« 米国 連邦取引委員会 (FTC) ブログ 健康情報のプライバシー保護: FTCの事例から得られる13の教訓 (2023.07.25) | Main | 経済産業省 第32回 産業構造審議会総会 »

2023.08.06

米国 CISA サイバーセキュリティ戦略 FY2024-2026

こんにちは、丸山満彦です。

CISAが、サイバーセキュリティ戦略 FY2024-2026 を公表していますね。。。

2022.10に発表した「国家サイバーセキュリティ戦略」(このブログ)と、2022.09の「CISA 戦略計画 2023-2025」(このブログ)の下位文書ということになりますね。。。

3つの目標 (GOAL) に対してそれぞれ3つずつ、合計9つの目的 (OBJECTIVE) がセットされていますね。。。

 

GOAL 1. ADDRESS IMMEDIATE THREATS 目標1:差し迫った脅威に対処する
1.1. Increase visibility into, and ability to mitigate, cybersecurity threats and campaigns 1.1. サイバーセキュリティの脅威とキャンペーンを可視化し、低減する能力を高める。
1.2. Coordinate disclosure of, hunt for, and drive mitigation of critical and exploitable vulnerabilities 1.2. 重要かつ悪用可能な脆弱性の開示、探索、低減を調整する。
1.3. Plan for, exercise, and execute joint cyber defense operations and coordinate the response to significant cybersecurity incidents 1.3. 合同サイバー防衛作戦を計画、演習、実行し、重大なサイバーセキュリティインシデントへの対応を調整する。
GOAL 2. HARDEN THE TERRAIN 目標2:地形を固める
2.1. Understand how attacks really occur — and how to stop them 2.1. 攻撃が実際にどのように発生し、どのように阻止するかを理解する。
2.2. Drive implementation of measurably effective cybersecurity investments 2.2. 効果測定可能なサイバーセキュリティ投資の実施を推進する。
2.3. Provide cybersecurity capabilities and services that fill gaps and help measure progress 2.3. ギャップを埋め、進捗を測定するのに役立つサイバーセキュリティの能力とサービスを提供する。
GOAL 3. DRIVE SECURITY AT SCALE 目標 3. セキュリティを大規模に推進する
3.1. Drive development of trustworthy technology products 3.1. 信頼できる技術製品の開発を推進する
3.2. Understand and reduce cybersecurity risks posed by emergent technologies 3.2. 新たな技術がもたらすサイバーセキュリティリスクを理解し、低減する。
3.3. Contribute to efforts to build a national cyber workforce 3.3. 国のサイバー人材育成の取り組みに貢献する。

 

