« 米国 NISTサイバーセキュリティフレームワーク2.0コアと実装例のディスカッションドラフト | Main | 米国 国家情報戦略 2023 »

2023.08.11

米国 CISA ブログ レジリエンスの力 - ウクライナのパートナーからアメリカが学べること

こんにちは、丸山満彦です。

レジリエンス (resilience) は今の時代のキーワードの一つですよね。。。欧州でもサイバーレジリエンス法が制定されたり。。。金融でもレジリエンスと言われていますよね(例えば私のブログでも、これこれこれ、とか...)。。。

(ただ、むかーし、10年以上前だと思うのですが、所属している組織の名前が、Security Privacy and Resilience, 通称SPRと言っていた時代がありましたね。。。日本のリーダーをしていました。。。)

Resilience ということばは、日本語に訳すのが難しい言葉の一つかと思います。ぴったりの用語がないというか、、、Resilienceが幅広い概念なので、文脈に合わせて日本語を変えないと通じにくいというか。。。

語源的には想像通りラテン語で、


「resiliens」「resilire(跳ね返る)」である。「re逆に)」「salire(跳ねる)」の要素から成る。「salient顕著な突出した)」や「result結果)」も同じ語源である。

出典:weblio


ということらしいです。

英語の辞書では、



1. the ability to be happy, successful, etc. again after something difficult or bad has happened:

Trauma researchers emphasize the resilience of the human psyche.
These are habits that can break down the resiliency you'll need to help you through difficult times.

2. the ability of a substance to return to its usual shape after being bent, stretched, or pressed:

Theplantfibrehasincrediblestrengthand resilience.
These newmaterialshaveadditionalresiliency andelasticityproperties, as well asgreatstrength.
出典:Cambridge

という感じで...

日本語では、


  1. 〔病気・不幸・困難・苦境などからの〕回復力、立ち直る力、復活力【同】buoyancy・Resilience is the key to success. : レジリエンスが成功への鍵です。◆困難や苦境から迅速に回復・復元・復活する力がどの程度あるかによって、成功するか否かが決まる。
  2. 〔変形された物が元の形に戻る〕復元力、弾力(性)◆【類】elasticity

出典:英辞郎


というように、

「回復力」、「復活力」、「復元力」、「弾力性」とか言われますが、軍事的な場面では「堪性」という意味となりますかね。。。ちなみに物理でよくでてきた、バネとかが戻る時は日本語では弾性といって (elastic) という用語を使いますね。。。

私は、竹が強風でしなっても、また元に戻るようなイメージを持っています。。。違うかもですが。。。

さて、そのResilienceについてのCISAのブログ...

 

CISA - news

・2023.08.09 The Power of Resilience - What America can learn from our partners in Ukraine

