米国 CISA 連邦政府機関のサイバーセキュリティ運用優先事項の調整計画
こんにちは、丸山満彦です。
CISAが連邦政府文民機関 (Federal Civilian Executive Branch: FCEB)(ざっくりいうと国防総省や軍隊、情報機関以外の連邦政府関連機関と考えても良いと思います。。。リストはCISAのページにあります)のサイバーセキュリティの運用に関する優先事項についての目標達成のための計画が公表されていますね...
優先すべき事項は5つありますが、次の通りです...
・Asset Management – fully understand the cyber environment, including the operational terrain and interconnected assets. | ・資産管理 - 運用環境や相互接続された資産を含むサイバー環境を完全に理解する。 |
・Vulnerability Management – proactively protect enterprise attack surface and assess defensive capabilities. | ・脆弱性管理 - エンタープライズの攻撃対象領域を防御し、防御能力をアセスメントする。 |
・Defensible Architecture – design cyber infrastructure with an understanding that security incidents will happen, and that resilience is essential. | ・防御可能なアーキテクチャ - セキュリティインシデントは発生し、レジリエンシーが不可欠であることを理解した上で、サイバーインフラストラクチャを設計する。 |
・Cyber Supply Chain Risk Management (C-SCRM) - quickly identify and mitigate risks, including from third parties, posed to federal IT environments. | ・サイバーサプライチェーンリスクマネジメント(C-SCRM) - 連邦政府のIT環境に影響を及ぼす可能性のあるサードパーティを含むリスクを迅速に識別し、低減する。 |
・Incident Detection and Response - improve the ability of Security Operations Centers (SOCs) to detect, respond to, and limit the impact of security incidents. | ・インシデントの検知と対応 - セキュリティ・オペレーション・センター(SOC)のセキュリティ・インシデントの検知、対応、影響の抑制能力を向上させる。 |
連邦政府文民機関とは、サイバーセキュリティの大統領令 (EO14028 Improving the Nation's Cybersecurity) が適用される範囲です...
● CISA
プレス...
・2024.09.16 CISA Releases Plan to Align Operational Cybersecurity Priorities for Federal Agencies
CISA Releases Plan to Align Operational Cybersecurity Priorities for Federal Agencie | CISA、連邦政府機関のサイバーセキュリティ運用優先事項の調整計画を発表 |
WASHINGTON – The Cybersecurity and Infrastructure Security Agency (CISA) published the Federal Civilian Executive Branch (FCEB) Operational Cybersecurity Alignment (FOCAL) Plan today. As the operational lead for federal cybersecurity, CISA uses this plan to guide coordinated support and services to agencies, drive progress on a targeted set of priorities, and align collective operational defense capabilities. The end result is reducing the risk to more than 100 FCEB agencies. | ワシントン – サイバーセキュリティ・インフラセキュリティ庁(CISA)は本日、連邦文民行政機関(FCEB)運用サイバーセキュリティ調整(FOCAL)計画を発表した。連邦政府のサイバーセキュリティの運用面での主導機関であるCISAは、この計画を活用して各機関への協調的な支援とサービスを導き、優先事項の目標達成に向けた進捗を促進し、総合的な運用上の防御能力を調整する。最終的な結果として、100以上のFCEB機関のリスクが軽減される。 |
Each FCEB agency has a unique mission, and thus have independent networks and system architectures to advance their critical work. This independence means that agencies have different cyber risk tolerance and strategies. However, a collective approach to cybersecurity reduces risk across the interagency generally and at each agency specifically, and the FOCAL Plan outlines this will occur. CISA developed this plan in collaboration with FCEB agencies to provide standard, essential components of enterprise operational cybersecurity and align collective operational defense capabilities across the federal enterprise. | 各FCEB機関には独自のミッションがあり、そのため、重要な業務を推進するための独自のネットワークとシステムアーキテクチャを有している。この独立性により、各機関は異なるサイバーリスク許容度と戦略を有している。しかし、サイバーセキュリティに対する集団的なアプローチは、政府機関全体および各機関のリスクを低減し、FOCAL計画ではこれが実現されることが概説されている。CISAは、エンタープライズ運用サイバーセキュリティの標準的かつ不可欠なコンポーネントを提供し、連邦政府エンタープライズ全体の集団的な運用防御能力を調整するために、FCEB機関と協力してこの計画を策定した。 |
“Federal government data and systems interconnect and are always a target for our adversaries. FCEB agencies need to confront this threat in a unified manner and reduce risk proactively,” said CISAExecutive Assistant Director for Cybersecurity, Jeff Greene. “The actions in the FOCAL plan orient and guide FCEB agencies toward effective and collaborative operational cybersecurity and will build resilience. In collaboration with our partner agencies, CISA is modernizing federal agency cybersecurity.” | 「連邦政府のデータとシステムは相互に接続されており、常に敵対者たちの標的となっています。FCEB機関は、この脅威に統一された方法で立ち向かい、リスクを積極的に軽減する必要があります」と、CISAのサイバーセキュリティ担当エグゼクティブアシスタントディレクターであるジェフ・グリーン氏は述べている。「FOCAL計画の行動は、FCEB機関を効果的かつ協調的な運用サイバーセキュリティへと導き、レジリエンシーを構築する。CISAは、パートナー機関と協力して、連邦機関のサイバーセキュリティを近代化している。 |
The FOCAL plan is organized into five priority areas that align with agencies’ metrics and reporting requirements. Each priority has goals ranging from addressing universal cybersecurity challenges such as managing the attack surface of internet-accessible assets and bolstering cloud security to long-rage efforts including building a defensible architecture that is resilient in the face of evolving security incidents. The priority areas for FCEB agencies are: | FOCAL計画は、政府機関の評価基準と報告要件に沿った5つの優先分野に分類されている。各優先分野には、インターネットにアクセス可能な資産の攻撃対象領域の管理やクラウドセキュリティの強化といった普遍的なサイバーセキュリティの課題への対応から、進化するセキュリティインシデントに直面してもレジリエンスを発揮できる防御可能なアーキテクチャの構築といった長期的な取り組みまで、さまざまな目標が設定されている。FCEB政府機関の優先分野は以下の通りである。 |
・Asset Management – fully understand the cyber environment, including the operational terrain and interconnected assets. | ・資産管理 - 運用環境や相互接続された資産を含むサイバー環境を完全に理解する。 |
・Vulnerability Management – proactively protect enterprise attack surface and assess defensive capabilities. | ・脆弱性管理 - エンタープライズの攻撃対象領域を防御し、防御能力をアセスメントする。 |