CISA 

・2023.08.04 CISA Cybersecurity Strategic Plan

CISA Cybersecurity Strategic Plan CISA サイバーセキュリティ戦略計画
The FY2024-2026 Cybersecurity Strategic Plan guides CISA’s efforts in pursuit of a new vision for cybersecurity: a vision grounded in collaboration, in innovation, and in accountability.   2024~2026年度サイバーセキュリティ戦略計画は、サイバーセキュリティの新たなビジョン、すなわち協調、革新、説明責任に基づくビジョンを追求するCISAの取り組みの指針である。 
Aligned with the National Cybersecurity Strategy and nested under CISA’s 2023–2025 Strategic Plan, the Cybersecurity Strategic Plan provides a blueprint for how the agency will pursue a future in which damaging cyber intrusions are a shocking anomaly, organizations are secure and resilient, and technology products are secure by design and default. To this end, the Strategic Plan outlines three enduring goals:  サイバーセキュリティ戦略計画は、国家サイバーセキュリティ戦略に沿い、CISAの2023-2025年戦略計画の下に位置づけられ、サイバー侵入が衝撃的な異常事態となり、組織が安全でレジリエンスに富み、技術製品が設計上もデフォルトでも安全であるような未来を、CISAがどのように追求していくかの青写真を示すものである。この目的のために、戦略計画は3つの永続的な目標を概説している: 
・Address Immediate Threats by making it increasingly difficult for our adversaries to achieve their goals by targeting American and allied networks;  ・米国および同盟国のネットワークを標的とすることで、敵対勢力が目標を達成することをますます困難にすることで、差し迫った脅威に対処する; 
・Harden the Terrain by adopting strong practices for security and resilience that measurably reduce the likelihood of damaging intrusions; and  ・有害な侵入の可能性を大幅に低減するセキュリティとレジリエンスのための強力なプラクティスを採用し、地形を固める。 
Drive Security at Scale by prioritizing cybersecurity as a fundamental safety issue and ask more of technology providers to build security into products throughout their lifecycle, ship products with secure defaults, and foster radical transparency into their security practices so that customers clearly understand the risks they are accepting by using each product.  ・サイバーセキュリティを基本的な安全問題として優先させ、技術プロバイダに対して、ライフサイクル全体を通じて製品にセキュリティを組み込むこと、安全なデフォルト設定で製品を出荷すること、セキュリティ対策に抜本的な透明性を持たせることで、顧客が各製品を使用することで受け入れるリスクを明確に理解できるようにすることで、規模に応じたセキュリティを推進する。 
Importantly, this Strategic Plan also has a unique focus on outcome-based measures of effectiveness to ensure CISA’s efforts have a measurable impact in reducing cybersecurity risk.  重要なことは、この戦略計画は、CISAの取り組みがサイバーセキュリティリスクの低減に測定可能な効果をもたらすことを確実にするために、成果に基づく効果測定に独自の重点を置いていることである。 
Cybersecurity is a shared journey and a shared challenge that the entire nation must address together. As America’s Cyber Defense Agency, CISA serves a foundational role in the global cybersecurity community, but true and lasting security in cyberspace can only be achieved collaboratively. Government at all levels, industry, technology providers, the global community of cyber defenders, individual citizens, and others must all work together to achieve a secure cyber future.  サイバーセキュリティは、国家全体で取り組むべき共通の旅であり、共通の課題である。米国のサイバー防衛機関として、CISAはグローバルなサイバーセキュリティ・コミュニティにおいて基礎的な役割を果たしているが、サイバー空間における真の永続的なセキュリティは、協力してしか達成できない。あらゆるレベルのガバナンス、産業界、技術プロバイダ、サイバー防衛のグローバル・コミュニティ、個々の市民、その他が、安全なサイバーの未来を実現するために協力しなければならない。 

 

・2023.08.04 (Alert) CISA Releases its Cybersecurity Strategic Plan

 

・[PDF]

20230806-42520

 

