CISA 官民サイバー防衛共同体 (JCDC) による「遠隔監視・管理 (RMM) システムのサイバー防衛計画」
こんにちは、丸山満彦です。
米国のCISAが、統合サイバー防衛共同体(JCDC)による、「遠隔監視・管理 (RMM) システムのサイバー防衛計画」を公表していますね。
中小企業等の資源の制約から、いわゆるSOC事業者のサービスを利用することが通常であるが、そこがサイバー被害に遭えば、そのユーザーも被害に遭うだろうということで、そこをどう守るべきか?という話になってきますよね。。。
これを読んでみて思ったこと2つ。。。
(1)政府機関もユーザーの一つ
政府機関は、規制の執行機関としての役割と同時に、インターネットユーザーという状況ももっていますよね。規制当局であり、ユーザー。。。
政府機関もインターネットを利用した業務をしている限り、インターネットユーザーであり、民間企業と同様にサイバー攻撃の被害者となりうる。米国連邦政府の場合は、SolarWinds事件が大きな事件であったでしょう。
そういう意味では、官民連携、つまりインターネットユーザー同士という意味での官民連携は重要ですよね。。。特に重要インフラ・基幹インフラ分野では...
そういう活動をもっと政府機関は積極的にやっていくべきですよね。。。(その時は、規制当局としての政府機関とは内部で線をひいいておいて欲しいですよね。。民間企業が協力しにくくなるから...)
(2)集中しているところはリスクが大きい (集中リスク、システミックリスクへの対応)
レジリエンスを考える上で重要となるのが、単一点(シングルポイント)の保護になるわけですが、本当の一つにならなくても、それなりに社会的に集中している機能は、それを保護しなければ影響が広範囲に及びますよね。。。
ビジネス的にいえば、独占、寡占、独占的競争という状況の場合、その事業が倒れると社会的な影響が大きくなるわけですよね。。。事業的には規模の経済が働き、初期投資が大きく参入障壁が高い事業というのは、独占的競争状態になりやすいので、そういう事業というのは注意が必要ですよね。。。サイバーいうとSOC事業とかは、設備投資、人的資源への投資、オペレーションの習熟といった参入障壁が高い事業といえるので、事業者が少なくなっていきますよね。。。
そういう事業では社会的にレジリエンスが重要となりますよね。。。システミックリスクへの対応ということですね。。。
● CISA
発表...
・2023.08.16 CISA Publishes JCDC Remote Monitoring and Management Systems Cyber Defense Plan
| CISA Publishes JCDC Remote Monitoring and Management Systems Cyber Defense Plan | CISA、JCDC 遠隔監視・管理システムのサイバー防衛計画を発表 |
| JCDC plan provides a roadmap to address systemic risks by advancing security and resilience of the RMM ecosystem | JCDC計画は、RMMエコシステムのセキュリティとレジリエンスを向上させることで、システムリスクに対処するロードマップを提供する。 |
| WASHINGTON – The Cybersecurity and Infrastructure Security Agency (CISA) published the Cyber Defense Plan for Remote Monitoring and Management (RMM), the first proactive Plan developed by industry and government partners through the Joint Cyber Defense Collaborative (JCDC) as part of our 2023 Planning Agenda. This Plan provides a clear roadmap to advance security and resilience of the RMM ecosystem and further specific lines of effort in the National Cyber Strategy to scale public-private collaboration and in the CISA Cybersecurity Strategic Plan to drive adoption of the most impactful security measures. | ワシントン発 - サイバーセキュリティ・インフラセキュリティ庁(CISA)は、2023年計画アジェンダの一環として、統合サイバー防衛共同体(JCDC)を通じて産業界と政府のパートナーによって策定された初のプロアクティブな計画である、遠隔監視・管理(RMM)のサイバー防衛計画を発表した。この計画は、RMMエコシステムのセキュリティとレジリエンスを向上させるための明確なロードマップを提供し、官民協力の規模を拡大するための国家サイバーセキュリティ戦略や、最も影響力のあるセキュリティ対策の採用を推進するためのCISAサイバーセキュリティ戦略計画における具体的な取り組みをさらに推し進めるものである。 |
| Organizations across sectors leverage RMM products to gain efficiencies and benefit from scalable services. These same benefits, however, are increasingly targeted by adversaries – from ransomware actors to nation-states – to compromise large numbers of downstream customer organizations. By targeting RMM products, threat actors attempt to evade detection and maintain persistent access, a technique known as living off the land. | さまざまな分野の組織がRMM製品を活用することで、効率性を高め、拡張性のあるサービスから利益を得ている。しかし、このような利点は、ランサムウェアの実行者から国家に至るまで、敵対勢力に狙われることが多くなっている。脅威行為者は、RMM製品を標的にすることで、検知を回避し、持続的なアクセスを維持しようとしている。 |
| Part of our 2023 Planning Agenda, the RMM Cyber Defense Plan provides a clear roadmap to advance security and resilience of this critical ecosystem, including RMM vendors, managed service providers (MSPs), managed security service providers (MSSPs), small and medium sized businesses (SMBs), and critical infrastructure operators. This Plan was developed through a multi-month process that leveraged deep expertise by vendors, operators, agencies, and other stakeholders, and has already resulted in a significant deliverable with publication of our joint advisory on Protecting Against Malicious Use of Remote Monitoring and Management Software. | 2023年計画アジェンダの一部であるRMMサイバー防衛計画は、RMMベンダー、マネージド・サービス・プロバイダー(MSP)、マネージド・セキュリティ・サービス・プロバイダー(MSSP)、中小企業(SMB)、重要インフラ事業者など、この重要なエコシステムのセキュリティとレジリエンスを推進するための明確なロードマップを提供する。この計画は、ベンダー、事業者、政府機関、その他の利害関係者による深い専門知識を活用した数カ月にわたるプロセスを通じて策定され、すでに「遠隔監視・管理ソフトウェアの悪意ある使用に対する防御」に関する共同勧告の発表という重要な成果物を生み出している。 |
| The RMM Cyber Defense Plan is built on two foundational pillars, operational collaboration and cyber defense guidance, and contains four subordinate lines of effort: | RMMサイバー防衛計画は、運用上の協力とサイバー防衛ガイダンスという2つの基礎的な柱を基に構築されており、4つの下位努力ラインを含んでいる: |
| (1) Cyber Threat and Vulnerability Information Sharing: Expand the sharing of cyber threat and vulnerability information between U.S. government and RMM ecosystem stakeholders. | (1) サイバー脅威と脆弱性情報の共有: サイバー脅威と脆弱性情報の共有:米国政府とRMMエコシステムの利害関係者間のサイバー脅威と脆弱性情報の共有を拡大する。 |
| (2) Enduring RMM Operational Community: Implement mechanisms for an enduring RMM operational community that will continue to mature scaled security efforts. | (2) 永続的な RMM 運用コミュニティ: 拡張されたセキュリティの取り組みを成熟させ続ける、永続的な RMM 運用コミュニティのための仕組みを導入する。 |
| (3) End-User Education: Develop and enhance end-user education and cybersecurity guidance to advance adoption of strong best practices, a collaborative effort by CISA, interagency partners and other RMM ecosystem stakeholders. | (3) エンドユーザー教育:強力なベストプラクティスの採用を促進するために、CISA、省庁間パートナ ー、その他の RMM エコシステム利害関係者が協力して、エンドユーザー教育及びサイ バーセキュリティガイダンスを開発・強化する。 |
| (4) Amplification: Leverage available lines of communication to amplify relevant advisories and alerts within the RMM ecosystem. | (4) 拡大: 利用可能なコミュニケーション・ラインを活用し、RMM エコシステム内で関連するアドバイザリやアラートを増幅する。 |