The Power of Resilience レジリエンスの力
What America can learn from our partners in Ukraine アメリカがウクライナのパートナーから学べること
Jen Easterly, Director Cybersecurity and Infrastructure Security Agency ジェン・イースタリー、サイバーセキュリティ・インフラセキュリティ庁長官
Victor Zhora, Deputy Chairman and Chief Digital Transformation Officer of the State Service of Special Communication and Information Protection ビクター・ゾラ、国家特別コミュニケーション・情報保護局副会長兼デジタル変革最高責任者
In the late afternoon of December 23, 2015, residents in the Ivano-Frankivsk region of Western Ukraine were wrapping up their workdays and getting ready to head out into the frigid winter streets on their way to the warmth of their homes. But on this day, as one worker at the Prykarpattyaoblenergo control center was organizing his papers, he suddenly noticed that the cursor on his computer started moving quickly across the screen, completely on its own, manipulating the circuit breakers at a power substation in the region. 2015年12月23日の午後遅く、ウクライナ西部のイヴァノ・フランキフスク地方の住民たちは、仕事を終え、暖かい家へ向かうために厳冬の街へ繰り出す準備をしていた。しかしこの日、プリカルパチャオブレーナーゴのコントロールセンターで働く一人の作業員が書類を整理していると、突然、彼のパソコンのカーソルが画面上を素早く動き出し、完全に独力でこの地域の変電所のサーキットブレーカーを操作していることに気づいた。
As he tried desperately to regain control of his computer, he was suddenly logged out. The attackers had changed his password, preventing him from logging in again. 彼は必死でコンピューターを操作し直そうとしたが、突然ログアウトされてしまった。攻撃者は彼のパスワードを変更し、再びログインできないようにしていたのだ。
The attackers didn’t stop there. At the same time, they struck two other power distribution centers, leaving more than 230,000 Ukrainians in the dark. They had not been ready for a cyberattack of this magnitude. 攻撃者はそれだけにとどまらなかった。同時に、彼らは他の2つの配電センターを攻撃し、23万人以上のウクライナ人を暗闇の中に置き去りにした。これほど大規模なサイバー攻撃への備えはできていなかった。
But in the days, months, and years that followed, Ukraine took concrete steps to build resilience into the fabric of the country. In 2016, Ukraine launched their National Cyber Strategy, and Ukrainian cybersecurity organizations continuously evolved to defend themselves from Russian campaigns. しかし、その後数日、数カ月、数年の間に、ウクライナはレジリエンスを構築するための具体的な措置を講じた。2016年、ウクライナは国家サイバーセキュリティ戦略を開始し、ウクライナのサイバーセキュリティ組織はロシアのキャンペーンから身を守るために継続的に進化していった。
Fast forward to 2022 and Ukraine would not be unprepared again. Prior to the expected Russian invasion, the private sector in Ukraine joined together with the government, as well international allies, to be ready.   2022年になれば、ウクライナは再び備えを怠ることはないだろう。予想されるロシアの侵攻に先立ち、ウクライナの民間セクターは政府だけでなく、国際的な同盟国とも協力して準備を整えた。 
Groups like the Cyber Defense Assistance Consortium brought companies together “to help Ukraine cyber defenders secure networks, hunt for and expel malicious cyber intruders, improve attack surface monitoring, and provide cyber threat intelligence to protect critical infrastructure.” サイバー防衛支援コンソーシアムのようなグループは、「ウクライナのサイバー防衛担当者がネットワークを保護し、悪意のあるサイバー侵入者を探し出して追い出し、攻撃表面の監視を改善し、重要インフラを保護するためのサイバー脅威インテリジェンスを提供するのを支援する」ために、企業を結集させた。
This is resilience: Doing the work up front to prepare for a disruption, anticipating that it will in fact happen, and exercising not just for response but with a deliberate focus on continuity and recovery, improving the ability to operate in a degraded state and significantly reducing downtime when an incident occurs. これがレジリエンスだ: 混乱に備え、実際に混乱が起こることを予測し、対応だけでなく、継続と回復に意図的に焦点を当てた訓練を前もって行い、劣化した状態での運用能力を向上させ、インシデント発生時のダウンタイムを大幅に削減することである。
The courage and tenacity of the Ukrainian people in the years since 2015 and today exemplify what resilience looks like in practice, bravely demonstrating resilience every day. 2015年から今日までのウクライナの人々の勇気と粘り強さは、レジリエンスが実際にどのようなものかを例証しており、毎日勇敢にレジリエンスを実証している。
The United States must follow suit and take a page out of Ukraine’s cyber playbook and build its resiliency now. This goes beyond cyber resilience and the capability to swiftly recover from an extensive barrage of cyber-attacks. It also involves strengthening fundamental operational resilience to withstand both cyber assaults and other forms of aggressive physical attacks. Ukraine has demonstrated an impressive ability to quickly respond to, and effectively restore its critical infrastructure, despite facing barbaric kinetic attacks. It is critical for the United States to take inspiration from Ukraine's successes and proactively fortify its defenses and improve its response and recovery mechanisms.   米国もこれに倣い、ウクライナのサイバー・プレイブックを見習って、今すぐレジリエンスを構築しなければならない。これは、サイバーレジリエンスや、広範なサイバー攻撃の嵐から迅速に回復する能力にとどまらない。また、サイバー攻撃と他の形態の攻撃的な物理的攻撃の両方に耐えられるよう、基本的な運用面でのレジリエンスを強化することも含まれる。ウクライナは、野蛮な運動的攻撃に直面しているにもかかわらず、重要インフラに迅速に対応し、効果的に復旧させる素晴らしい能力を示している。米国はウクライナの成功からヒントを得て、積極的に防御を強化し、対応と復旧のメカニズムを改善することが重要である。 
This will require a major shift in approach, with a deliberate focus on three key elements: risk assessment, resilience planning, and continuous improvement and adaption. そのためには、リスクアセスメント、レジリエンス計画、継続的改善と適応という3つの重要な要素に意図的に焦点を当て、アプローチを大きく転換する必要がある。
First, organizations must identify their most critical functions and assets, define dependencies that enable the continuity of these functions, and consider the full range of threats that could undermine functional continuity. 第一に、組織は、最も重要な機能と資産を特定し、これらの機能の継続を可能にする依存関係を 定義し、機能の継続性を損なう可能性のあるあらゆる脅威を検討しなければならない。
Second, organizations must perform dedicated resilience planning, determining the maximum downtime acceptable for customers, developing recovery plans to regain functional capabilities within the maximum downtime, and testing those plans under real-life conditions. 第二に、組織は、専用のレジリエンス計画を策定し、顧客が許容できる最大ダウンタイムを決定 し、最大ダウンタイム内に機能能力を回復するための復旧計画を策定し、それらの計画を実際の 状況下でテストしなければならない。
Finally, organizations must be prepared to regularly adapt to changing conditions and threats. This starts with fostering a culture of continuous improvement, based on lessons learned and evolving cross-sector risks. 最後に、組織は、変化する状況や脅威に定期的に適応できるように準備しなければならない。これは、学んだ教訓と進化するセクター横断的リスクに基づき、継続的に改善する文化を醸成することから始まる。
The world has watched the incredible unity of the Ukrainian people to fight on, towards victory, in the face of enormous adversity. It is our hope that in 5 years, global citizens will be able to look back and see the way our nations, our companies, and our people have worked together to learn from each other and improved our collective ability to respond to, recover, and learn from the full range of threats to our nations. We must prepare now for future attacks that we know may be coming. 世界は、ウクライナの人々が巨大な逆境に直面しながらも、勝利に向かって闘い続ける驚くべき団結力を見てきた。5年後、世界の市民が振り返り、私たちの国、私たちの企業、そして私たちの国民が、互いに学び合い、私たちの国に対するあらゆる脅威への対応、回復、そしてそこから学ぶための総合的な能力を向上させるために協力した方法を見ることができるようになることが、私たちの望みである。私たちは、今後起こるかもしれないと分かっている攻撃に対して、今すぐ備えなければならない。
The question is: Will we be ready? 問題は、我々は準備ができているかということである。

 

 

|

« 米国 NISTサイバーセキュリティフレームワーク2.0コアと実装例のディスカッションドラフト | Main | 米国 国家情報戦略 2023 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 米国 NISTサイバーセキュリティフレームワーク2.0コアと実装例のディスカッションドラフト | Main | 米国 国家情報戦略 2023 »