米国 K-12(幼稚園から高校まで)の学校のサイバーセキュリティを強化する新たな取り組みを開始 (2023.08.07)
こんにちは、丸山満彦です。
米国のK-12(幼稚園から高校まで)の学校のサイバーセキュリティを強化する取り組み...
日本ではどうなっているのか、あまり最近きいていない。。。
極論、細かいこと考えずにとりあえず、米国と同じことやることにしてもよいかもですね。。。あわないところはとりあえず修正して...
もちろん、日本の教育制度に合わせてするのがベストでしょうが、一から考えると、内容をきめるにも、進め方を決めるにも時間がかかるから、何も進まない。それよりは、まし...という感じですかね。。。
・2023.08.07 Biden-Harris Administration Launches New Efforts to Strengthen America’s K-12 Schools’ Cybersecurity
Biden-Harris Administration Launches New Efforts to Strengthen America’s K-12 Schools’ Cybersecurity | バイデン-ハリス政権、アメリカの幼稚園から高校までの学校のサイバーセキュリティを強化する新たな取り組みを開始 |
Biden-Harris Administration is announcing new actions and private commitments to bolster the nation’s cyber defense at schools and protect hard-working American families | バイデン-ハリス政権は、学校における国家のサイバー防御を強化し、勤勉なアメリカ人家庭を守るための新たな行動と民間のコミットメントを発表する。 |
Administration leaders, school administrators, educators, and education technology providers will convene at the White House to discuss how to strengthen the nation’s schools’ cybersecurity amidst growing ransomware attacks | ランサムウェア攻撃が増加する中、行政指導者、学校管理者、教育者、教育技術プロバイダがホワイトハウスに集まり、国の学校のサイバーセキュリティを強化する方法について話し合う。 |
The United States has experienced an increase in cyberattacks that have targeted the nation’s schools in recent years. In the 2022-23 academic year alone, at least eight K-12 school districts throughout the country were impacted by significant cyberattacks – four of which left schools having to cancel classes or close completely. Not only have these attacks disrupted school operations, but they also have impacted students, their families, teachers, and administrators. Sensitive personal information – including, student grades, medical records, documented home issues, behavioral information, and financial information – of students and employees were stolen and publicly disclosed. Additionally, sensitive information about school security systems was leaked online as a result of these attacks. Today, Secretary of Education Miguel Cardona and Secretary of Homeland Security Alejandro Mayorkas, joined First Lady Jill Biden, to convene school administrators, educators and private sector companies to discuss best practices and new resources available to strengthen our schools’ cybersecurity, protect American families and schools, and prevent cyberattacks from disrupting our classrooms. | 米国では近年、国内の学校を狙ったサイバー攻撃が増加している。 2022-23年度だけでも、全米の少なくとも8つの幼稚園から高校までの学区が、重大なサイバー攻撃の影響を受け、そのうち4つの学校は授業をキャンセルするか、完全に休校せざるを得なくなった。 これらの攻撃は学校運営を混乱させただけでなく、生徒やその家族、教師、管理者にも影響を与えた。 生徒の成績、医療記録、記録された家庭問題、行動情報、財務情報など、生徒や従業員の機微な個人情報が盗まれ、一般に公開された。さらに、これらの攻撃の結果、学校のセキュリティシステムに関する機密情報がオンライン上に流出した。 本日、ミゲル・カルドナ教育省長官とアレハンドロ・マヨルカス国土安全保障省長官は、ジル・バイデン大統領夫人とともに、学校管理者、教育者、民間企業を招集し、学校のサイバーセキュリティを強化し、米国の家庭と学校を守り、サイバー攻撃による授業妨害を防ぐためのベストプラクティスと利用可能な新しいリソースについて話し合った。 |