| “As envisioned by Congress and the Cyberspace Solarium Commission, JCDC Cyber Defense Plans are intended to bring together diverse stakeholders across the cybersecurity ecosystem to understand systemic risks and develop shared, actionable solutions. The RMM Cyber Defense Plan demonstrates the criticality of this work and the importance of both deep partnership and proactive planning in addressing systemic risks facing our country,” said Eric Goldstein,CISA Executive Assistant Director for Cybersecurity. “These planning efforts are dependent on trusted collaboration with our partners, and this Plan was a true partnership with the RMM community, industry and interagency partners that contributed time and effort towards this important work. The collaboration established to develop this plan has already achieved several accomplishments for RMM stakeholders and ecosystem. As the JCDC leads the execution of this plan, we are confident that this public-private collaboration in the RMM ecosystem will further reduce risk to our nation’s critical infrastructure.” | CISAサイバーセキュリティ担当エグゼクティブ・アシスタント・ディレクターのエリック・ゴールドスタインは次のように述べた。「米国議会とサイバースペース・ソラリウム委員会が想定しているように、JCDC サイバー防衛計画は、サイバーセキュリティ・エコシステム全体の多様な利害関係者を集め、体系的なリスクを理解し、共有された実行可能な解決策を策定することを目的としている。RMMのサイバー防衛計画は、この作業の重要性と、わが国が直面するシステミックリスクに対処するための深いパートナーシップと積極的な計画の両方の重要性を示している。この計画は、この重要な作業に向けて時間と労力を提供してくれたRMMコミュニティ、産業界、省庁間パートナーとの真のパートナーシップであった。この計画を策定するために築かれた協力関係は、RMMのステークホルダーとエコシステムのために、すでにいくつかの成果を達成している。JCDCがこの計画の実行を主導する中で、RMMエコシステムにおけるこの官民協力が、わが国の重要インフラに対するリスクをさらに低減することを確信している。」 |
| The JCDC 2023 Planning Agenda is a forward-looking effort that is bringing together government and the private sector to develop and execute cyber defense plans that achieve specific risk reduction goals and enable more focused collaboration. To learn more about the JCDC, visit CISA.gov/JCDC. | JCDC 2023計画アジェンダは、政府と民間セクターを結びつけ、具体的なリスク削減目標を達成し、より集中的な協力を可能にするサイバー防衛計画を策定・実行するための前向きな取り組みである。JCDCの詳細については、CISA.gov/JCDCを参照のこと。 |
・2023.08.16 JCDC Remote Monitoring and Management Cyber Defense Plan
| JCDC Remote Monitoring and Management Cyber Defense Plan | JCDC 遠隔監視・管理 サイバー防衛計画 |
| Remote Monitoring and Management (RMM) is software that is installed on an endpoint to continuously monitor a machine or system’s health and status, as well as enabling remote unattended administration functions. As ransomware threat actors continue to use RMM tools in their attacks, exploitation of RMM platforms presents a growing risk to small and medium-sized organizations that support national critical functions. | 遠隔監視・管理(RMM)とは、エンドポイントにインストールされ、マシンやシステムの健全性や状態を継続的に監視し、遠隔無人管理機能を実現するソフトウェアである。ランサムウェアの脅威行為者が攻撃にRMMツールを使い続ける中、RMMプラットフォームの悪用は、国家の重要機能をサポートする中小組織にとってリスクが高まっている。 |
| The Joint Cyber Defense Collaborative (JCDC) Remote Monitoring and Management Cyber Defense Plan provides cyber defense leaders in government and industry a collective plan for mitigating threats to the RMM ecosystem. Authored by JCDC and its partners, this plan addresses issues facing the top-down exploitation of RMM software, through which cyber threat actors gain footholds into managed service provider servers and, by extension, into thousands of customer networks. | 統合サイバー防衛共同体(JCDC)の遠隔監視・管理 (RMM) サイバー防衛計画は、政府と産業界のサイバー防衛リーダーに、RMMエコシステムへの脅威を低減するための集合的な計画を提供する。JCDCとそのパートナーによって作成されたこの計画は、サイバー脅威行為者がマネージド・サービス・プロバイダーのサーバー、ひいては何千もの顧客ネットワークへの足がかりを得るRMMソフトウェアのトップダウンの悪用が直面する問題に対処している。 |
| The JCDC RMM Cyber Defense Plan outlines implementation across two foundational pillars and four lines of effort (LOEs). | JCDC RMMサイバー防衛計画は、2つの基本的な柱と4つの取り組み方針(LOE)にわたる実施概要を示している。 |
| ・Pillar 1: Operational Collaboration, encourages collective action across the RMM community to enhance information sharing, increase visibility, and fuel creative cybersecurity solutions. Lines of effort aligned with this pillar include 1) Cyber Threat and Vulnerability Information and 2) Enduring RMM Operational Community. | ・柱1:運用上の協力は、RMMコミュニティ全体の集団行動を奨励し、情報共有を強化し、可視性を高め、創造的なサイバーセキュリティ・ソリューションを促進する。この柱に沿った取り組みには、1)サイバー脅威と脆弱性情報、2)RMM運用コミュニティの存続が含まれる。 |
| ・Pillar 2: Cyber Defense Guidance, focuses on educating RMM end-user organizations of the dangers and risk to the RMM infrastructure upon which they rely today, and how they can help promote security best practices moving forward. Lines of effort aligned under this pillar address 3) End-User Education and 4) Amplification. | ・柱 2:「サイバー防衛ガイダンス」は、RMM のエンドユーザー組織に対して、現在依存している RMM インフラストラクチャーの危険性とリスクについて、また、今後どのようにセキュリティのベストプラクティスを推進すればよいかを教育することに重点を置いている。この柱の下で、3) エンドユーザー教育、4) 拡大に取り組んでいる。 |
| The JCDC RMM Cyber Defense Plan builds off of the priorities in the JCDC 2023 Planning Agenda for the mitigation of systemic cybersecurity risks and supports JCDC’s three core functions: | JCDC RMM サイバーディフェンスプランは、JCDC 2023 計画アジェンダの優先事項である体系的なサイバーセキュリティリスクの低減を基礎とし、JCDC の 3 つの中核機能を支援するものである: |
| ・Developing and coordinating plans for cyber defense operations and supporting execution of those plans, | ・サイバー防衛作戦の計画を策定・調整し、その実行を支援する、 |
| ・Driving operational collaboration and cybersecurity information fusion between public and private sectors, for the benefit of the broader ecosystem, and | ・より広範なエコシステムの利益のために、官民間の運用協力とサイバーセキュリティ情報の融合を推進する。 |
| ・Producing and disseminating cyber defense guidance across all stakeholder communities. | ・すべての利害関係者コミュニティにサイバー防衛ガイダンスを作成し、普及させる。 |
・2023 JCDC Planning Agenda
| 2023 JCDC Planning Agenda | 2023 JCDC 計画アジェンダ |
| The Joint Cyber Defense Collaborative (JCDC) is proud to announce its 2023 Planning Agenda—a major milestone in the collaborative’s continued evolution and maturation. Economic prosperity, national defense, and public health and safety depend on interconnected digital technologies. Widespread security flaws and configuration missteps in these technologies create opportunities for malicious actors to steal information, destroy valuable data, and cut off access to critical goods and services. JCDC’s planning agenda addresses these important and complex security challenges. | 統合サイバー防衛共同体(JCDC)は、2023年計画アジェンダを発表することを誇りに思う。経済的繁栄、国防、公衆衛生と安全は、相互接続されたデジタル技術に依存している。これらの技術に広範なセキュリティ上の欠陥や設定のミステイクが存在することで、悪意ある行為者が情報を盗んだり、貴重なデータを破壊したり、重要な商品やサービスへのアクセスを遮断したりする機会が生まれている。JCDCの計画課題は、このような重要かつ複雑なセキュリティ上の課題に対処することである。 |
