米国 大統領令14306 国家のサイバーセキュリティを強化するための厳選された取り組みを維持し、大統領令13694と大統領令14144を改正する (2025.06.06)
こんにちは、丸山満彦です。
何か、忘れていると思っていたらこれでした...
大統領令13694 重大な悪意あるサイバー活動を行う特定の人物の財産のブロックは一部で”any person ”を”any foreign person”と対象を外国人に限定するという変更です。
主な変更は、大統領令14144 サイバーセキュリティの強化とイノベーションの促進ですね...
ランプさんの大統領令の数はすごいかもです...(バイデン元大統領が4年かけて162ですが、トランプ大統領は6ヶ月未満ですが、すでに161...)
● U.S. White House
| SUSTAINING SELECT EFFORTS TO STRENGTHEN THE NATION’S CYBERSECURITY AND AMENDING EXECUTIVE ORDER 13694 AND EXECUTIVE ORDER 14144 | 国家のサイバーセキュリティを強化するための厳選された取り組みを継続し、大統領令13694および大統領令14144を改正する。 |
| By the authority vested in me as President by the Constitution and the laws of the United States of America, including the International Emergency Economic Powers Act (50 U.S.C. 1701 et seq.), the National Emergencies Act (50 U.S.C. 1601 et seq.), section 212(f) of the Immigration and Nationality Act of 1952 (8 U.S.C. 1182(f)), and section 301 of title 3, United States Code, it is hereby ordered: | 国際緊急経済権限法(50 U.S.C. 1701 et seq.)、国家緊急事態法(50 U.S.C. 1601 et seq.)、1952 年移民国籍法第 212 条(f)(8 U.S.C. 1182(f))および米国法典第 3 編第 301 条を含む、憲法および米国法によって大統領として私に与えられた認可により、ここに命令する: |
| Section 1. Amendments to Executive Order 14144. Executive Order 14144 of January 16, 2025 (Strengthening and Promoting Innovation in the Nation’s Cybersecurity), is hereby amended by: | 第1項 大統領令14144の改正。 2025年1月16日の大統領令14144(国家のサイバーセキュリティにおけるイノベーションの強化と促進)は、以下の通り改正される: |
| (a) striking subsections 2(a)-(b) and redesignating subsections 2(c), 2(d), and 2(e) as subsections 2(a), 2(b), and 2(c), respectively; | (a) 第2(a)~(b)を削除し、第2(c)項、第2(d)項、第2(e)項をそれぞれ第2(a)項、第2(b)項、第2(c)項とする; |
| (b) striking the first sentence of subsection 2(e); | (b) 第2(e)項の前段を削除する; |
| (c) striking subsections 3(a)-(b) and redesignating subsections 3(c), 3(d), and 3(e) as subsections 3(a), 3(b), and 3(c), respectively; | (c) 第3(a)~(b)項を削除し、第3(c)項、第3(d)項、第3(e)項をそれぞれ第3(a)項、第3(b)項、第3(c)項とする; |
| (d) striking from subsection 3(c) the phrase “In Executive Order 14028, I directed the Secretary of Defense and the Secretary of Homeland Security to establish procedures to immediately share threat information to strengthen the collective defense of Department of Defense and civilian networks.”; | (d) 第3項(c)から、「大統領令14028において、私は国防省長官と国土安全保障省長官に対し、国防省と民間ネットワークの集団的防衛を強化するため、脅威情報を直ちに共有する手順を確立するよう指示した」という文言を削除する; |
| (e) striking from subsection 3(c)(i)(A) the word “novel”; | (e) 第3項(c)(i)(A)から「新たな」という語を削除する; |
| (f) striking subsection 4(b)(iv); | (f) 第4(b)(iv)項を削除する; |
| (g) striking subsections 4(d)(ii)-(iii); | (g) 第4(d)(ii)~(iii)項を削除する; |
| (h) striking section 5 and redesignating sections 6, 7, 8, 9, 10, and 11 as sections 5, 6, 7, 8, 9, and 10, respectively; and | (h) 第5項を削除し、第6項、第7項、第8項、第9項、第10項、および第11項をそれぞれ第5項、第6項、第7項、第8項、第9項、および第10項と再指定する。 |
| (i) striking from subsection 8(c) the phrase “in the areas of intrusion detection, use of hardware roots of trust for secure booting, and development and deployment of security patches.”. | (i)第8項(c)から、「侵入検知、セキュアブートのためのハードウェアルートオブトラストの使用、セキュリティパッチの開発および展開の分野において」という文言を削除する。 |
| Sec. 2. Further Amendments to Executive Order 14144. Executive Order 14144 is hereby amended by: | 第2項 大統領令14144のさらなる改正。 大統領令 14144 は、以下のように改正される: |
| (a) striking section 1 and inserting, in lieu thereof, the following: | (a) 第 1 項を削除し、その代わりに以下を挿入する: |
| “Section 1. Policy. Foreign nations and criminals continue to conduct cyber campaigns targeting the United States and Americans. The People’s Republic of China presents the most active and persistent cyber threat to United States Government, private sector, and critical infrastructure networks, but significant threats also emanate from Russia, Iran, North Korea, and others who undermine United States cybersecurity. These campaigns disrupt the delivery of critical services across the Nation, cost billions of dollars, and undermine Americans’ security and privacy. More must be done to improve the Nation’s cybersecurity against these threats. I am ordering additional actions to improve our Nation’s cybersecurity, focusing on defending our digital infrastructure, securing the services and capabilities most vital to the digital domain, and building our capability to address key threats.”; | 「第1項 方針。 外国および犯罪行為は、米国および米国人を標的としたサイバーキャンペーンを継続的に行っている。 中華人民共和国は、米国政府、民間部門、および重要インフラ・ネットワークに対する最も活発かつ持続的なサイバー脅威を提示しているが、重要な脅威は、ロシア、イラン、北朝鮮、および米国のサイバーセキュリティを弱体化させるその他の国々からも発せられている。 これらのキャンペーンは、全米の重要なサービスの提供を妨害し、何十億ドルものコストをかけ、米国人のセキュリティとプライバシーを損なっている。 このような脅威に対する国家のサイバーセキュリティを改善するために、もっと多くのことをしなければならない。 私は、国家のサイバーセキュリティを改善するため、デジタル・インフラの防衛、デジタル領域で最も重要なサービスと能力の確保、主要な脅威に対処する能力の強化に重点を置いた追加措置を指示する; |
| (b) striking subsection 2(c) and inserting, in lieu thereof, the following: | (b) 第2項(c)を削除し、代わりに以下を挿入する: |
| “(c) Relevant executive departments and agencies (agencies) shall take the following actions: | 「(c)関係省庁は以下の措置を講じる: |
| (i) By August 1, 2025, the Secretary of Commerce, acting through the Director of NIST, shall establish a consortium with industry at the National Cybersecurity Center of Excellence to develop guidance, informed by the consortium as appropriate, that demonstrates the implementation of secure software development, security, and operations practices based on NIST Special Publication 800–218 (Secure Software Development Framework (SSDF)). | (i)2025年8月1日までに、商務長官は、NIST長官を通じて、国立サイバーセキュリティ・センター・オブ・エクセレンスに産業界とのコンソーシアムを設立し、NIST特別刊行物800-218(セキュアソフトウェア開発フレームワーク(SSDF))に基づくセキュアソフトウェアの開発、セキュリティ、運用の実践を実証するガイダンスを、適宜コンソーシアムから情報を得て策定する。 |
| (ii) By September 2, 2025, the Secretary of Commerce, acting through the Director of NIST, shall update NIST Special Publication 800–53 (Security and Privacy Controls for Information Systems and Organizations) to provide guidance on how to securely and reliably deploy patches and updates. | (ii) 2025年9月2日までに、商務長官は、NIST長官を通じて、NIST特別刊行物800-53(情報システム及び組織のセキュリティ及びプライバシー管理)を更新し、パッチ及び更新を安全かつ確実に展開する方法に関する指針を提供する。 |
| (iii) By December 1, 2025, the Secretary of Commerce, acting through the Director of NIST, in consultation with the heads of such agencies as the Director of NIST deems appropriate, shall develop and publish a preliminary update to the SSDF. This preliminary update shall include practices, procedures, controls, and implementation examples regarding the secure and reliable development and delivery of software as well as the security of the software itself. Within 120 days of publishing the preliminary update, the Secretary of Commerce, acting through the Director of NIST, shall publish a final version of the updated SSDF.”; | (iii) 2025 年 12 月 1 日までに、商務長官は、NIST 長官を通じて、NIST 長官が適切と考える省庁の長と協議の上、SSDF の暫定的な更新を策定し、公表するものとする。 この暫定更新版には、ソフトウェアの安全で信頼性の高い開発および提供、ならびにソフトウェア自体のセキュリティに関する実践、手順、管理、および実装例を含めるものとする。 暫定的な更新版の公表から 120 日以内に、商務長官は NIST 長官を通 じて、更新された SSDF の最終版を公表するものとする; |
| (c) striking from subsection 4(b) the phrase “The security of Internet traffic depends on data being correctly routed and delivered to the intended recipient network. Routing information originated and propagated across the Internet, utilizing the Border Gateway Protocol (BGP), is vulnerable to attack and misconfiguration.” and inserting, in lieu thereof, the following: | (c)第4項(b)から「インターネット・トラフィックのセキュリティは、データが正しくルーティングされ、意図された取得者ネットワークに配信されることに依存する。 ボーダーゲートウェイプロトコル(BGP)を利用してインターネット上で生成され、伝播されるルーティング情報は、攻撃や誤設定に対して脆弱である: |
| “Relevant agencies shall take the following actions:”; | 「関係機関は、以下の措置を講じなければならない; |
| (d) striking subsection 4(f) and inserting, in lieu thereof, the following: | (d) 第4項(f)を削除し、代わりに以下を挿入する: |
| “(f) A quantum computer of sufficient size and sophistication — also known as a cryptanalytically relevant quantum computer (CRQC) — will be capable of breaking much of the public-key cryptography used on digital systems across the United States and around the world. National Security Memorandum 10 of May 4, 2022 (Promoting United States Leadership in Quantum Computing While Mitigating Risks to Vulnerable Cryptographic Systems), directed the Federal Government to prepare for a transition to cryptographic algorithms that would not be vulnerable to a CRQC. | 「(f)十分な規模と精巧さを備えた量子コンピュータ(暗号解読関連量子コンピュータ(CRQC)とも呼ばれる)は、米国および世界中のデジタルシステムで使用されている公開鍵暗号の多くを解読することができる。 2022年5月4日の国家安全保障覚書10(脆弱な暗号システムに対するリスクを緩和しつつ、量子コンピューティングにおける米国のリーダーシップを促進する)は、連邦政府に対し、CRQCに対して脆弱でない暗号アルゴリズムへの移行に備えるよう指示した。 |
