« 米国 GAO 連邦政府システム統制監査マニュアルの15年ぶりの改訂 (2024.09.05) | Main | 金融庁 「金融機関の内部監査の高度化に向けたモニタリングレポート(2024)」 (2024.09.10) »

2024.09.11

米国 CISA 選挙セキュリティチェックリスト(サイバー編と物理編) (2024.09.09)

こんにちは、丸山満彦です。

米国のCISAが、選挙のためのセキュリティチェックリスト(サイバー編と物理編)を公表していますね...日本ではほんと選挙セキュリティの話は聞きませんね...

 

● CISA

プレス...

・2024.09.09 CISA Releases Election Security Focused Checklists for Both Cybersecurity and Physical Security

CISA Releases Election Security Focused Checklists for Both Cybersecurity and Physical Security CISA、サイバーセキュリティと物理的セキュリティの両方に焦点を当てた選挙セキュリティチェックリストを公開
WASHINGTON – Today, the Cybersecurity and Infrastructure Security Agency (CISA) released two election security checklists as part of the comprehensive suite of resources available for election officials, the Physical Security Checklist for Election Offices and Election Infrastructure Cybersecurity Readiness and Resilience Checklist. These checklists are tools to quickly review existing practices and take steps to enhance physical and cyber resilience in preparation for election day.    ワシントン – サイバーセキュリティ・インフラセキュリティ庁(CISA)は本日、選挙関係者が利用できる包括的なリソース一式の一部として、選挙セキュリティチェックリスト2種類を公開した。公開されたのは、「選挙事務所のための物理的セキュリティチェックリスト」と「選挙インフラのサイバーセキュリティ準備・レジリエンスチェックリスト」である。これらのチェックリストは、既存の慣行を迅速に確認し、選挙当日に備えて物理的およびサイバーレジリエンスを強化するためのツールである。  
"Election officials around the country are unwavering in their commitment to enhance the cyber and physical security of election infrastructure to meet an evolving threat environment. As election officials and their teams enter into final preparations for November, these checklists help highlight some of the most common threat vectors, security practices, and resilience measures for consideration," said CISA Senior Advisor, Cait Conley.  「全米の選挙管理官は、進化する脅威環境に対応するために、選挙インフラのサイバーおよび物理的セキュリティを強化するという確固たる決意を持っています。選挙管理官とそのチームが11月の最終準備段階に入っている中、これらのチェックリストは、考慮すべき最も一般的な脅威ベクトル、セキュリティ対策、レジリエンス対策を明確にするのに役立ちます」と、CISAシニアアドバイザーのケイト・コンリー氏は述べた。
These checklists provide a series of questions to guide preparation for potential cyber and physical security incidents that may impact election infrastructure. They help election officials identify areas to potentially enhance physical security, operational resilience, and cybersecurity at election infrastructure facilities and take action to implement low- or no-cost options in the short term.  これらのチェックリストは、選挙インフラに影響を与える可能性のあるサイバーおよび物理的セキュリティインシデントの準備を導く一連の質問を提供している。選挙管理当局が、選挙インフラ施設における物理的セキュリティ、運用上のレジリエンス、サイバーセキュリティを強化すべき領域を識別し、短期間で低コストまたは無償で実施できる対策を講じるのに役立つ。
For more information, please click here and check out #Protect2024 for the latest information regarding election security.   詳細については、こちらをクリックし、選挙セキュリティに関する最新情報については #Protect2024 をチェックしていただきたい。 

 

Physical Security Checklist for Election Offices and Election Infrastructure Cybersecurity Readiness and Resilience Checklists

Physical Security Checklist for Election Offices and Election Infrastructure Cybersecurity Readiness and Resilience Checklists 選挙事務所および選挙インフラの物理的セキュリティチェックリスト
As part of the comprehensive suite of resources available to election officials, these checklists are tools to quickly review existing practices and take steps to enhance physical security, operational resilience, and cybersecurity in preparation for election day. These checklists provide a series of questions designed to help election officials identify areas to potentially enhance physical security, operational resilience, and cybersecurity at election infrastructure facilities and take action to implement low- or no-cost options in the short term. 選挙関係者が利用できる包括的なリソース一式の一部として、これらのチェックリストは、既存の慣行を迅速に確認し、選挙当日に備えて物理的セキュリティ、運用レジリエンス、サイバーセキュリティを強化するための手段を講じるためのツールである。これらのチェックリストは、選挙管理者が選挙インフラ施設における物理的セキュリティ、運用上のレジリエンス、サイバーセキュリティを強化すべき領域を識別し、短期間で低コストまたは無償のオプションを導入するための行動を起こすのに役立つよう設計された一連の質問を提供している。

 

サイバーセキュリティ編...