According to a 2022 U.S. Government Accountability Office report, the loss of learning following a cyberattack ranged from three days to three weeks, and recovery time can take anywhere from two to nine months. Further, the monetary losses to school districts following a cyber incident ranged from $50,000 to $1 million. That is why the Biden-Harris Administration has had a relentless focus on securing our nation’s critical infrastructure since day one, and continues to work tirelessly to provide resources that enable the U.S.’s more than 13,000 school districts to better protect and defend their students and employees against cyberattacks. | 2022年の米国政府アカウンタビリティ室の報告書によると、サイバー攻撃後の学習損失は3日から3週間で、復旧には2カ月から9カ月かかるという。 さらに、サイバーインシデント後の学区の金銭的損失は、5万ドルから100万ドルであった。だからこそ、バイデン-ハリス政権は初日から、わが国の重要インフラの安全確保に執拗なまでに力を注いできたのであり、米国の1万3,000を超える学区がサイバー攻撃から生徒や従業員をよりよく保護・防御できるようなリソースを提供するために、たゆまぬ努力を続けているのである。 |
The Administration is taking additional action and committing resources to strengthen the cybersecurity of the nation’s K-12 school systems, including: | 同政権は、全米の幼稚園から高校までの学校システムのサイバーセキュリティを強化するため、以下のような追加措置と資源投入を行っている: |
・Federal Communications Commission Chairwoman Jessica Rosenworcel is proposing establishing a pilot program under the Universal Service Fund to provide up to $200 million over three years to strengthen cyber defenses in K-12 schools and libraries in tandem with other federal agencies that have deep expertise in cybersecurity. | ・連邦コミュニケーション委員会のジェシカ・ローゼンウォーセル委員長は、ユニバーサル・サービス基金の下で、サイバーセキュリティに深い専門知識を持つ他の連邦機関と連携して、幼稚園から高校までの学校と図書館のサイバー防御を強化するため、3年間で最大2億ドルを提供するパイロット・プログラムの設立を提案している。 |
・The U.S. Department of Education will establish a Government Coordinating Council (GCC) that will coordinate activities, policy, and communications between, and amongst, federal, state, local, tribal, and territorial education leaders to strengthen the cyber defenses and resilience of K-12 schools. By facilitating formal, ongoing collaboration between all levels of government and the education sector, the GCC will be a key first step in the Department’s strategy to protect schools and districts from cybersecurity threats and for supporting districts in preparing for, responding to, and recovering from cybersecurity attacks. | ・米国教育省は、幼稚園から高校までの学校のサイバー防御とレジリエンスを強化するため、連邦政府、州政府、地方政府、部族政府、準州政府の教育指導者間の活動、政策、コミュニケーションを調整する政府調整評議会(GCC)を設立する。あらゆるレベルの政府と教育部門との間の公式かつ継続的な協力関係を促進することで、GCCは、サイバーセキュリティの脅威から学校と地区を保護し、サイバーセキュリティ攻撃に対する準備、対応、回復において地区を支援するための、米国教育省の戦略における重要な第一歩となる。 |
・The U.S. Department of Education and the Cybersecurity and Infrastructure Security Agency (CISA) jointly released K-12 Digital Infrastructure Brief: Defensible & Resilient, the second in a series of guidance documents to assist educational leaders in building and sustaining core digital infrastructure for learning. Additional briefs released by the U.S. Department of Education include Adequate and Future-Proof and Privacy-Enhancing, Interoperable and Useful. | ・米教育省とサイバーセキュリティ・インフラ・セキュリティ庁(CISA)は共同で、「K-12 Digital Infrastructure Brief」を発表した: これは、教育の指導者が学習のための中核的なデジタルインフラを構築し、維持するのを支援するためのガイダンス文書シリーズの第2弾である。 米国教育省が発表したその他のブリーフには、「Adequate and Future-Proof」と「Privacy-Enhancing, Interoperable and Useful」がある。 |