| (i) By December 1, 2025, the Secretary of Homeland Security, acting through the Director of the Cybersecurity and Infrastructure Security Agency (CISA), and in consultation with the Director of the National Security Agency, shall release and thereafter regularly update a list of product categories in which products that support post-quantum cryptography (PQC) are widely available. | (i) 2025 年 12 月 1 日までに、国土安全保障長官は、サイバーセキュリティ・インフラセキュリティ庁(CISA)長官を 通じて、国家安全保障局長官と協議の上、ポスト量子暗号(PQC)をサポートする製品が広く利用可能な製品カテゴリの リストを公表し、その後定期的に更新する。 |
| (ii) By December 1, 2025, to prepare for transition to PQC, the Director of the National Security Agency with respect to National Security Systems (NSS), and the Director of OMB with respect to non-NSS, shall each issue requirements for agencies to support, as soon as practicable, but not later than January 2, 2030, Transport Layer Security protocol version 1.3 or a successor version.”; | (ii) 2025 年 12 月 1 日までに、PQC への移行を準備するため、国家安全保障シス テム(NSS)に関しては国家安全保障局長官が、NSS 以外に関しては OMB 長官が、それぞれ、 できるだけ早く、遅くとも 2030 年 1 月 2 日までに、トランスポート・レイヤー・セキュリ ティ・プロトコル バージョン 1.3 またはその後継バージョンをサポートするよう、各省庁に対す る要件を発行するものとする; |
| (e) striking former section 6 (newly designated section 5) and inserting, in lieu thereof, the following: | (e) 旧第6項(新たに第5項とする)を削除し、その代わりに以下を挿入する: |
| “Sec. 5. Promoting Security with and in Artificial Intelligence. Artificial intelligence (AI) has the potential to transform cyber defense by rapidly identifying vulnerabilities, increasing the scale of threat detection techniques, and automating cyber defense. | 「第5項 人工知能を用いた、および人工知能におけるセキュリティの推進。 人工知能(AI)は、脆弱性を迅速に特定し、脅威検知技術の規模を拡大し、サイバー脅威防御を自動化することで、サイバー防御を変革する可能性を秘めている。 |
| (a) By November 1, 2025, the Secretary of Commerce, acting through the Director of NIST; the Secretary of Energy; the Secretary of Homeland Security, acting through the Under Secretary for Science and Technology; and the Director of the National Science Foundation shall ensure that existing datasets for cyber defense research have been made accessible to the broader academic research community (either securely or publicly) to the maximum extent feasible, in consideration of business confidentiality and national security. | (a)2025年11月1日までに、商務長官(NIST長官を通じて)、エネルギー省長官、国土安全保障省長官(科学技術次官を通じて)、および全米科学財団長官は、サイバー防衛研究のための既存のデータセットが、ビジネスの機密性と国家安全保障に配慮して、実行可能な最大限の範囲で、より広範な学術研究コミュニティが(安全にまたは公に)アクセスできるようにする。 |
| (b) By November 1, 2025, the Secretary of Defense, the Secretary of Homeland Security, and the Director of National Intelligence, in coordination with appropriate officials within the Executive Office of the President, to include officials within the Office of Science and Technology Policy, the Office of the National Cyber Director, and the Director of OMB, shall incorporate management of AI software vulnerabilities and compromises into their respective agencies’ existing processes and interagency coordination mechanisms for vulnerability management, including through incident tracking, response, and reporting, and by sharing indicators of compromise for AI systems.”; | (b) 2025年11月1日までに、国防長官、国土安全保障長官、国家情報長官は、大統領府内の適切な職員(米国科学技術政策局、国家サイバー長官室、OMB長官を含む)と連携して、AIソフトウェアの脆弱性と侵害の管理を、インシデントの追跡、対応、報告、AIシステムの侵害の指標の共有を含む、脆弱性管理のためのそれぞれの省庁の既存のプロセスおよび省庁間の調整メカニズムに組み込むものとする; |
| (f) striking section 7 and inserting, in lieu thereof, the following: | (f) 第7項を削除し、その代わりに以下を挿入する: |
| “Sec. 7. Aligning Policy to Practice. Agencies’ policies must align investments and priorities to improve network visibility and security controls to reduce cyber risks. In consultation with the National Cyber Director, agencies shall take the following actions: | 「第7項。政策と実務の整合。 各省庁の政策は、サイバー・リスクを削減するために、ネットワークの可視性とセキュリティ管理を改善するための投資と優先順位を一致させなければならない。 国家サイバー局長と協議の上、各省庁は以下の行動を取らなければならない: |
| (a) Within 3 years of the date of this order, the Director of OMB shall issue guidance, including any necessary revision to OMB Circular A–130, to address critical risks and adapt modern practices and architectures across Federal information systems and networks. | (a) 本命令の日付から3年以内に、OMB長官は、OMB Circular A-130の必要な改訂を含むガイダンスを発行し、重要なリスクに対処し、連邦情報システムとネットワーク全体に最新の慣行とアーキテクチャを適応させる。 |
| (b) Within 1 year of the date of this order, the Secretary of Commerce, acting through the Director of NIST; the Secretary of Homeland Security, acting through the Director of CISA; and the Director of OMB shall establish a pilot program of a rules-as- code approach for machine-readable versions of policy and guidance that OMB, NIST, and CISA publish and manage regarding cybersecurity. | (b) 本命令の日付から 1 年以内に、商務長官は NIST 長官を通じ、国土安全保障長官は CISA 長官を通じ、OMB 長官は OMB、NIST、CISA がサイバーセキュリティに関して発行・管理する政策・指針の機械可読版について、ルール・アズ・コード・アプローチのパイロット・プログラムを確立する。 |
| (c) Within 1 year of the date of this order, agency members of the FAR Council shall, as appropriate and consistent with applicable law, jointly take steps to amend the FAR to adopt requirements for agencies to, by January 4, 2027, require vendors to the Federal Government of consumer Internet-of-Things products, as defined by 47 CFR 8.203(b), to carry United States Cyber Trust Mark labeling for those products.”; and | (c) 本命令の日付から 1 年以内に、FAR 評議会の加盟国は、適切かつ適用法と一致するように、2027 年 1 月 4 日までに、47CFR 8.203(b)で定義されているように、消費者向け Internet-of-Things 製品の米国政府向けベンダーに対し、当該製品に米国サイバートラストマークの表示を義務付ける要件を採用するために、FAR を改正するための措置を共同で講じるものとする。 |
| (g) striking subsection 8(a) and inserting, in lieu thereof, the following: | (g) 第 8 項(a)を削除し、その代わりに以下を挿入する: |
| “(a) Except as specifically provided for in subsection 4(f) of this order, sections 1 through 7 of this order shall not apply to Federal information systems that are NSS or are otherwise identified by the Department of Defense or the Intelligence Community as debilitating impact systems.”. | 「(a)本命令の第 4 項(f)に具体的に規定されている場合を除き、本命令の第 1 項から第 7 項は、NSS であるか、または国防総省もしくはインテリジェンス・コミュニティが衰弱的な影響 を与えるシステムであると識別した連邦情報システムには適用されないものとする。 |
| Sec. 3. Amendments to Executive Order 13694. Executive Order 13694 of April 1, 2015 (Blocking the Property of Certain Persons Engaging in Significant Malicious Cyber-Enabled Activities), as amended by Executive Order 13757 of December 28, 2016 (Taking Additional Steps to Address the National Emergency With Respect to Significant Malicious Cyber-Enabled Activities), Executive Order 13984 of January 19, 2021 (Taking Additional Steps to Address the National Emergency With Respect to Significant Malicious Cyber-Enabled Activities), and Executive Order 14144, is hereby further amended by: | 第3項 大統領令13694の改正。 2015年4月1日の大統領令13694(重大な悪意のあるサイバーイネーブルド活動に従事する特定の者の財産を封鎖する)は、2016年12月28日の大統領令13757(重大な悪意のあるサイバーイネーブルド活動に関して国家緊急事態に対処するための追加的措置を講じる)、2021年1月19日の大統領令13984(重大な悪意のあるサイバーイネーブルド活動に関して国家緊急事態に対処するための追加的措置を講じる)、および大統領令14144によって改正されたものであるが、さらに以下のように改正する: |
| (a) striking from subsection 1(a)(ii) the phrase “any person” and inserting in lieu thereof “any foreign person”; and | (a) 第1項(a)(ii)から「あらゆる人」という語句を削除し、その代わりに「あらゆる外国人」を挿入する。 |
| (b) striking from subsection 1(a)(iii) the phrase “any person” and inserting in lieu thereof “any foreign person.”. | (b) 第1款(a)(iii)から「あらゆる人」という語句を削除し、その代わりに「あらゆる外国人」と挿入する。 |
| Sec. 4. General Provisions. (a) Nothing in this order shall be construed to impair or otherwise affect: | 第4項 一般規定。 (a) 本命令のいかなる規定も、これを損なったり、その他の影響を及ぼすものと解釈されてはならない: |
| (i) the authority granted by law to an executive department or agency, or the head thereof; or | (i) 行政部、行政機関、またはその長に法律で認められた認可。 |
| (ii) the functions of the Director of OMB relating to budgetary, administrative, or legislative proposals. | (ii) 予算案、行政案、立法案に関するOMB長官の機能。 |
| (b) This order shall be implemented in a manner consistent with applicable law and subject to the availability of appropriations. | (b) 本命令は、適用法に合致した方法で、かつ充当可能な予算に応じて実施されるものとする。 |
| (c) This order is not intended to, and does not, create any right or benefit, substantive or procedural, enforceable at law or in equity by any party against the United States, its departments, agencies, or entities, its officers, employees, or agents, or any other person. | (c) 本命令は、米国、その省庁、事業体、その役員、職員、代理人、その他いかなる者に対しても、法律上または衡平法上執行可能な、実質的または手続き上の権利または利益を創出することを意図したものではなく、また創出するものでもない。 |
| (d) The costs for publication of this order shall be borne by the Department of Homeland Security. | (d) 本命令の公布にかかる費用は、国土安全保障省が負担するものとする。 |
| DONALD J. TRUMP | ドナルド・J・トランプ |
| THE WHITE HOUSE, | ホワイトハウス |
| June 6, 2025. | 2025年6月6日 |
官報
・2025.06.11 Exective Order 14306 Sustaining Select Efforts To Strengthen the Nation's Cybersecurity and Amending Executive Order 13694 and Executive Order 14144
改正するもの...
・2025.01.17 Exective Order 14144 Strengthening and Promoting Innovation in the Nation's Cybersecurity
・2015.04.01 Exective Order 13694 Blocking the Property of Certain Persons Engaging in Significant Malicious Cyber-Enabled Activities
参考 1933年以降の大統領令の数(2025.06.13現在)...