| Charged with staying ahead of and confronting cyber risk and cyber threats to the nation’s critical infrastructure, CISA brought together experts across government and the private sector to develop a collaborative cyber planning agenda. No single entity has the complete knowledge, capabilities, and legal authorities to defend the entire digital ecosystem against advanced persistent threat (APT) actors. By combining the capabilities of key industry partners with the unique insights of government agencies, JCDC can create common, shoulder-to-shoulder approaches to confront malicious actors and significant cyber risks. | CISAは、国家の重要インフラに対するサイバーリスクとサイバー脅威を先取りし、それに立ち向かうことを使命とし、政府と民間セクターの専門家を集め、共同でサイバー計画アジェンダを策定した。高度持続的脅威(APT)行為者からデジタル・エコシステム全体を守るための完全な知識、能力、法的権限を持つ事業体はない。JCDCは、主要産業パートナーの能力と政府機関のユニークな洞察力を組み合わせることで、悪意のある行為者と重大なサイバーリスクに立ち向かうための共通の肩を並べたアプローチを作り出すことができる。 |
| The agenda’s priorities represent proactive planning and persistent collaboration, which means having the right groups ready to engage in real-time collaboration in a rapidly changing risk environment. JCDC’s new multidirectional real-time information sharing initiative—which is built on trust and a willingness to work together—is a fundamentally different collaboration model that will enable us to accomplish the agenda priorities. | このアジェンダの優先事項は、積極的な計画と持続的な協力関係を代表するものであり、急速に変化するリスク環境において、適切なグループがリアルタイムで協力関係を築けるようにすることを意味する。JCDCの新しい多方向リアルタイム情報共有イニシアチブは、信頼と協力の意志の上に構築され、アジェンダの優先事項を達成することを可能にする根本的に異なる協力モデルである。 |
| In 2023, JCDC will work on joint cyber defense plans focused on three areas: systemic risk, collective cyber response, and high-risk communities. We will also maintain flexibility to undertake urgent planning efforts as the risk environment changes, recognizing that agility is foundational to our shared success. | 2023年、JCDCは、システミックリスク、集団的サイバー対応、高リスクコミュニティの3つの分野に焦点を当てた共同サイバー防衛計画に取り組む。また、リスク環境の変化に応じて緊急の計画策定に取り組む柔軟性も維持し、俊敏性が共通の成功の基盤であることを認識する。 |
| (1) Systemic risk: Malicious actors know how to work smarter, not harder, by targeting single points of failure in critical infrastructure. Targeting of software, hardware, and services that are widely used across sectors or compromises of lifeline functions like electrical and water that underpin virtually every organization could result in cascading impacts and severe impacts to our national critical functions. | (1) システミックリスク: 悪意ある行為者は、重要インフラの単一障害点を標的にすることで、より賢く、より効率的に活動する方法を知っている。セクターを超えて広く使用されているソフトウェア、ハードウェア、サービスを標的にしたり、事実上すべての組織を支えている電気や水道のようなライフライン機能を侵害したりすると、影響が連鎖し、国家の重要機能に深刻な影響が及ぶ可能性がある。 |
| The 2023 Planning Agenda includes efforts to address the following risk topic areas: | 2023年計画アジェンダには、以下のリスクトピック分野への取り組みが含まれている: |
| ・Open-Source Software: Understand and mitigate risks potentially posed by open source software (OSS) used in industrial control systems. | ・オープンソースソフトウェア: 産業用制御システムで使用されるオープンソースソフトウェア(OSS)が潜在的にもたらすリスクを理解し、低減する。 |
| ・Remote Monitoring and Management Vendors, Managed Service Providers, and Managed Security Service Providers: Advance cybersecurity and reduce supply chain risk for small and medium critical infrastructure entities through collaboration with remote monitoring and management (RMM), managed service providers (MSPs), and managed security service providers (MSSPs) . |
・遠隔監視・管理ベンダー、マネージド・サービス・プロバイダー、マネージド・セキュリティ・サービス・プロバイダー: 遠隔監視・管理(RMM)、マネージド・サービス・プロバイダ(MSP)、マネージド・セキュリティ・サービス・プロバイダ(MSSP)との連携を通じて、中小の重要インフラ事業体のサイバーセキュリティを推進し、サプライチェーンのリスクを低減する。 |
| Energy: Deepen operational collaboration and integration with the Energy Sector, in partnership with the Department of Energy. | エネルギー:エネルギー省と連携し、エネルギー部門との業務協力と統合を深める。 |
| Water: Identify approach to enhance security and resilience of edge devices for the water sector. | 水:水分野におけるエッジデバイスのセキュリティとレジリエンスを強化するアプローチを特定する。 |
| (2) Collective cyber response: As a nation, we must anticipate that malicious cyber actors will at times circumvent our combined defenses. At the same time, the American people rightly expect the U.S. government to plan for a coordinated public-private response to minimize impacts and quickly recover. | (2) 集団的サイバー対応:国家として、我々は、悪意のあるサイバー行為者が時として我々の統合された防御を回避することを予期しなければならない。同時に、米国民は、米政府が官民一体となった対応を計画し、影響を最小限に抑え、迅速に復旧することを当然期待している。 |
| The 2023 Planning Agenda identifies an effort to: | 2023年計画アジェンダでは、以下の取り組みを特定している: |
| ・Update the National Cyber Incident Response Plan (NCIRP): Over the past several years, government and the private sector have significantly advanced our processes and approaches for incident response, but our plans and doctrine have not kept up. JCDC will lead an effort to update the National Cyber Incident Response Plan, in close coordination with interagency partners. The update will include incorporate changes and lessons learned since the release of the 2016 NCIRP, articulating specific roles for non-federal entities in organizing and executing national incident response activities . |
・国家サイバーインシデント対応計画(NCIRP)の更新: 過去数年間、政府と民間部門はインシデント対応のプロセスとアプローチを大幅に進歩させてきたが、我々の計画と教義は追いついていない。JCDCは、省庁間のパートナーとの緊密な連携のもと、国家サイバーインシデント対応計画を更新する取り組みを主導する。更新には、2016年NCIRPの発表以来の変更と学習が盛り込まれ、国家インシデント対応活動の組織化と実行における非連邦事業体の具体的役割が明確にされる。 |
| (3) High-risk communities: Malicious cyber actors do not only target critical infrastructure or businesses; to the contrary, we know that adversaries—seeking to undermine American values and interests—routinely target high-risk communities, such as civil society organizations that support journalists and cybersecurity researchers. | (3) リスクの高いコミュニティ: 悪意のあるサイバー・アクターは、重要インフラや企業だけを標的にしているわけではない:米国の価値観や利益を損なおうとする敵対勢力は、ジャーナリストやサイバーセキュリティ研究者を支援する市民社会組織など、リスクの高いコミュニティを日常的に標的にしていることがわかっている。 |
| The 2023 Planning Agenda outlines an effort to: | 2023年計画アジェンダでは、次のような取り組みを概説している: |