・Defensible Architecture – design cyber infrastructure with an understanding that security incidents will happen, and that resilience is essential. | ・防御可能なアーキテクチャ - セキュリティインシデントは発生し、レジリエンシーが不可欠であることを理解した上で、サイバーインフラストラクチャを設計する。 |
・Cyber Supply Chain Risk Management (C-SCRM) - quickly identify and mitigate risks, including from third parties, posed to federal IT environments. | ・サイバーサプライチェーンリスクマネジメント(C-SCRM) - 連邦政府のIT環境に影響を及ぼす可能性のあるサードパーティを含むリスクを迅速に識別し、低減する。 |
・Incident Detection and Response - improve the ability of Security Operations Centers (SOCs) to detect, respond to, and limit the impact of security incidents. | ・インシデントの検知と対応 - セキュリティ・オペレーション・センター(SOC)のセキュリティ・インシデントの検知、対応、影響の抑制能力を向上させる。 |
The FOCAL Plan was developed for FCEB agencies, but public and private sector organizations should find it useful as a roadmap to establish their own plan to bolster coordination of their enterprise security capabilities. | FOCAL計画はFCEB機関向けに策定されたが、公共および民間部門の組織にとっても、エンタープライズ・セキュリティ能力の連携強化に向けた独自の計画を策定するためのロードマップとして役立つはずである。 |
The Plan is not intended to provide a comprehensive or exhaustive list that an agency or CISA must accomplish. Rather, it is designed to focus resources on actions that substantively advance operational cybersecurity improvements and alignment goals. | この計画は、機関またはCISAが達成すべき包括的または網羅的なリストを提供することを目的としたものではない。むしろ、運用上のサイバーセキュリティ改善と整合目標を実質的に前進させる行動にリソースを集中させることを目的としている。 |
・2024.09.16 Federal Civilian Executive Branch (FCEB) Operational Cybersecurity Alignment (FOCAL) Plan
Federal Civilian Executive Branch (FCEB) Operational Cybersecurity Alignment (FOCAL) Plan | 連邦文民行政機関(FCEB)運用上のサイバーセキュリティ整合(FOCAL)計画 |
As the operational lead for federal cybersecurity, CISA uses the FOCAL Plan to guide coordinated support and services to agencies, drive progress on a targeted set of priorities, and align collective operational defense capabilities. The end result is reducing the risk to more than 100 FCEB agencies. | 連邦サイバーセキュリティの運用上の主導機関として、CISAはFOCAL計画を活用し、機関への協調的な支援とサービスの指針を示し、優先事項の目標達成に向けた進捗を推進し、総合的な運用上の防御能力を整合させる。最終的な結果として、100以上のFCEB機関のリスクが軽減される。 |
CISA developed this plan in collaboration with FCEB agencies to provide standard, essential components of enterprise operational cybersecurity and align collective operational defense capabilities across the federal enterprise. | CISAは、エンタープライズ・オペレーショナル・サイバーセキュリティの標準的な必須コンポーネントを提供し、連邦政府機関全体の運用防御能力を調整するために、FCEB機関と協力してこの計画を策定した。 |
The FOCAL Plan is not intended to provide a comprehensive or exhaustive list that an agency or CISA must accomplish. Rather, it is designed to focus resources on actions that substantively advance operational cybersecurity improvements and alignment goals. | FOCAL計画は、機関またはCISAが達成しなければならない包括的または網羅的なリストを提供することを目的としたものではない。むしろ、運用上のサイバーセキュリティの改善と調整目標を実質的に前進させる行動にリソースを集中させることを目的としている。 |
・[PDF]
目次...
1. Introduction | 1. 序文 |
1.1 Aligning the Federal Enterprise | 1.1 連邦エンタープライズの調整 |
Table 1: FOCAL Plan Terminology and Definitions | 表1:FOCAL計画の用語と定義 |
1.1.1 FOCAL Plan Overview | 1.1.1 FOCAL計画の概要 |
Figure 1: Five FOCAL Priority Areas | 図1:5つのFOCAL優先分野 |
2. Priority Area 1: Asset Management | 2. 優先分野1:資産管理 |
2.1 Alignment Goal: Increase Operational Visibility | 2.1 整合目標:運用上の可視性の向上 |
3. Priority Area 2: Vulnerability Management | 3. 優先分野2:脆弱性管理 |
3.1 Alignment Goal: Manage the Attack Surface of Internet-Accesible Assets | 3.1 整合目標:インターネットにアクセス可能な資産の攻撃面を管理する |
4. Priority Area 3: Defensible Architecture | 4. 優先分野 3:防御可能なアーキテクチャ |
4.1 Alignment Goal 1: Secure Cloud Business Applications | 4.1 整合目標 1:クラウドビジネスアプリケーションのセキュリティ確保 |
4.1.1 Alignment Goal 2: Share Cybersecurity Telemetry Data With CISA | 4.1.1 整合目標 2:CISAとのサイバーセキュリティ遠隔測定データの共有 |
5. Priority Area 4: Cyber Supply Chain Risk Management | 5. 優先分野 4:サイバーサプライチェーンリスクマネジメント |
5.1 Alignment Goal 1: Secure Cloud Business Applications | 5.1 整合目標 1:クラウドビジネスアプリケーションのセキュリティ確保 |
6. Priority Area 5: Incident Detection and Response | 6. 優先分野5:インシデントの検知と対応 |
6.1 Alignment Goal 1: Enable CISA’s Persistent Access Capability | 6.1 整合目標1:CISAの持続的アクセス能力の実現 |
6.1.1 Alignment Goal 2: Advance SOC Governance | 6.1.1 整合目標2:SOCガバナンスの強化 |
1. INTRODUCTION | 1. 序文 |
The Federal Civilian Executive Branch (FCEB) is comprised of agencies driven by unique missions. All have independently established networks and system architectures to advance their critical work on behalf of the American people. This independence has led to several outcomes that serve as a backdrop to the development of the FCEB Operational Cybersecurity Alignment (FOCAL) Plan. Agencies vary widely in how effective they are at managing cyber risk, which means there is no cohesive or consistent baseline security posture across all FCEB agencies. These diverse approaches were not designed to collectively address the dynamic nature of our current cyber threat environment, the complexity of our digital ecosystem, and the pace of technology modernization. As a result, despite concerted efforts to adapt and protect against cyberattacks, the FCEB remains vulnerable. | 連邦文民行政機関(FCEB)は、独自の使命を担う機関によって構成されている。すべての機関は、アメリカ国民のために重要な業務を推進するために、独自にネットワークとシステムアーキテクチャを構築している。この独立性は、FCEB運用サイバーセキュリティ調整(FOCAL)計画の策定の背景となったいくつかの結果をもたらした。各機関のサイバーリスク管理の有効性には大きな差があり、連邦政府機関全体にわたって、まとまりのある一貫した基本的なセキュリティ対策が存在しないことを意味している。こうした多様なアプローチは、現在のサイバー脅威環境の動的な性質、デジタルエコシステムの複雑性、技術の近代化のペースに全体として対応することを目的として設計されたものではない。その結果、サイバー攻撃への適応と防御に向けた協調的な取り組みにもかかわらず、FCEBは依然として脆弱性を抱えている。 |
