 8「国家安全保障、国防総省、情報コミュニティのシステムのサイバーセキュリティ改善」に従い、米国政府は情報技術システムの強化と近代化を継続しなければならない。 省庁の投資は、設計上安全な、耐久性のある長期的なソリューションにつながるべきである。 予算提出は、以下を実証するものでなければならない:   
•       achieve progress in zero trust deployments as outlined in OMB Memorandum M-22-09, Moving the U.S. Government Toward Zero Trust Cybersecurity Principles, and explain efforts to close any gaps in those requirements;  ・OMB Memorandum M-22-09「米国政府をゼロ・トラスト・サイバーセキュリティ原則に向かわせる」に概説されているゼロ・トラスト・デプロイメントの進捗を達成し、これらの要件におけるギャップを埋める努力を説明すること; 
•      meet the goals set forth in the Federal Zero Trust Strategy and make clear how agency investments support people, processes, and technology that advance agency capabilities along the Zero Trust Maturity Model
;  
・連邦ゼロ・トラスト戦略で定められた目標を達成し、ゼロ・トラスト成熟度モデルに沿って省庁の能力を向上させる人材、プロセス、技術を省庁の投資がどのように支援するかを明確にする;  
•       prioritize technology modernization where agency systems are reaching end of life or end of service and where Federal Information Security Modernization Act High and High Value Asset systems that are unable to meet zero trust requirements, ensuring that these systems meet standards for security and customer experience requirements;  ・ゼロトラスト要件を満たすことができない連邦情報セキュリティ近代化法(Federal Information Security Modernization Act)の高付加価値資産システム(High and High Value Asset System)が耐用年数やトラストサービスに達している場合は、技術の近代化を優先し、これらのシステムがセキュリティと顧客体験要件の標準を満たすようにする; 
•       secure National Security Systems, including those that are owned or operated by Federal civilian Executive Branch agencies; and  ・連邦文民行政機関が所有または運用するものを含め,国家安全保障システムを保護する。
•       continue to leverage shared cybersecurity services when appropriate and where capability gaps persist, in order to build Federal cohesion and defend Federal systems.   ・連邦の結束力を高め、連邦システムを防衛するために、適切な場合、また能力格差が存続している場合には、共有サイバーセキュリティ・サービスを引き続き活用する。
Improve Baseline Cybersecurity Requirements  ベースライン・サイバーセキュリティ要件の改善 
The NCS emphasizes rebalancing the responsibility to defend cyberspace to ensure that the most capable and best-positioned actors in cyberspace serve as effective stewards of the cyber ecosystem. In setting cybersecurity requirements and considering needed resources,  regulators are strongly encouraged to consult with regulated entities.  Budget submissions should demonstrate how they:   NCS は、サイバースペースにおいて最も能力があり、最も有利な立場にある主体がサイバ ー・エコシステムの効果的な管理者として機能するよう、サイバースペースの防衛責任を再 バランスさせることを強調している。サイバーセキュリティの要件を設定し、必要なリソースを検討するにあたり、規制当局は規制対象事業体と協議することが強く推奨される。 予算提出は、以下を実証するものでなければならない:  
•       further performance-based regulations to ensure: 1) current and future requirements leverage existing cybersecurity frameworks and voluntary consensus standards; and 2) baseline cybersecurity standards can be applied across critical infrastructure sectors but are agile enough to adapt as adversaries increase capabilities and change tactics; and   ・1)現在および将来の要件が、既存のサイバーセキュリティのフレームワークや自主的なコンセンサス標準を活用するものであること; 2) サイバーセキュリティの標準は、重要インフラ部門全体に適用することができるが、敵が能力を高め、戦術を変えても適応できるよう、俊敏であること。 