| ・Strengthen protection of civil society organizations who are at higher risk of being targeted by foreign state actors through collaborative planning with key government and industry stakeholders. | ・政府や産業界の主要な利害関係者との共同計画を通じて、外国の国家行為者に標的にされるリスクが高い市民社会組織の防御を強化する。 |
・[PDF]
| JCDC | 統合サイバー防衛共同体 |
| REMOTE MONITORING & MANAGEMENT | 遠隔監視・管理 |
| CYBER DEFENSE PLAN | サイバー防衛計画 |
| CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) | サイバーセキュリティ・インフラセキュリティ庁(CISA) |
| The Cybersecurity & Infrastructure Security Agency (CISA) spearheads the national effort to defend against cyber threat actors that target U.S. critical infrastructure, federal and state, local, tribal, and territorial (SLTT) governments, the private sector, and the American people. While CISA serves a foundational and essential role in this effort, cybersecurity is a shared responsibility, and the Nation must work collectively to manage and reduce cyber risk. Close collaboration between government, industry, international, and other partners is needed to reduce the prevalence and impact of damaging intrusions today to achieve a more secure future. | サイバーセキュリティ・インフラセキュリティ庁(CISA)は、米国の重要インフラ、連邦政府、州政府、地方政府、部族政府、地域政府(SLTT)、民間セクター、米国民を標的とするサイバー脅威行為者を防御する国家的取り組みの先頭に立つ。CISAはこの取り組みにおいて基礎的かつ不可欠な役割を果たしているが、サイバーセキュリティは共有の責任であり、国家はサイバー・リスクのマネジメントと削減に一丸となって取り組まなければならない。より安全な未来を実現するために、今日、有害な侵入の蔓延と影響を減らすためには、政府、産業界、国際機関、その他のパートナー間の緊密な協力が必要である。 |
| THE JOINT CYBER DEFENSE COLLABORATIVE (JCDC) | 統合サイバー防衛共同体(JCDC) |
| In 2021, pursuant to new authority from Congress, CISA created a new kind of partnership—the Joint Cyber Defense Collaborative (JCDC)—to mature CISA’s traditional public-private partnerships into real-time private- public operational collaboration with a focus on proactive planning and mitigation. JCDC combines the visibility, insight, and innovation of the private sector with the capabilities and authorities of the federal cyber ecosystem to enable partners to collectively drive down cyber risk to the Nation at scale. Through JCDC, CISA unifies and synchronizes the collective cyber defense of federal agencies, SLTT entities, international allies, private sector entities, and other partners. | 2021年、CISAは議会からの新たな権限に基づき、CISAの伝統的な官民パートナーシップを、事前予防的な計画と低減に焦点を当てたリアルタイムの官民運用協力へと成熟させるため、新たな種類のパートナーシップ-統合サイバー防衛共同体(JCDC)-を創設した。JCDCは、民間セクターの可視性、洞察力、革新性を連邦政府のサイバーエコシステムの能力と権限と組み合わせることで、パートナーが共同で国家に対するサイバーリスクを大規模に低減することを可能にする。JCDCを通じて、CISAは連邦政府機関、SLTT事業体、国際同盟国、民間企業、その他のパートナーの集団的サイバー防衛を統合し、同期化する。 |
| THE 2023 JCDC PLANNING AGENDA | 2023年JCDC計画アジェンダ |
| CISA and partners were proud to announce the JCDC’s 2023 Planning Agenda in January 2023 to advance this critical aspect of our work. This agenda is a forward-looking effort that is bringing together government and | CISAとパートナーは、2023年1月にJCDCの2023年計画アジェンダを発表し、我々の活動のこの重要な側面を前進させることができた。このアジェンダは、政府と民間セクターが一体となった将来を見据えた取り組みである。 |
| the private sector to develop and execute cyber defense plans that achieve specific risk reduction goals and enable more focused collaboration. CISA will continue to expand the breadth and depth of this partnership to maximize both the completeness and impact of these planning efforts. Through a rigorous process that includes input from subject matter experts and government and private sector partners, CISA developed a Planning Agenda focused on three topic areas: systemic risk, collective cyber response, and high-risk communities. CISA is currently using this same process to develop the 2024 JCDC Planning Agenda. | このアジェンダは、具体的なリスク削減目標を達成し、より焦点を絞った協力を可能にするサイバー防衛計画を策定・実行するために、政府と民間部門を結集する前向きな取り組みである。CISAは、このパートナーシップの幅と奥行きを拡大し、これらの計画策定作業の完全性と影響力の両方を最大化していく。CISAは、対象分野の専門家や政府・民間部門のパートナーからの意見を含む厳格なプロセスを通じて、システミックリスク、集団的サイバー対応計画、高リスク地域社会という3つのトピック分野に焦点を当てた「計画アジェンダ」を策定した。CISAは現在、これと同じプロセスで2024年JCDC計画アジェンダを策定している。 |
| REMOTE MONITORING & MANAGEMENT (RMM) PLANNING EFFORT | 遠隔監視・管理(RMM)計画の取り組み |
| JCDC’s 2023 Planning Agenda prioritizes the mitigation of systemic cybersecurity risks. In working with partners across government and the private sector, CISA identified that exploitation of RMM software presents a systemic risk to organizations across sectors. By exploiting RMM products, cyber threat actors can gain footholds into managed service provider (MSP) servers and, by extension, into thousands of small and medium-sized business (SMB) customer networks that employ MSPs. The use of RMM software or MSPs that use RMM software introduces an attack surface that can result in compromises, particularly affecting end-user organizations with limited cybersecurity expertise. Exploited vulnerabilities in RMM services can have cascading impacts across the globe and impact industries that collectively make up more than 40% of all private sector payroll in the United States. For instance, ransomware threat actors continue to use RMM tools in their attacks, presenting a growing risk to SMBs that support national critical functions. To reduce these types of risk at scale, JCDC convened key partners and authored the JCDC RMM Cyber Defense Plan, which sets forth a collective plan for cyber defense leaders in government and the private sector to mitigate threats to the RMM ecosystem. Through the 2023 planning effort, JCDC aims to build and leverage relationships with this strategic ecosystem of RMM vendors, MSPs, and MSSPs, to address a maturing and evolving threat to U.S. critical infrastructure by creating enduring partnerships centered on operational engagement, information sharing, and education across the cyber ecosystem. | JCDCの2023年計画アジェンダは、システム的サイバーセキュリティリスクの低減を優先している。CISA は、政府および民間セクターのパートナーとの協力の中で、RMM ソフトウェアの悪用が、セクタ ー横断的な組織にとってのシステミック・リスクであることを特定した。RMM 製品を悪用することで、サイバー脅威行為者は、マネージド・サービス・プロバイダー(MSP) のサーバー、ひいては MSP を採用している何千もの中小企業(SMB)の顧客ネットワークへの足がかりを得ることができる。RMM ソフトウェアの使用、または RMM ソフトウェアを使用する MSP は、特にサイバーセキュリティの専門知識が乏しいエンドユーザー組織に影響を及ぼす可能性のある攻撃対象領域をもたらす。RMMサービスの脆弱性が悪用されると、世界中に連鎖的な影響を及ぼす可能性があり、米国の民間企業の給与総額の40%以上を占める産業にも影響を及ぼす。例えば、ランサムウェアの脅威行為者は攻撃にRMMツールを使い続けており、国家の重要な機能を支える中小企業へのリスクが高まっている。このようなリスクを大規模に低減するため、JCDCは主要パートナーを招集し、JCDC RMMサイバー防衛計画を策定した。この計画は、RMMエコシステムに対する脅威を軽減するため、政府と民間部門のサイバー防衛リーダーのための集合的な計画を定めたものである。JCDCは、2023年の計画策定作業を通じて、RMMベンダー、MSP、MSSPからなるこの戦略的エコシステムとの関係を構築・活用し、サイバーエコシステム全体における業務関与、情報共有、教育を中心とした永続的なパートナーシップを構築することで、成熟・進化しつつある米国の重要インフラへの脅威に対処することを目指している。 |