Though risk is best managed at the lowest level possible, standardizing the essential components of enterprise operational cybersecurity across agency components and across the interagency is now more critical than ever. Collective operational defense is required to adequately reduce risk posed to more than 100 FCEB agencies and to address dynamic cyber threats to government services and data. CISA’s FCEB Operational Cybersecurity Alignment (FOCAL) Plan outlines how agencies can work toward this by adopting proven practices along the spectrum—from prevention to incident detection and response—and identifying collective goals for security across the federal enterprise. | リスクは可能な限り最小レベルで管理するのが最善であるが、エンタープライズ・オペレーショナル・サイバーセキュリティの必須コンポーネントを政府機関の各部門および政府機関間で標準化することが、これまで以上に重要になっている。100を超えるFCEB機関に及ぶリスクを適切に低減し、政府サービスとデータに対する動的なサイバー脅威に対処するには、組織的な防御が必要である。CISAのFCEB運用サイバーセキュリティ調整(FOCAL)計画では、予防からインシデント検知、対応に至るまでの全領域で実証済みの手法を採用し、連邦政府エンタープライズ全体のセキュリティに関する共通目標を識別することで、各機関がこの目標に向かって取り組む方法を概説している。 |
In recent years, the federal government’s executive orders, policies, and directives have driven significant cybersecurity improvements at federal agencies in response to this dynamic threat environment. As the Office of Management and Budget (OMB) and Office of the National Cyber Director (ONCD) continue to shape national cybersecurity policy and set strategic expectations for federal cybersecurity, the Cybersecurity and Infrastructure Security Agency (CISA) is the operational lead, ensuring the enterprise has the necessary capabilities to meet those expectations. | 近年、連邦政府による大統領令、政策、指令により、このダイナミックな脅威環境に対応して連邦機関におけるサイバーセキュリティの大幅な改善が推進されてきた。 行政管理予算局(OMB)と国家サイバーディレクター室(ONCD)が連邦政府のサイバーセキュリティに関する国家政策の策定と戦略的期待値の設定を継続する中、サイバーセキュリティ・インフラセキュリティ庁(CISA)が運用面での主導的役割を担い、エンタープライズがこれらの期待値を満たすために必要な能力を備えていることを保証している。 |
1.1 ALIGNING THE FEDERAL ENTERPRISE | 1.1 連邦エンタープライズの調整 |
The FOCAL Plan is a strategic document that includes broad organizing concepts for federal cybersecurity and a tactical one that provides specific actionable steps agencies can take in the next year to improve their cybersecurity posture. This plan identifies areas in need of standardization and consistency (priority areas), enabling the federal enterprise’s cyber defense apparatus during steady state operations and facilitating rapid response when urgent situations require interagency action. | FOCAL計画は、連邦政府のサイバーセキュリティに関する幅広い組織化の概念と、各機関がサイバーセキュリティの態勢を改善するために今後1年間に実行可能な具体的な手順を提供する戦術的な概念を含む戦略文書である。この計画では、標準化と一貫性が必要な領域(優先領域)を識別し、連邦政府のサイバー防衛機構を定常状態の運用中に機能させ、緊急事態で省庁間の対応が必要な場合に迅速な対応を可能にする。 |
The FOCAL Plan is not intended to provide a comprehensive or exhaustive list of everything that an agency or CISA must accomplish. It is designed to focus resources on those actions that substantively advance operational cybersecurity improvements and alignment goals. | FOCAL計画は、省庁またはCISAが達成すべきことの包括的または網羅的なリストを提供することを目的としたものではない。この計画は、運用上のサイバーセキュリティ改善と整合目標を実質的に前進させる行動にリソースを集中させることを目的としている。 |
Table 1: FOCAL Plan Terminology and Definitions | 表1:FOCAL計画の用語と定義 |
Priority Area - An area of cybersecurity performance that CISA considers critical to the alignment of capabilities across the federal enterprise based on feedback, research, and experience. Each prioritized area will serve as the foundation of CISA’s conversations with FCEB agencies in FY 2024. These conversations will help CISA better understand the agencies’ needs and develop the products, services, and guidance to meet those needs. | 優先分野 - フィードバック、調査、経験に基づいて、CISAが連邦エンタープライズ全体の能力の整合に不可欠であると考えるサイバーセキュリティパフォーマンスの分野。優先分野はそれぞれ、2024会計年度におけるCISAとFCEB機関との協議の基盤となる。これらの協議は、CISAが各機関のニーズをよりよく理解し、それらのニーズを満たす製品、サービス、およびガイダンスを開発するのに役立つ。 |
Alignment Goal - A subset of each priority area, alignment goals have been created on the operational level with an eye toward standardization and, ultimately, alignment of effort and capabilities across the federal enterprise. | 整合目標 - 各優先分野のサブセットである整合目標は、標準化を視野に入れ、最終的には連邦エンタープライズ全体における取り組みと能力の調整を目的として、運用レベルで策定されている。 |
Increased alignment between CISA and FCEB agencies will have real world impact and will shape the actions taken in response to the dynamic threat environment. The ultimate destination on this shared journey is more synchronized and robust cyber defenses, greater communication, and increased agility and resilience across the federal enterprise, resulting in a more cohesive government enterprise capable of defending itself against evolving cyber threats. | CISAとFCEB機関間の連携強化は現実世界に影響を及ぼし、ダイナミックな脅威環境に対応する行動を形作ることになる。この共有の旅の最終目的地は、連邦政府エンタープライズ全体でより同期化され強固なサイバー防御、より緊密なコミュニケーション、そしてより迅速かつレジリエントになることであり、その結果、進化するサイバー脅威から自らを守ることができる、より結束力のある政府エンタープライズとなる。 |