・[PDF] Readiness and Resilience Checklist for Election Offices

20240911-50810

Readiness and Resilience Checklist for Election Offices 選挙事務所向け準備およびレジリエンスチェックリスト
INTRODUCTION  序文 
Network infrastructure and internet-facing applications underpin and enable a variety of functions in the conduct of elections. These may include election infrastructure networks that store, host, or process voter registration information, public -facing election websites that support functions like election night reporting and polling place lookup, as well as email and other critical business operations. Election infrastructure and government infrastructure remain attractive targets for a range of malicious actors from cybercriminals to nation state actors. Network defenders have the power to prevent most security incidents using basic security measures. Take steps now so that even if an incident occurs, critical election operations can continue. The following checklist was designed to help election security officials and their IT teams quickly review existing cybersecurity practices to protect against some of the most common threats like ransomware or distributed denial of service (DDoS) attacks and take steps to enhance your organization’s cybersecurity readiness and resilience throughout this election cycle. ネットワークインフラおよびインターネットに面したアプリケーションは、選挙の実施におけるさまざまな機能を支え、可能にしている。これには、有権者登録情報の保存、ホスティング、処理を行う選挙インフラネットワーク、選挙当夜の報告や投票所検索などの機能を提供する一般公開の選挙ウェブサイト、および電子メールやその他の重要な業務処理が含まれる。 選挙インフラおよび政府インフラは、サイバー犯罪者から国家ぐるみの行為を行う者まで、さまざまな悪意ある行為者にとって依然として魅力的な標的である。 ネットワークの防御者は、基本的なセキュリティ対策を使用することで、ほとんどのセキュリティインシデントを防止することができる。 インシデントが発生した場合でも重要な選挙業務を継続できるよう、今すぐ対策を講じよう。以下のチェックリストは、選挙セキュリティ担当者およびITチームが、ランサムウェアや分散型サービス拒否(DDoS)攻撃などの最も一般的な脅威のいくつかに対する防御策として、既存のサイバーセキュリティ対策を迅速に確認し、今回の選挙期間を通じて組織のサイバーセキュリティの準備態勢とレジリエンシーを強化するための措置を講じるのに役立つよう作成された。
HOW TO USE THIS RESOURCE  このリソースの使用方法 
This checklist provides a series of questions to guide the decision-making necessary to prepare for potential cybersecurity incidents. By answering these questions, elections personnel and their IT teams will be better positioned to assess their current cybersecurity posture against common threats and identify additional actions that may be taken. このチェックリストは、潜在的なサイバーセキュリティインシデントへの備えに必要な意思決定を導くための一連の質問を提供している。これらの質問に回答することで、選挙関係者およびITチームは、一般的な脅威に対する現在のサイバーセキュリティ対策のアセスメントを行い、追加で実施すべき対策を識別するのに役立つ。
SECURITY CHECKLIST セキュリティチェックリスト
Protect and Respond: Phishing Attempts Targeting Your Email 防御と対応:電子メールを標的としたフィッシング攻撃
Have you enabled Multifactor Authentication (MFA) on all accounts? すべてのアカウントで多要素認証(MFA)を有効にしているか?
•   Turn on MFA for all accounts. • すべてのアカウントでMFAを有効にする。
•   Ensure each account has its own unique credentials and do not allow credential sharing. • 各アカウントに固有の認証情報を設定し、認証情報の共有を許可しない。
•   Apply the principle of least privilege by separating admin accounts and user accounts. • 管理アカウントとユーザーアカウントを分離することで、最小権限の原則を適用する。
•   Ensure everyone changes their default passwords and strong passwords are required for all • すべてのユーザーにデフォルトパスワードを変更させ、強力なパスワードを要求する
Have you enabled Domain-based Message Authentication Reporting and Conformance (DMARC) for all email accounts? すべてのメールアカウントで、ドメインベースメッセージ認証報告および準拠(DMARC)を有効にしているか?
•   Enable DMARC on all email accounts to make it easier for email senders and receivers to determine whether an email legitimately originated from the identified sender and provides the user with instructions for handling the email if it is fraudulent. • すべてのメールアカウントでDMARCを有効にすることで、メールの送信者と受信者が、識別された送信者から正規に送信されたメールであるかどうかを簡単に判断できるようになり、また、不正なメールの場合は、ユーザーにメールの処理方法を指示することができる。
Is email filtered to protect against malicious content? 悪意のあるコンテンツから防御するために、電子メールはフィルタリングされているか?
•   Implement flagging of external emails to alert users to use due care when opening. • 外部からの電子メールに警告を表示し、開封時には十分な注意を払うようユーザーに促す。
Does your elections staff only use official email accounts for official business? 選挙スタッフは公式の業務に公式の電子メールアカウントのみを使用しているか?
•   Train staff so they know to only use their official email accounts, which often include enhanced security features, for official business. • スタッフに、公式の業務には強化されたセキュリティ機能が備わっている公式の電子メールアカウントのみを使用するようトレーニングを行う。