| REMOTE ADMINISTRATION SOLUTION: | 遠隔管理ソリューション: |
| Software that grants a remote entity remote access to an endpoint’s applications and network access; This software can also grant unattended, possibly transparent, administrative control to a device remotely. | エンドポイントのアプリケーションやネットワーク・アクセスへの遠隔アクセスを遠隔事業体に許可するソフトウェア。このソフトウェアは、デバイスへの無人、場合によっては透過的な管理制御を遠隔で許可することもできる。 |
| REMOTE MONITORING AND MANAGEMENT: | 遠隔監視・管理: |
| Software installed on an endpoint to continuously monitor a machine or system’s health and status, as well as enabling remote unattended administration functions including unattended modification to the endpoint’s security configuration, installed applications, and local accounts. | エンドポイントにインストールされ、マシンやシステムの健全性やステータスを継続的な監視を行うとともに、エンドポイントのセキュリティ設定、インストール済みアプリケーション、ローカルアカウントに対する無人の変更を含む、遠隔無人管理機能を可能にするソフトウェア。 |
| TECHNOLOGY AND RISK ENVIRONMENT | テクノロジーとリスク環境 |
| According to a 2022 report, approximately 90% of U.S.-based small and medium-sized businesses (SMBs), to include critical infrastructure entities, rely on MSPs to supplement their own information technology (IT) , operational technology (OT) and industrial control systems (ICS) capabilities, and scale network environments without having to develop and manage these capabilities internally. Many MSPs and managed security service providers (MSSPs) in turn rely on RMM vendors for software deployment, account management, and other software tools. The structure of the RMM ecosystem (Figure 1) presents an opportunity to advance cybersecurity and reduce supply chain risk at scale for small and medium critical infrastructure entities. | 2022年の報告書によると、米国を拠点とする中小企業(SMB)の約90%(重要インフラ事業体を含む)は、自社の情報技術(IT)、運用技術(OT)、産業制御システム(ICS)の能力を補完し、これらの能力を社内で開発・管理することなくネットワーク環境を拡張するために、MSPに依存している。多くのMSPやマネージド・セキュリティ・サービス・プロバイダー(MSSP)は、ソフトウェアの導入、アカウント管理、その他のソフトウェア・ツールについて、RMMベンダーに依存している。RMMエコシステムの構造(図1)は、中小の重要インフラ事業体にとって、サイバーセキュリティを向上させ、サプライチェーンのリスクを大規模に低減する機会を示している。 |
| RMM software allows IT service providers to remotely monitor and operate devices and systems, as well as attain heightened permissions, enabling MSPs or IT help desks to monitor multiple devices and networks simultaneously. These capabilities can be exploited by malicious cyber actors who leverage them to establish network connections through cloud-hosted infrastructure while evading detection. These types of intrusions are also known as living off the land (LOTL) attacks, where adversaries no longer have to rely on inherently malicious files, codes, and scripts, and instead use tools already present in the environment to enable their malicious activity. This form of intrusion makes businesses even more vulnerable to service provider supply chain compromises, exploitation, or malicious use of remote capabilities. | RMMソフトウェアによって、ITサービス・プロバイダはデバイスやシステムを遠隔で監視・操作できるようになり、また、MSPやITヘルプデスクが複数のデバイスやネットワークを同時に監視できるようになるなど、より高度な権限も得られるようになる。これらの機能は、悪意のあるサイバー行為者によって悪用される可能性があり、悪意のあるサイバー行為者は、検知を回避しながら、クラウドホスティングのインフラを通じてネットワーク接続を確立するために、これらの機能を利用する。このようなタイプの侵入は、LOTL(現地調達)攻撃とも呼ばれ、敵対者は本来悪意のあるファイルやコード、スクリプトに頼る必要がなくなり、代わりに環境に既に存在するツールを利用して悪意のある活動を可能にする。このような侵入形態は、サービス・プロバイダのサプライ・チェーンの侵害、搾取、遠隔機能の悪意ある使用に対して、企業をさらに脆弱にする。 |
| The CISA product Guide to Securing Remote Access Software, released on June 6, 2023 as part of this Cyber Defense Plan, identifies how remote access software is particularly appealing to threat actors because the software: | このサイバー防衛計画の一環として2023年6月6日に発表されたCISA製品「遠隔アクセス・ソフトウェアのセキュリティ確保ガイド」は、遠隔アクセス・ソフトウェアが脅威行為者にとって特に魅力的である理由を次のように特定している: |
| · Does not always trigger security tools, | ・常にセキュリティ・ツールを起動するわけではない、 |
| · does not require extensive capabilities development, | ・大規模な機能開発を必要としない、 |
| · may allow actors to bypass software management control policies, | ・行為者がソフトウェア管理制御ポリシーを迂回できる可能性がある、 |
| · could allow actors to bypass firewall rules, and | ・ファイアウォールのルールを迂回することができる。 |
| · can facilitate multiple cyber intrusions. | ・複数のサイバー侵入を容易にする可能性がある。 |
| Reflecting the risk LOTL attacks pose to U.S. critical infrastructure, CISA released a recent joint Cybersecurity Advisory (CSA) that provides insight on how a People’s Republic of China (PRC) state-sponsored cyber actor, also known as Volt Typhoon, is leveraging LOTL attacks as one of its primary tactics, techniques, and procedures (TTPs). Private sector partners have identified that this activity affects networks across U.S. critical infrastructure sectors, and the authoring agencies believe the actor could apply the same techniques against these and other sectors worldwide. | CISA は、LOTL 攻撃が米国の重要インフラにもたらすリスクを反映し、中華人民共和国(PRC) が国家に支援されたサイバー行為者(別名 Volt Typhoon)が、その主要な戦術、技術、手順(TTP)の 1 つとして LOTL 攻撃をどのように活用しているかについての洞察を提供する共同サイバーセキュリティ勧告(CSA)を最近発表した。民間セクターのパートナーは、この活動が米国の重要なインフラ・セクターのネットワークに影響を及ぼしていることを確認しており、作成機関は、この行為者がこれらのセクターや世界中の他のセクターに対して同じ手法を適用する可能性があると考えている。 |
| MANAGED SERVICE PROVIDER (MSP): A business entity who, in whole or in part, provides IT related services or application management for another organization. | マネージド・サービス・プロバイダー(MSP): 全体的または部分的に、他の組織に IT 関連サービスまたはアプリケーション管理を提供する事業体。 |
| MANAGED SECURITY SERVICE PROVIDER (MSSP): A business entity who solely provides information security services and applications to another organization. | マネージド・セキュリティ・サービス・プロバイダ(MSSP): 他の組織に情報セキュリティサービスやアプリケーションのみを提供する事業体。 |