下線は4年超
| 32 | 1933–1945 | フランクリン・ルーズベルト | 民主党 | 3,721 |
| 33 | 1945–1953 | ハリー・S・トルーマン | 民主党 | 906 |
| 34 | 1953–1961 | ドワイト・D・アイゼンハワー | 共和党 | 484 |
| 35 | 1961–1963 | ジョン・F・ケネディ | 民主党 | 214 |
| 36 | 1963–1969 | リンドン・B・ジョンソン | 民主党 | 325 |
| 37 | 1969–1974 | リチャード・ニクソン | 共和党 | 346 |
| 38 | 1974–1977 | ジェラルド・フォード | 共和党 | 169 |
| 39 | 1977–1981 | ジミー・カーター | 民主党 | 320 |
| 40 | 1981–1989 | ロナルド・レーガン | 共和党 | 381 |
| 41 | 1989–1993 | ジョージ・H・W・ブッシュ | 共和党 | 166 |
| 42 | 1993–2001 | ビル・クリントン | 民主党 | 364 |
| 43 | 2001–2009 | ジョージ・W・ブッシュ | 共和党 | 291 |
| 44 | 2009–2017 | バラク・オバマ | 民主党 | 277 |
| 45 | 2017–2021 | ドナルド・トランプ | 共和党 | 220 |
| 46 | 2021–2025 | ジョー・バイデン | 民主党 | 162 |
| 47 | 2025- | ドナルド・トランプ | 共和党 | 161 |
| 8,507 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2025.01.18 米国 ホワイトハウス 大統領令14144 サイバーセキュリティの強化とイノベーションの促進 (2025.01.16)
見え消し版 ↓↓↓↓↓
| Executive Order on Strengthening and Promoting Innovation in the Nation’s Cybersecurity | 国家のサイバーセキュリティにおけるイノベーションの強化と促進に関する大統領令 |
| By the authority vested in me as President by the Constitution and the laws of the United States of America, including the International Emergency Economic Powers Act (50 U.S.C. 1701 et seq.), the National Emergencies Act (50 U.S.C. 1601 et seq.), section 212(f) of the Immigration and Nationality Act of 1952 (8 U.S.C. 1182(f)), and section 301 of title 3, United States Code, it is hereby ordered as follows: | 国際緊急経済権限法(50 U.S.C. 1701 et seq.)、国家緊急事態法(50 U.S.C. 1601 et seq.)、1952 年移民国籍法第 212 条(f)(8 U.S.C. 1182(f))および米国法典第 3 編第 301 条を含む、憲法および合 衆国の法律により大統領として私に与えられた認可により、以下の通り命ずる: |
| Section 1. Policy. Adversarial countries and criminals continue to conduct cyber campaigns targeting the United States and Americans, with the People’s Republic of China presenting the most active and persistent cyber threat to United States Government, private sector, and critical infrastructure networks. These campaigns disrupt the delivery of critical services across the Nation, cost billions of dollars, and undermine Americans’ security and privacy. More must be done to improve the Nation’s cybersecurity against these threats. | 第1項 政策 敵対国および犯罪行為は、米国および米国人を標的としたサイバーキャンペーンを継続的に行っており、中でも中華人民共和国は、米国政府、民間部門、および重要インフラストラクチャー・ネットワークに対する最も活発かつ持続的なサイバー脅威となっている。 これらのキャンペーンは、全米の重要なサービスの提供を妨害し、何十億ドルものコストをかけ、米国人のセキュリティとプライバシーを損なっている。 このような脅威に対する国家のサイバーセキュリティを改善するために、もっと多くのことをしなければならない。 |
| Section 1. Policy. Foreign nations and criminals continue to conduct cyber campaigns targeting the United States and Americans. The People’s Republic of China presents the most active and persistent cyber threat to United States Government, private sector, and critical infrastructure networks, but significant threats also emanate from Russia, Iran, North Korea, and others who undermine United States cybersecurity. These campaigns disrupt the delivery of critical services across the Nation, cost billions of dollars, and undermine Americans’ security and privacy. More must be done to improve the Nation’s cybersecurity against these threats. I am ordering additional actions to improve our Nation’s cybersecurity, focusing on defending our digital infrastructure, securing the services and capabilities most vital to the digital domain, and building our capability to address key threats. | 第1項 方針。 外国および犯罪行為は、米国および米国人を標的としたサイバーキャンペーンを継続的に行っている。 中華人民共和国は、米国政府、民間部門、および重要インフラ・ネットワークに対する最も活発かつ持続的なサイバー脅威を提示しているが、重要な脅威は、ロシア、イラン、北朝鮮、および米国のサイバーセキュリティを弱体化させるその他の国々からも発せられている。 これらのキャンペーンは、全米の重要なサービスの提供を妨害し、何十億ドルものコストをかけ、米国人のセキュリティとプライバシーを損なっている。 このような脅威に対する国家のサイバーセキュリティを改善するために、もっと多くのことをしなければならない。 私は、国家のサイバーセキュリティを改善するため、デジタル・インフラの防衛、デジタル領域で最も重要なサービスと能力の確保、主要な脅威に対処する能力の強化に重点を置いた追加措置を指示する |
| Building on the foundational steps I directed in Executive Order 14028 of May 12, 2021 (Improving the Nation’s Cybersecurity), and the initiatives detailed in the National Cybersecurity Strategy, I am ordering additional actions to improve our Nation’s cybersecurity, focusing on defending our digital infrastructure, securing the services and capabilities most vital to the digital domain, and building our capability to address key threats, including those from the People’s Republic of China. Improving accountability for software and cloud service providers, strengthening the security of Federal communications and identity management systems, and promoting innovative developments and the use of emerging technologies for cybersecurity across executive departments and agencies (agencies) and with the private sector are especially critical to improvement of the Nation’s cybersecurity. | 2021年5月12日の大統領令14028号(国家サイバーセキュリティの改善)で指示した基本的なステップと、国家サイバーセキュリティ戦略で詳述されたイニシアティブを基に、私は、国家のサイバーセキュリティを改善するための追加的な行動を指示する。 ソフトウェアおよびクラウド・サービス・プロバイダの説明責任を改善し、連邦通信およびID管理システムのセキュリティを強化し、サイバーセキュリティのための革新的な開発および新興技術の利用を、行政府・省庁間および民間セクターとの間で促進することは、国家のサイバーセキュリティの改善にとって特に重要である。 |
| Sec. 2. Operationalizing Transparency and Security in Third-Party Software Supply Chains. (a) The Federal Government and our Nation’s critical infrastructure rely on software providers. Yet insecure software remains a challenge for both providers and users and makes Federal Government and critical infrastructure systems vulnerable to malicious cyber incidents. The Federal Government must continue to adopt secure software acquisition practices and take steps so that software providers use secure software development practices to reduce the number and severity of vulnerabilities in software they produce. | 第2項 サードパーティ・ソフトウェアのサプライ・チェーンにおける透明性とセキュリティの運用。 (a) 連邦政府と国家の重要インフラは、ソフトウェア・プロバイダに依存している。 しかし、安全でないソフトウェアは、プロバイダとユーザの両方にとって依然として課題であり、連邦政府と重要インフラ・システムを悪意のあるサイバー・インシデントに対して脆弱にしている。 連邦政府は、引き続き安全なソフトウェアの取得慣行を採用し、ソフトウェア・プロバイダが安全なソフトウェア開発慣行を用いて、彼らが作成するソフトウェアの脆弱性の数と深刻度を減らすような措置を講じなければならない。 |
| (b) Executive Order 14028 directed actions to improve the security and integrity of software critical to the Federal Government’s ability to function. Executive Order 14028 directed the development of guidance on secure software development practices and on generating and providing evidence in the form of artifacts — computer records or data that are generated manually or by automated means — that demonstrate compliance with those practices. Additionally, it directed the Director of the Office of Management and Budget (OMB) to require agencies to use only software from providers that attest to using those secure software development practices. In some instances, providers of software to the Federal Government commit to following cybersecurity practices, yet do not fix well-known exploitable vulnerabilities in their software, which puts the Government at risk of compromise. The Federal Government needs to adopt more rigorous third-party risk management practices and greater assurance that software providers that support critical Government services are following the practices to which they attest. | (b) 大統領令 14028 は、連邦政府の機能にとって重要なソフトウェアのセキュリティと完全性を改善するための行動を指示した。 大統領令 14028 号は、安全なソフトウェア開発の実践に関するガイダンスの策定と、それらの実践に準拠していることを示す成果物(手動または自動化された手段によって生成されたコンピュータの記録またはデータ)の生成と証拠のプロバイダへの提供を指示した。 さらに、行政管理予算局(OMB)局長に対し、これらの安全なソフトウェア開発プラクティスを使用していることを証明するプロバイダからのソフトウェアのみを使用するよう各省庁に義務付けるよう指示した。 連邦政府にソフトウェアを提供するプロバイダは、サイバーセキュリティの実践に従うことを約束しながらも、そのソフトウェアのよく知られた悪用可能な脆弱性を修正しない場合がある。 連邦政府は、より厳格なサードパーティ・リスク管理を採用し、重要な政府サービスをサポ ートするソフトウェア・プロバイダが、そのプロバイダが証明する慣行に従っていることをより確 実にする必要がある。 |
| (i) Within 30 days of the date of this order, the Director of OMB, in consultation with the Secretary of Commerce, acting through the Director of the National Institute of Standards and Technology (NIST), and the Secretary of Homeland Security, acting through the Director of the Cybersecurity and Infrastructure Security Agency (CISA), shall recommend to the Federal Acquisition Regulatory Council (FAR Council) contract language requiring software providers to submit to CISA through CISA’s Repository for Software Attestation and Artifacts (RSAA): | (i) 本命令の日付から 30 日以内に、OMB 長官は、国立標準技術研究所(NIST)長官を通 じて商務長官、およびサイバーセキュリティ・インフラセキュリティ庁(CISA)長官を通 じて国土安全保障長官と協議の上、ソフトウェア・プロバイダが CISA のソフトウェア証明・アーティファ クト保管所(RSAA)を通じて CISA に提出することを要求する契約文言を連邦調達規制審議会 (FAR 審議会)に勧告する: |
| (A) machine-readable secure software development attestations; | (A) 機械可読の安全なソフトウェア開発証明書; |
| (B) high-level artifacts to validate those attestations; and | (B) 証明書を妥当性確認するための高レベルの成果物。 |
| (C) a list of the providers’ Federal Civilian Executive Branch (FCEB) agency software customers. | (C) プロバイダの連邦文民行政機関(FCEB)ソフトウェア顧客のリスト。 |
| (ii) Within 120 days of the receipt of the recommendations described in subsection (b)(i) of this section, the FAR Council shall review the recommendations and, as appropriate and consistent with applicable law, the Secretary of Defense, the Administrator of General Services, and the Administrator of the National Aeronautics and Space Administration (the agency members of the FAR Council) shall jointly take steps to amend the Federal Acquisition Regulation (FAR) to implement those recommendations. The agency members of the FAR Council are strongly encouraged to consider issuing an interim final rule, as appropriate and consistent with applicable law. | (ii) 本項第(b)号(i)記載の勧告を受領してから120日以内に、FAR審議会は勧告を検討し、適切かつ適用法に合致する場合には、国防長官、一般調達局長官、および米国航空宇宙局長官(FAR審議会の各省庁メンバー)は、これらの勧告を実施するために連邦調達規則(FAR)を改正するための措置を共同で講じるものとする。 FAR審議会の各政府機関は、適切かつ適用法に合致している場合、暫定最終規則の発行を検討することが強く推奨される。 |
| (iii) Within 60 days of the date of the issuance of the recommendations described in subsection (b)(i) of this section, the Secretary of Homeland Security, acting through the Director of CISA, shall evaluate emerging methods of generating, receiving, and verifying machine-readable secure software development attestations and artifacts and, as appropriate, shall provide guidance for software providers on submitting them to CISA’s RSAA website, including a common data schema and format. | (iii) 本条第(b)項(i)号に記載された勧告の発行日から60日以内に、国土安全保障長官は、CISA長官を 通じて、機械可読の安全なソフトウェア開発の証明書および成果物を生成、受領、検証する新たな 方法を評価し、必要に応じて、共通のデータスキーマおよび形式を含め、CISAのRSAAウェブサイトへの 提出に関するガイダンスをソフトウェアプロバイダに提供するものとする。 |