•   Implement filters at the email gateway to filter out emails with known malicious indicators. • 電子メールゲートウェイにフィルタを導入し、既知の悪意のある兆候のある電子メールを排除する。
Have you trained your staff to spot and report phishing or other suspicious emails? スタッフにフィッシングやその他の疑わしい電子メールを見つけ報告するようトレーニングを行っているか?
•   Malicious actors are improving their techniques all the time, so training should be provided at regular intervals to educate staff about the latest tactics and how to respond to suspicious communications. Regularly review common signs of phishing so staff are familiar with what to look out for and how to report.  • 悪意のある行為者は常にそのテクニックを改善しているため、スタッフに最新の戦術や疑わしいコミュニケーションへの対応方法を教育するために、定期的にトレーニングを行うべきである。スタッフが注意すべき点や報告方法を理解できるよう、フィッシングの一般的な兆候を定期的に確認する。
Protect and Respond: Distributed Denial of Service (DDoS) Targeting Your Websites 防御と対応:ウェブサイトを標的とした分散型サービス拒否(DDoS)攻撃
Have you spoken with your website service and internet providers about preparation for and response to a DDoS incident? DDoSインシデントへの備えと対応について、ウェブサイトサービスプロバイダやインターネットプロバイダと話し合ったことはあるだろうか?
•   Review existing contracts and coordinate with both website service providers and internet service providers before an incident occurs. Understand the protections service providers may already have in place.  • インシデントが発生する前に、既存の契約を見直し、ウェブサイトサービスプロバイダとインターネットサービスプロバイダの両者と調整する。サービスプロバイダがすでに導入している保護対策について理解する。
•   Identify what additional DDoS mitigation and redundancy measures are available. Most major service providers have protections available, which may be offered at no cost for basic services, or at additional cost for advanced services. There are a number of no-cost DDoS prevention services available to election officials that can be found at: https://www.cisa.gov/topics/election-security/ protect-your-website  • どのような追加のDDoS低減および冗長化対策が利用可能かを識別する。ほとんどの主要なサービスプロバイダは、基本サービスには無料で、高度なサービスには追加料金で提供される保護対策を用意している。選挙管理官が利用できる無償のDDoS防御サービスは多数あり、https://www.cisa.gov/topics/election-security/protect-your-websiteで確認できる。
•   Ensure you know who to contact in event of an incident.  • インシデント発生時に連絡すべき担当者を把握しておく。
•   Share information about important election dates and locations, requesting that ample troubleshooting is available during key periods, and ensuring mutual awareness of any planned maintenance that could impact election operations.  重要な選挙日程と場所に関する情報を共有し、主要期間中は十分なトラブルシューティングが利用可能であることを求め、選挙運営に影響を与える可能性のある保守作業が計画されている場合は相互に認識できるようにする。
•   Ensure network traffic monitoring and analysis is enabled via a firewall or intrusion detection system and that the logs are being reviewed.  • ファイアウォールまたは侵入検知システムを介してネットワークトラフィックの監視と分析が有効化され、ログが確認されていることを確認する。
•   Have an alternate plan for information dissemination in case your website does go down. Make sure to test that plan.  • ウェブサイトがダウンした場合に備えて、情報配信の代替計画を用意する。その計画を必ずテストする。
Protect and Respond: Ransomware Targeting Your Nework 防御と対応: ネットワークを標的としたランサムウェア
Is the election network segmented from other business units by utilizing a firewall configured to only allow known communications? 選挙ネットワークは、既知のコミュニケーションのみを許可するように設定されたファイアウォールを利用して、他の事業部門から分離されているか?
•    Implement and enforce network segmentation. Proper network segmentation is an effective security mechanism to prevent an intruder from propagating exploits or moving laterally within an internal network. This includes not transferring election results on the business network.  ネットワークのセグメント化を実施し、徹底する。適切なネットワークのセグメント化は、侵入者がエクスプロイトを拡散したり、内部ネットワーク内で水平方向に移動したりするのを防ぐ効果的なセキュリティメカニズムである。これには、業務ネットワーク上で選挙結果を転送しないことも含まれる。
Is internal network traffic monitored for malicious traffic, using an endpoint detection and response (EDR) software or similar service? 内部ネットワークトラフィックは、エンドポイント検知および対応(EDR)ソフトウェアまたは類似のサービスを利用して、悪意のあるトラフィックを監視しているか?
•    Implement EDR software on endpoint devices. If you are a member of the Election Infrastructure Information and Analysis Center (EI-ISAC) you are eligible for no-cost commercial EDR solutions funded by CISA.  • エンドポイントデバイスにEDRソフトウェアを導入する。 選挙インフラ情報分析センター(EI-ISAC)のメンバーである場合、CISAが資金提供する無償の商用EDRソリューションを利用できる。
•    Verify alerts are being created and response process are followed.  • アラートが作成され、対応プロセスが実行されていることを確認する。