| FIGURE 1: RMM Ecosystem | 図 1: RMM エコシステム |
| JCDC RMM CYBER DEFENSE PLAN OVERVIEW | JCDC RMM サイバー防衛計画の概要 |
| The JCDC RMM Cyber Defense Plan aligns with the priorities outlined in the CISA Strategic Plan 2023–2025 and highlights specific lines of effort addressed in the National Cyber Strategy 2023. Per the National Cybersecurity Strategy, JCDC has a responsibility to integrate cyber defense planning and operations across the Federal Government and with the private sector. To support the CISA Strategic Plan, the JCDC RMM Cyber Defense Plan identifies a path forward to reduce risks to—and strengthen the resilience of—America’s critical infrastructure organizations that are dependent upon RMM products. | JCDC RMM サイバー防衛計画は、CISA 戦略計画 2023-2025 に概説されている優先事項に沿い、国家サイ バー戦略 2023 で取り上げられている具体的な取り組みラインを強調している。国家サイバーセキュリティ戦略により、JCDCは連邦政府全体および民間セクターとのサイバー防衛計画と運用を統合する責任を負っている。CISA戦略計画を支援するため、JCDC RMMサイバー防衛計画は、RMM製品に依存する米国の重要インフラ組織のリスクを低減し、そのレジリエンスを強化するための道筋を明らかにしている。 |
| The JCDC RMM Cyber Defense Plan was developed by a core planning team, led by the JCDC Planning Office, and included representation from other divisions across CISA, the Federal interagency, and private industry. The components of the JCDC RMM Cyber Defense Plan provide leaders in the RMM ecosystem with necessary ways and means for sustained, effective cyber defense at scale (as identified in Figure 2 and Table 1). | JCDC RMM サイバー防衛計画は、JCDC 計画室が中心となり、CISA の他部門、連邦省庁間、民間企業の代表が参加した中心的な計画チームによって策定された。JCDC RMMサイバー防衛計画の構成要素は、RMMエコシステムのリーダーに、規模に応じた持続的で効果的なサイバー防衛に必要な方法と手段を提供する(図2と表1で識別)。 |
| Central to the JCDC RMM Cyber Defense Plan is an operational community founded on trust and collaboration to drive joint cyber defense operations. This community ultimately aims to reduce the frequency and impact of cybersecurity incidents across the RMM ecosystem and leverage the prevalence of RMM software across critical infrastructure to scale cyber defense operations. JCDC places a heavy emphasis on fostering this culture of cooperation and looks to indicators like the number of actively participating organizations, the volume and quality of information shared, and the development and subsequent adoption of shared information, as measures of success and indication of a growing recognition of threats, cybersecurity challenges, and opportunities in this space. | JCDC RMM サイバー防衛計画の中心は、共同サイバー防衛作戦を推進するための信頼と協力に 基づく作戦コミュニティである。このコミュニティは最終的に、RMMエコシステム全体におけるサイバーセキュリティインシデントの頻度と影響を低減し、重要インフラにおけるRMMソフトウェアの普及を活用してサイバー防衛活動を拡大することを目指している。JCDCは、このような協力文化の醸成に重点を置き、積極的に参加する組織の数、共有される情報の量と質、共有情報の開発とその後の採用といった指標を、成功の尺度として、またこの分野における脅威、サイバーセキュリティ上の課題、機会に対する認識の高まりを示すものとして注目している。 |
| ----- | ----- |
| “ We must build new and innovative capabilities that allow the owners and operators of critical infrastructure, federal agencies, product vendors and service providers, and other stakeholders to effectively collaborate with each other at speed and scale. ” | 重要インフラの所有者や運営者、連邦政府機関、製品ベンダーやサービスプロバイダー、その他の利害関係者が、スピードとスケールにおいて効果的に協力し合えるような、新しく革新的な機能を構築しなければならない。 |
| National Cybersecurity Strategy, March 2023 | 2023年3月 国家サイバーセキュリティ戦略 |
| VISION | ビジョン |
| A secure and hardened RMM ecosystem. | 安全で強固なRMMエコシステム |
| MISSION | ミッション |
| JCDC’s RMM Cyber Defense Plan provides cyber defense leaders in government and industry with a collaborative proposal for mitigating threats to the RMM ecosystem. | JCDCのRMMサイバー防衛計画は、政府と産業界のサイバー防衛リーダーに、RMMエコシステムへの脅威を低減するための共同提案を提供する。 |
| GOALS | 目標 |
| 1. Understand how RMM vendors can help improve cybersecurity at scale and across critical infrastructure sectors. | 1. RMM ベンダーがどのようにサイバーセキュリティの改善に貢献できるかを理解する。 |
| 2. Identify mechanisms to sustain cybersecurity collaboration between USG stakeholders and RMM vendors into the future. | 2. 米国政府関係者と RMM ベンダーのサイバーセキュリティ協業を将来にわたって維持するためのメカニズムを特定する。 |
| PILLAR 1: OPERATIONAL COLLABORATION |
柱 1:運用協力 |
| “Establish enduring capabilities for persistent collaboration in which participants continuously exchange, enrich, and act on cybersecurity information with the necessary agility to stay ahead of our adversaries.” | 「敵の先を行くために必要な機敏性をもって、参加者が継続的にサイバーセキュリティ情報を交換し、充実させ、行動するための永続的な協力体制を確立する。 |
| LOE 1: Cyber Threat and Vulnerability Information Sharing | LOE 1: サイバー脅威と脆弱性情報の共有 |
| LOE 2: Enduring RMM Operational Community | LOE 2:永続的なRMM運用コミュニティ |
| PILLAR 2: END-USER EDUCATION |
柱2:エンドユーザー教育 |
| “Joint enrichment and development of timely cybersecurity advisories and alerts to benefit the broader community.” | より広範なコミュニティに役立つよう、タイムリーなサイバーセキュリティアドバイザリやアラートを共同で充実させ、開発する |
| LOE 3: End-User Education | LOE 3:エンドユーザー教育 |
| LOE 4: Amplification | LOE 4: 拡大 |
| FIGURE 2: JCDC RMM Cyber Defense Plan Vision, Mission, and Goals |
図2:JCDC RMMサイバー防衛計画のビジョン、ミッション、目標 |
| ----- | ----- |
| PILLAR 1: OPERATIONAL COLLABORATION | 柱 1: 運用面での協力 |
| Effective partnerships and collaboration between the government and private sector are the foundation | 政府と民間セクターの効果的なパートナーシップと協力は、国家の重要インフラを守るための我々の総合的な努力の基盤である。 |
| of our collective effort to protect the nation’s critical infrastructure. Major RMM vendors have highlighted their willingness and desire to work with the USG; however, available partnerships or forums for sustained collaboration may not always be available or leveraged. JCDC aims to drive collective action across the RMM community to enhance information sharing, increase visibility, and fuel creative cybersecurity solutions. | 国の重要インフラを保護するための総合的な取り組みの基盤である。主要なRMMベンダーは、米国政府との協力に意欲的であることを強調している。しかし、持続的な協力のためのパートナーシップやフォーラムは、必ずしも利用できるとは限らない。JCDC は、RMM コミュニティ全体で情報共有を強化し、可視性を高め、独創的なサイバーセキュリティ ソリューションを促進するために、集団的な行動を促進することを目的としている。 |