•       prioritize cybersecurity capabilities and capacity, including personnel, to ensure effective enforcement of regulatory regimes.   ・規制の効果的な実施を確保するために,人員を含むサイバーセキュリティの 能力とキャパシティに優先順位をつける。
Scale Public-Private Collaboration  官民連携の規模を拡大する 
Defending critical infrastructure against adversarial activity and other threats depends upon developing and strengthening collaboration through structured roles and responsibilities.  In addition, increased connectivity is enabled by the automated exchange of data, information, and knowledge.  Budget submissions should demonstrate how they:   敵対的な活動やその他の脅威から重要インフラを守るには、体系化された役割と責任を通じた協力体制の構築と強化が不可欠である。 さらに、データ、情報、知識の自動化された交換により、接続性の向上が可能になる。 予算提出は、以下を実証するものでなければならない:  
•       prioritize building the capacity and mechanisms to collaborate with critical infrastructure owners and operators to identify, understand, and mitigate threats, vulnerabilities, and risks to respective sectors.  Each Sector Risk Management Agency (SRMA) will develop a resource-informed plan to mature its capabilities, improve processes, and make use of technology solutions;   ・各セクターに対する脅威、脆弱性、リスクを特定し、理解し、軽減するために、重要インフラの所有者や運営者と協力する能力とメカニズムを構築することを優先する。 各セクター・リスクマネジメント機関(SRMA)は、その能力を成熟させ、プロセスを改善し、テクノロジー・ソリューションを活用するためのリソースに基づいた計画を策定する;  
•       build on the decades of experience in collaborating with Information Sharing and Analysis Organizations, sector-focused Information Sharing and Analysis Centers, and similar organizations to define sector-by-sector needs and gaps in current SRMA capabilities; and    ・情報共有・分析組織,セクターに特化した情報共有・分析センター,および類似の組織と の数十年にわたる協力の経験に基づき,セクターごとのニーズと現在の SRMA 能力のギャップを明確にする。
•       within each SRMA, consider additional capacity for specialized cyber analysts capable of working with critical infrastructure and providing proactive information to owners and operators.  Such analysts would evaluate sector needs, improve Government processes for intelligence and informational analysis, and partner with private sector, State, local, tribal and territorial entities.  Such considerations should be discussed in accordance with a long-term vision to meet a defined mission and avoid duplication.   ・各 SRMA 内で,重要インフラと連携し,所有者や運用者に事前情報を提供できる専門のサイ バーアナリストの追加能力を検討する。 そのようなアナリストは,各分野のニーズを評価し,インテリジェンスと情報分析のためのガバメントプロセスを改善し,民間部門,州,地方,部族,地域の事業体と提携する。 このような検討は,明確な使命を満たし,重複を避けるための長期的ビジョンに従って議論されるべきである。
 Disrupt and Dismantle Threat Actors - NCS Pillar 2    NCS 柱2:脅威アクターの破壊と解体
Counter Cybercrime, Defeat Ransomware  サイバー犯罪対策、ランサムウェアの撃退 
Ransomware is a threat to national security, public safety, and economic prosperity.  The Administration is committed to mounting disruption campaigns and other efforts that are so sustained, coordinated, and targeted that they render ransomware no longer profitable.  Budget submissions for departments and agencies with existing, designated roles in the disruption of ransomware should demonstrate how they:  ランサムウェアは、国家安全保障、治安、経済的繁栄に対する脅威である。 政権は、ランサムウェアがもはや利益を生まないような、持続的で、協調的で、標的を絞った破壊キャンペーンやその他の取り組みを実施することを約束する。 ランサムウェアの破壊活動において既存の指定された役割を持つ省庁の予算提出は、以下の方法を示すべきである: 
•       prioritize staff to investigate ransomware crimes and disrupt ransomware infrastructure and actors;    ・ランサムウェアの犯罪を調査し、ランサムウェアのインフラと行為者を混乱させるためのスタッフを優先する;   
•       prioritize staff to combat the abuse of virtual currency to launder ransom payments; and   ・ランサムウェア犯罪を調査し,ランサムウェアのインフラや行為者を混乱させるための人員を優先的に配置する。
•       ensure participation in interagency task forces focused on cybercrime.  ・サイバー犯罪に焦点を当てた省庁間タスクフォースへの参加を確保する。
 Shape Market Forces to Drive Security and Resilience - NCS Pillar 3    NCS 柱3:セキュリティとレジリエンスを推進するための市場の力の形成
Secure Software and Leverage Federal Procurement to Improve Accountability  ソフトウェアの安全性を確保し、連邦調達を活用して説明責任を改善する。
OMB Memorandum M-22-18, Enhancing the Security of the Software Supply Chain through Secure Software Development Practices, as updated by M-23-16, requires agencies to take the specific steps to ensure software producers attest to conformity with secure software development practices.  These include obtaining self-attestations from software producers to confirm their development practices meet minimum secure software development requirements.  Further, Executive Order 14028 directs the Federal Acquisition Regulatory Council to consider changes to the Federal Acquisition Regulation that would strengthen and standardize contract requirements for cybersecurity across agencies. Publication of proposed rules for public comment will ensure that the views of stakeholders outside the Government inform and shape any changes that are ultimately finalized.  Budget submissions should demonstrate how they:  OMB Memorandum M-23-16により更新された、M-22-18, セキュアなソフトウェア開発の実践を通じて、ソフトウェア・サプライチェーンのセキュリティを強化する, は、安全なソフトウェア開発慣行への適合をソフトウェア製造者に証明させるための具体的なステップを踏むことを各省庁に求めている。 これには、ソフトウェア製造者から自己証明を取得し、その開発慣行が安全なソフトウェア開発の最低要件を満たしていることを確認することが含まれる。 さらに、大統領令 14028 号は、連邦調達規制審議会に対し、サイバーセキュリティに関する契約要件を省庁間で強化・標準化する連邦調達規則の変更を検討するよう指示している。パブリックコメントのために規則案を公表することで、ガバナンス外の利害関係者の見解が、最終的に確定する変更に反映され、形成されることが保証される。 予算の提出は、以下を実証するものでなければならない: 