・CISA is committing to providing tailored assessments, facilitating exercises, and delivering cybersecurity training for 300 new K-12 entities over the coming school year. CISA plans to conduct 12 K-12 cyber exercises this year, averaging one per month, and is currently soliciting exercise requests from government and critical infrastructure partners, including the K-12 community. | ・CISAは来年度、新たに300の幼稚園から高校までの事業体に対して、ニーズに合わせた評価をプロバイダとして提供し、演習を促進し、サイバーセキュリティ・トレーニングを実施することを約束している。 CISAは今年、12回のK-12サイバー演習(平均月1回)を実施する予定で、現在、K-12コミュニティを含む政府および重要インフラ・パートナーからの演習依頼を募っている。 |
・The Federal Bureau of Investigation (FBI) and the National Guard Bureau are releasing updated resource guides to ensure state government and education officials know how to report cybersecurity incidents and can leverage the federal government’s cyber defense capabilities. | ・連邦捜査局(FBI)と国家警備局は、州政府や教育関係者がサイバーセキュリティ・インシデントの報告方法を知り、連邦政府のサイバー防衛能力を活用できるようにするため、最新のリソース・ガイドを発表している。 |
Additionally, several education technology providers are committing to providing free and low-cost resources to school districts, including: | さらに、いくつかの教育テクノロジープロバイダーは、学区に無料または低コストのリソースを提供することを約束している: |
・Amazon Web Services (AWS) is committing the following: $20 million for a K-12 cyber grant program available to all school districts and state departments of education; free security training offerings tailored to K-12 IT staff delivered through AWS Skill Builder; and no-cost cyber incident response assistance through its Customer Incident Response Team in the event a school district experiences a cyberattack. AWS will also provide free well-architected security reviews to U.S. education technology companies providing mission-critical applications to the K-12 community. | ・アマゾン・ウェブ・サービス(AWS)は、以下を約束している: すべての学区と州教育省が利用できるK-12サイバー助成金プログラムに2000万ドル、AWS Skill Builderを通じて提供されるK-12のITスタッフに合わせた無料のセキュリティ・トレーニング、学区がサイバー攻撃を受けた場合のカスタマー・インシデント・レスポンス・チームによる無償のサイバー・インシデント対応支援などである。 また、AWSは、K-12コミュニティにミッションクリティカルなアプリケーションを提供する米国の教育テクノロジー企業に対し、適切に構築されたセキュリティレビューを無償で提供する。 |
・Cloudflare, through its Project Cybersafe Schools, will offer a suite of free Zero Trust cybersecurity solutions to public school districts under 2,500 students, to give small school districts faster, safer Internet browsing and email security.・ | ・Cloudflareは、Project Cybersafe Schoolsを通じて、生徒数2500人以下の公立学区に、Zero Trustサイバーセキュリティ・ソリューション一式を無償で提供し、小規模学区に、より高速で安全なインターネット閲覧や電子メールのセキュリティを提供する。 |
・PowerSchool, a provider of cloud-based K-12 software in the United States for 80% of school districts, will provide new free and subsidized “security as a service” courses, training, tools and resources to all U.S. schools and districts. | ・米国で80%の学区にクラウドベースのK-12ソフトウェアをプロバイダしているPowerSchoolは、新たに「サービスとしてのセキュリティ」コース、トレーニング、ツール、リソースを米国のすべての学校と学区に無料および補助金付きで提供する。 |
・Google released an updated “K-12 Cybersecurity Guidebook” for schools on the most effective and impactful steps education systems can take to ensure the security of their Google hardware and software applications. | ・グーグルは、グーグルのハードウェアとソフトウェア・アプリケーションのセキュリティを確保するために、教育システムが取ることのできる最も効果的でインパクトのある手順について、学校向けに最新の「K-12サイバーセキュリティ・ガイドブック」を発表した。 |