| LOE 1: CYBER THREAT AND VULNERABILITY INFORMATION SHARING | LOE 1: サイバー脅威と脆弱性情報の共有 |
| Expanding the sharing of cyber threat and vulnerability information between USG and RMM ecosystem stakeholders to increase reach speed, and effectiveness of RMM cybersecurity. | 米軍と RMM エコシステムの利害関係者の間でサイバー脅威と脆弱性情報の共有を拡大し、RMM サイバーセキュリティの到達速度と有効性を高める。 |
| LOE 2: ENDURING RMM OPERATIONAL COMMUNITY | LOE 2:RMM 運用コミュニティの永続化 |
| Institutionalize mechanisms that promote and facilitate long-term communication and collaboration amongst the RMM ecosystem stakeholders to continue scaled security efforts after the formal JCDC RMM planning effort has concluded. | 正式な JCDC RMM 計画の取り組みが終了した後も、RMM エコシステムの利害関係者間の長期的なコミュニケーショ ンと協力を促進・促進するメカニズムを制度化し、規模を拡大したセキュリティの取り組みを継続する。 |
| PILLAR 2: CYBER DEFENSE GUIDANCE | 柱 2: サイバー防衛ガイダンス |
| At the base of the RMM ecosystem, SMBs account for 6.5 million business and over 40% of U.S. gross domestic product (GDP). Although CISA will continue to implement “top-down” initiatives, i.e. RMM stakeholder engagement, it is imperative to improve “bottom-up” visibility of CISA resources and guidance | RMM エコシステムの基盤である中小企業は、650 万の事業と米国の国内総生産(GDP)の 40%以上を占めている。CISAは、RMM関係者の参画など「トップダウン」のイニシアチブを実施し続けるが、エンドユーザーレベルでCISAのリソースとガイダンスの「ボトムアップ」の可視性を改善することが不可欠である。 |
| at the end-user level. According to a 2021 U.S. Telecom cyber survey, only 13% of small and medium-sized critical infrastructures entities are aware of and/or follow CISA guidance. To improve cybersecurity in the RMM ecosystem at scale, CISA must address fundamental gaps in target audience awareness. This pillar focuses on educating RMM end-user of the dangers and risk to their RMM infrastructure today, and how they can help promote security best practices moving forward. | エンドユーザーレベルでの 2021年のU.S. Telecomのサイバー調査によると、中小規模の重要インフラ事業体のうち、CISAガイダンスを認識し、かつ/またはそれに従っているのはわずか13%に過ぎない。RMMエコシステムにおけるサイバーセキュリティを大規模に改善するために、CISAは対象者の意識における根本的なギャップに対処しなければならない。この柱は、RMMインフラに対する今日の危険性とリスクについてRMMエンドユーザを教育し、今後セキュリティのベストプラクティスを推進するためにどのように支援できるかを教育することに重点を置く。 |
| LOE 3: END-USER EDUCATION | LOE 3:エンドユーザー教育 |
| CISA, Interagency partners, and other RMM ecosystem stakeholders will work together to develop and enhance cybersecurity guidance to RMM end-users. | CISA、省庁間パートナー、その他の RMM エコシステムの利害関係者が協力して、RMM エンドユーザーに対するサイバーセキュリティガイダンスを策定し、強化する。 |
| LOE 4: AMPLIFICATION | LOE 4: 拡大 |
| Currently CISA publishes certain products, such as advisories and/or alerts on its website for public consumption, to include by critical infrastructure operators of the RMM community. RMM ecosystem stakeholders use a combination of conventional and novel lines of communication to share information. The goal of amplification is to leverage all available lines of communication within the RMM ecosystem to amplify high-fidelity CISA advisories and alerts. | 現在 CISA は、RMM コミュニティの重要インフラ運用者が利用できるよう、一般消費者向け に、アドバイザリやアラートなど特定の製品を CISA のウェブサイトで公表している。RMMエコシステムの利害関係者は、情報を共有するために、従来のコミュニケーションラインと新しいコミュニケーションラインを組み合わせて使用している。増幅の目標は、RMMエコシステム内で利用可能なあらゆるコミュニケーション手段を活用して、忠実度の高いCISA勧告・警報を増幅することである。 |
| ACCOMPLISHMENTS TO DATE | これまでの成果 |
| JCDC has already capitalized on the momentum of collaboration established through this planning effort and have advanced protections through this unique and strategic partnership. The enduring partnership provides a proven forum to drive industry-informed objectives aimed at mitigating risk to downstream SMBs and critical infrastructure operators. The actions below highlight efforts achieved to date. | JCDCはすでに、この計画策定作業を通じて確立した協力の勢いを活用し、このユニークで戦略的なパートナーシップを通じて防御を進めてきた。この永続的なパートナーシップは、川下の中小企業や重要インフラ事業者のリスク低減を目的とした、業界に精通した目標を推進するための実績あるフォーラムを提供するものである。以下のアクションは、現在までに達成された努力のハイライトである。 |
| · EXPANDING THE PARTNERSHIP. JCDC has expanded participation in operational collaboration fora to include strategic partners from across the RMM ecosystem. Through this relationship, RMM stakeholders will be able to maintain access to JCDC partner coordination channels that support real time information sharing, routinize coordination efforts in advance of and response to cyber incidents, and optimize communication. Likewise, through this new strategic partnership, RMM stakeholders are providing new avenues to amplify CISA services, cybersecurity guidance, and vulnerability and threat information across the RMM ecosystem, including to downstream SMBs and critical infrastructure operators. | ・パートナーシップの拡大 JCDCは、RMMエコシステム全体からの戦略的パートナーを加えるため、業務協力フォーラムへの参加を拡大した。この関係を通じて、RMM関係者は、リアルタイムの情報共有をサポートし、サイバーインシデントの事前および対応における調整作業を日常化し、コミュニケーションを最適化するJCDCパートナーの調整チャネルへのアクセスを維持することができる。同様に、この新たな戦略的パートナーシップを通じて、RMM関係者は、川下の中小企業や重要インフラ事業者を含むRMMエコシステム全体で、CISAサービス、サイバーセキュリティ・ガイダンス、脆弱性と脅威情報を増幅する新たな手段を提供する。 |
| · WHOLE-OF-NATION CYBER DEFENSE PLANNING EFFORTS. No single entity has the complete knowledge, capabilities, and legal authorities to defend the entire digital ecosystem against advanced persistent threat actors. Through this Cyber Defense Plan, RMM stakeholders were able to identify and develop future planning topics to help strengthen the cybersecurity posture of RMM end user organizations. JCDC will leverage momentum with this strategic operational community to identify priority areas for addressing systemic risk across the RMM ecosystem and to develop well-informed and impactful cyber defense plans to combat those significant systemic cyber risks and malicious actors. The ability to continue to expand and leverage the expertise of this strategic operational community will have positive downstream effects within the RMM ecosystem. | ・国を挙げてのサイバー防衛計画の取り組み。高度な持続的脅威行為者からデジタル・エコシステム全体を防衛するための完全な知識、能力、法的権限を持つ事業体はない。このサイバー防衛計画を通じて、RMM関係者は、RMMエンドユーザー組織のサイバーセキュリティ態勢を強化するのに役立つ将来の計画テーマを特定し、策定することができた。JCDCは、この戦略的運用コミュニティとの勢いを活用し、RMMエコシステム全体のシステミックリスクに対処するための優先分野を特定し、それらの重大なシステミックサイバーリスクと悪意のある行為者に対抗するための十分な情報と影響力のあるサイバー防衛計画を策定する。この戦略的運用コミュニティの専門知識を継続的に拡大・活用する能力は、RMMエコシステム内で下流にプラスの効果をもたらす。 |