1.1.1. FOCAL Plan Overview | 1.1.1. FOCAL計画の概要 |
This plan is organized into five priority areas that CISA considers essential for positioning efforts across the federal cybersecurity landscape and that align with agencies’ Federal Information Security Modernization Act metrics and reporting requirements. | 本計画は、連邦政府のサイバーセキュリティの全体像にわたる取り組みの位置づけに不可欠であり、各機関の連邦情報セキュリティ近代化法(FISMA)の評価基準および報告要件に適合する5つの優先分野に分類されている。 |
2. PRIORITY AREA 1: ASSET MANAGEMENT | 2. 優先分野1:資産管理 |
Full understanding of the cyber environment, including both operational terrain and interconnected assets, is foundational for the federal enterprise. Agencies must properly account for and manage each individual asset to defend against sophisticated attacks from adversaries or determine localized risk posed by an insecure software product. This level of operational visibility is essential in our current threat environment. | 運用環境および相互接続された資産の両方を含むサイバー環境の完全な理解は、連邦政府にとって不可欠である。各資産を適切に把握し、管理することは、敵対者による高度な攻撃から防御したり、安全でないソフトウェア製品による局所的なリスクを特定したりするために不可欠である。このようなレベルの運用上の可視性は、現在の脅威環境において不可欠である。 |
Achieving comprehensive asset visibility and enabling continuous, automatic updates to an asset catalog can be challenging for large organizations, but managing cybersecurity risk necessitates this critical step in gaining full awareness of an enterprise’s digital footprint. Enterprise-wide asset management directly enables targeted vulnerability and incident response, facilitates rapid identification and collective action, and supports ondemand coordination between CISA, the agency, and peer agencies or other key stakeholders. | 包括的な資産の可視性を実現し、資産カタログへの継続的な自動更新を可能にすることは、大規模な組織にとっては難しい場合があるが、サイバーセキュリティリスクの管理には、エンタープライズのデジタルフットプリントを完全に把握するためのこの重要なステップが必要である。エンタープライズ規模の資産管理は、標的型脆弱性およびインシデント対応を直接可能にし、迅速な特定と共同行動を促進し、CISA、機関、同等の機関またはその他の主要な利害関係者間のオンデマンドの調整をサポートする。 |
Recent advances in continuous diagnostics and mitigation (CDM) capabilities and agency programs have dramatically improved the collective federal cybersecurity posture. As we expand our focus from the cyber risk governance enablement to interactive cyber operations—using CDM to gain and maintain host-level visibility and leveraging this information to drive strategic and tactical discussions—all agencies must focus their efforts and align their work to meet these objectives. | 継続的な診断と低減(CDM)能力と機関プログラムにおける最近の進歩は、連邦政府のサイバーセキュリティ対策を劇的に改善した。サイバーリスクガバナンスの実現から、CDMを活用してホストレベルの可視性を獲得・維持し、この情報を活用して戦略的・戦術的な議論を推進する双方向のサイバー運用へと焦点を拡大するにあたり、すべての政府機関は、これらの目標を達成するために努力を集中し、業務を調整しなければならない。 |
In October 2022, CISA issued Binding Operational Directive (BOD) 23-01 to standardize the federal government’s approach to enhancing continuous visibility into agency assets and associated vulnerabilities. This BOD amplified the importance of asset management and defined expectations of how agencies should fully participate in a CDM program. While CISA’s CDM Program has been a key enabler for federal agencies in asset management, the requirements outlined in the BOD were created to serve as a blueprint for any organization. Priority Area 1: Asset Management builds on the successes that have come from agencies’ work following the issuance of BOD 23-01 and response to several zero-day vulnerabilities. | 2022年10月、CISAは拘束的運用指令(BOD)23-01を発行し、政府機関の資産と関連する脆弱性に対する継続的な可視性を強化するための連邦政府のアプローチを標準化した。このBODは、資産管理の重要性を強調し、各機関がCDMプログラムに全面的に参加すべきであるという期待を定義した。CISAのCDMプログラムは連邦機関による資産管理の主要な推進要因となっているが、BODに記載された要件はあらゆる組織の青写真となることを目的として作成された。優先分野1:資産管理は、BOD 23-01の発行とゼロデイ脆弱性への対応以降、政府機関が取り組んできた成果を基盤としている。 |
2.1 ALIGNMENT GOAL: INCREASE OPERATIONAL VISIBILITY | 2.1 整合性の目標:運用上の可視性の向上 |
CISA is committed to gaining greater cyber operational visibility and driving timely risk reduction. Increased visibility into assets and vulnerabilities will improve the capabilities of CISA and individual agencies to detect, prevent, and respond to cybersecurity incidents. These are critical steps in managing cybersecurity risk. | CISAは、サイバー運用上の可視性を高め、タイムリーなリスク低減を推進することに尽力している。資産と脆弱性に対する可視性を高めることで、CISAおよび各政府機関のサイバーセキュリティインシデントの検知、防止、対応能力が改善される。これらは、サイバーセキュリティリスクを管理する上で重要なステップである。 |
To accomplish alignment goal 2.1, agencies should have completed these foundational activities: | 目標2.1を達成するために、各機関は以下の基盤となる活動を完了しているべきである。 |
• Established a centralized hardware and software inventory database that uses automated updates. | • 自動更新機能を備えた、ハードウェアおよびソフトウェアの集中型インベントリデータベースを構築する。 |
• Established automated asset discovery, conducting asset discovery scans at least every seven days. | • 資産の発見を自動化し、少なくとも7日ごとに資産のスキャンを実施する。 |
• Documented asset coverage and capability gaps and strategies to address them. | • 資産のカバー範囲と能力のギャップ、およびそれらに対処するための戦略を文書化する。 |
3. PRIORITY AREA 2: VULNERABILITY MANAGEMENT | 3. 優先分野 2:脆弱性管理 |