・D2L, a learning platform company, is committing to: providing access to new cybersecurity courses in collaboration with trusted third-parties; extending its information security review for the core D2L integration partners; and pursuing additional third-party validation of D2L compliance with security standards. | ・学習プラットフォーム企業のD2Lは、信頼できるサードパーティと協力して新しいサイバーセキュリティ・コースへのアクセスを提供すること、D2Lの中核的な統合パートナーに対する情報セキュリティ・レビューを拡大すること、D2Lがセキュリティ標準に準拠していることをサードパーティがさらに検証することを約束する。 |
The commitments made today will help ensure the nation’s schools are in the best position to secure their networks to keep their students, educators, and employees safe. This is the latest example of President Biden’s commitment to ease the everyday concerns facing Americans – from strengthening confidence in the safety of the devices brought into homes and classrooms to securing the cyber infrastructure of our nation’s schools. | 本日のコミットメントは、生徒、教育関係者、従業員の安全を守るため、国内の学校がネットワークの安全性を確保する上で最善の立場にあることを保証するものである。これは、家庭や教室に持ち込まれる機器の安全性に対する信頼強化から、わが国の学校のサイバーインフラの安全確保まで、米国人が直面する日常的な懸念を和らげるためのバイデン大統領のコミットメントの最新の例である。 |
● CISA - News
・2023.08.10 Back to School Month: Let’s Step Towards a Stronger and More Secure future for Our Nation’s Schools
Back to School Month: Let’s Step Towards a Stronger and More Secure future for Our Nation’s Schools | 学校へ戻ろう月間: 我が国の学校のより強固で安全な未来に向けて一歩を踏み出そう |
At the beginning of every August, I reflect on how fast our summer has gone and find it hard to believe that it’s back to school time for so many of our children. While some have already begun their new academic year, others are finishing up (or just starting) their summer reading and math packets. Many parents are rushing to get school supplies and required health forms filled out while others are sending their kids off to college. We know how busy this time of year is, but it’s also a reminder for K-12 administrators and communities to ensure they have identified ways to enhance the cybersecurity that protects students’ and their families’ sensitive information as well as the online platforms that our children rely on every day for their learning. Whether we are educators, administrators, have children in school or are employers who count on having graduates in our workforce, we all rely on our K-12 school systems having strong cybersecurity measures in place. | 毎年8月が始まると、夏がいかに早く過ぎたかを振り返り、多くの子供たちが学校に戻る時期であることを信じがたく思う。すでに新学年が始まっている子もいれば、夏休みの読書や算数のパックを終えている(あるいは始めたばかりの)子もいる。学用品や必要な健康診断書の記入を急いでいる親も多いが、子供を大学に送り出す親もいる。この時期がいかに忙しいかは承知しているが、K-12の管理者や地域社会にとっては、生徒やその家族の機密情報を保護するサイバーセキュリティを強化する方法や、子どもたちが毎日学習に利用しているオンライン・プラットフォームを確実に保護する方法を確認するための注意喚起でもある。私たちが教育者であれ、管理者であれ、学校に通う子供を持つ者であれ、卒業生を労働力として期待する雇用主であれ、私たちは皆、K-12学校システムが強力なサイバーセキュリティ対策を導入していることを頼りにしている。 |
Schools are a target for cyberattacks because they hold valuable information such as staff and student personal data, but school districts often lack resources to build a comprehensive cybersecurity program. The recent expansion of school networks that was essential to providing remote learning during COVID-19 has left many K-12 schools “target rich, cyber poor.” | 学校は職員や生徒の個人データなど貴重な情報を保持しているため、サイバー攻撃の標的となっているが、学区では包括的なサイバーセキュリティ・プログラムを構築するためのリソースが不足していることが多い。COVID-19での遠隔学習のプロバイダに不可欠であった学校ネットワークの最近の拡張は、多くのK-12学校を "ターゲット・リッチ、サイバー・プア "の状態にしている。 |