•       ensure capacity exists to meet secure software and services requirements, including costs associated with contracts and appropriate training; and  ・契約や適切な訓練に関連する費用を含め,安全なソフトウェアやサービスの要件を満たす能力が確実に存在すること。
•       identify where agency implementation of cybersecurity requirements may benefit from novel procurement practices and/or approaches that could be piloted within the agency or among select agencies for evaluation for broader Federal enterprise use.  ・サイバーセキュリティ要件の実施において,政府機関内または特定の政府機関間で試験的に実施し,より広範な連邦エンタープライズでの利用を評価できるような斬新な調達手法やアプローチから,どのようなメリットが得られるかを特定する。
Leverage Federal Grants and Other Incentives to Build in Security  連邦補助金やその他のインセンティブを活用してセキュリティを組み込む 
Through programs funded by the Infrastructure Investment and Jobs Act (Public Law 117-58),  the Inflation Reduction Act (Public Law 117-169), and the Chips and Science Act (Public Law 117-167), the United States is making once-in-a-generation investments in America’s infrastructure and supporting digital ecosystem.  Departments and agencies should ensure that Federal funding programs for critical infrastructure are designed, developed, fielded, and maintained with cybersecurity resilience in mind.  Budget submissions should demonstrate how the agency supports efforts to secure this infrastructure from cyber threats through: インフラ投資・雇用法(公法 117-58)、インフレ抑制法(公法 117-169)、Chips and Science Act(公法 117-167)により資金提供されたプログラムを通じて、米国は米国のインフラとそれを支えるデジタル・エコシステムに一世一代の投資を行っている。  各省庁は、重要インフラに対する連邦政府の資金提供プログラムが、サイバーセキュリティのレジリエンスを念頭に置いて設計、開発、実戦配備、維持されるようにすべきである。  予算案は、重要インフラをサイバー脅威から守るための取り組みを、各省庁がどのように支援しているかを示すものでなければならない:
•       support for project review, fiscal compliance, and assessment to address cybersecurity threats and the development of cybersecurity performance standards for infrastructure investments where existing standards require refinement; and   ・サイバーセキュリティの脅威に対処するためのプロジェクト審査,財政コンプライアンス,評価の支援,および既存の標準の改善が必要なインフラ投資に対するサイバーセキュリティ性能標準の策定。
•       encouraging the implementation of joint efforts across agencies to provide technical support to projects throughout the design and build phases.  ・設計・建設段階を通じてプロジェクトに技術支援を提供するため,省庁を横断した共同取り組みの実施を奨励する。
 Invest in a Resilient Future - NCS Pillar 4    NCS 柱4:レジリエンスな未来への投資 
Strengthen Cyber Workforce  サイバー人材の強化 
Employers in the Federal and national cyber workforce face challenges in recruiting, hiring, and retaining professionals to fill vacancies in the workforce, which negatively impacts America’s collective cybersecurity.  To address these issues, Budget submissions should draw on the “Good Jobs Principles and best practices for highly effective workforce investments.  Budget proposals should demonstrate how they:   連邦政府および国のサイバー人材の雇用主は、欠員を埋めるための専門家の募集、雇用、維持に課題を抱えており、これは米国のサイバーセキュリティ全体に悪影響を及ぼす。 これらの問題に対処するため、予算案は「良い仕事の原則」と非常に効果的な労働力投資のベストプラクティスを参考にすべきである。 予算案は、以下を示すべきである:  
•       support initiatives that meet the Federal cyber workforce demand by developing, attracting, and retaining cyber talent in the Federal Government and leveraging skillsbased hiring best practices, including skills-and competency-based assessments, shared hiring actions, and multiple on-ramp approaches. These initiatives will strengthen the  cyber workforce by attracting members of underrepresented groups, such as women, people of color, rural populations, and those with disabilities; and  ・連邦政府におけるサイバー人材の開発,誘致,維持を行い,スキルやコンピテンシーに基づく評価、共有された雇用行動、複数のオンランプアプローチを含むスキルに基づく雇用のベストプラクティスを活用することにより、連邦政府のサイバー人材の需要を満たすイニシアティブを支援する。これらのイニシアチブは、女性、有色人種、地方出身者、障がい者など十分に代表されていないグループのメンバーを惹きつけることによって、サイバー労働力を強化する。
•       for agencies that have a mission requirement to bolster cyber capacity throughout the national workforce, include technical assistance, grant programs, and cross-sectional cybersecurity workforce efforts to build technical, foundational cyber skills, and needed capacity.       ・国の労働力全体のサイバー能力を強化することを使命とする省庁に対しては,技術的,基礎的なサイバー・スキル、必要とされる能力を構築するための技術支援、助成金プログラム、横断的なサイバーセキュリティ人材育成の取り組みを行う。