Is your network traffic protected from routing to known malicious sites? • ネットワークトラフィックが既知の悪質なサイトへのルーティングから防御されているか。
•    Implement Malicious Domain Blocking and Reporting (MDBR) across your network devices to prevent IT systems from connecting to harmful web domains. MDBR can block the vast majority  of ransomware infections just by preventing the initial outreach to a ransomware delivery domain. EI-ISAC members are eligible for no-cost commercial MDBR services funded by CISA.  • ネットワークデバイス全体に悪質なドメインのブロックと報告(MDBR)を導入し、ITシステムが有害なウェブドメインに接続しないようにする。MDBRは、ランサムウェア配信ドメインへの最初のアウトリーチを防止するだけで、ランサムウェア感染の大部分をブロックすることができる。EI-ISACのメンバーは、CISAが資金提供する無償の商用MDBRサービスを利用できる。
Do you have a cybersecurity incident response plan and have you practiced using it? サイバーセキュリティインシデント対応計画を策定し、その計画に基づく演習を行っているか?
•    Develop and maintain incident response plans that specifically detail how to operate mission-critical processes in the event of a cybersecurity incident.  • サイバーセキュリティインシデントが発生した場合に、どのようにしてミッションクリティカルなプロセスを運用するかを具体的に詳細に記述したインシデント対応計画を策定し、維持する。
•    Test your incident response plans with all key players who would be involved in implementing the response. You can leverage CISA resources like in-person or virtual tabletop exercises to help facilitate the training event (https://www.cisa.gov/topics/election-security/election-security-training).  • インシデント対応計画を、対応の実施に関与するすべての主要関係者を交えてテストする。CISAのリソースを活用し、対面式または仮想の机上訓練を実施して、訓練を円滑に進めることができる(https://www.cisa.gov/topics/election-security/election-security-training)。
Do you maintain offline encrypted backups of your critical systems and data for a minimum of 30 days? • 重要なシステムおよびデータのオフライン暗号化バックアップを最低30日間維持しているか。
•    Maintain backups that allow you to recover data at a minimum up to 30 days prior.  • 少なくとも30日以前のデータを復元できるバックアップを維持する。
•    Encrypt backup files and ensure credentials for accessing the backups are not stored in the targeted environment. Ransomware actors often hunt for and collect credentials stored in the targeted environment and use those credentials to attempt to access backup solutions; they also use publicly available exploits to target unpatched backup solutions.  • バックアップファイルを暗号化し、バックアップへのアクセスに必要な認証情報が標的環境に保存されないようにする。ランサムウェアの攻撃者は、標的環境に保存されている認証情報を探し出して収集し、それらの認証情報を使用してバックアップソリューションにアクセスしようとする場合が多い。また、パッチが適用されていないバックアップソリューションを標的にするために、一般に入手可能なエクスプロイトを使用することもある。
•    Ensure backups are maintained offline, as most ransomware actors attempt to find and subsequently delete or encrypt accessible backups to make restoration impossible unless the ransom is paid.  • ほとんどのランサムウェアの攻撃者は、身代金を支払わなければ復元が不可能になるように、アクセス可能なバックアップを見つけ出し、その後、削除または暗号化しようとするため、バックアップはオフラインで維持されていることを確認する。
Have you recently practiced restoring from your data backups? 最近、データバックアップからの復元を試したことがあるか?
•    Test the availability and integrity of backups in a disaster recovery scenario.  • 災害復旧シナリオにおいて、バックアップの可用性と整合性をテストする。
Protect and Respond: Known Exploited Vulnerabilities and Your Internet Facing Systems 防御と対応:既知の脆弱性とインターネットに面したシステム
Do you have cyber hygiene vulnerability scanning that identifies internet facing vulnerabilities? インターネットに面した脆弱性を識別するサイバー衛生脆弱性スキャンを行っているか?
•    Sign up for CISA cyber hygiene vulnerability scanning or an equivalent service that continuously monitors and assesses internet-accessible network assets (public, static IPv4 addresses) to evaluate their host and vulnerability status. CISA’s cyber hygiene vulnerability scanning service provides weekly reports of all findings and ad-hoc alerts about urgent findings, like potentially risky services and known exploited vulnerabilities.  • CISAのサイバー衛生脆弱性スキャン、またはインターネットにアクセス可能なネットワーク資産(パブリックで静的なIPv4アドレス)を継続的に監視およびアセスメントし、ホストと脆弱性の状態を評価する同等のサービスに申し込む。CISAのサイバー衛生脆弱性スキャンサービスでは、すべての調査結果をまとめた週次レポートと、潜在的に危険なサービスや既知の悪用された脆弱性など、緊急を要する調査結果に関する臨時のアラートが提供される。
•    Develop a patch management plan that (1) makes reducing the significant risk of known exploited vulnerabilities (KEVs) a top priority for remediation; and (2) requires critical vulnerabilities to be remediated within 15 calendar days of initial detection.  • (1) 既知の悪用された脆弱性(KEV)の重大なリスクを軽減することを最優先事項として、(2) 重大な脆弱性は検知後15暦日以内に修復することを義務付ける、パッチ管理計画を策定する。