EXECUTIVE SUMMARY 要旨
Our nation is at a moment of opportunity. The 2023 U.S. National Cybersecurity Strategy outlines a new vision for cybersecurity, a vision grounded in collaboration, in innovation, and in accountability. Now is the moment where our country has a choice: to invest in a future where collaboration is a default rather than an exception; where innovation in defense and resilience dramatically outpaces that of those seeking to do us harm; and where the burden of cybersecurity is allocated toward those who are most able to bear it. We must be clear-eyed about the future we seek, one in which damaging cyber intrusions are a shocking anomaly, in which organizations are secure and resilient, in which technology products are safe and secure by design and default. This is a shared journey and a shared challenge, and CISA, as America’s cyber defense agency, is privileged to serve a foundational role in the global cybersecurity community as we achieve measurable progress to our shared end state.  わが国は今、チャンスの時を迎えている。2023年米国国家サイバーセキュリティ戦略は、サイバーセキュリティの新たなビジョンの概要を示している。このビジョンは、協力、イノベーション、アカウンタビリティに基づくものである。今こそ、わが国は選択を迫られている。協調が例外ではなく既定路線となる未来に投資するか、防衛とレジリエンスにおけるイノベーションが、わが国に危害を加えようとする者たちのそれを劇的に上回るようにするか、サイバーセキュリティの負担を最も負担能力のある者たちに割り当てるか、である。我々は、我々が求める未来について明確な目を持たなければならない。それは、サイバー侵入による被害が衝撃的な異常事態であり、組織が安全でレジリエンスに富み、テクノロジー製品が設計上もデフォルトでも安全でセキュアであるような未来である。CISAは、米国のサイバー防衛機関として、我々が共有する最終状態への測定可能な進展を達成するために、世界のサイバーセキュリティ・コミュニティにおいて基礎的な役割を果たすことを光栄に思う。
We know that the stakes are high. Our nation relies on connected technologies every hour of every day to enable essential services, from drinking water to electricity to financial systems. In recent years, this dependence has deepened even further, as many Americans now rely on connectivity for most aspects of their daily lives. Malicious cyber actors recognize our dependence on technology and constantly attempt to exploit this reliance for financial or strategic gain. Too often, they succeed. Their success is enabled by an environment of insecurity, in which our enterprises are too difficult to defend, and our technology products are too vulnerable to protect.  我々は、利害関係が大きいことを知っている。我が国は、飲料水から電気、金融システムに至るまで、必要不可欠なサービスを実現するために、毎日毎時、コネクテッド・テクノロジーに依存している。近年、多くのアメリカ人が日常生活の大半をコネクテッド・テクノロジーに依存しているため、この依存はさらに深まっている。悪意のあるサイバー・アクターは、我々のテクノロジーへの依存を認識し、経済的または戦略的利益のためにこの依存を常に利用しようとする。しばしば、彼らは成功する。彼らの成功は、我々のエンタープライズを防御することがあまりにも困難であり、我々のテクノロジー製品を保護することがあまりにも脆弱であるという、安全でない環境によって可能となる。
But we also know the steps to take. We must change how we design and develop technology products, such that exploitable conditions are uncommon and secure controls are enabled before products reach the market. We must quickly detect adversaries, incidents, and vulnerabilities, and enable timely mitigation before harm occurs. We must help organizations, particularly those that are “target rich, resource poor,” take the fewest possible steps to drive the most security impact. Recognizing that we will not prevent every intrusion, we must ensure that our most essential services are resilient under all conditions, with particular focus on under-resourced communities where loss of key services can have the greatest impact. Most importantly, we must do it together, recognizing that true collaboration is the only path toward a more secure future.  しかし、我々は取るべき手段も知っている。テクノロジー製品の設計・開発方法を変え、悪用されやすい状況をなくし、製品が市場に出回る前に安全な制御が可能になるようにしなければならない。敵対者、インシデント、脆弱性を迅速に検知し、被害が発生する前にタイムリーな低減を可能にしなければならない。特に「ターゲットが豊富でリソースが乏しい」組織が、可能な限り少ない手順で最大のセキュリティ効果を得られるよう支援しなければならない。すべての侵入を防げるわけではないことを認識した上で、最も重要なサービスをあらゆる状況下でレジリエンス(回復力)あるものにしなければならない。最も重要なことは、真の協力関係こそが、より安全な未来に向けた唯一の道であることを認識し、共に行動することである。
GOAL 1: ADDRESS IMMEDIATE THREATS. We will make it increasingly difficult for our adversaries to achieve their goals by targeting American and allied networks. We will work with partners to gain visibility into the breadth of intrusions targeting our country, enable the disruption of threat actor campaigns, ensure that adversaries are rapidly evicted when intrusions occur, and accelerate mitigation of exploitable conditions that adversaries recurringly exploit.  目標1:差し迫った脅威に対処する。米国および同盟国のネットワークを標的とすることで、敵対勢力による目標達成をますます困難にする。わが国を標的とする侵入の範囲を可視化し、脅威行為者のキャンペーンを妨害できるようにし、侵入が発生した場合には敵対者を迅速に退去させ、敵対者が繰り返し悪用する悪用可能な状況の低減を加速するために、パートナーと協力する。