With August’s back-to-school theme and yesterday’s White House event, “Back to School Safely: Cybersecurity for K-12 Schools,” the Cybersecurity and Infrastructure Agency (CISA) is working hard to make K-12 administrators and communities aware of the current cybersecurity threat environment facing schools while promoting resources schools can use to help protect against those threats. The recently published K-12 campaign page: Cybersecurity for K-12 Education | CISA centralizes many no to low-cost resources and identifies actions that school districts can take to improve their cybersecurity. It includes our Partnering to Safeguard K-12 Organizations from Cybersecurity Threats report, which identifies cybersecurity risks facing elementary and secondary schools, along with recommendations, cybersecurity guidelines, and a toolkit designed to help schools address these risks. You will also find links to several ransomware resources for K-12. | 8月のバック・トゥ・スクールのテーマと、昨日のホワイトハウスのイベント「安全に学校に戻ろう: サイバーセキュリティ・インフラストラクチャ庁(CISA)は、学校が直面しているサイバーセキュリティの脅威環境の現状をK-12学校の管理者や地域社会に認識させるとともに、学校がこれらの脅威から身を守るために利用できるリソースの普及に努めている。最近公開された K-12 キャンペーンページ K-12教育のためのサイバーセキュリティ|CISA」は、低コストで利用できる多くのリソースを一元化し、学区がサイバーセキュリティを改善するために取るべき行動を特定している。これには、初等・中等教育機関が直面するサイバーセキュリティ・リスクを識別し、推奨事項、サイバーセキュリティ・ガイドライン、および学校がこれらのリスクに対処するために設計されたツールキットとともに、「サイバーセキュリティの脅威からK-12組織を守るための提携」レポートが含まれている。また、小中高校向けのランサムウェアに関するリソースへのリンクも掲載されている。 |
We’re also working to apply Secure by Design principles to the K-12 sector. Consistent with the National Cybersecurity Strategy’s direction to shift the burden for cybersecurity onto those most capable, we want to ensure that education technology vendors take responsibility for the security outcomes of the customers. To that end, this week we convened education technology manufacturers for a Secure by Design workshop, where we discussed Secure by Design principles and tactics with company leadership and explored what unique challenges exist within the K-12 space. We look forward to further collaboration with these companies to help protect K-12 communities. Additionally, to better enable schools to evaluate products on the basis of security, we published guidance to K-12 organizations to help ensure that products they buy are Secure by Design. | 我々はまた、セキュア・バイ・デザインの原則をK-12分野に適用することにも取り組んでいる。サイバーセキュリティのための負担を最も能力のある人々にシフトするという国家サイバーセキュリティ戦略の方向性と一致し、我々は教育技術ベンダーが顧客のセキュリティ成果に責任を持つことを保証したい。このため、今週、教育技術メーカーを集めてセキュア・バイ・デザインのワークショップを開催し、セキュア・バイ・デザインの原則と戦術について各社のリーダーと話し合い、幼稚園から高校までの領域でどのような独自の課題が存在するかを探った。我々は、K-12コミュニティの保護に貢献するため、これらの企業とのさらなる協力を期待している。さらに、学校がセキュリティの観点から製品を評価できるようにするため、K-12組織が購入する製品がセキュア・バイ・デザインであることを確認するためのガイダンスを発表した。 |
Let’s use August to expand the conversations, build the relationships, and take the next steps in making our K-12 schools more secure. Explore and widely share these resources, using them as building blocks as we work together to effectively cybersecure our K-12 schools. | 8月を利用して、会話を広げ、関係を築き、K-12学校をより安全なものにするための次のステップを踏み出そう。K-12学校を効果的にサイバーセキュリティで保護するために協力するためのビルディング・ブロックとして、これらのリソースを探索し、広く共有しよう。 |
K-12のセキュリティのウェブページ...
といえば、まずここ...