| (iv) Within 30 days of the date of any amendments to the FAR described in subsection (b)(ii) of this section, the Secretary of Homeland Security, acting through the Director of CISA, shall develop a program to centrally verify the completeness of all attestation forms. CISA shall continuously validate a sample of the complete attestations using high-level artifacts in the RSAA. | (iv) 本条第(b)項(ii)号に記載されるFARの改正日から30日以内に、国土安全保障長官は、CISA長官を 通じて、すべての証明書の完全性を一元的に検証するプログラムを開発するものとする。 CISA は、RSAA のハイレベル成果物を使用して、完全な証明書のサンプルを継続的に妥当性確認する。 |
| (v) If CISA finds that attestations are incomplete or artifacts are insufficient for validating the attestations, the Director of CISA shall notify the software provider and the contracting agency. The Director of CISA shall provide a process for the software provider to respond to CISA’s initial determination and shall duly consider the response. | (v) CISA が、証明書に不備がある、又は証明書の妥当性確認に不十分な成果物があると判断した場合、 CISA 長官は、ソフトウェア・プロバイダ及び契約機関に通知する。 CISA所長は、ソフトウェア・プロバイダがCISAの最初の判断に対応するためのプロセスを提供し、その対応を正当に考慮するものとする。 |
| (vi) For attestations that undergo validation, the Director of CISA shall inform the National Cyber Director, who shall publicly post the results, identifying the software providers and software version. The National Cyber Director is encouraged to refer attestations that fail validation to the Attorney General for action as appropriate. | (vi) 妥当性確認を受けた認証については、CISA 長官は国家サイバー局長に通知し、国家サイ バー局長はソフトウェア・プロバイダとソフトウェア・バージョンを特定した結果を公表する。 国家サイバー長官は、妥当性確認に失敗した証明書を司法長官に照会し、適切な措置を求めることが奨励される。 |
| (ca) Secure software development practices are not sufficient to address the potential for cyber incidents from resourced and determined nation-state actors. To mitigate the risk of such incidents occurring, software providers must also address how software is delivered and the security of the software itself. The Federal Government must identify a coordinated set of practical and effective security practices to require when it procures software. | (ca)安全なソフトウェア開発の実践は、資源と決意を持った国家行為者によるサイバーインシデントの可能性に対処するには十分ではない。 そのようなインシデントが発生するリスクを緩和するために、ソフトウェア・プロバイダは、ソフトウェアの提供方法とソフトウェア自体のセキュリティにも対処しなければならない。 連邦政府は、ソフトウェアを調達する際に要求する、実用的かつ効果的なセキュリティ慣行の調整されたセットを特定しなければならない。 |
| (i) Within 60 days of the date of this order, the Secretary of Commerce, acting through the Director of NIST, shall establish a consortium with industry at the National Cybersecurity Center of Excellence to develop guidance, informed by the consortium as appropriate, that demonstrates the implementation of secure software development, security, and operations practices based on NIST Special Publication 800-218 (Secure Software Development Framework (SSDF)). | (i) 本命令の日付から 60 日以内に、商務長官は NIST 長官を通じて、国立サイバーセキュリティ・センター・オブ・エクセレンスに産業界とのコンソーシアムを設立し、NIST 特別刊行物 800-218(セキュア・ソフトウェア開発フレームワーク(SSDF))に基づき、セキュアなソフトウェア開発、セキュリティ、オペレーションの実践を実証するガイダンスを、適宜コンソーシアムから情報を得て策定する。 |
| (ii) Within 90 days of the date of this order, the Secretary of Commerce, acting through the Director of NIST, shall update NIST Special Publication 800-53 (Security and Privacy Controls for Information Systems and Organizations) to provide guidance on how to securely and reliably deploy patches and updates. | (ii) 本命令の日付から90日以内に、商務長官は、NIST長官を通じて、NIST 特別刊行物 800-53 (Security and Privacy Controls for Information Systems and Organizations)を更新し、パッチとアップデートを安全かつ確実に展開する方法に関するガイダンスを提供するものとする。 |
| (iii) Within 180 days of the date of this order, the Secretary of Commerce, acting through the Director of NIST, in consultation with the heads of such agencies as the Director of NIST deems appropriate, shall develop and publish a preliminary update to the SSDF. This update shall include practices, procedures, controls, and implementation examples regarding the secure and reliable development and delivery of software as well as the security of the software itself. Within 120 days of publishing the preliminary update, the Secretary of Commerce, acting through the Director of NIST, shall publish a final version of the updated SSDF. | (iii) 本命令の日付から 180 日以内に、商務長官は、NIST 長官を通じて、NIST 長官が適切と考える省庁の長と協議の上、SSDF の暫定的な更新を策定し、公表するものとする。 この更新版には、ソフトウェアの安全で信頼性の高い開発および提供、ならびにソフトウェア自体のセキュリ ティに関する慣行、手順、管理、および実装例を含めるものとする。 暫定的な更新版の公表から 120 日以内に、商務長官は、NIST 長官を通 じて、更新された SSDF の最終版を公表するものとする。 |
| (iv) Within 120 days of the final update to the SSDF described in subsection (c)(iii) of this section, the Director of OMB shall incorporate select practices for the secure development and delivery of software contained in NIST’s updated SSDF into the requirements of OMB Memorandum M-22-18 (Enhancing the Security of the Software Supply Chain through Secure Software Development Practices) or related requirements. | (iv) 本節第(c)項(iii)号に記載されたSSDFの最終更新から120日以内に、OMB長官は、NISTの更新されたSSDFに含まれるソフトウェアの安全な開発および提供のための選択されたプラクティスを、OMB覚書M-22-18(安全なソフトウェア開発プラクティスによるソフトウェアサプライチェーンのセキュリティ拡張要件)または関連要件の要件に組み込むものとする。 |
| (v) Within 30 days of the issuance of OMB’s updated requirements described in subsection (c)(iv) of this section, the Director of CISA shall prepare any revisions to CISA’s common form for Secure Software Development Attestation to conform to OMB’s requirements and shall initiate any process required to obtain clearance of the revised form under the Paperwork Reduction Act, 44 U.S.C. 3501 et seq. | (v) 本項第(c)号(iv)に記載されたOMBの更新された要件の発行から30日以内に、CISA長官は、OMBの要件に適合するように、CISAのセキュアソフトウェア開発認証の共通書式の改訂を準備し、紙削減法(44 U.S.C. 3501 et seq. |
| (ca) Relevant executive departments and agencies (agencies) shall take the following actions: | (ca)関係省庁は以下の措置を講じる: |
| (i) By August 1, 2025, the Secretary of Commerce, acting through the Director of NIST, shall establish a consortium with industry at the National Cybersecurity Center of Excellence to develop guidance, informed by the consortium as appropriate, that demonstrates the implementation of secure software development, security, and operations practices based on NIST Special Publication 800–218 (Secure Software Development Framework (SSDF)). | (i)2025年8月1日までに、商務長官は、NIST長官を通じて、国立サイバーセキュリティ・センター・オブ・エクセレンスに産業界とのコンソーシアムを設立し、NIST特別刊行物800-218(セキュアソフトウェア開発フレームワーク(SSDF))に基づくセキュアソフトウェアの開発、セキュリティ、運用の実践を実証するガイダンスを、適宜コンソーシアムから情報を得て策定する。 |
| (ii) By September 2, 2025, the Secretary of Commerce, acting through the Director of NIST, shall update NIST Special Publication 800–53 (Security and Privacy Controls for Information Systems and Organizations) to provide guidance on how to securely and reliably deploy patches and updates. | (ii) 2025年9月2日までに、商務長官は、NIST長官を通じて、NIST特別刊行物800-53(情報システム及び組織のセキュリティ及びプライバシー管理)を更新し、パッチ及び更新を安全かつ確実に展開する方法に関する指針を提供する。 |
| (iii) By December 1, 2025, the Secretary of Commerce, acting through the Director of NIST, in consultation with the heads of such agencies as the Director of NIST deems appropriate, shall develop and publish a preliminary update to the SSDF. This preliminary update shall include practices, procedures, controls, and implementation examples regarding the secure and reliable development and delivery of software as well as the security of the software itself. Within 120 days of publishing the preliminary update, the Secretary of Commerce, acting through the Director of NIST, shall publish a final version of the updated SSDF.”; | (iii) 2025 年 12 月 1 日までに、商務長官は、NIST 長官を通じて、NIST 長官が適切と考える省庁の長と協議の上、SSDF の暫定的な更新を策定し、公表するものとする。 この暫定更新版には、ソフトウェアの安全で信頼性の高い開発および提供、ならびにソフトウェア自体のセキュリティに関する実践、手順、管理、および実装例を含めるものとする。 暫定的な更新版の公表から 120 日以内に、商務長官は NIST 長官を通 じて、更新された SSDF の最終版を公表するものとする; |
| (db) As agencies have improved their cyber defenses, adversaries have targeted the weak links in agency supply chains and the products and services upon which the Federal Government relies. Agencies need to integrate cybersecurity supply chain risk management programs into enterprise-wide risk management activities. Within 90 days of the date of this order, the Director of OMB, in coordination with the Secretary of Commerce, acting through the Director of NIST, the Administrator of General Services, and the Federal Acquisition Security Council (FASC), shall take steps to require, as the Director deems appropriate, that agencies comply with the guidance in NIST Special Publication 800-161 (Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations (SP 800-161 Revision 1)). OMB shall require agencies to provide annual updates to OMB as they complete implementation. Consistent with SP 800-161 Revision 1, OMB’s requirements shall address the integration of cybersecurity into the acquisition lifecycle through acquisition planning, source selection, responsibility determination, security compliance evaluation, contract administration, and performance evaluation. | (db) 省庁がサイバー防御を改善するにつれ、敵対者は各省庁のサプライ・チェーンや連邦政府 が依存する製品やサービスの脆弱な部分を標的にするようになった。 各省庁は、サイバーセキュリティ・サプライチェーンリスクマネジメント・プログラムをエンタープライズ全体のリスクマネジメント活動に統合する必要がある。 本命令の日付から 90 日以内に、OMB 長官は、NIST 長官、一般調達局長官、連邦調達セキュリ ティ協議会(FASC)を通じて行動する商務長官と連携して、NIST 特別刊行物 800-161(Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations (SP 800-161 Revision 1))のガイダンスに各省庁が準拠するよう、長官が適切と考える措置を講じるものとする。 OMB は、各省庁が実施を完了した時点で、年次更新を OMB に提供することを義務付ける。 SP 800-161 改訂 1 に対応し、OMB の要件は、取得計画、調達先の選定、責任の決定、セキュリ ティ遵守評価、契約管理、実績評価を通じて、サイバーセキュリティを取得ライフサイク ルに統合することに取り組むものとする。 |