GOAL 2: HARDEN THE TERRAIN. We will catalyze, support, and measure adoption of strong practices for security and resilience that measurably reduce the likelihood of damaging intrusions. We will provide actionable and usable guidance and direction that helps organizations prioritize the most effective security investments first and leverage scalable assessments to evaluate progress by organizations, critical infrastructure sectors, and the nation.  目標2:地形を固める。有害な侵入の可能性を大幅に低減するような、セキュリティとレジリエンスのための強力なプラクティスの導入を促進し、支援し、測定する。組織が最も効果的なセキュリティ投資に優先順位を付け、組織、重要インフラ部門、国の進捗状況を評価するためのスケーラブルな評価を活用できるような、実用的で実行可能な指針と指示を提供する。
GOAL 3: DRIVE SECURITY AT SCALE. We will drive prioritization of cybersecurity as a fundamental safety issue and ask more of technology providers to build security into products throughout their lifecycle, ship products with secure defaults, and foster radical transparency into their security practices so that customers clearly understand the risks they are accepting by using each product. Even as we confront the challenge of unsafe technology products, we must ensure that the future is more secure than the present—including by looking ahead to reduce the risks and fully leverage the benefits posed by artificial intelligence and the advance of quantum-relevant computing. Recognizing that a secure future is dependent first on our people, we will do our part to build a national cybersecurity workforce that can address the threats of tomorrow and reflects the diversity of our country.  目標 3:セキュリティを大規模に推進する。サイバーセキュリティを基本的な安全問題として優先させ、ライフサイクル全体を通じて製品にセキュリティを組み込むこと、安全なデフォルト設定で製品を出荷すること、セキュリティ対策に抜本的な透明性を持たせることをプロバイダに求め、顧客が各製品の使用によって受け入れるリスクを明確に理解できるようにする。我々は、安全でないテクノロジー製品という課題に直面しながらも、人工知能や量子関連コンピューティングの進歩がもたらすリスクを軽減し、その利点を十分に活用するために将来を見据えることも含め、現在よりも安全な未来を確保しなければならない。安全な未来は、まずわれわれの人材にかかっていることを認識し、われわれは、明日の脅威に対処でき、わが国の多様性を反映したサイバーセキュリティ人材を育成するために、その一翼を担っていく。
As we progress toward these goals, we must embody the hacker spirit, thinking creatively and innovating in every aspect of our work. The ongoing work of CISA’s workforce—our threat hunters, vulnerability analysts, operational planners, regionally deployed cybersecurity advisors, and others—epitomize this collaborative spirit.  これらの目標に向かって前進するとき、我々はハッカー精神を体現し、仕事のあらゆる面で創造的に考え、革新的でなければならない。脅威ハンター、脆弱性アナリスト、作戦立案者、各地域に配置されたサイバーセキュリティ・アドバイザーなど、CISAの従業員たちの継続的な活動は、この協調精神を象徴している。
Each day, our team members work shoulder to shoulder with the cybersecurity community to address our most pressing cyber risks. We know we cannot achieve lasting security without close, persistent collaboration among government, industry, security researchers, the international community, and others. Even as we are accountable for national cybersecurity, we must align accountability across the ecosystem, such that cybersecurity is considered a foundational business risk at every organization and technology manufacturers prioritize product safety. Cyber incidents have caused too much harm to too many American organizations. Working together, we can change this course. Working together, we can create a new model. We know the path and we’ve collectively begun the right steps. Now is the time to focus, prioritize, and accelerate—recognizing that our adversaries are not going to wait.  我々のチームメンバーは日々、サイバーセキュリティ・コミュニティと肩を並べて、最も差し迫ったサイバーリスクに取り組んでいる。我々は、政府、産業界、セキュリティ研究者、国際社会などの緊密で粘り強い協力なしには、永続的なセキュリティを達成できないことを知っている。サイバーセキュリティがすべての組織において基礎的なビジネスリスクとみなされ、テクノロジー・メーカーが製品の安全性を優先するようにするためである。サイバーインシデントによって、あまりにも多くのアメリカの組織が被害を被っている。力を合わせれば、この流れを変えることができる。力を合わせれば、新しいモデルを生み出すことができる。我々は道を知っており、集団として正しいステップを踏み始めている。今こそ集中し、優先順位をつけ、加速させる時である。敵は待ってはくれない。

 

 

 

 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.08.02 米国 国家サイバー人材・教育戦略

・2023.07.15 米国 ホワイトハウス サイバーセキュリティ戦略実施計画

・2023.07.09 米国 OMB 2025 年度予算における政権のサイバーセキュリティ優先事項 (2023.06.27)

・2023.07.02 米国 GAO サイバーセキュリティ:国家サイバーセキュリティ戦略の立ち上げと実施

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

・2022.10.29 米国 国家防衛戦略

・2022.10.14 米国 国家安全保障戦略

 

・2022.09.21 米国 CISA 戦略計画 2023-2025

 

 

|

« 米国 連邦取引委員会 (FTC) ブログ 健康情報のプライバシー保護: FTCの事例から得られる13の教訓 (2023.07.25) | Main | 経済産業省 第32回 産業構造審議会総会 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 米国 連邦取引委員会 (FTC) ブログ 健康情報のプライバシー保護: FTCの事例から得られる13の教訓 (2023.07.25) | Main | 経済産業省 第32回 産業構造審議会総会 »