What constitutes an agency’s enterprise has evolved over the years, particularly as the attack surface has expanded and grown more complicated. One key to vulnerability management is to acquire and maintain the initiative within one’s environment. This is done by embracing sustainable and forward-leaning approaches to preemptively mitigate risks rather than defaulting to a reactive posture reliant on a constant flow of alerts and advisories. | 政府機関のエンタープライズを構成するものは、特に攻撃対象領域が拡大し、より複雑化するにつれ、長年にわたって進化してきた。脆弱性管理の鍵のひとつは、自らの環境内でイニシアティブを獲得し、維持することである。これは、アラートや勧告が絶え間なく流れることに依存する受動的な姿勢ではなく、持続可能で先見性のあるアプローチを採用し、リスクを事前に低減することによって実現される。 |
Vulnerability response must be a strategic imperative, both across the FCEB and at the individual agency level. Enabling timely, coordinated, and collective cyber response is critical to cybersecurity and can only be achieved through standard vulnerability management procedures and clear expectations. | 脆弱性への対応は、連邦政府機関全体および各機関レベルの両方において、戦略的に不可欠なものでなければならない。 サイバーセキュリティ対策として、迅速かつ協調的で組織的な対応を可能にすることは極めて重要であり、標準的な脆弱性管理手順と明確な期待値によってのみ達成できる。 |
The federal government has steadily matured its cyber vulnerability management capabilities. These include specific requirements for securing high-value assets (BOD 18-02), remediating vulnerabilities in internetaccessible systems (BOD 19-02), establishing vulnerability disclosure programs (BOD 20-01), managing the heightened risk of known exploited vulnerabilities (BOD 22-01), and investing in regular asset and vulnerability scanning (BOD 23-01). | 連邦政府は、サイバー脆弱性管理能力を着実に向上させてきた。これには、高価値資産の保護に関する具体的な要件(BOD 18-02)、インターネットにアクセス可能なシステムにおける脆弱性の修正(BOD 19-02)、脆弱性開示プログラムの策定(BOD 20-01)、既知の脆弱性が悪用された場合のリスクの高まりへの対応(BOD 22-01)、定期的な資産および脆弱性スキャンの実施(BOD 23-01)などが含まれる。 |
CISA recognizes that there is work to be done to align vulnerability management activities across the federal enterprise. Improving vulnerability management across the FCEB will provide more timely and efficient mitigation of vulnerabilities and give CISA a better understanding of the federal-wide attack surface, enabling a more agile and coordinated response when vulnerabilities are detected. | CISAは、連邦エンタープライズ全体で脆弱性管理活動を整合させるための作業が必要であることを認識している。FCEB全体での脆弱性管理の改善は、よりタイムリーで効率的な脆弱性の低減をもたらし、CISAは連邦全体にわたる攻撃対象領域をよりよく理解できるようになるため、脆弱性が検知された場合により機敏で協調的な対応が可能になる。 |
3.1 ALIGNMENT GOAL: MANAGE THE ATTACK SURFACE OF INTERNETACCESSIBLE ASSETS | 3.1 整合目標: インターネットにアクセス可能な資産の攻撃対象領域を管理する |
By understanding the total number of entry points, vulnerabilities, and weaknesses an adversary might exploit to gain unauthorized access to their system or network, agencies can reduce risks on their attack surface. | システムまたはネットワークへの不正アクセスを試みる際に、攻撃者が悪用する可能性のあるエントリーポイント、脆弱性、および弱点の総数を把握することで、各機関は攻撃対象領域のリスクを低減することができる。 |
Internet-accessible assets are of particular focus, due to the increased exposure. To accomplish alignment goal 3.1, agencies should have completed these foundational activities: | インターネットにアクセス可能な資産は、エクスポージャーが増大しているため、特に重点的に管理する必要がある。 整合目標3.1を達成するために、各機関は以下の基盤となる活動を完了しておくべきである。 |
• Regularly performed full-credentialed vulnerability scanning across all assets. | • すべての資産を対象に、定期的に完全な資格情報を用いた脆弱性スキャンを実施する。 |
• Leveraged internal capabilities, directive requirements, and CISA cybersecurity advisories to enable vulnerability prioritization and more timely mitigation of critical vulnerabilities. | • 内部能力、指令要件、および CISA サイバーセキュリティ勧告を活用し、脆弱性の優先順位付けと重大な脆弱性のより迅速な低減を可能にする。 |
• Established processes and procedures to identify and prioritize vulnerabilities for remediation within mandated timeframes. | • 定められた時間枠内で脆弱性を識別し、優先順位付けして修正するためのプロセスと手順を確立する。 |
4. PRIORITY AREA 3: DEFENSIBLE ARCHITECTURE | 4. 優先分野 3:防御可能なアーキテクチャ |
As federal agencies modernize their technology, the importance of keeping every new component working seamlessly with the existing systems can create new cybersecurity challenges. This is why agencies must intentionally build a defensible architecture. | 連邦政府機関がテクノロジーを近代化するにあたり、すべての新しいコンポーネントを既存のシステムとシームレスに連携させることの重要性が、新たなサイバーセキュリティ上の課題を生み出す可能性がある。このため、政府機関は防御可能なアーキテクチャを意図的に構築する必要がある。 |
The goal of a defensible architecture is resilience. A defensible architecture is designed with an understanding that security incidents are inevitable and, therefore, does not rely solely on detecting an incident to minimize its harm. Instead, the network and systems are designed with the appropriate controls to limit an adversary’s ability to access sensitive data or disrupt operations even after successful compromise of part of the infrastructure. Zero Trust (ZT) is a critical part of building more defensible architecture. | 防御可能なアーキテクチャの目標はレジリエンシーである。防御可能なアーキテクチャは、セキュリティインシデントは避けられないという前提で設計されており、インシデントの検知だけに頼ってその被害を最小限に抑えることはしない。その代わり、ネットワークとシステムは、インフラの一部が侵害された後でも、機密データへのアクセスや業務の妨害を敵対者に許さないよう、適切な制御機能を備えて設計されている。ゼロトラスト(ZT)は、より防御力の高いアーキテクチャを構築する上で重要な要素である。 |
From CISA’s perspective, for an architecture to be defensible, it must: | CISAの観点では、防御力の高いアーキテクチャを実現するには、以下の条件を満たす必要がある。 |