 

 

物理セキュリティ編...

・[PDF] Physical Security Checklist for Election Offices

20240911-52127_20240911052101

 

Physical Security Checklist for Election Offices 選挙事務所のための物理的セキュリティ・チェックリスト
INTRODUCTION  序文
Ensuring a secure and resilient election process is a vital national interest and one of the highest priorities for the Cybersecurity and Infrastructure Security Agency (CISA). CISA is committed to working collaboratively with election officials and election technology and service providers to manage risks to the nation’s election infrastructure. As part of the comprehensive suite of resources available to election officials, this checklist is a tool to quickly review existing practices and take steps to enhance physical security and operational resilience in preparation for election day. 安全でレジリエントな選挙プロセスの確保は、国家にとって重要な関心事であり、サイバーセキュリティ・インフラセキュリティ庁(CISA)にとって最優先事項のひとつである。CISAは、選挙関係者および選挙テクノロジー・サービス・プロバイダと協力し、米国の選挙インフラに対するリスクを管理することに尽力している。選挙管理担当者が利用できる包括的なリソース一式の一部として、このチェックリストは、既存の慣行を迅速に確認し、選挙当日に備えて物理的セキュリティと運用上のレジリエンスを強化するための手段となる。
HOW TO USE THIS RESOURCE  このリソースの使用方法 
This checklist provides a series of questions designed to help election officials identify areas to enhance physical security at election infrastructure facilities and take action to implement low- or no-cost options in the short term. このチェックリストは、選挙管理担当者が選挙インフラ施設の物理的セキュリティを強化すべき領域を識別し、短期間で低コストまたは無償のオプションを実施するための行動を取るのに役立つ一連の質問を提供している。
SECURITY CHECKLIST  セキュリティチェックリスト
Plan and Prepare 計画と準備
Have you established a Facility Security Plan for your office that addresses key tasks for maintaining office security? 事務所のセキュリティを維持するための主要なタスクを網羅した施設セキュリティ計画を策定しているか?
•    Implement policies for securing exterior doors and windows, securing sensitive areas within the facility, utilization of a facility alarm system (if installed), and observation of parking areas for unattended vehicles or suspicious activity.  • 外部ドアと窓の安全確保、施設内の機密エリアの安全確保、施設警報システムの利用(設置されている場合)、無人の車両や不審な行動がないか駐車場の監視に関する方針を実施する。
•    Institute procedures to monitor the parking area and policies to act on unauthorized vehicles.  • 駐車場を監視する手順と、許可のない車両への対応方針を策定する。
•    Implement a “If You See Something, Say Something ®” public awareness campaign. This can be as simple as posting signs with contact information for the public to report incidents to.  • 「If You See Something, Say Something ®(不審なものを見かけたら、知らせよう)」という一般市民への啓発キャンペーンを実施する。これは、一般市民がインシデントを通報するための連絡先を記載した標識を掲示するといった簡単な方法で実施できる。
•    Institute access control policies/procedures for personnel, volunteers, and the public to permit only authorized access to sensitive locations. Establish a strong key control accountability system and restrict key duplication.  • 機密性の高い場所へのアクセスは認可されたもののみに限定するため、職員、ボランティア、一般市民向けのアクセス管理方針/手順を確立する。強力な鍵管理責任体制を確立し、鍵の複製を制限する。
•    Practice your incident response and continuity of operations plans to familiarize personnel with their responsibilities. This can also help identify gaps in the plans so they can be addressed before an incident occurs.  • 職員が各自の責任に精通できるよう、インシデント対応および業務継続計画を実践する。これにより、計画のギャップを特定し、インシデントが発生する前にそれに対処できるようになる。
Have you developed other plans to support secure and resilient election operations? 安全でレジリエントな選挙運営をサポートする他の計画を策定したか?