・Cybersecurity for K-12 Education
・Protecting Our Future - Partnering to Safeguard K-12 Organizations from Cybersecurity Threats
K-12向けのランサムウェア対策のウェブページ
子供向けの対策
・[PDF] CYBERSECURITY GUIDANCE FOR K-12 TECHNOLOGY ACQUISITIONS
CYBERSECURITY GUIDANCE FOR K-12 TECHNOLOGY ACQUISITIONS | 幼稚園児から高校生までの技術取得のためのサイバーセキュリティ・ガイダンス |
BACKGROUND | 背景 |
The President’s National Cybersecurity Strategy outlines the need to shift the burden of security from customers to manufacturers. In line with this strategy, in April 2023, the Cybersecurity and Infrastructure Security Agency (CISA) and nine US and international agencies co-authored a whitepaper titled “Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-by-Design and -Default.” CISA continues to engage the ecosystem on both the demand and supply sides to make a fundamental shift in addressing chronic and systemic problems in software products. This guidance is intended to help the K-12 education community acquire products that are “Secure by Design.” | 大統領の国家サイバーセキュリティ戦略は、セキュリティの負担を顧客からメーカーに移す必要性を概説している。この戦略に沿って、2023年4月、サイバーセキュリティ・インフラセキュリティ庁(CISA)と米国および国際的な9つの機関が "Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-by-Design and -Default "と題するホワイトペーパーを共同執筆した。CISAは、ソフトウェア製品における慢性的かつ体系的な問題に対処するための根本的な転換を図るため、需要側と供給側双方のエコシステムに関与し続けている。このガイダンスは、K-12 教育コミュニティが "セキュア・バイ・デザイン" の製品を取得するのを支援することを意図している。 |
CYBERSECURITY CHALLENGES FACING THE K12 COMMUNITY | K12 コミュニティが直面するサイバーセキュリティの課題 |
As described in our report, Protecting Our Future: Partnering to Safeguard K-12 Organizations from Cybersecurity, the K12 education community faces a wide range of challenges: a dizzying number of vendors and technology products, diverse stakeholders from staff to students to families, constrained resources and expertise, an increasing numbers of devices, and large amounts of sensitive data to maintain. Leaders across the K-12 education community understand these risks and work every day to make progress. Despite these efforts, students and educators remain vulnerable to cyber threats and technology disruptions, which can have devastating effects, especially in the wake of the COVID-19 pandemic. | 我々の報告書「未来を守る: サイバーセキュリティからK-12組織を守るためのパートナーシップ 」にあるように、K12の教育コミュニティは様々な課題に直面している。非常に多くのベンダーとテクノロジー製品、職員から生徒、家族まで多様な利害関係者、限られたリソースと専門知識、増加するデバイス数、 大量の機密データを管理しなければならない。K-12教育界の指導者たちは、こうしたリスクを理解し、日々進歩に努めている。こうした努力にもかかわらず、生徒や教育関係者は依然としてサイバー脅威やテクノロジーの混乱に脆弱であり、特にCOVID-19パンデミックの後では、壊滅的な影響をもたらす可能性がある。 |
Schools, school districts, and families are at the mercy of vendors’ security and business decisions. However, every K-12 organization can help begin to shift the market together through technology contracting and purchasing decisions. The key is knowing that software can and should be designed securely and come with standard security features “out of the box.” | 学校、学区、家庭は、ベンダーのセキュリティやビジネス上の決断に翻弄されている。しかし、すべてのK-12組織は、テクノロジー契約と購入の決定を通じて、市場を共にシフトし始める手助けをすることができる。重要なのは、ソフトウェアが安全に設計され、標準的なセキュリティ機能が "箱から出してすぐに "使えることを知ることである。 |
SECURE BY DESIGN PRINCIPLES | セキュア・バイ・デザインの原則 |
There are three core principles to guide software manufacturers in building software security into their design processes prior to developing, configuring, and shipping their products. | ソフトウェア・メーカーが製品を開発、構成、出荷する前の設計プロセスにソフトウェア・セキュリティを組み込む際の指針となる3つの基本原則がある。 |