• Have a mature, enterprise-wide identity management solution that enables cybersecurity professionals to understand who the users are and what resources they should be accessing. | • サイバーセキュリティの専門家がユーザーの身元とアクセスすべきリソースを把握できる、成熟したエンタープライズ規模のID管理ソリューションを導入する。 |
• Isolate different resources from one another through host-based or network-based segmentation, limiting an adversary’s ability to move laterally after a single point of compromise. | • ホストベースまたはネットワークベースのセグメント化により、異なるリソースを互いに分離し、単一の侵入ポイントから横方向に移動する攻撃者の能力を制限する。 |
• Harden systems controlled or hosted by third parties such as those relying on platform-as-a-service and software-as-a-service offerings. | • プラットフォーム・アズ・ア・サービスやソフトウェア・アズ・ア・サービスに依存するものなど、サードパーティが管理またはホスティングするシステムを強化する。 |
• Take precautions against “upstream” vulnerabilities that occur outside of the organization’s immediate control, such as Domain Name System-based attacks. | • ドメインネームシステム(DNS)ベースの攻撃など、組織の直接的な管理外で発生する「上流」の脆弱性に対する予防措置を講じる。 |
4.1 ALIGNMENT GOAL 1: SECURE CLOUD BUSINESS APPLICATIONS | 4.1 整合目標1:クラウドビジネスアプリケーションのセキュリティ確保 |
Transitioning to cloud computing environments provides clear benefits in managing resources and the agility to leverage technology advancements including security services. CISA offers federal agencies a set of security configurations, like those used for on-premises applications and systems, to help protect information stored within these environments. By implementing these best practices, cloud environments and business applications are better protected from cybersecurity vulnerabilities and are more capable of detecting, responding, and recovering from cyber incidents. | クラウドコンピューティング環境への移行は、リソース管理と、セキュリティサービスを含む技術進歩を活用する機敏性において、明確な利点をもたらす。CISAは、連邦機関に対して、オンプレミスアプリケーションおよびシステムで使用されているものと同様のセキュリティ構成一式を提供し、これらの環境内に保存されている情報の防御を支援する。これらのベストプラクティスを導入することで、クラウド環境およびビジネスアプリケーションはサイバーセキュリティの脆弱性からより効果的に防御され、サイバーインシデントの検知、対応、復旧能力が向上する。 |
4.1.1 Alignment Goal 2: Share Cybersecurity Telemetry Data With CISA | 4.1.1 整合目標2:CISAとのサイバーセキュリティ遠隔測定データの共有 |
As agencies continue to modernize their services and underlying architectures, network traffic may no longer be available to CISA through traditional Trusted Internet Connection (TIC) access-points. OMB Memorandum 19-26: Update to the Trusted Internet Connections (TIC) Initiative (TIC 3.0) allows agencies to leverage modern and distributed architectures to connect to the internet more efficiently and securely. The various TIC 3.0 use cases (Cloud, Remote User and Branch Office) demonstrate how agencies can share telemetry with CISA. | 各機関がサービスおよび基盤となるアーキテクチャの近代化を継続するにつれ、従来のTIC(Trusted Internet Connection)アクセスポイントを介したネットワークトラフィックは、CISAでは利用できなくなる可能性がある。OMBメモランダム19-26: 「Trusted Internet Connections(TIC)イニシアティブ(TIC 3.0)」への更新により、各機関は、より効率的かつ安全にインターネットに接続するための、最新の分散型アーキテクチャを活用することが可能となる。TIC 3.0 のさまざまな使用例(クラウド、リモートユーザー、支社)は、各機関が CISA とテレメトリを共有する方法を示すものである。 |
4.1.1.1 Alignment Goal 3: Enhance ZT Capabilities Across the Federal Enterprise | 4.1.1.1 整合目標3:連邦政府全体におけるZT機能の強化 |
Adopting the ZT “never trust, always verify” principle is central to mitigating the likelihood and impact of future cyber incidents and maintaining operational resilience in the face of cyberattacks. While implementing a Zero Trust Architecture (ZTA) enterprise-wide is a long-term investment, it can be integrated incrementally and is already in progress through efforts such as phishing-resistant Multi-Factor Authentication (MFA), improved inventories of devices, and increased Endpoint Detection and Response (EDR) coverage. | 「ZT(ゼロトラスト)の原則である「決して信用せず、常に検証する」を採用することは、将来のサイバーインシデントの可能性と影響を低減し、サイバー攻撃に直面しても業務のレジリエンシーを維持する上で中心的な役割を果たす。ゼロトラスト・アーキテクチャ(ZTA)をエンタープライズ全体に導入することは長期的な投資ではあるが、段階的に統合することが可能であり、フィッシング対策の多要素認証(MFA)、デバイスのインベントリの改善、エンドポイント検知・対応(EDR)の適用範囲の拡大などの取り組みを通じて、すでに進行中である。 |
To accomplish alignment goal 4.1.1.1, agencies should have completed these foundational activities: | 整合目標 4.1.1.1 を達成するために、各機関は以下の基盤となる活動を完了しているべきである。 |
• Identify challenges to meeting agency ZT implementation plans and develop potential solutions. | • 省庁 ZT 導入計画の達成を阻む課題を識別し、潜在的な解決策を開発する。 |
• Identify internet-exposed management interfaces and removed the interface from the internet or deployed capabilities that enforce access controls through a Policy Enforcement Point (PEP). | • インターネットにさらされている管理インターフェースを識別し、そのインターフェースをインターネットから削除するか、またはポリシー施行ポイント(PEP)を通じてアクセス管理を強化する機能を導入する。 |
• Identified, justified and addressed technical, business and process gaps in meeting the phishingresistant MFA implementation requirement in a plan, documenting tasks and resources required to bridge gaps. | 計画におけるフィッシング対策の多要素認証(MFA)実装要件を満たす上で生じる技術面、業務面、プロセス面でのギャップを識別、正当化、対処し、ギャップを埋めるために必要なタスクとリソースを文書化した。 |
5. PRIORITY AREA 4: CYBER SUPPLY CHAIN RISK MANAGEMENT | 5. 優先分野4:サイバーサプライチェーンリスクマネジメント |