•    Establish an Incident Response Plan that identifies security responsibilities, emergency contacts, and response procedures. Your Incident Response Plan should also include an Incident Response Communications Playbook that helps navigate how to communicate clearly and transparently with voters and the public if an incident occurs, and what steps have been taken to ensure a safe and secure elections process.  • セキュリティ上の責任、緊急連絡先、対応手順を特定するインシデント対応計画を策定する。インシデント対応計画には、インシデントが発生した場合に有権者および一般市民と明確かつ透明性のあるコミュニケーションを行う方法、および安全でセキュアな選挙プロセスを確保するためにどのような措置が講じられたかを説明するインシデント対応コミュニケーション・プレイブックも含めるべきである。
•   Establish a Continuity of Operations Plan to ensure that essential election functions can continue if disruptions to operations occur. This could include planning for backup power solutions for polling locations or election offices or identifying alternative sites to continue operations if a facility is inaccessible or unusable. • 業務継続計画を策定し、業務に支障が生じた場合でも、選挙の重要な機能が継続できるようにする。これには、投票所や選挙事務所のバックアップ電源ソリューションの計画や、施設がアクセス不能または使用不能となった場合に業務を継続するための代替施設の識別などが含まれる。
Have you established procedures for handling suspicious mail/packages, to include potential bomb threats? 不審な郵便物/荷物、および爆弾の脅威の可能性を処理するための手順を策定しているか?
•    Prepare an area for safe mail handling with direct access to the outside of the building or in a location with doors that can be closed.  • 建物の外に直接アクセスできる場所、またはドアを閉めることができる場所に、安全な郵便物取扱エリアを準備する。
•    Have personal protective equipment available for staff handling mail and easy access to water.  • 郵便物を扱うスタッフが利用できる個人用保護具を用意し、水が簡単に利用できるようにしておく。
•    For additional information check-out the joint CISA, Federal Bureau of Investigation, U.S. Election Assistance Commission, and U.S. Postal Inspection Service Election Mail Handling Procedures to Protect Against Hazardous Materials and CISA’s Bomb Threat Guide and the Bomb Threat Checklist.  • 追加情報については、CISA、連邦捜査局、米国選挙支援委員会、および米国郵便検査局の共同作成による「危険物防御のための選挙郵便物取扱手順」および「CISAの爆弾脅威ガイド」および「爆弾脅威チェックリスト」を参照のこと。
Have you coordinated with emergency responders in your jurisdiction? 管轄内の緊急対応要員と調整を行ったか?
•    Talk through your Facility Security and Incident Response Plans with emergency responders ahead of time so they can understand your organization’s posture before they arrive on scene during an incident.  • 緊急対応要員に、インシデント発生時に現場に到着する前に貴組織の対応体制を理解してもらえるよう、事前に施設セキュリティ計画およびインシデント対応計画について説明しておく。
•    Provide emergency responders with a list and/or map of election infrastructure locations, to include temporary voting locations. Review facility floorplans and evacuation routes.  • 臨時投票所を含む選挙インフラの所在地リストおよび/または地図を緊急対応要員に提供する。施設のフロアプランおよび避難経路を確認する。
•    Work with emergency responders to see if they have emergency radios for use during election operations and times of increased threat.  緊急対応要員と協力し、選挙運営中や脅威が高まった際に使用する緊急無線機を確保する。
Have you worked with emergency responders to mitigate potential risks from hoax incidents like swatting or fake bomb threats targeting election facilities during voting period? 投票期間中に選挙施設を狙ったスワッティングや偽の爆破予告などのいたずら事件による潜在的なリスクを低減するために、緊急対応要員と協力したことはあるか?
•    Ensure your local public safety 9-1-1 computer dispatch system has election locations, including temporary locations, identified so the system alerts emergency responders that the incident location may be a target for hoax calls to disrupt election operations.  地元の公共安全9-1-1コンピュータ配車システムが、臨時施設を含む選挙会場を識別し、選挙運営を妨害するいたずら電話の標的となる可能性があることを緊急対応要員に警告するよう、システムを確実に設定する。
Do you have mechanisms in place to facilitate receiving and sharing threat information? 脅威情報の受信と共有を促進する仕組みを導入しているか?
•    Join threat information sharing platforms like the Election Infrastructure-Information Sharing and Analysis Center.  • 選挙インフラ情報共有分析センター(EISAC)のような脅威情報共有プラットフォームに参加する。