1. Take ownership of customer security outcomes. Software manufacturers should measure their progress not merely on their efforts or investments to improve security, but the results of those efforts in customer environments. | 1. 顧客のセキュリティ成果を所有する。ソフトウエアメーカは、セキュリティ改善のための努力や投資だけでなく、顧客環 境におけるそれらの努力の結果についても進捗を測定する必要がある。 |
2. Embrace radical transparency and accountability. Software manufacturers should pride themselves in delivering safe and secure products, as well as differentiating themselves among the rest of the manufacturer community based on their ability to do so. | 2. 抜本的な透明性と説明責任を受け入れる。ソフトウエアメーカーは、安全でセキュアな製品を提供することに誇りを持つととも に、その能力によって他のメーカーとの差別化を図るべきである。 |
3. Build organizational structure and leadership to achieve these goals. While technical expertise is critical to product security, senior executives are the primary decision makers for implementing change in an organization. | 3. これらの目標を達成するための組織構造とリーダーシップを構築する。製品セキュリティにとって技術的な専門知識は不可欠であるが、上級管理職は、組織における変革を実施するための主要な意思決定者である。 |
CONSIDERATIONS FOR TECHNOLOGY VENDORS | テクノロジー・ベンダーにとっての考慮事項 |
Below are key cybersecurity considerations that CISA recommends K12 Education organizations incorporate in strategic acquisitions, upgrades, and/or improvements to their technology environment. These represent general considerations that CISA recommends education organizations address in negotiations with vendors and adapt to the unique specifications of the software product or service in procurement. | 以下は、CISA が K12 Education 組織に対して、テクノロジー環境の戦略的な取得、アップグレード、および/または改善において組み込むことを推奨する、サイバーセキュリティに関する主な考慮事項である。 これらは、CISA が教育機関に対し、ベンダーとの交渉において対処し、調達するソフトウェア製品またはサービスの固有の仕様に適合させることを推奨する一般的な考慮事項を表している。 |
1. Many intrusions occur because a product has not been patched, a problem that can be most effectively addressed if the product has automatic security updates enabled by default. K-12 education entities should require all products to provide automatic security updates. | 1. 侵入の多くは、製品にパッチが適用されていないために発生する。この問題は、製品がデフォルトで自動セキュリティ更新を有効にしていれば、最も効果的に対処できる。K-12教育事業体は、すべての製品に自動セキュリティアップデートの提供を義務付けるべきである。 |
2. Many products do not come with the ability to collect and store information necessary to detect cyber threats. K12 education entities should ensure that all products collect, aggregate, and analyze high-quality security logs without additional cost. | 2. 多くの製品には、サイバー脅威の検知に必要な情報を収集・保存する機能がついていない。K12教育事業体は、すべての製品が追加コストなしに高品質のセキュリティログを収集、集計、分析できるようにすべきである。 |
3. Multifactor authentication, particularly using approaches that are resistant to phishing attacks, is the single most effective measure to prevent cyber intrusions. K-12 education entities should require all products to enable multifactor authentication as a default setting without additional charge. | 3. 多要素認証、特にフィッシング攻撃に耐性のあるアプローチを使用することは、サイバー侵入を防ぐための唯一で最も効果的な対策である。K-12教育事業体は、すべての製品に対して、追加料金なしでデフォルト設定として多要素認証を有効にすることを義務付けるべきである。 |
4. Threat actors frequently look for and compromise networks using default passwords. K-12 education entities should require all products to cease the use of default passwords. Some examples include implementing randomly generated passwords or requiring a password change immediately upon deployment. | 4. 脅威行為者は、デフォルトのパスワードを使用したネットワークを頻繁に探し、侵害する。K-12 教育事業体は、すべての製品に対し、デフォルト・パスワードの使用を中止するよう求めるべきである。例としては、ランダムに生成されるパスワードの実装や、導入時に直ちにパスワードの変更を要求することなどがある。 |