Prepare for the Post-Quantum Future  ポスト量子の未来に備える 
The President issued the National Security Memorandum (NSM) 10, Promoting United States Leadership in Quantum Computing While Mitigating Risks to Vulnerable Cryptographic Systems (NSM-10) in order to promote U.S. leadership in quantum information science and address potential threats that quantum computers may pose to encrypted data and systems.  Subsequently, OMB issued OMB Memorandum M-23-02, Migrating to Post Quantum Cryptography (M-23-02), and the National Security Agency issued NSM 8, Task 9: on Identification of Encryption Not in Compliance with Quantum-Resistant Algorithms or Commercial National Security Algorithm (NMM-2022-09). Budget proposals should demonstrate how they:   大統領は、量子情報科学における米国のリーダーシップを促進し、量子コンピュータが暗号化された データやシステムに与える潜在的な脅威に対処するため、国家安全保障覚書(NSM)10「脆弱な暗号システムに対するリスクを低減しつつ、量子コンピューティングにおける米国のリーダーシップを促進する」(NSM-10)を発行した。  その後、OMB は OMB 覚書 M-23-02, ポスト量子暗号への移行(M-23-02)を発行し、国家安全保障局は NSM 8, タスク9:量子耐性アルゴリズムまたは商用国家安全保障アルゴリズムに準拠していない暗号化の特定について (NMM-2022-09)を発行した。予算案は、以下の方法を示すべきである:  
•   ensure that requirements under NSM-10, M-23-02, and NMM-2022-09 are made transparent in Budget submissions.  This should include necessary services and software needed to accurately, and where possible, automatically inventory cryptographic systems and to begin transitioning agencies’ most critical and sensitive networks and systems to post quantum cryptography as directed to do so by OMB.     ・NSM-10、M-23-02、NMM-2022-09 の要件が予算提出において透明化されていることを確認すること。 これには、暗号システムを正確かつ可能な限り自動的にインベントリ化するために必要なサービスやソフトウェア、および各省庁の最も重要で機密性の高いネットワークやシステムをOMBの指示に従いポスト量子暗号への移行を開始するために必要なサービスやソフトウェアを含めるべきである。   
 Forge International Partnerships to Pursue Shared Goals - Pillar 5    NCS 柱5:共通の目標を追求するための国際的なパートナーシップの構築
Strengthen International Partner Capacity and U.S. Ability to Assist   国際パートナーの能力と米国の支援能力を強化する。 
The United States will demonstrate leadership through cooperation in identifying, disrupting, or otherwise addressing malicious cyber activity through a whole-of-Government approach that will mitigate threats to America’s networks and critical infrastructure.  Budget submissions for Federal agencies with overseas cybersecurity missions should demonstrate how they:   米国は、米国のネットワークと重要インフラに対する脅威を軽減するガバナンス全体のアプローチを通じて、悪意のあるサイバー活動を特定、破壊、またはその他の方法で対処するための協力を通じて、リーダーシップを発揮する。 海外にサイバーセキュリティ・ミッションを持つ連邦政府機関の予算提出は、以下を実証するものでなければならない:  
•       maximize the expertise across the Government to pursue coordinated and effective international cyber capacity building efforts;    ・ガバナンス全体の専門知識を最大限に活用し、協調的かつ効果的な国際的サイバー能力構築の取り組みを追求する;   
•       for agencies that have a mission requirement to support international operational coordination, enhance collaboration with foreign partners and allies, including by proposing a readiness posture to engage and assist partners when facing significant cyber attacks; and   ・国際的な作戦調整を支援することを任務要件とする機関については,重大なサイバー攻撃に直面した際にパートナーを関与させ,支援するための準備態勢を提案することを含め,海外のパートナーや同盟国との協力を強化する。
•       build or strengthen international partners’ cyber capacity, working with the private sector, non-governmental organizations, and other international partners, to enable their own security within the digital ecosystem.  ・民間部門,非政府組織,その他の国際的なパートナーと協力して,国際的なパートナーのサイバー能力を構築または強化し,デジタル・エコシステム内での自国の安全保障を可能にする。
Secure Global Supply Chains for Information, Communications, and Operational Technology Products and Services  情報、コミュニケーション、運用技術製品・サービスの安全なグローバル・サプライ・チェーン 
Agencies have been required to establish formal Supply Chain Risk Management (SCRM) programs for acquisitions of information and communications technology and services.  Budget proposals should demonstrate how they:  各省庁は、情報通信技術およびサービスの取得について、正式なサプライチェーンリスクマネジメント(SCRM)プログラムを確立することが求められている。 予算案は、以下の方法を示すべきである: 
•       make transparent the personnel necessary to evaluate and monitor supply chain risks and support required agency SCRM programs; and  ・サプライチェーンリスクを評価・監視し,必要な省庁のSCRMプログラムを支援するために必要な人員を透明化する。
•      support programs that assess threats and vulnerabilities to the United States and its people arising from transactions that concern information and communications technology and involve persons subject to the control or jurisdiction of foreign adversaries, consistent with Executive Order 14034, Protecting American’s Sensitive Data From Foreign Adversaries.   ・大統領令14034「外国の敵対者から米国の機密データを防御する」に沿って,情報通信技術に関係し,外国の敵対者の管理または管轄下にある者が関与する取引から生じる米国とその国民に対する脅威と脆弱性を評価するプログラムを支援すること。