•    Engage and share information with the Fusion Centers that cover your jurisdiction.  • 管轄区域をカバーするフュージョン・センターと連携し、情報を共有する。
•    Work with your neighbors (owners/operators of neighboring offices or buildings) to share knowledge of threats and security concerns and encourage them to report security incidents to appropriate authorities. If possible, consider sharing security camera feeds/footage with each other.  • 近隣の事業所や建物の所有者/運営者と協力し、脅威やセキュリティ上の懸念に関する知識を共有し、セキュリティ・インシデントを適切な当局に報告するよう促す。可能であれば、互いに防犯カメラの映像を共有することを検討する。
Implement 実施
Do you conduct spot-checks both during and after business hours to make sure security procedures are being implemented as intended?  セキュリティ手順が意図した通りに実施されていることを確認するために、営業時間中および営業時間後に抜き打ち検査を行っているか?
Are points of entry and sensitive locations or assets monitored by security cameras and/or intrusion detection systems? 出入り口および機密性の高い場所や資産は、防犯カメラおよび/または侵入検知システムで監視されているか?
•    Consider implementing video security monitoring and alert systems that cover, at a minimum, points of entry and storage locations for sensitive assets such as ballots and election equipment.  • 少なくとも出入り口および投票用紙や選挙機器などの機密資産の保管場所をカバーするビデオセキュリティ監視および警報システムの導入を検討する。
•    If professional-grade commercial security solutions exceed available resources, consider lower cost, commercially available options such as home security solutions that include video cameras with motion detection capability, email/text alert functions, and intrusion detection sensors for doors and windows.  • プロ仕様の商業用セキュリティソリューションが利用可能なリソースを超える場合は、低コストで市販されているオプション、例えば、動きを検知する機能付きのビデオカメラ、電子メール/テキストによるアラート機能、ドアや窓用の侵入検知センサーなどを備えたホームセキュリティソリューションを検討する。
Are fixed and/or portable “panic buttons” in use? 固定式および/または携帯用の「非常ボタン」は使用されているか?
•    Many professional grade security systems include options for fixed and portable duress alarms or “panic buttons” that integrate into a facility’s broader security system.  • 多くのプロ仕様のセキュリティシステムには、施設のより広範なセキュリティシステムに統合できる固定式および携帯用の強要アラームまたは「非常ボタン」のオプションが含まれている。
•    If professional-grade commercial security solutions exceed available resources, there are low-cost commercially available portable “panic buttons” that can be programmed to contact local law enforcement and come in form factors like key fobs.  プロ仕様の商業用セキュリティソリューションが利用可能なリソースを超える場合、ローカルの法執行機関に連絡するようプログラムすることができ、キーフォブのような形状の、低コストで市販されている携帯用「非常ボタン」がある。
Are procedures in place to control visitor entry? 来訪者の入館を制御する手順が確立されているか?
•    Ensure the Facility Security Plan enacts procedures for full accountability of visitors (ex., implementing sign-in/sign-out procedures).  施設セキュリティ計画が来訪者の完全な説明責任を果たすための手順を定めていることを確認する(例:入館/退館手続きを実施する)。
•    Prevent visitors from entering through unauthorized entry points (ex., make sure all other doors are locked other than the public entrance).  • 許可されていない入口から訪問者が入るのを防ぐ(例:公共の入口以外のすべてのドアがロックされていることを確認する)。
•    Implement mechanisms to inform other employees of the presence of visitors inside the facility. For offices where continued monitoring of visitor entry locations is challenging, consider hanging a bell on the door or installing some form of motion or business doorbell sensor that alerts when a door opens.  • 施設内に訪問者がいることを他の従業員に知らせる仕組みを導入する。訪問者の入館場所を継続的に監視することが難しいオフィスでは、ドアにベルを設置したり、ドアの開閉を感知するモーションセンサーや業務用ドアベルセンサーを設置することを検討する。
Do ground floor windows and large glass entry doors have privacy measures installed? 1階の窓や大型のガラス製入口ドアにプライバシー対策が施されているか。