5. Once a threat actor compromises a network, they often seek to compromise administrative or privileged users. K12 education entities should require all products to come with role-based access control (RBAC) that minimizes the number of individuals with elevated privileges. | 5. 脅威行為者がネットワークに侵入すると、多くの場合、管理者や特権ユーザーを侵害しようとする。K12教育事業体は、すべての製品に役割ベースのアクセス制御(RBAC)を搭載し、昇格した権限を持つ個人の数を最小限に抑えることを義務付けるべきである。 |
6. Many vulnerabilities that result in damaging intrusions can be addressed by designing software more securely. K12 education entities should require all product vendors to establish a Secure by Design roadmap to fully implement the National Institute for Standards and Technology (NIST)’s Secure Software Development Framework (SSDF). | 6. 有害な侵入につながる脆弱性の多くは、ソフトウェアをより安全に設計することで対処できる。K12 教育事業体は、すべての製品ベンダーに対し、国立標準技術研究所(NIST)のセキュアソフトウェア開発フレームワーク(SSDF)を完全に実装するためのセキュア・バイ・デザイン(Secure by Design)ロードマップを確立するよう求めるべきである。 |
7. Many vulnerabilities can be found and fixed before a product is sold to customers. K-12 education entities should require all product vendors to establish a program to test software and detect and fix vulnerabilities prior to customer deployment. | 7. 多くの脆弱性は、製品が顧客に販売される前に発見し、修正することができる。K-12教育事業体は、すべての製品ベンダーに対し、顧客に配備する前にソフトウェアをテストし、脆弱性を検出して修正するプログラムを確立するよう求めるべきである。 |
8. Finally, some vulnerabilities are likely to persist even for vendors with strong security programs. It is essential that these vulnerabilities are found before they can be exploited by a malicious actor. K-12 education entities should require all product vendors to establish a vulnerability disclosure program providing authorization for security researchers to test for and report vulnerabilities. | 8. 最後に、一部の脆弱性は、強力なセキュリティプログラムを持つベンダーであっても、存続する可能性が高い。これらの脆弱性は、悪意ある行為者に悪用される前に発見することが不可欠である。K-12教育事業体は、すべての製品ベンダーに対し、セキュリティ研究者が脆弱性をテストし、報告する権限を提供する脆弱性開示プログラムの確立を要求すべきである。 |
WHERE TO GO FOR FURTHER INFORMATION | さらに詳しい情報を得るには |
These considerations are a start on your journey toward generating demand for more secure technology products in the K-12 education community. | これらの検討事項は、K-12教育コミュニティにおいて、より安全なテクノロジー製品への需要を喚起するための出発点である。 |
For more information, we encourage you to read the Secure by Design white paper, the forthcoming Principles and Evidence, and future publications from CISA and the Secure by Design team. Additional information can be found at cisa.gov/SecureByDesign. We also encourage you to engage with your regional Cyber Security Advisor (more information at cisa.gov/about/regions) and email us at SecureByDesign@cisa.dhs.gov. | 詳細については、Secure by Designホワイトペーパー、近刊予定のPrinciples and Evidence、およびCISAとSecure by Designチームによる今後の出版物を読むことをお勧めする。追加情報は、cisa.gov/SecureByDesignに掲載されている。また、各地域のサイバーセキュリティ・アドバイザー(詳細はcisa.gov/about/regionsを参照)やSecureByDesign@cisa.dhs.gov。 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.08.13 米国 FBI 生徒と携帯電話の安全のためにデジタル保護の構築 (2023.08.08)
・2022.12.03 米国 GAO K-12(幼稚園から高校まで)の学校へのサイバー攻撃が増加している...その対応は?
・2023.08.02 米国 国家サイバー人材・教育戦略
・2022.10.22 米国 GAO 重要インフラの防御:K-12サイバーセキュリティを強化するためには、連邦政府のさらなる調整が必要である。
・2021.10.12 米国 K-12サイバーセキュリティ法2012
・2021.01.24 CISA ランサムウェアのリスクを低減するためのキャンペーンを開始し、ランサムウェア対策のサイトを立ち上げていますね。。。
« 米国 CISA他 情報提供依頼: オープンソースソフトウェア・セキュリティ: 長期的な重点分野と優先順位付け | Main | 英国 年内のAI安全サミットに向けて陣頭指揮をとる2名を任命し、Aiヘルスケア研究に1300万£(約24億円)を拠出... (2023.08.10) »
Comments