The U.S. government has taken meaningful steps to improve how it manages significant risk to the cyber supply chain. With the Federal Acquisition Supply Chain Security Act of 2018, Congress established the Federal Acquisition Security Council (FASC) as a standing body to review, investigate, and act on cyber supply chainrelated concerns; similarly, the federal interagency created numerous cross-functional leadership working groups to address cybersecurity supply chain risks. | 米国政府は、サイバーサプライチェーンにおける重大なリスクの管理方法を改善するために、有意義な措置を講じてきた。2018年の連邦調達サプライチェーンセキュリティ法により、連邦議会はサイバーサプライチェーン関連の懸念事項を検討、調査、対処する常設機関として連邦調達セキュリティ協議会(FASC)を設立した。同様に、連邦政府機関はサイバーセキュリティサプライチェーンリスクに対処するために、多数の部門横断型リーダーシップ作業部会を設置した。 |
In its role as the operational cybersecurity lead, CISA has produced cybersecurity supply chain guides, training content, and communities of practice to build interagency capacity. These resources range from guides such as Defending Against Software Supply Chain Attacks and a C-SCRM-related publications library to the establishment of the Federal C-SCRM Roundtable. The focus in FY 2024 and beyond is ensuring that when there is a risk to software or hardware—whether it leads to an actual supply chain compromise or not—the federal enterprise is able to quickly identify where the problematic software exists in federal IT environments and act to mitigate that risk. | 運用上のサイバーセキュリティの主導的役割を担うCISAは、サイバーセキュリティサプライチェーンガイド、トレーニングコンテンツ、および実務コミュニティを作成し、政府機関の能力を構築している。これらのリソースには、『ソフトウェアサプライチェーン攻撃に対する防御』などのガイドや、C-SCRM関連の出版物のライブラリ、連邦C-SCRMラウンドテーブルの設立などがある。2024会計年度以降の重点は、ソフトウェアやハードウェアにリスクがある場合、それが実際のサプライチェーン侵害につながるかどうかに関わらず、連邦エンタープライズが連邦IT環境内の問題のあるソフトウェアを迅速に識別し、そのリスクを低減するための行動を取れるようにすることである。 |
Third-party risk continues to increase as agencies rely on more external providers and technology. As a result, agencies are accountable for their own security posture and must also be aware of the security posture of the numerous third parties with whom they do business. This priority area aligns the work CISA has done to improve cyber supply chain with the agencies’ efforts to better understand the risk posed by third parties, including “acquirers, suppliers, developers, system integrators, external system services providers, and other [Information and Communication Technology (ICT)/Operational Technology (OT)]-related service providers.” To address risk across the wider supply chain ecosystem, agencies must establish an enterprise-level view and engage upper-level leadership on cyber supply chain risks. | 政府機関が外部プロバイダやテクノロジーへの依存度を高めるにつれ、サードパーティのリスクは増加し続けている。その結果、政府機関は自らのセキュリティ対策に責任を負うだけでなく、業務上の関係を持つ多数のサードパーティのセキュリティ対策にも注意を払う必要がある。この優先分野は、サイバーサプライチェーンの改善に向けたCISAの取り組みと、政府機関による「取得者、サプライヤ、開発者、システムインテグレータ、外部システムサービスプロバイダ、およびその他の(情報通信技術(ICT)/運用技術(OT))関連サービスプロバイダ」を含むサードパーティがもたらすリスクのより深い理解に向けた取り組みを一致させるものである。より広範なサプライチェーン・エコシステム全体にわたるリスクに対処するため、政府機関はエンタープライズレベルの視点でサイバーサプライチェーンリスクを捉え、上層部のリーダーシップを動員しなければならない。 |
5.1 ALIGNMENT GOAL 1: PREPARE FOR RAPID REMOVAL OF HIGH-RISK SOFTWARE AND HARDWARE | 5.1 整合目標1:高リスクのソフトウェアおよびハードウェアの迅速な排除に備える |
A software or hardware product may be identified through various authoritative sources (e.g., federal government, industry) as too risky to be present on enterprise networks. Organizations should ensure that processes are in place to: rapidly identify those products on their networks, evaluate the impact of removing the products, develop a plan for removing the identified products, and establish a process to ensure that removed products are not reintroduced. To accomplish alignment goal 5.1, agencies should have undertaken these foundational activities: | ソフトウェアまたはハードウェア製品は、さまざまな権威ある情報源(例えば、連邦政府、業界)によって、企業ネットワーク上に存在させるにはリスクが高すぎると識別される可能性がある。組織は、自らのネットワーク上でそのような製品を迅速に識別し、それらの製品を除去した場合の影響を評価し、識別された製品を除去するための計画を策定し、除去された製品が再導入されないことを確実にするためのプロセスを確立するためのプロセスを確保すべきである。整合目標5.1を達成するために、政府機関は以下の基盤となる活動を実施すべきである。 |
• Established supply chain processes and structures that integrate C-SCRM requirements and information sharing into enterprise governance. | • C-SCRM要件と情報共有をエンタープライズ・ガバナンスに統合するサプライチェーンのプロセスと構造を確立する。 |
• Coordinated across the agency and developed an agency-wide C-SCRM strategy to make informed riskbased decisions. | • 政府機関全体で調整を行い、情報に基づくリスクベースの意思決定を行うための政府機関全体にわたるC-SCRM戦略を策定する。 |
• Included appropriate C-SCRM requirements and guidance into procurement/contractual agreements with suppliers. | • サプライヤーとの調達/契約合意に適切なC-SCRM要件と指針を含める。 |
• Developed organizational supplier requirements to ensure that suppliers address product and service risks. | • サプライヤーが製品およびサービスに関するリスクに対処することを確実にするため、組織としてのサプライヤー要件を策定した。 |
• Identified and removed information and communications technologies or services as directed by federal, state and local laws, policies and directives. | • 連邦、州、および地域の法律、方針、指令に従って、情報通信技術またはサービスを識別し、排除した。 |
6. PRIORITY AREA 5: INCIDENT DETECTION AND RESPONSE | 6. 優先分野5:インシデントの検知と対応 |