 


 

関連

● まるちゃんの情報セキュリティ気まぐれ日記

米国の安全保障戦略、サイバーセキュリティ戦略...

・2023.07.02 米国 GAO サイバーセキュリティ:国家サイバーセキュリティ戦略の立ち上げと実施

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

・2022.10.29 米国 国家防衛戦略

・2022.10.14 米国 国家安全保障戦略

 

 

 

 

SUBJECT:  Administration Cybersecurity Priorities for the FY 2025 Budget  件名  2025 年度予算における政権のサイバーセキュリティ優先事項 
This memorandum outlines the Administration’s cross-agency cybersecurity investment priorities for formulating fiscal year (FY) 2025 Budget submissions to the Office of Management and Budget (OMB), consistent with spring guidance.  Guidance on cybersecurity research and development priorities will be released in a separate memorandum.  Consistent with the five pillars of the National Cybersecurity Strategy (NCS), departments and agencies should prioritize five cybersecurity effort areas: 1) Defend Critical Infrastructure; 2) Disrupt and Dismantle  Threat Actors; 3) Shape Market Forces to Drive Security and Resilience; 4) Invest in a Resilient Future; and 5) Forge International Partnerships to Pursue Shared Goals.  These priorities should be addressed within the FY 2025 Budget guidance levels provided by OMB.  この覚書は、行政管理予算局(OMB)に提出する 2025 会計年度予算の策定における、行政の省庁横断的なサイバーセキュリティ投資の優先順位を、春のガイダンスに沿って概説するものである。 サイバーセキュリティの研究開発の優先順位に関するガイダンスは、別の覚書で発表される予定である。 国家サイバーセキュリティ戦略(NCS)の5つの柱に沿って、各省庁は5つのサイバーセキュリティの取り組み分野に優先順位をつけるべきである: 1) 重要インフラの防衛、2) 脅威行為者の破壊と解体、3) セキュリティとレジリエンスを推進するための市場力の形成、4) レジリエンスの高い未来への投資、5) 共通の目標を追求するための国際的パートナーシップの構築である。 これらの優先事項は、OMBが提示した2025年度予算のガイダンス・レベルの範囲内で取り組むべきである。
OMB and the Office of the National Cyber Director (ONCD) will jointly review agency responses to these priorities in the FY 2025 Budget submissions, identify potential gaps, and identify potential solutions to those gaps.  OMB, in coordination with ONCD, will provide feedback to agencies on whether their submissions are adequately addressed and are consistent with overall cybersecurity strategy and policy, aiding agencies’ multiyear planning through the regular budget process.  OMBと国家サイバー局長室(ONCD)は共同で、2025年度予算提出におけるこれらの優先事項に対する各省庁の対応を検討し、潜在的なギャップを特定し、それらのギャップに対する潜在的な解決策を特定する。 OMB は ONCD と連携して、各省庁が提出した予算が適切に対処され、全体的なサイバーセキュリティ戦略・政策と整合しているかどうかについて各省庁にフィードバックを提供し、各省庁が通常の予算プロセスを通じて複数年計画を立てる際の助けとする。
Cybersecurity Investment Priorities  サイバーセキュリティ投資の優先事項 
Defend Critical Infrastructure – NCS Pillar 1  重要インフラの防衛 ・NCS の柱 1 
Modernize Federal Defenses  連邦防衛の近代化 
In accordance with the President’s direction in the NCS, the Executive Order 14028,  Improving the Nation’s Cybersecurity, and National Security Memorandum 8, Improving the Cybersecurity of National Security, Department of Defense, and Intelligence Community Systems, the U.S. Government must continue to strengthen and modernize its information technology systems.  Agency investments should lead to durable, long-term solutions that are secure by design.  Budget submissions should demonstrate how they:    NCS における大統領の指示、大統領令 14028「国家のサイバーセキュリティ改善」、国家安全保障覚書 8「国家安全保障、国防総省、情報コミュニティのシステムのサイバーセキュリティ改善」に従い、米国政府は情報技術システムの強化と近代化を継続しなければならない。 省庁の投資は、設計上安全な、耐久性のある長期的なソリューションにつながるべきである。 予算提出は、以下を実証するものでなければならない:   
•       achieve progress in zero trust deployments as outlined in OMB Memorandum M-22-09, Moving the U.S. Government Toward Zero Trust Cybersecurity Principles, and explain efforts to close any gaps in those requirements;  ・OMB Memorandum M-22-09「Moving the U.S. Government Toward Zero Trust Cybersecurity Principles(米国政府をゼロ・トラスト・サイバーセキュリティ原則に向かわせる)」に概説されているゼロ・トラスト・デプロイメントの進捗を達成し、これらの要件におけるギャップを埋める努力を説明すること; 
•       meet the goals set forth in the Federal Zero Trust Strategy and make clear how agency investments support people, processes, and technology that advance agency capabilities along the Zero Trust Maturity Model;   ・連邦ゼロ・トラスト戦略で定められた目標を達成し、ゼロ・トラスト成熟度モデルに沿って省庁の能力を向上させる人材、プロセス、技術を省庁の投資がどのように支援するかを明確にする;  
•       prioritize technology modernization where agency systems are reaching end of life or end of service and where Federal Information Security Modernization Act High and High Value Asset systems that are unable to meet zero trust requirements, ensuring that these systems meet standards for security and customer experience requirements;  ・ゼロトラスト要件を満たすことができない連邦情報セキュリティ近代化法(Federal Information Security Modernization Act)の高付加価値資産システム(High and High Value Asset System)が耐用年数やトラストサービスに達している場合は、技術の近代化を優先し、これらのシステムがセキュリティと顧客体験要件の標準を満たすようにする; 
•       secure National Security Systems, including those that are owned or operated by Federal civilian Executive Branch agencies; and  ・連邦文民行政機関が所有または運用するものを含め,国家安全保障システムを保護する。
•       continue to leverage shared cybersecurity services when appropriate and where capability gaps persist, in order to build Federal cohesion and defend Federal systems.   ・連邦の結束力を高め,連邦システムを防衛するために,適切な場合,また能力格差が存続している場合には,共有サイバーセキュリティ・サービスを引き続き活用する。
Improve Baseline Cybersecurity Requirements  ベースライン・サイバーセキュリティ要件の改善 