| (ec) Open source software plays a critical role in Federal information systems. To help the Federal Government continue to reap the innovation and cost benefits of open source software and contribute to the cybersecurity of the open source software ecosystem, agencies must better manage their use of open source software. Within 120 days of the date of this order, the Secretary of Homeland Security, acting through the Director of CISA, and the Director of OMB, in consultation with the Administrator of General Services and the heads of other agencies as appropriate, shall jointly issue recommendations to agencies on the use of security assessments and patching of open source software and best practices for contributing to open source software projects. | (ec) オープンソースソフトウェアは、連邦情報システムにおいて重要な役割を果たしている。 連邦政府がオープンソースソフトウェアの技術革新とコストメリットを引き続き享受し、オープンソースソフトウェアのエコシステムのサイバーセキュリティに貢献するためには、各省庁はオープンソースソフトウェアの使用をより適切に管理しなければならない。 本命令の日付から120日以内に、CISA長官を通じて行動する国土安全保障長官およびOMB長官は、一般調達局長官および必要に応じて他の省庁の長と協議の上、オープンソースソフトウェアのセキュリティアセスメントおよびパッチ適用、ならびにオープンソースソフトウェアプロジェクトへの貢献のベストプラクティスの利用について、合同で各省庁に勧告を出すものとする。 |
| Sec. 3. Improving the Cybersecurity of Federal Systems. (a) The Federal Government must adopt proven security practices from industry — to include in identity and access management — in order to improve visibility of security threats across networks and strengthen cloud security. | 第3項 連邦システムのサイバーセキュリティを改善する。(a) 連邦政府は、ネットワーク全体のセキュリティ脅威の可視性を改善し、クラウドセキュリティを強化するために、ID・アクセス管理も含め、産業界から実績のあるセキュリティ慣行を採用しなければならない。 |
| (b) To prioritize investments in the innovative identity technologies and processes of the future and phishing-resistant authentication options, FCEB agencies shall begin using, in pilot deployments or in larger deployments as appropriate, commercial phishing-resistant standards such as WebAuthn, building on the deployments that OMB and CISA have developed and established since the issuance of Executive Order 14028. These pilot deployments shall be used to inform future directions for Federal identity, credentialing, and access management strategies. | (b) 将来の革新的な ID 技術とプロセス、およびフィッシングに耐性のある認証オプションへの 投資を優先するため、FCEB 機関は、大統領令 14028 の発布以来 OMB と CISA が開発し確立してきた 展開を基礎として、WebAuthn などの商業フィッシングに耐性のある標準の使用を、試験的展開で、 または必要に応じて大規模展開で開始しなければならない。 これらの試験的展開は、連邦 ID、クレデンシャル、およびアクセス管理戦略の将来的な方向性 を知らせるために使用される。 |
| (ca) The Federal Government must maintain the ability to rapidly and effectively identify threats across the Federal enterprise. In Executive Order 14028, I directed the Secretary of Defense and the Secretary of Homeland Security to establish procedures to immediately share threat information to strengthen the collective defense of Department of Defense and civilian networks. To enable identification of threat activity, CISA’s capability to hunt for and identify threats across FCEB agencies under 44 U.S.C. 3553(b)(7) must be strengthened. | (ca) 連邦政府は、連邦エンタープライズ全体の脅威を迅速かつ効果的に識別する能力を維持しな ければならない。 大統領令 14028 において、私は国防総省および国土安全保障省長官に対し、国防省および文民 ネットワークの集団的防御を強化するために脅威情報を直ちに共有する手順を確立するよう指示した。 脅威活動の識別を可能にするため、44 U.S.C. 3553(b)(7)に基づきFCEB機関全体で脅威を探索し識別するCISAの能力を強化しなければならない。 |
| (i) The Secretary of Homeland Security, acting through the Director of CISA, in coordination with the Federal Chief Information Officer (CIO) Council and Federal Chief Information Security Officer (CISO) Council, shall develop the technical capability to gain timely access to required data from FCEB agency endpoint detection and response (EDR) solutions and from FCEB agency security operation centers to enable: | (i) 国土安全保障長官は、CISA長官を通じ、連邦最高情報責任者(CIO)会議および連邦最高情報セキュリテ ィ責任者(CISO)会議と連携して、FCEB機関のエンドポイント検知・対応(EDR)ソリューションおよび FCEB機関のセキュリティ・オペレーション・センターから必要なデータにタイムリーにアクセスできる技術的能力を開発し、以下 を可能にしなければならない: |
| (A) timely hunting and identification of novel cyber threats and vulnerabilities across the Federal civilian enterprise; | (A)連邦民間エンタープライズ全体にわたる新たなサイバー脅威と脆弱性をタイムリーに調査・特定する; |
| (B) identification of coordinated cyber campaigns that simultaneously target multiple agencies and move laterally across the Federal enterprise; and | (B) 複数の政府機関を同時に標的とし、連邦エンタープライズを横断する協調的なサイバーキャンペーンの特定。 |
| (C) coordination of Government-wide efforts on information security policies and practices, including compilation and analysis of information about incidents that threaten information security. | (C)情報セキュリティを脅かすインシデントに関する情報の収集・分析を含む、情報セキュリテ ィ方針および実践に関する政府全体の取り組みの調整。 |
| (ii) Within 180 days of the date of this order, the Secretary of Homeland Security, acting through the Director of CISA, in coordination with the Federal CIO and CISO Councils, shall develop and release a concept of operations that enables CISA to gain timely access to required data to achieve the objectives described in subsection (c)(i) of this section. The Director of OMB shall oversee the development of this concept of operations to account for agency perspectives and the objectives outlined in this section and shall approve the final concept of operations. This concept of operations shall include: | (ii) 本命令の日付から180日以内に、国土安全保障長官は、CISA長官を通じ、連邦CIO評議会およびCISO評議会と連携して、本節(c)(i)項に記載された目的を達成するために必要なデータにCISAがタイムリーにアクセスできるようにするための運用構想を策定し、公表するものとする。 OMB長官は、各省庁の視点と本項に概説された目的を考慮するため、この業務構想の策定を監督し、最終的な業務構想を承認するものとする。 本業務概念には、以下が含まれるものとする: |
| (A) requirements for FCEB agencies to provide CISA with data of sufficient completeness and on the timeline required to enable CISA to achieve the objectives described in subsection (c)(i) of this section; | (A) CISAが本項第(c)号(i)に記載された目的を達成するために必要な十分な完全性を有するデータを、 FCEB機関がCISAに提供するための要件; |
| (B) requirements for CISA to provide FCEB agencies with advanced notification when CISA directly accesses agency EDR solutions to obtain required telemetry; | (B) CISAが、必要な遠隔測定を取得するために省庁のEDRソリューションに直接アクセスする場合、 CISAがFCEB機関に事前通知を提供するための要件; |
| (C) specific use cases for which agencies may provide telemetry data subject to the requirements in subsection (c)(ii)(A) of this section as opposed to direct access to EDR solutions by CISA; | (C) CISAによるEDRソリューションへの直接アクセスとは対照的に、本項(c)(ii)(A)の要件に従って遠隔測定データを提供することができる特定の使用事例; |
| (D) high-level technical and policy control requirements to govern CISA access to agency EDR solutions that conform with widely accepted cybersecurity principles, including role-based access controls, “least privilege,” and separation of duties; | (D) 役割に基づくアクセス管理、「最小特権」、職務の分離など、広く受け入れられているサイバーセキュリティの原則に適合する、政府機関のEDRソリューションへのCISAアクセスをガバナンスするための高レベルの技術的及びポリシー管理要件; |
| (E) specific protections for highly sensitive agency data that is subject to statutory, regulatory, or judicial restrictions to protect confidentiality or integrity; and | (E) 機密性または完全性を保護するために、法令、規制、または司法の制限を受ける機密性の高い省庁データに対する具体的な防御。 |
| (F) an appendix to the concept of operations that identifies and addresses certain types of specific use cases under subsection (c)(ii)(C) of this section that apply to the Department of Justice, including certain categories of information described in subsections (c)(vi) and (c)(vii) of this section, and requires the Department of Justice’s concurrence on the terms of the appendix prior to implementation of the concept of operations on the Department of Justice’s or its subcomponents’ networks. | (F) 本条第(c)項(ii)(C)に基づき、司法省に適用される、本条第(c)項(vi)号および第(c)項(vii)号に記載される特定のカテゴリー情報を含む、特定のタイプの特定のユースケースを特定し、これに対処する運用概念への附属書であって、司法省またはその下位構成機関のネットワーク上で運用概念を実施する前に、附属書の条件について司法省の同意を必要とするもの。 |
| (iii) In undertaking the activities described in subsection (c) of this section, the Secretary of Homeland Security, acting through the Director of CISA, shall only make a change to an agency network, system, or data when such change is required for threat hunting by CISA, including access to the EDR tools described in subsection (c)(ii) of this section, or in furtherance of its authority to conduct threat hunting as authorized under 44 U.S.C. 3553(b)(7), unless otherwise authorized by the agency. | (iii) 本節(c)項に記載された活動を行うにあたり、国土安全保障長官は、CISA長官を 通じて、本節(c)(ii)項に記載されたEDRツールへのアクセスを含むCISAによるスレットハ ンティング、または44 U.S.C.3553(b)(7)に基づき認可されたスレットハンティングを行う権限を推進するため に、当該変更が必要な場合にのみ、当該機関のネットワーク、システム、またはデータに変更を加え る。 |
| (iv) Within 30 days of the release of the concept of operations described in subsection (c)(ii) of this section, the Secretary of Homeland Security, acting through the Director of CISA, shall establish working groups, open to all agencies, to develop and release specific technical controls that achieve the objectives set forth in subsection (c)(ii) of this section and to work with EDR solution providers to implement those controls in FCEB agency deployments of EDR solutions. The Secretary of Homeland Security, acting through the Director of CISA, shall, at a minimum, establish a working group for each EDR solution authorized by CISA for use in the CISA Continuous Diagnostic and Mitigation Program. Each working group shall be open to all agencies and include at least one representative from an FCEB agency employing the designated EDR solution. | (iv) 本節(c)(ii)項に記載された運用コンセプトの公表から 30 日以内に、国土安全保障省 長官は、CISA 長官を通じて、本節(c)(ii)項に規定された目的を達成する具体的な技術仕様を 開発・公表し、FCEB 機関が展開する EDR ソリューションにこれらの技術仕様を導入するため、 EDR ソリューション・プロバイダと協力する、全省庁に開かれた作業部会を設置する。 国土安全保障長官は、CISA 長官を通じて行動し、少なくとも、CISA 継続的診断・緩和プロ グラムで使用するために CISA が認可した EDR ソリューションごとに作業部会を設置する。 各作業部会は、全ての機関に公開され、指定されたEDRソリューションを採用するFCEB機関の代表者 を少なくとも1名含むものとする。 |
| (v) Within 180 days of the release of the technical controls described in subsection (c)(iv) of this section, the heads of FCEB agencies shall enroll endpoints using an EDR solution covered by those controls in the CISA Persistent Access Capability program. | (v) 本条(c)項(iv)に記載された技術管理の公表から180日以内に、FCEB機関の長は、当該管理の対象となるEDRソリューショ ンを使用するエンドポイントをCISA持続的アクセス能力プログラムに登録する。 |
| (vi) Within 90 days of the date of this order, and periodically thereafter as needed, the heads of FCEB agencies shall provide to CISA a list of systems, endpoints, and data sets that require additional controls or periods of non-disruption to ensure that CISA’s threat-hunting activities do not disrupt mission-critical operations, along with an explanation of those operations. | (vi) 本命令の日付から90日以内に、またその後必要に応じて定期的に、FCEB機関の長は、CISAの 脅威調査活動がミッション・クリティカルな運用を妨げないようにするため、追加的な管理または非停止期間を必要とするシステム、エンドポイント、データセットのリストを、それらの運用の説明とともにCISAに提供するものとする。 |