The maturity of incident detection and response capabilities varies between organizations, yet even the most effective Security Operations Centers (SOCs) are unable to detect all intrusions. Adversaries’ tactics, techniques, and procedures increasingly use built-in administration tools, a technique known as “living off the land” (LOTL) to blend in and make detection more difficult. The movement of IT services to external providers creates additional visibility challenges to manage. In this environment, SOCs are faced with the daunting challenge of detecting these more subtle attacks on constantly changing, hybrid IT environments. Incident detection and response is a critical component of an effective cybersecurity program, as no protective measures are likely to fully prevent adversaries’ access to federal IT assets. | インシデントの検知と対応能力の成熟度は組織によって異なるが、最も効果的なセキュリティ・オペレーション・センター(SOC)であっても、すべての侵入を検知することはできない。敵対者の戦術、技術、手順は、組み込みの管理ツールを使用するケースが増えており、これは「現地調達(LOTL)」と呼ばれる手法で、周囲に溶け込み、検知をより困難にする。ITサービスの外部プロバイダへの移行は、管理上の可視性の課題をさらに生み出す。このような環境下では、SOCは、絶えず変化し、ハイブリッド化するIT環境において、より巧妙な攻撃を検知するという困難な課題に直面している。インシデントの検知と対応は、効果的なサイバーセキュリティプログラムの重要な要素である。連邦政府のIT資産に対する敵対者のアクセスを完全に防ぐことは不可能であるためだ。 |
Aligning the enterprise’s incident detection and response capabilities requires improving the ability of agency SOCs to see and protect assets across the enterprise, as well as the data residing on those assets. | エンタープライズのインシデント検知と対応能力を調整するには、エンタープライズ全体の資産と、それらの資産に保存されているデータの可視化と防御能力を向上させる必要がある。 |
Implementing proper logging on those devices, beginning with agencies’ High Value Assets and internet-facing systems that are most likely to be targeted will be key to detecting stealthy techniques such as LOTL and preventing the threat actor from establishing persistence. Early detection enables SOCs to respond quickly, limit the impact of intrusions, and capture and share relevant threat information. This requires a defined, measured, and enforced set of enterprise-wide standards and metrics. | 標的とされる可能性が最も高い機関の高価値資産やインターネットに面したシステムから始め、それらのデバイスに適切なログ記録を実装することが、LOTLなどのステルス技術の検知や、脅威行為者の持続的な侵入の確立を阻止する鍵となる。早期検知により、SOCは迅速に対応し、侵入の影響を最小限に抑え、関連する脅威情報を取得して共有することが可能となる。そのためには、エンタープライズ規模の標準と測定基準を定義し、測定し、実施することが必要である。 |
As part of this strategy, agency SOCs rely on best-in-class security technologies, such as EDR, which are being “architected” to accomplish “whole-of-government” threat hunting and incident response. | この戦略の一環として、政府機関のSOCは、政府全体で脅威の特定とインシデント対応を行うために「設計」されたEDRなどの最高水準のセキュリティ技術に依存している。 |
6.1 ALIGNMENT GOAL 1: ENABLE CISA’S PERSISTENT ACCESS CAPABILITY | 6.1 整合目標1:CISAの持続的アクセス機能の実現 |
Cyber criminals and nation-state actors have demonstrated the ability to gain and maintain access to FCEB assets for extended periods. By ensuring EDR coverage across the agency and enabling CISA’s persistent access capability, agencies facilitate situational awareness and information sharing across the federal enterprise. This positions agency and CISA cybersecurity operations to detect, analyze, respond, and mitigate incidents, improving defense and continuous detection and rapid response actions. | サイバー犯罪者や国家による行為者は、連邦政府機関の資産へのアクセスを長期間にわたって獲得し維持する能力があることを示している。各機関にEDRの適用範囲を確保し、CISAの持続的なアクセス能力を可能にすることで、各機関は連邦エンタープライズ全体における状況認識と情報共有を促進する。これにより、各機関および CISA のサイバーセキュリティ業務は、インシデントの検知、分析、対応、低減が可能となり、防衛の改善、継続的な検知、迅速な対応行動を実現できる。 |
6.1.1 Alignment Goal 2: Advance SOC Governance | 6.1.1 整合目標 2:SOC ガバナンスの推進 |
Given the rise in adversarial activity, a focus on enterprise-level operational visibility provides agency SOCs with the agility necessary to detect and respond using a common operating picture. This allows SOCs to facilitate actions that reduce the scope and severity of an initial intrusion. The feedback loop from security operations into the broader cybersecurity program supports risk management decisions and decreases the likelihood and severity of future incidents. | 敵対的活動の増加を踏まえ、エンタープライズレベルの業務可視性に重点を置くことで、共通の運用状況図を使用して検知および対応を行うために必要な機敏性を各機関の SOC に提供できる。これにより、SOC は初期侵入の範囲と深刻度を低減する行動を促進できる。セキュリティ運用からより広範なサイバーセキュリティプログラムへのフィードバックループは、リスクマネジメントの意思決定を支援し、将来のインシデントの発生可能性と深刻度を低減する。 |
To accomplish alignment goals 6.1 and 6.1.1, agencies should have completed these foundational activities: | 目標 6.1 および 6.1.1 を達成するために、政府機関は以下の基盤となる活動を完了すべきである。 |
• Engaged in cross-agency technical exchanges to share information and feedback about operational challenges, best practices, standards, and acquisitions to improve data quality and relevance. | • データ品質と関連性を改善するために、運用上の課題、ベストプラクティス、標準、調達に関する情報とフィードバックを共有するための政府機関間の技術交流を行う。 |
• Integrated Cyber Threat Intelligence (CTI) tools, data, and services, including commercial CTI, to improve agencies’ CTI generation, consumption, utilization and sharing. | • 商業用CTIを含む統合サイバー脅威インテリジェンス(CTI)ツール、データ、サービスを統合し、政府機関のCTI生成、消費、利用、共有を改善する。 |
• Assessed and compared the agency’s “As-Is” status against applicable governance and mandates to identify compliance challenges and issues and communicate them to CISA. | • 政府機関の「現状」の状況を該当するガバナンスおよび義務と比較・評価し、コンプライアンス上の課題や問題を識別し、CISAに伝える。 |
« 米国 CISA FBI ハッキングされた有権者情報の虚偽の主張は、米国の選挙に対する不信感を煽る意図がある可能性が高いと警鐘... (2024.09.12) | Main | 世界経済フォーラム (WEF) データの公平性の推進: 行動指向のフレームワーク (2024.09.11) »
Comments