The NCS emphasizes rebalancing the responsibility to defend cyberspace to ensure that the most capable and best-positioned actors in cyberspace serve as effective stewards of the cyber ecosystem. In setting cybersecurity requirements and considering needed resources,  regulators are strongly encouraged to consult with regulated entities.  Budget submissions should demonstrate how they:   NCS は、サイバースペースにおいて最も能力があり、最も有利な立場にある主体がサイバ ー・エコシステムの効果的な管理者として機能するよう、サイバースペースの防衛責任を再 バランスさせることを強調している。サイバーセキュリティの要件を設定し、必要なリソースを検討するにあたり、規制当局は規制対象事業体と協議することが強く推奨される。 予算提出は、以下を実証するものでなければならない:  
•       further performance-based regulations to ensure: 1) current and future requirements leverage existing cybersecurity frameworks and voluntary consensus standards; and 2) baseline cybersecurity standards can be applied across critical infrastructure sectors but are agile enough to adapt as adversaries increase capabilities and change tactics; and   ・1)現在および将来の要件は、既存のサイバーセキュリティのフレームワークや自主的なコンセンサス標準を活用する。 
•       prioritize cybersecurity capabilities and capacity, including personnel, to ensure effective enforcement of regulatory regimes.   ・規制の効果的な実施を確保するために,人員を含むサイバーセキュリティの 能力とキャパシティに優先順位をつける。
Scale Public-Private Collaboration  官民連携の規模を拡大する 
Defending critical infrastructure against adversarial activity and other threats depends upon developing and strengthening collaboration through structured roles and responsibilities.  In addition, increased connectivity is enabled by the automated exchange of data, information, and knowledge.  Budget submissions should demonstrate how they:   敵対的な活動やその他の脅威から重要インフラを守るには、体系化された役割と責任を通じた協力体制の構築と強化が不可欠である。 さらに、データ、情報、知識の自動化された交換により、接続性の向上が可能になる。 予算提出は、以下を実証するものでなければならない:  
•       prioritize building the capacity and mechanisms to collaborate with critical infrastructure owners and operators to identify, understand, and mitigate threats, vulnerabilities, and risks to respective sectors.  Each Sector Risk Management Agency (SRMA) will develop a resource-informed plan to mature its capabilities, improve processes, and make use of technology solutions;   ・各セクターに対する脅威、脆弱性、リスクを特定し、理解し、軽減するために、重要インフラの所有者や運営者と協力する能力とメカニズムを構築することを優先する。 各セクター・リスクマネジメント機関(SRMA)は、その能力を成熟させ、プロセスを改善し、テクノロジー・ソリューションを活用するためのリソースに基づいた計画を策定する;  
•       build on the decades of experience in collaborating with Information Sharing and Analysis Organizations, sector-focused Information Sharing and Analysis Centers, and similar organizations to define sector-by-sector needs and gaps in current SRMA capabilities; and    ・情報共有・分析組織,セクターに特化した情報共有・分析センター,および類似の組織と の数十年にわたる協力の経験に基づき,セクターごとのニーズと現在の SRMA 能力のギャップを明確にする。
•       within each SRMA, consider additional capacity for specialized cyber analysts capable of working with critical infrastructure and providing proactive information to owners and operators.  Such analysts would evaluate sector needs, improve Government processes for intelligence and informational analysis, and partner with private sector, State, local, tribal and territorial entities.  Such considerations should be discussed in accordance with a long-term vision to meet a defined mission and avoid duplication.   ・各 SRMA 内で,重要インフラと連携し,所有者や運用者に事前情報を提供できる専門のサイ バーアナリストの追加能力を検討する。 そのようなアナリストは,各分野のニーズを評価し,インテリジェンスと情報分析のためのガバメントプロセスを改善し,民間部門,州,地方,部族,地域の事業体と提携する。 このような検討は,明確な使命を満たし,重複を避けるための長期的ビジョンに従って議論されるべきである。
 Disrupt and Dismantle Threat Actors - NCS Pillar 2     脅威行為者の破壊と解体 ・NCS の柱 2   
Counter Cybercrime, Defeat Ransomware  サイバー犯罪対策、ランサムウェアの撃退 
Ransomware is a threat to national security, public safety, and economic prosperity.  The Administration is committed to mounting disruption campaigns and other efforts that are so sustained, coordinated, and targeted that they render ransomware no longer profitable.  Budget submissions for departments and agencies with existing, designated roles in the disruption of ransomware should demonstrate how they:  ランサムウェアは、国家安全保障、治安、経済的繁栄に対する脅威である。 政権は、ランサムウェアがもはや利益を生まないような、持続的で、協調的で、標的を絞った破壊キャンペーンやその他の取り組みを実施することを約束する。 ランサムウェアの破壊活動において既存の指定された役割を持つ省庁の予算提出は、以下の方法を示すべきである: 
•       prioritize staff to investigate ransomware crimes and disrupt ransomware infrastructure and actors;    ・ランサムウェアの犯罪を調査し、ランサムウェアのインフラと行為者を混乱させるためのスタッフを優先する;   
•       prioritize staff to combat the abuse of virtual currency to launder ransom payments; and   ・ランサムウェア犯罪を調査し,ランサムウェアのインフラや行為者を混乱させるための人員を優先的に配置する。
•       ensure participation in interagency task forces focused on cybercrime.  ・サイバー犯罪に焦点を当てた省庁間タスクフォースへの参加を確保する。
 Shape Market Forces to Drive Security and Resilience - NCS Pillar 3     セキュリティとレジリエンスを推進するために市場の力を形成する ・NCS の柱 3   
Secure Software and Leverage Federal Procurement to Improve Accountability  ソフトウェアの安全性を確保し、連邦調達を活用して説明責任を改善する。