| (vii) In cases in which agency data is subject to statutory, regulatory, or judicial access restrictions, the Director of CISA shall comply with agency processes and procedures required to access such data or work with the agency to develop an appropriate administrative accommodation consistent with any such restrictions so that the data is not subject to unauthorized access or use. | (vii) 省庁のデータが法令、規制又は司法によるアクセス制限の対象者である場合、CISA長官は、当該 データにアクセスするために必要な省庁のプロセス及び手続に従うか、又は当該データが不正アクセ ス又は不正使用の対象とならないように、当該制限に合致した適切な管理上の便宜を図るために当該省庁 と協力するものとする。 |
| (viii) Nothing in this order requires an agency to provide access to information that is protected from non-disclosure by court order or otherwise required to be kept confidential in connection with a judicial proceeding. | (viii)本命令のいかなる規定も、裁判所の命令によって非開示が保護されている情報、または司法手続きに関連して秘密保持が義務付けられている情報へのアクセスを提供することを機関に要求するものではない。 |
| (db) The security of Federal information systems relies on the security of the Government’s cloud services. Within 90 days of the date of this order, the Administrator of General Services, acting through the Director of the Federal Risk and Authorization Management Program (FedRAMP), in coordination with the Secretary of Commerce, acting through the Director of NIST, and the Secretary of Homeland Security, acting through the Director of CISA, shall develop FedRAMP policies and practices to incentivize or require cloud service providers in the FedRAMP Marketplace to produce baselines with specifications and recommendations for agency configuration of agency cloud-based systems in order to secure Federal data based on agency requirements. | (db) 連邦情報システムのセキュリティは、政府のクラウド・サービスのセキュリティに依存する。 本命令の日付から90日以内に、一般調達局長官は、連邦リスク・認可管理プログラム(FedRAMP)長官を通じ、NIST長官を通じた商務長官、およびCISA長官を通じた国土安全保障長官と連携して、FedRAMPマーケットプレイス内のクラウド・サービス・プロバイダに対し、省庁の要件に基づいて連邦データを保護するために、省庁のクラウドベース・システムの構成に関する仕様および推奨事項を記載したベースラインを作成するよう奨励または義務付けるためのFedRAMP方針および慣行を策定するものとする。 |
| (ec) As cybersecurity threats to space systems increase, these systems and their supporting digital infrastructure must be designed to adapt to evolving cybersecurity threats and operate in contested environments. In light of the pivotal role space systems play in global critical infrastructure and communications resilience, and to further protect space systems and the supporting digital infrastructure vital to our national security, including our economic security, agencies shall take steps to continually verify that Federal space systems have the requisite cybersecurity capabilities through actions including continuous assessments, testing, exercises, and modeling and simulation. | (ec) 宇宙システムに対するサイバーセキュリティの脅威が増大する中、これらのシス テムおよびそれを支えるデジタル・インフラは、進化するサイバーセキュリティの 脅威に適応し、競合する環境で運用できるように設計されなければならない。 宇宙システムが世界の重要インフラおよび通信レジリエンスにおいて果たす極めて重要な役割に鑑み、また、経済安全保障を含む国家安全保障に不可欠な宇宙システムおよびそれを支えるデジタル・インフラをさらに保護するため、国家安全保障局は、継続的なアセスメント、試験、演習、モデリングおよびシミュレーションを含む行動を通じて、連邦宇宙システムが必要なサイバーセキュリティ能力を有していることを継続的に検証するための措置を講じるものとする。 |
| (i) Within 180 days of the date of this order, the Secretary of the Interior, acting through the Director of the United States Geological Survey; the Secretary of Commerce, acting through the Under Secretary of Commerce for Oceans and Atmosphere and the Administrator of the National Oceanic and Atmospheric Administration; and the Administrator of the National Aeronautics and Space Administration shall each review the civil space contract requirements in the FAR and recommend to the FAR Council and other appropriate agencies updates to civil space cybersecurity requirements and relevant contract language. The recommended cybersecurity requirements and contract language shall use a risk-based, tiered approach for all new civil space systems. Such requirements shall be designed to apply at minimum to the civil space systems’ on-orbit segments and link segments. The requirements shall address the following elements for the highest-risk tier and, as appropriate, other tiers: | (i) 本命令の日付から 180 日以内に、米国地質調査所長を代行する内務長官、海洋大気担当商務次官および米国海洋大気庁長官を代行する商務長官、および米国航空宇宙局長官は、それぞれ FAR の民間宇宙契約要件を見直し、民間宇宙サイバーセキュリティ要件および関連契約文言の更新を FAR 評議会およびその他の適切な機関に勧告するものとする。 推奨されるサイバーセキュリティ要件および契約文言は、すべての新しい民間宇宙システムに対して、リスクベースの段階的アプローチを用いるものとする。 そのような要件は、最低限、民間宇宙システムの軌道上セグメントとリンクセグメントに適用されるように設計されるものとする。 要件は、最もリスクの高い階層、および必要に応じて他の階層について、以下の要素に対処するものとする: |
| (A) protection of command and control of the civil space system, including backup or failover systems, by: | (A) バックアップ又はフェイルオーバー・システムを含む、民間宇宙システムのコマンド及 び制御の防御: |
| (1) encrypting commands to protect the confidentiality of communications; | (1) 通信の機密性を保護するためにコマンドを暗号化すること; |
| (2) ensuring commands are not modified in transit; | (2) コマンドが転送中に変更されないようにする; |
| (3) ensuring an authorized party is the source of commands; and | (3) 認可された者がコマンドの送信元であることを保証すること。 |
| (4) rejecting unauthorized command and control attempts; | (4) 許可されていないコマンドおよび制御の試みを拒否する; |
| (B) establishment of methods to detect, report, and recover from anomalous network or system activity; and | (B) 異常なネットワークまたはシステムの活動を検知、報告、回復する方法の確立。 |
| (C) use of secure software and hardware development practices, consistent with the NIST SSDF or any successor documents. | (C)NISTのSSDFまたはその後継文書に沿った、安全なソフトウェアおよびハードウェアの開発手法の使用。 |
| (ii) Within 180 days of receiving the recommended contract language described in subsection (e)(i) of this section, the FAR Council shall review the proposal and, as appropriate and consistent with applicable law, the agency members of the FAR Council shall jointly take steps to amend the FAR. | (ii) 本項第(e)号(i)に記載された推奨契約文言を受領してから180日以内に、FAR協議会はその提案を検討し、適切かつ適用法に合致する場合には、FAR協議会の各機関のメンバーは、共同でFARを修正するための措置を講じるものとする。 |
| (iii) Within 120 days of the date of this order, the National Cyber Director shall submit to OMB a study of space ground systems owned, managed, or operated by FCEB agencies. This study shall include: | (iii) 本命令の日付から120日以内に、国家サイバー長官は、FCEB機関が所有、管理、または運用する宇宙地上システムに関する調査をOMBに提出しなければならない。 この調査には以下が含まれる: |
| (A) an inventory of space ground systems; | (A)宇宙地上システムのインベントリ; |
| (B) whether each space ground system is classified as a major information system under 44 U.S.C. 3505(c), labeled “Inventory of major information systems”; and | (B) 各宇宙地上システムが、44 U.S.C. 3505(c)の「主要情報システムの目録(Inventory of major information systems)」に基づく主要情報システムに分類されるか否か。 |
| (C) recommendations to improve the cyber defenses and oversight of such space ground systems. | (C) 当該宇宙地上システムのサイバー防御および監視を改善するための勧告。 |
| (iv) Within 90 days of the submission of the study described in subsection (e)(iii) of this section, the Director of OMB shall take appropriate steps to help ensure that space ground systems owned, managed, or operated by FCEB agencies comply with relevant cybersecurity requirements issued by OMB. | (iv) 本項第(e)号(iii)に記載された調査の提出から90日以内に、OMB長官は、FCEB機関が所有、管理、または運用する宇宙地上システムが、OMBが発行した関連サイバーセキュリティ要件に準拠していることを確実にするための適切な措置を講じなければならない。 |
| Sec. 4. Securing Federal Communications. (a) To improve the security of Federal Government communications against adversarial nations and criminals, the Federal Government must implement, to the extent practicable and consistent with mission needs, strong identity authentication and encryption using modern, standardized, and commercially available algorithms and protocols. | 第4項 連邦コミュニケーションの安全確保。 (a) 敵対国や犯罪者に対する連邦政府コミュニケーションのセキュリティを改善するために、連邦 政府は、実行可能な範囲で、かつミッション・ニーズと一致するように、最新の標準化され、商業 的に利用可能なアルゴリズムとプロトコルを使用した強力な本人認証と暗号化を実施しなければならない。 |
| (b) The security of Internet traffic depends on data being correctly routed and delivered to the intended recipient network. Routing information originated and propagated across the Internet, utilizing the Border Gateway Protocol (BGP), is vulnerable to attack and misconfiguration. Relevant agencies shall take the following actions: | (b) インターネット・トラフィックのセキュリティは、データが正しくルーティングさ れ、意図された取得者ネットワークに配信されることに依存する。 ボーダー・ゲートウェイ・プロトコル(BGP)を利用してインターネット上で発信・伝播されるルーティング情報は、攻撃や誤設定に対して脆弱性がある。関係機関は、以下の措置を講じなければならない; |
| (i) Within 90 days of the date of this order, FCEB agencies shall take steps to ensure that all of their assigned Internet number resources (Internet Protocol (IP) address blocks and Autonomous System Numbers) are covered by a Registration Services Agreement with the American Registry for Internet Numbers or another appropriate regional Internet registry. Thereafter, FCEB agencies shall annually review and update in their regional Internet registry accounts organizational identifiers related to assigned number resources such as organization names, points of contact, and associated email addresses. | (i) 本命令の日付から90日以内に、FCEB機関は、割り当てられたすべてのインターネット番号リソース(インターネットプロトコル(IP)アドレスブロックおよび自律システム番号)が、米国インターネット番号レジストリまたは他の適切な地域インターネットレジストリとの登録サービス契約でカバーされていることを確認するための措置を講じるものとする。 その後、FCEB機関は、毎年、地域インターネットレジストリのアカウントにおいて、組織名、連絡先、関連する電子メールアドレスなど、割り当てられた番号リソースに関連する組織識別情報を確認し、更新する。 |
| (ii) Within 120 days of the date of this order, all FCEB agencies that hold IP address blocks shall create and publish Route Origin Authorizations in the public Resource Public Key Infrastructure repository hosted or delegated by the American Registry for Internet Numbers or the appropriate regional Internet registry for the IP address blocks they hold. | (ii) 本命令の日付から120日以内に、IPアドレスブロックを保有するすべてのFCEB機関は、自らが 保有するIPアドレスブロックについて、米国インターネット番号レジストリまたは適切な地域インターネットレジストリがホストまたは委任する公開リソース公開鍵基盤リポジトリに、ルート起点認可を作成し、公開しなければならない。 |