| · USING CYBERSECURITY SERVICES. Through this planning effort RMM stakeholders have been introduced to the full suite of CISA cybersecurity services. RMM stakeholders will continue to have access to CISA’s services that can help identify vulnerabilities they can remediate before a cyber threat actor has the chance to exploit them, including participation in CISA Ransomware Vulnerability Warning Pilot and Pre-Ransomware Notification Initiative. This partnership will create the opportunity for RMM stakeholders and CISA to coordinate more closely to identify and implement security improvements that will improve the security posture of the overall RMM ecosystem, from RMM vendors to SMBs and critical infrastructure operators. | ・サイバーセキュリティ・サービスを利用する。この計画策定作業を通じて、RMMの利害関係者はCISAのサイバーセキュリティ・サービス一式を利用できるようになった。RMMの関係者は、CISAランサムウェア脆弱性警告パイロットやランサムウェア事前通知イニシアティブへの参加など、サイバー脅威行為者に悪用される前に修正できる脆弱性を特定するのに役立つCISAのサービスを引き続き利用できるようになる。このパートナーシップにより、RMM関係者とCISAは、RMMベンダーから中小企業、重要インフラ事業者に至るまで、RMMエコシステム全体のセキュリティ態勢を改善するセキュリティ改善を特定・実施するため、より緊密に連携する機会が生まれる。 |
| · PRODUCTS AND COMMUNICATION. In partnership with RMM stakeholders, CISA will continue to provide guidance to help organizations address the risk of adversary targeting across the RMM ecosystem. Most recently, CISA released the following two resources to help defend against RMM targeting. | ・製品とコミュニケーションを提供する。CISAは、RMMの利害関係者と連携して、組織がRMMエコシステム全体で敵に狙われるリスクに対処できるよう、引き続きガイダンスを提供していく。直近では、CISAはRMMの標的からの防御に役立つ以下の2つのリソースを発表した。 |
| · People’s Republic of China State-Sponsored Cyber Actor Living off the Land to Evade Detection, released on May 24, 2023. This advisory highlights how a PRC cyber actor is living off the land using built-in network administration tools to evade detection while compromising networks and conducting malicious activity. This tactic enables the actor to evade detection by blending in with normal Windows system and network activities, avoid endpoint detection and response (EDR) products, and limit the amount of activity that is captured in default logging configurations. This advisory will help organization’s network defenders hunt for this activity on their systems. It provides many network and host artifacts associated with the activity occurring after the network has been initially compromised, with a focus on command lines used by the cyber actor. | ○2023年5月24日にリリースされたアドバイザリー「中華人民共和国の国家支援サイバー攻撃者は検知を逃れるために現地調達型対応をする」では、中華人民共和国のサイバー行為者が、ネットワークを侵害し悪意のある活動を行う一方で、検知を回避するために内蔵のネットワーク管理ツールを使用して現地調達していることを紹介している。この手口は、通常のWindowsシステムやネットワーク活動に紛れ込むことで検知を回避し、エンドポイント検知・応答(EDR)製品を回避し、デフォルトのロギング設定でキャプチャされる活動量を制限することを可能にする。この勧告は、組織のネットワーク防御担当者がシステム上のこのアクティビティを探し出すのに役立つ。この勧告は、ネットワークが最初に侵害された後に発生した活動に関連する多くのネットワークとホストのアーティファクトを、サイバー行為者によって使用されたコマンドラインに焦点を当てて提供する。 |
| · °Guide to Securing Remote Access Software, which provides an overview of common exploitations and associated tactics, techniques, and procedures. It also includes recommendations to IT/OT and ICS professionals and organizations on best practices for using remote capabilities and how to detect and defend against malicious actors abusing this software. | ○遠隔アクセス・ソフトウェアの安全性確保ガイド」は、一般的なエクスプロイトと関連する戦術、技術、手順の概要を提供する。また、IT/OT、ICS の専門家や組織に対する、遠隔機能を使用するためのベストプラクティスや、このソフトウェアを悪用する悪意のある行為者を検知し防御する方法についての推奨も含まれている。 |
| · ADVANCING SECURE BY DESIGN/DEFAULT. CISA is focused on the development of secure by design/default into all information technology products. Through this planning effort, RMM stakeholders identified that they have an important role to play alongside the government in driving to improve security by design across their products. RMM stakeholders along with CISA will continue to work closely to identifying secure by design/default RMM principles to strengthen the RMM ecosystem. | ・セキュア・バイ・デザイン/デフォルトを推進する。CISA は、すべての情報技術製品へのセキュア・バイ・デザイン/デフォルトの開発に重点を置いている。この計画策定作業を通じて、RMM 関係者は、製品全体のセキュ リティ・バイ・デザインの改善を推進する上で、政府とともに果たすべき重要な役割があることを確認した。RMM関係者は、CISAとともに、セキュア・バイ・デザイン/デフォルトのRMM原則を特定し、RMMエコシステムを強化するために、引き続き緊密に協力していく。 |
| CONCLUSION | 結論 |
| The ubiquity of RMM software, coupled with the sizable market share of several key RMM stakeholders, positions JCDC to facilitate systemic positive impacts across the cyber domain. Enhancing the cyber resilience and threat awareness of RMM stakeholders can provide downstream benefit to end-users, including SMB owners and critical infrastructure operators. The JCDC RMM Cyber Defense Plan presents a foundation from which leaders across CISA, Interagency partners, and industry partners can suitably align and delineate their respective lines of effort to accomplish key objectives. JCDC will continue to lead the execution of the JCDC RMM Cyber Defense Plan, relying on external stakeholders both within and outside of CISA. Public-private collaboration in the RMM ecosystem is, and will remain, a vital component of CISA’s mission to understand, manage, and reduce risk to our nation’s critical infrastructure. | RMMソフトウェアのユビキタス性は、いくつかの主要なRMM利害関係者の大きな市場シェアと相まって、JCDCをサイバー領域全体に体系的な好影響を促進する立場に置いている。RMM 利害関係者のサイバー レジリエンスと脅威に対する認識を高めることは、中小企業のオーナーや重要インフラ運用者を含むエンドユー ザーに下流の利益をもたらすことができる。JCDCのRMMサイバー防衛計画は、CISA、省庁間パートナー、産業界のパートナーにまたがるリーダーたちが、重要な目標を達成するためにそれぞれの努力ラインを適切に調整し、明確にするための基盤を示すものである。JCDCは、CISA内外の外部利害関係者に依存しながら、JCDC RMMサイバー防衛計画の実行を引き続き主導する。RMMエコシステムにおける官民協力は、わが国の重要インフラに対するリスクを理解し、マネジメントし、低減するというCISAのミッションにとって不可欠な要素であり、今後もそうあり続けるだろう。 |
● まるちゃんの情報セキュリティ気まぐれ日記
CISAのサイバーセキュリティ戦略...
・2023.08.06 米国 CISA サイバーセキュリティ戦略 FY2024-2026
・2023.03.04 米国 国家サイバーセキュリティ戦略を発表
Living off the Land
・2023.06.11 Five Eyes 中華人民共和国の国家支援サイバー攻撃者は検知を逃れるために現地調達型対応をする (2023.05.24)
Comments