OMB Memorandum M-22-18, Enhancing the Security of the Software Supply Chain through Secure Software Development Practices, as updated by M-23-16, requires agencies to take the specific steps to ensure software producers attest to conformity with secure software development practices.  These include obtaining self-attestations from software producers to confirm their development practices meet minimum secure software development requirements.  Further, Executive Order 14028 directs the Federal Acquisition Regulatory Council to consider changes to the Federal Acquisition Regulation that would strengthen and standardize contract requirements for cybersecurity across agencies. Publication of proposed rules for public comment will ensure that the views of stakeholders outside the Government inform and shape any changes that are ultimately finalized.  Budget submissions should demonstrate how they:  OMB Memorandum M-22-18, Enhancing the Security of the Software Supply Chain through Secure Software Development Practices, as updated by M-23-16 は、安全なソフトウェア開発慣行への適合をソフトウェア製造者に証明させるための具体的なステップを踏むことを各省庁に求めている。 これには、ソフトウェア製造者から自己証明を取得し、その開発慣行が安全なソフトウェア開発の最低要件を満たしていることを確認することが含まれる。 さらに、大統領令 14028 号は、連邦調達規制審議会に対し、サイバーセキュリティに関する契約要件を省庁間で強化・標準化する連邦調達規則の変更を検討するよう指示している。パブリックコメントのために規則案を公表することで、ガバナンス外の利害関係者の見解が、最終的に確定する変更に反映され、形成されることが保証される。 予算の提出は、以下を実証するものでなければならない: 
•       ensure capacity exists to meet secure software and services requirements, including costs associated with contracts and appropriate training; and  ・契約や適切な訓練に関連する費用を含め,安全なソフトウェアやサービスの要件を満たす能力が確実に存在すること。
•       identify where agency implementation of cybersecurity requirements may benefit from novel procurement practices and/or approaches that could be piloted within the agency or among select agencies for evaluation for broader Federal enterprise use.  ・サイバーセキュリティ要件の実施において,政府機関内または特定の政府機関間で試験的に実施し,より広範な連邦エンタープライズでの利用を評価できるような斬新な調達手法やアプローチから,どのようなメリットが得られるかを特定する。
Leverage Federal Grants and Other Incentives to Build in Security  連邦補助金やその他のインセンティブを活用してセキュリティを組み込む 
Through programs funded by the Infrastructure Investment and Jobs Act (Public Law  Infrastructure Investment and Jobs Act(インフラ投資・雇用法、公法 
117-58),  the Inflation Reduction Act (Public Law 117-169), and the Chips and Science Act  インフラ投資・雇用法(公法117-58)、インフレ削減法(公法117-169)、チップ・科学法(公法117-167)により資金提供されたプログラムを通じて、安全保障を構築する。
(Public Law 117-167), the United States is making once-in-a-generation investments in America’s infrastructure and supporting digital ecosystem.  Departments and agencies should ensure that Federal funding programs for critical infrastructure are designed, developed, fielded, and maintained with cybersecurity resilience in mind.  Budget submissions should demonstrate how the agency supports efforts to secure this infrastructure from cyber threats through:   (公法117-167)により資金提供されるプログラムを通じて、米国は、米国のインフラとそれを支えるデジタル・エコシステムに対して、一世一代の投資を行っている。 各省庁は、重要インフラに対する連邦政府の資金提供プログラムが、サイバーセキュリティのレジリエンスを念頭に置いて設計、開発、実戦配備、維持されるようにすべきである。 予算提出の際には、重要インフラをサイバー脅威から守るための取り組みを、以下のような形でどのように支援しているかを示すべきである:  
•       support for project review, fiscal compliance, and assessment to address cybersecurity threats and the development of cybersecurity performance standards for infrastructure investments where existing standards require refinement; and   ・サイバーセキュリティの脅威に対処するためのプロジェクト審査,財政コンプライアンス,評価の支援,および既存の標準の改善が必要なインフラ投資に対するサイバーセキュリティ性能標準の策定。
•       encouraging the implementation of joint efforts across agencies to provide technical support to projects throughout the design and build phases.  ・設計・建設段階を通じてプロジェクトに技術支援を提供するため,省庁を横断した共同取り組みの実施を奨励する。
 Invest in a Resilient Future - NCS Pillar 4     レジリエンスな未来への投資 ・NCS の柱 4   
Strengthen Cyber Workforce  サイバー人材の強化 
Employers in the Federal and national cyber workforce face challenges in recruiting, hiring, and retaining professionals to fill vacancies in the workforce, which negatively impacts America’s collective cybersecurity.  To address these issues, Budget submissions should draw on the “Good Jobs Principles” and best practices for highly effective workforce investments.  Budget proposals should demonstrate how they:   連邦政府および国のサイバー人材の雇用主は、欠員を埋めるための専門家の募集、雇用、維持に課題を抱えており、これは米国のサイバーセキュリティ全体に悪影響を及ぼす。 これらの問題に対処するため、予算案は「良い仕事の原則」と非常に効果的な労働力投資のベストプラクティスを参考にすべきである。 予算案は、以下を示すべきである:  
•       support initiatives that meet the Federal cyber workforce demand by developing, attracting, and retaining cyber talent in the Federal Government and leveraging skillsbased hiring best practices, including skills-and competency-based assessments, shared hiring actions, and multiple on-ramp approaches. These initiatives will strengthen the  cyber workforce by attracting members of underrepresented groups, such as women, people of color, rural populations, and those with disabilities; and  ・連邦政府におけるサイバー人材の開発,誘致,維持を行い,スキルやコンピテンシーに基づく評価,共有された雇用行動,複数のオンランプアプローチを含む,スキルに基づく雇用のベストプラクティスを活用することにより,連邦政府のサイバー人材の需要を満たすイニシアティブを支援する。これらのイニシアチブは,女性,有色人種,地方出身者,障がい者など,十分に代表されていないグループのメンバーを惹きつけることによって,サイバー労働力を強化する。
•       for agencies that have a mission requirement to bolster cyber capacity throughout the national workforce, include technical assistance, grant programs, and cross-sectional cybersecurity workforce efforts to build technical, foundational cyber skills, and needed capacity.       ・国の労働力全体のサイバー能力を強化することを使命とする省庁に対しては,技術的,基礎的なサイ バー・スキル,必要とされる能力を構築するための技術支援,助成金プログラム,横断的なサイバーセ キュリティ人材育成の取り組みを行う。