| (iii) Within 120 days of the date of this order, the National Cyber Director, in coordination with the heads of other agencies as appropriate, shall recommend contract language to the FAR Council to require contracted providers of Internet services to agencies to adopt and deploy Internet routing security technologies, including publishing Route Origin Authorizations and performing Route Origin Validation filtering. The recommended language shall include requirements or exceptions, as appropriate, for agency contracts regarding overseas operations and overseas local service providers. Within 270 days of receiving these recommendations, the FAR Council shall review the recommended contract language and, as appropriate and consistent with applicable law, the agency members of the FAR Council shall jointly take steps to amend the FAR. Pending any such amendments to the FAR, individual agencies are encouraged to include such requirements in future contracts, consistent with applicable law. | (iii) 本命令の日付から120日以内に、国家サイバー長官は、必要に応じて他の機関の長 と連携して、FAR理事会に対し、インターネット・サービスの契約プロバイダに対し、 ルート起点認可の公開およびルート起点妥当性確認フィルタリングの実行を含む、 インターネット・ルーティング・セキュリティ技術の採用および展開を要求する契約文言を 推奨するものとする。 推奨される文言には、海外事業および海外現地サービスプロバイダに関する省庁の契約に関する要件または例外を適宜含めるものとする。 これらの勧告を受けてから270日以内に、FAR協議会は、勧告された契約文言を検討し、適切かつ適用法と一致する場合には、FAR協議会の各機関のメンバーは、共同でFARを改正するための措置を講じるものとする。 このようなFARの改正が行われるまでの間、個々の省庁は、適用法に則り、将来の契約にこのような要件を盛り込むことが奨励される。 |
| (iv) Within 180 days of the date of this order, the Secretary of Commerce, acting through the Director of NIST, shall publish updated guidance to agencies on deployment of current, operationally viable BGP security methods for Federal Government networks and service providers. The Secretary of Commerce, acting through the Director of NIST, shall also provide updated guidance on other emerging technologies to improve Internet routing security and resilience, such as route leak mitigation and source address validation. | (iv) 本命令の日付から180日以内に、商務長官は、NIST長官を通じて、連邦政府のネットワークおよびサービスプロバイダのための、現行の運用可能なBGPセキュリティ手法の展開に関する最新のガイダンスを各省庁に公表するものとする。 商務長官は、NIST長官を通じて、ルートリークの緩和やソースアドレスの妥当性確認など、インターネットルーティングのセキュリティとレジリエンスを改善するためのその他の新技術についても、最新のガイダンスを提供するものとする。 |
| (c) Encrypting Domain Name System (DNS) traffic in transit is a critical step to protecting both the confidentiality of the information being transmitted to, and the integrity of the communication with, the DNS resolver. | (c) 転送中のドメインネームシステム(DNS)トラフィックを暗号化することは、DNSリゾルバに 送信される情報の機密性と、DNSリゾルバとの通信の完全性の両方を保護するための重要な ステップである。 |
| (i) Within 90 days of the date of this order, the Secretary of Homeland Security, acting through the Director of CISA, shall publish template contract language requiring that any product that acts as a DNS resolver (whether client or server) for the Federal Government support encrypted DNS and shall recommend that language to the FAR Council. Within 120 days of receiving the recommended language, the FAR Council shall review it, and, as appropriate and consistent with applicable law, the agency members of the FAR Council shall jointly take steps to amend the FAR. | (i) 本命令の日付から90日以内に、国土安全保障長官は、CISA長官を通じて、連邦政府 のDNSリゾルバとして機能する製品(クライアント、サーバを問わない)が暗号化 DNSをサポートすることを要求する契約文のひな型を公表し、その文言をFAR審議会に 推奨する。 推奨文言を受け取ってから 120 日以内に、FAR 審議会はその文言を検討し、適切かつ適用法に合致する場合には、FAR 審議会の各政府機関は共同で FAR 改正のための措置を講じるものとする。 |
| (ii) Within 180 days of the date of this order, FCEB agencies shall enable encrypted DNS protocols wherever their existing clients and servers support those protocols. FCEB agencies shall also enable such protocols within 180 days of any additional clients and servers supporting such protocols. | (ii) 本命令の日から180日以内に、FCEB機関は、既存のクライアントおよびサーバーが暗号化DNSプロトコルをサポートしている場合、暗号化DNSプロトコルを有効にしなければならない。 また、FCEB機関は、当該プロトコルをサポートするクライアントおよびサーバーが追加された場合、180日以内に当該プロトコルを有効にしなければならない。 |
| (d) The Federal Government must encrypt email messages in transport and, where practical, use end-to-end encryption in order to protect messages from compromise. | (d) 連邦政府は、メッセージを漏洩から保護するために、電子メール・メッセージを転送中に暗号化し、実用的な場合には、エンド・ツー・エンドの暗号化を使用しなければならない。 |
| (i) Within 120 days of the date of this order, each FCEB agency shall technically enforce encrypted and authenticated transport for all connections between the agency’s email clients and their associated email servers. | (i) 本命令の日付から120日以内に、各FCEB機関は、当該機関の電子メールクライアントと関連する電子メールサーバとの間のすべての接続について、暗号化および認証されたトランスポートを技術的に実施しなければならない。 |
| (ii) Within 180 days of the date of this order, the Director of OMB shall establish a requirement for expanded use of authenticated transport-layer encryption between email servers used by FCEB agencies to send and receive email. | (ii) 本命令の日付から180日以内に、OMB長官は、FCEB機関が電子メールの送受信に使用する電子メールサーバー間で、認証されたトランスポート層暗号の使用を拡大するための要件を確立しなければならない。 |
| (iii) Within 90 days of the establishment of the requirement described in subsection (d)(ii) of this section, the Secretary of Homeland Security, acting through the Director of CISA, shall take appropriate steps to assist agencies in meeting that requirement, including by issuing implementing directives, as well as technical guidance to address any identified capability gaps. | (iii) 本項(d)(ii)に記載された要件の設定から90日以内に、国土安全保障長官は、CISA長官を通じて、特定された能力ギャップに対処するための技術ガイダンスだけでなく、実施指令の発行など、各省庁が当該要件を満たすことを支援するための適切な措置を講じるものとする。 |
| (e) Modern communications such as voice and video conferencing and instant messaging are usually encrypted at the link level but often are not encrypted end-to-end. Within 180 days of the date of this order, to advance the security of Internet-based voice and video conferencing and instant messaging, the Director of OMB, in coordination with the Secretary of Homeland Security, acting through the Director of CISA; the Secretary of Defense, acting through the Director of the National Security Agency (NSA); the Secretary of Commerce, acting through the Director of NIST; the Archivist of the United States, acting through the Chief Records Officer for the United States Government; and the Administrator of General Services shall take appropriate steps to require agencies to: | (e) 音声会議、ビデオ会議、インスタント・メッセージなどの最新のコミュニケーションは、通常、リンク・レベルでは暗号化されているが、エンド・ツー・エンドでは暗号化されていないことが多い。 この命令の日付から180日以内に、インターネットベースの音声・ビデオ会議およびインスタントメッセージングのセキュリティを向上させるため、OMB長官は、CISA長官を通じて行動する国土安全保障長官、国家安全保障局(NSA)長官を通じて行動する国防長官、NIST長官を通じて行動する商務長官、米国政府首席記録官を通じて行動する米国公文書館長、および一般調達局長官と連携して、各省庁に以下を義務付けるための適切な措置を講じるものとする: |
| (i) enable transport encryption by default; and | (i) トランスポート暗号化をデフォルトで有効にする。 |
| (ii) where technically supported, use end-to-end encryption by default while maintaining logging and archival capabilities that allow agencies to fulfill records management and accountability requirements. | (ii)技術的にサポートされている場合、エンドツーエンドの暗号化をデフォルトで使用する一方、記録管理および説明責任の要件を満たすことを可能にするロギングおよびアーカイブ機能を維持する。 |
| (f) Alongside their benefits, quantum computers pose significant risk to the national security, including the economic security, of the United States. Most notably, a quantum computer of sufficient size and sophistication — also known as a cryptanalytically relevant quantum computer (CRQC) — will be capable of breaking much of the public-key cryptography used on digital systems across the United States and around the world. In National Security Memorandum 10 of May 4, 2022 (Promoting United States Leadership in Quantum Computing While Mitigating Risks to Vulnerable Cryptographic Systems), I directed the Federal Government to prepare for a transition to cryptographic algorithms that would not be vulnerable to a CRQC. | (f) 量子コンピュータは、その利点とともに、米国の経済安全保障を含む国家安全保障に重大なリスクをもたらす。 最も顕著なのは、十分なサイズと高度さを持つ量子コンピュータ(暗号解読関連量子コンピュータ(CRQC)とも呼ばれる)は、米国および世界中のデジタルシステムで使用されている公開鍵暗号の多くを解読することができるということである。 2022年5月4日の国家安全保障覚書10(脆弱な暗号システムに対するリスクを緩和しつつ、量子コンピューティングにおける米国のリーダーシップを促進する)において、私は連邦政府に対し、CRQCに対して脆弱でない暗号アルゴリズムへの移行に備えるよう指示した。 |
| (i) Within 180 days of the date of this order, the Secretary of Homeland Security, acting through the Director of CISA, shall release and thereafter regularly update a list of product categories in which products that support post-quantum cryptography (PQC) are widely available. | (i) この命令の日付から180日以内に、国土安全保障長官は、CISA長官を通じて、耐量子暗号(PQC)をサポートする製品が広く利用可能な製品カテゴリーのリストを公表し、その後定期的に更新する。 |
| (ii) Within 90 days of a product category being placed on the list described in subsection (f)(i) of this section, agencies shall take steps to include in any solicitations for products in that category a requirement that products support PQC. | (ii) 本項第(f)号(i)に記載された製品カテゴリーがリストに掲載されてから 90 日以内に、各省庁は、当該カテゴ リーに属する製品の募集に、製品が PQC をサポートするという要件を含めるための措置を講じなければならない。 |
| (f) A quantum computer of sufficient size and sophistication — also known as a cryptanalytically relevant quantum computer (CRQC) — will be capable of breaking much of the public-key cryptography used on digital systems across the United States and around the world. National Security Memorandum 10 of May 4, 2022 (Promoting United States Leadership in Quantum Computing While Mitigating Risks to Vulnerable Cryptographic Systems), directed the Federal Government to prepare for a transition to cryptographic algorithms that would not be vulnerable to a CRQC. | (f)十分な規模と精巧さを備えた量子コンピュータ(暗号解読関連量子コンピュータ(CRQC)とも呼ばれる)は、米国および世界中のデジタルシステムで使用されている公開鍵暗号の多くを解読することができる。 2022年5月4日の国家安全保障覚書10(脆弱な暗号システムに対するリスクを緩和しつつ、量子コンピューティングにおける米国のリーダーシップを促進する)は、連邦政府に対し、CRQCに対して脆弱でない暗号アルゴリズムへの移行に備えるよう指示した。 |
| (i) By December 1, 2025, the Secretary of Homeland Security, acting through the Director of the Cybersecurity and Infrastructure Security Agency (CISA), and in consultation with the Director of the National Security Agency, shall release and thereafter regularly update a list of product categories in which products that support post-quantum cryptography (PQC) are widely available. | (i) 2025 年 12 月 1 日までに、国土安全保障長官は、サイバーセキュリティ・インフラセキュリティ庁(CISA)長官を 通じて、国家安全保障局長官と協議の上、ポスト量子暗号(PQC)をサポートする製品が広く利用可能な製品カテゴリの リストを公表し、その後定期的に更新する。 |