•    Install contact or privacy film on ground floor glass doors and windows if they do not have other features to obscure outside visibility. Contact or privacy film can be purchased from your local hardware store and some types can provide some shatter resistance.  • 1階のガラスドアや窓に、外部からの視界を遮る他の機能がない場合は、接触フィルムまたはプライバシーフィルムを貼る。接触フィルムやプライバシーフィルムは、地元のホームセンターで購入でき、一部のタイプは耐衝撃性もある。
•    If altering building windows is not possible, then apply window treatments or curtains that can be easily adjusted to obscure visual observation into the office.  • 建物の窓の改修が不可能な場合は、オフィス内への視線を遮るために、簡単に調整できるウィンドウトリートメントやカーテンを設置する。
•    If allowable, consider prohibiting parking next to the election office building during election operations and times of increased threat.  • 許可される場合は、選挙活動中や脅威が高まる時間帯には、選挙事務所ビルの隣に駐車することを禁止することを検討する。
Are physical barriers present in front of entrances to mitigate high-speed avenues of approach or unimpeded straight-line paths for vehicles? 車両の高速接近経路や障害物のない直線経路を低減するために、入口前に物理的障壁を設置しているか?
•    nstall security bollards (typically made from metal or cement) in front of facility locations to help protect pedestrians and prevent accidental or deliberate vehicular damage.  施設入口前にセキュリティ用ポール(通常は金属製またはセメント製)を設置し、歩行者の防御と、車両による事故または故意の損害を防止する。
•    If permanent solutions like bollards exceed resourcing, contact your transportation department for possible temporary barriers that may be available. Another alternative could be filling extra-large exterior planters to use as a barrier.  ポールのような恒久的な解決策が予算を超える場合は、利用可能な一時的な障壁について交通局に問い合わせる。別の代替案としては、特大の屋外プランターに水を入れ、バリケードとして使用することも考えられる。
Are fire extinguishers pre-positioned in sensitive locations? 消火器は、重要な場所にあらかじめ配置されているか?
•    Install a fire extinguisher in each room where ballots, election equipment, and election supplies are stored.  • 投票用紙、選挙機器、選挙用品が保管されている各部屋に消火器を設置する。
•    Ensure there is a fire extinguisher in each polling place.  • 投票所ごとに消火器が確実に用意されていることを確認する。
Are ballot drop boxes located in well lit, continuously monitored areas? 投票用紙の回収ボックスは、明るく、常時監視されている場所に設置されているか?
•    Place drop boxes in locations that provide good lighting, allow for continuous video surveillance, and are observable by facility staff.  • 投函ボックスは、照明が十分で、ビデオによる継続的な監視が可能であり、施設スタッフが監視できる場所に設置する。 
Report  報告 
Know how to report cyber or physical security incidents to relevant state and local authorities, CISA, and other federal partners. サイバーセキュリティまたは物理的なセキュリティインシデントを、該当する州および地方当局、CISA、およびその他の連邦パートナーに報告する方法を知っておく。
•    Take advantage of CISA’s Last Mile initiative to document reporting guidance  • CISAのラストマイルイニシアティブを活用し、報告に関する指針を文書化する 
•    Print out CISA’s 2024 General Election Cycle: Voluntary Incident Reporting Guidance for Election Infrastructure Stakeholders  • CISAの「2024年一般選挙サイクル:選挙インフラ関係者向け自主的なインシデント報告に関する指針」を印刷する 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.08.19 米国 FBI CISA 知っておいてください: 投票期間中のランサムウェアによる混乱は、投開票プロセスのセキュリティや正確性には影響ありません!

・2024.07.09 米国 CISA 選挙関係者のための運用セキュリティガイド

・2024.06.20 米国 サイバーセキュリティ・インフラセキュリティ庁(CISA)と米国選挙支援委員会(EAC)が選挙セキュリティについてのガイドを発表 (2024.06.17)

・2024.04.22 米国 CISA FBI ODNI 外国の悪質な影響力工作の手口から選挙インフラを守るためのガイダンス

・2022.08.27 米国 サイバー司令部:米サイバー軍とNSAは中間選挙をどう守るか。一つのチーム、一つの戦い

・2021.03.30 NISTIR 8310 (Draft) サイバーセキュリティフレームワーク(CSF) 選挙インフラのプロファイル

 

|

« 米国 GAO 連邦政府システム統制監査マニュアルの15年ぶりの改訂 (2024.09.05) | Main | 金融庁 「金融機関の内部監査の高度化に向けたモニタリングレポート(2024)」 (2024.09.10) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 米国 GAO 連邦政府システム統制監査マニュアルの15年ぶりの改訂 (2024.09.05) | Main | 金融庁 「金融機関の内部監査の高度化に向けたモニタリングレポート(2024)」 (2024.09.10) »