Prepare for the Post-Quantum Future  ポスト量子未来に備える 
The President issued the National Security Memorandum (NSM) 10, Promoting United  大統領は、国家安全保障覚書(NSM)10「量子コンピューティングにおける米国のリーダーシップの促進」を発表した。
States Leadership in Quantum Computing While Mitigating Risks to Vulnerable Cryptographic Systems (NSM-10) in order to promote U.S. leadership in quantum information science and address potential threats that quantum computers may pose to encrypted data and systems.  Subsequently, OMB issued OMB Memorandum M-23-02, Migrating to Post Quantum Cryptography (M-23-02), and the National Security Agency issued NSM 8, Task 9: on Identification of Encryption Not in Compliance with Quantum-Resistant Algorithms or Commercial National Security Algorithm (NMM-2022-09). Budget proposals should demonstrate how they:   これは、量子情報科学における米国のリーダーシップを促進し、量子コンピュータが暗号化されたデータやシステムにもたらす潜在的な脅威に対処するためのものである。 その後、OMB は OMB Memorandum M-23-02, Migrating to Post Quantum Cryptography (M-23-02)を発行し、国家安全保障局は NSM 8, Task 9: on Identification of Encryption Not in Compliance with Quantum-Resistant Algorithms or Commercial National Security Algorithm (NMM-2022-09)を発行した。予算案は、以下の方法を示すべきである:  
•   ensure that requirements under NSM-10, M-23-02, and NMM-2022-09 are made transparent in Budget submissions.  This should include necessary services and software needed to accurately, and where possible, automatically inventory cryptographic systems and to begin transitioning agencies’ most critical and sensitive networks and systems to post quantum cryptography as directed to do so by OMB.     ・NSM-10、M-23-02、NMM-2022-09 の要件が予算提出において透明化されていることを確認すること。 これには、暗号システムを正確かつ可能な限り自動的にインベントリ化するために必要なサービスやソフトウェア、および各省庁の最も重要で機密性の高いネットワークやシステムをOMBの指示に従いポスト量子暗号への移行を開始するために必要なサービスやソフトウェアを含めるべきである。   
 Forge International Partnerships to Pursue Shared Goals - Pillar 5     共通の目標を達成するために国際的なパートナーシップを構築する。  
Strengthen International Partner Capacity and U.S. Ability to Assist   国際パートナーの能力と米国の支援能力を強化する。 
The United States will demonstrate leadership through cooperation in identifying, disrupting, or otherwise addressing malicious cyber activity through a whole-of-Government approach that will mitigate threats to America’s networks and critical infrastructure.  Budget submissions for Federal agencies with overseas cybersecurity missions should demonstrate how they:   米国は、米国のネットワークと重要インフラに対する脅威を軽減するガバナンス全体のアプローチを通じて、悪意のあるサイバー活動を特定、破壊、またはその他の方法で対処するための協力を通じて、リーダーシップを発揮する。 海外にサイバーセキュリティ・ミッションを持つ連邦政府機関の予算提出は、以下を実証するものでなければならない:  
•       maximize the expertise across the Government to pursue coordinated and effective international cyber capacity building efforts;    ・ガバナンス全体の専門知識を最大限に活用し、協調的かつ効果的な国際的サイバー能力構築の取り組みを追求する;   
•       for agencies that have a mission requirement to support international operational coordination, enhance collaboration with foreign partners and allies, including by proposing a readiness posture to engage and assist partners when facing significant cyber attacks; and   ・国際的な作戦調整を支援することを任務要件とする機関については,重大なサイバー攻撃に直面した際にパートナーを関与させ,支援するための準備態勢を提案することを含め,海外のパートナーや同盟国との協力を強化する。
•       build or strengthen international partners’ cyber capacity, working with the private sector, non-governmental organizations, and other international partners, to enable their own security within the digital ecosystem.  ・民間部門,非政府組織,その他の国際的なパートナーと協力して,国際的なパートナーのサイバー能力を構築または強化し,デジタル・エコシステム内での自国の安全保障を可能にする。
Secure Global Supply Chains for Information, Communications, and Operational Technology Products and Services  情報、コミュニケーション、運用技術製品・サービスの安全なグローバル・サプライ・チェーン 
Agencies have been required to establish formal Supply Chain Risk Management (SCRM) programs for acquisitions of information and communications technology and services.  Budget proposals should demonstrate how they:  各省庁は、情報通信技術およびサービスの取得について、正式なサプライチェーンリスクマネジメント(SCRM)プログラムを確立することが求められている。 予算案は、以下の方法を示すべきである: 
•       make transparent the personnel necessary to evaluate and monitor supply chain risks and support required agency SCRM programs; and  ・サプライチェーンリスクを評価・監視し,必要な省庁のSCRMプログラムを支援するために必要な人員を透明化する。
•       support programs that assess threats and vulnerabilities to the United States and its people arising from transactions that concern information and communications technology and involve persons subject to the control or jurisdiction of foreign adversaries, consistent with Executive Order 14034, Protecting American’s Sensitive Data From Foreign Adversaries.   ・大統領令14034「外国の敵対者から米国の機密データを防御する」に沿って,情報通信技術に関係し,外国の敵対者の管理または管轄下にある者が関与する取引から生じる米国とその国民に対する脅威と脆弱性を評価するプログラムを支援すること。

|

« 英国 著作権と人工知能 (AI) に関する実施規範をつくるようですね。。。(2023.06.29) | Main | ENISA 健康分野のサイバーセキュリティ状況 (2023.07.05) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 英国 著作権と人工知能 (AI) に関する実施規範をつくるようですね。。。(2023.06.29) | Main | ENISA 健康分野のサイバーセキュリティ状況 (2023.07.05) »