| (ii) By December 1, 2025, to prepare for transition to PQC, the Director of the National Security Agency with respect to National Security Systems (NSS), and the Director of OMB with respect to non-NSS, shall each issue requirements for agencies to support, as soon as practicable, but not later than January 2, 2030, Transport Layer Security protocol version 1.3 or a successor version.” | (ii) 2025 年 12 月 1 日までに、PQC への移行を準備するため、国家安全保障シス テム(NSS)に関しては国家安全保障局長官が、NSS 以外に関しては OMB 長官が、それぞれ、 できるだけ早く、遅くとも 2030 年 1 月 2 日までに、トランスポート・レイヤー・セキュリ ティ・プロトコル バージョン 1.3 またはその後継バージョンをサポートするよう、各省庁に対す る要件を発行するものとする |
| (iii) Agencies shall implement PQC key establishment or hybrid key establishment including a PQC algorithm as soon as practicable upon support being provided by network security products and services already deployed in their network architectures. | (iii) 省庁は、そのネットワーク・アーキテクチャに既に展開されているネットワーク・セ キュリティ製品およびサービスによってサポートが提供された場合、PQC 鍵確立または PQC アルゴ リズムを含むハイブリッド鍵確立を、実行可能な限り速やかに実装するものとする。 |
| (iv) Within 90 days of the date of this order, the Secretary of State and the Secretary of Commerce, acting through the Director of NIST and the Under Secretary for International Trade, shall identify and engage foreign governments and industry groups in key countries to encourage their transition to PQC algorithms standardized by NIST. | (iv) 本命令の日付から 90 日以内に、国務長官および商務長官は、NIST 長官および国際通商次官を 通じて、主要国の外国政府および業界団体を特定し、関与させ、NIST が標準化した PQC アルゴリズ ムへの移行を促すものとする。 |
| (v) Within 180 days of the date of this order, to prepare for transition to PQC, the Secretary of Defense with respect to National Security Systems (NSS), and the Director of OMB with respect to non-NSS, shall each issue requirements for agencies to support, as soon as practicable, but not later than January 2, 2030, Transport Layer Security protocol version 1.3 or a successor version. | (v) この命令の日付から 180 日以内に、PQC への移行を準備するため、国家安全保障シス テム(NSS)に関しては国防長官が、NSS 以外に関しては OMB 長官が、それぞれ、 できるだけ早く、ただし 2030 年 1 月 2 日までに、トランスポート・レイヤー・セキュリ ティ・プロトコル バージョン 1.3 またはその後継バージョンをサポートするよう、各省庁に対 する要件を発行するものとする。 |
| (g) The Federal Government should take advantage of commercial security technologies and architectures, such as hardware security modules, trusted execution environments, and other isolation technologies, to protect and audit access to cryptographic keys with extended lifecycles. | (g) 連邦政府は、ハードウェア・セキュリティ・モジュール、信頼可能な実行環境、その他の分離技術など、商用セキュリティ技術およびアーキテクチャを活用し、ライフサイクルが延長された暗号鍵へのアクセスを保護および監査すべきである。 |
| (i) Within 270 days of the date of this order, the Secretary of Commerce, acting through the Director of NIST, in consultation with the Secretary of Homeland Security, acting through the Director of CISA, and the Administrator of General Services shall develop guidelines for the secure management of access tokens and cryptographic keys used by cloud service providers. | (i) 本命令の日付から 270 日以内に、商務長官は、NIST 長官を通じて、CISA 長官を通じて、国土安全保障長官および一般調達局と協議の上、クラウド・サービス・プロバイダが使用するアクセストークンおよび暗号鍵の安全な管理に関するガイドラインを策定するものとする。 |
| (ii) Within 60 days of the publication of the guidelines described in subsection (g)(i) of this section, the Administrator of General Services, acting through the FedRAMP Director, in consultation with the Secretary of Commerce, acting through the Director of NIST, and the Secretary of Homeland Security, acting through the Director of CISA, shall develop updated FedRAMP requirements, incorporating the guidelines described in subsection (g)(i) of this section, as appropriate and consistent with guidance issued by the Director of OMB, concerning cryptographic key management security practices. | (ii) 本項第(g)号(i)記載のガイドラインの公表から60日以内に、一般調達局長官は、FedRAMP長官を通じ、NIST長官を通じた商務長官、およびCISA長官を通じた国土安全保障長官と協議の上、暗号鍵管理のセキュリティ慣行に関して、適切かつOMB長官が発行したガイダンスと整合性があるように、本項第(g)号(i)記載のガイドラインを取り入れた最新のFedRAMP要件を策定するものとする。 |
| (iii) Within 60 days of the publication of the guidelines described in subsection (g)(i) of this section, the Director of OMB, in consultation with the Secretary of Commerce, acting through the Director of NIST; the Secretary of Homeland Security, acting through the Director of CISA; and the Administrator of General Services shall take appropriate steps to require FCEB agencies to follow best practices concerning the protection and management of hardware security modules, trusted execution environments, or other isolation technologies for access tokens and cryptographic keys used by cloud service providers in the provision of services to agencies. | (iii) 本項第(g)号(i)記載のガイドラインの公表から 60 日以内に、OMB 長官は、NIST 長官を通 じて行動する商務長官、CISA 長官を通 じて行動する国土安全保障長官、および一般調達局長官と協議の上、FCEB 機関に対し、 機関へのサービス提供においてクラウド・サービス・プロバイダが使用するアクセストークン および暗号鍵のハードウェア・セキュリティ・モジュール、信頼可能な実行環境、またはそ の他の分離技術の防御および管理に関するベスト・プラクティスに従うことを義務付ける適切な手 段を講じるものとする。 |
| Sec. 5. Solutions to Combat Cybercrime and Fraud. (a) The use of stolen and synthetic identities by criminal syndicates to systemically defraud public benefits programs costs taxpayers and wastes Federal Government funds. To help address these crimes it is the policy of the executive branch to strongly encourage the acceptance of digital identity documents to access public benefits programs that require identity verification, so long as it is done in a manner that preserves broad program access for vulnerable populations and supports the principles of privacy, data minimization, and interoperability. | 第5項 サイバー犯罪と詐欺に対抗するための解決策 (a) 公的給付プログラムを組織的に詐取する犯罪組織による盗難 ID や偽装 ID の使用は、納税 者を犠牲にし、連邦政府の資金を浪費する。 これらの犯罪に対処するのを助けるために、行政府の方針は、脆弱な集団のための広範な プログラム・アクセスを維持し、プライバシー、データ・ミニマム化、および相互運用性 の原則を支持する方法で行われる限り、ID 検証が必要な公的給付プログラムにアクセスする ためのデジタル ID 文書の受け入れを強く奨励することである。 |
| (i) Within 90 days of the date of this order, agencies with grantmaking authority are encouraged to consider, in coordination with OMB and the National Security Council staff, whether Federal grant funding is available to assist States in developing and issuing mobile driver’s licenses that achieve the policies and principles described in this section. | (i) この命令の日付から 90 日以内に、交付認可局を持つ機関は、OMB および国家安全保障会議ス タッフと連携して、本節に記述された政策および原則を達成する携帯運転免許証を開発し発行す る州を支援するために連邦交付資金が利用可能かどうかを検討することが奨励される。 |
| (ii) Within 270 days of the date of this order, the Secretary of Commerce, acting through the Director of NIST, shall issue practical implementation guidance, in collaboration with relevant agencies and other stakeholders through the National Cybersecurity Center of Excellence, to support remote digital identity verification using digital identity documents that will help issuers and verifiers of digital identity documents advance the policies and principles described in this section. | (ii) この命令の日付から 270 日以内に、商務長官は、NIST 長官を通じて、国立サイバーセ キュリティ・センター・オブ・エクセレンスを通じて関係省庁および他の利害関係者と協 力して、デジタル ID 文書を使用した遠隔デジタル ID 検証を支援するための実用的な実 施ガイダンスを発行する。 |
| (iii) Agencies should consider accepting digital identity documents as digital identity verification evidence to access public benefits programs, but only if the use of these documents is consistent with the policies and principles described in this section. | (iii) 省庁は、公的給付プログラムを利用するためのデジタル ID 検証証拠としてデジタル ID 文書を受け入れることを検討する必要があるが、これらの文書の使用が本節に記載された方針および原則と一致する場合に限 る。 |
| (iv) Agencies should, consistent with applicable law, seek to ensure that digital identity documents accepted as digital identity verification evidence to access public benefits programs: | (iv) 当局は、適用法と矛盾しないように、公的給付プログラムにアクセスするためのデジタル ID 検証証拠として受け入れるデジタル ID 文書を確保するように努めるべきである: |
| (A) are interoperable with relevant standards and trust frameworks, so that the public can use any standards-compliant hardware or software containing an official Government-issued digital identity document, regardless of manufacturer or developer; | (A) 関連する標準および信頼の枠組みとの相互運用が可能であり、製造事業者または開発 事業者に関係なく、政府が発行した公式デジタル ID 文書を含む標準準拠のハードウェア またはソフトウェアを一般市民が使用できるようにする; |
| (B) do not enable authorities that issue digital identity documents, device manufacturers, or any other third party to surveil or track presentation of the digital identity document, including user device location at the time of presentation; and | (B) デジタル ID 文書を発行する認可機関、デバイス製造事業者、またはその他のサード パーティが、提示時のユーザ・デバイスの位置を含め、デジタル ID 文書の提示を監視ま たは追跡することを可能にしない。 |
| (C) support user privacy and data minimization by ensuring only the minimum information required for a transaction — often a “yes” or “no” response to a question, such as whether an individual is older than a specific age — is requested from the holder of the digital identity document. | (C) 取引に必要な最低限の情報(多くの場合、個人が特定の年齢より年上であるかどうか などの質問に対する「はい」または「いいえ」の回答)のみがデジタル ID 文書の所持者に要求 されるようにすることで、ユーザのプライバシーおよびデータの最小化を支援する。 |
| (b) The use of “Yes/No” validation services, also referred to as attribute validation services, can enable more privacy-preserving means to reduce identity fraud. These services allow programs to confirm, via a privacy-preserving “yes” or “no” response, that applicant-provided identity information is consistent with information already contained in official records, without needing to share the contents of those official records. To support the use of such services, the Commissioner of Social Security, and the head of any other agency designated by the Director of OMB, shall, as appropriate and consistent with applicable law, consider taking steps to develop or modify services — including through, as appropriate, the initiation of a proposed rulemaking or the publication of a notice of a new or significantly modified routine use of records — related to Government-operated identity verification systems and public benefits programs, with consideration given to having such systems and programs submit applicant-provided identity information to the agency providing the service and receive a “yes” or “no” response as to whether the applicant-provided identity information is consistent with the information on file with the agency providing the service. In doing so, the heads of these agencies shall specifically consider seeking to ensure, consistent with applicable law, that: | (b) 「はい/いいえ」妥当性確認サービス(属性妥当性確認サービスとも呼ばれる)の使用は、ID 詐 欺を削減するためのよりプライバシーを保護する手段を可能にすることができる。 これらのサービスにより、プログラムは、プライバシーを保持する「はい」または「いいえ」 の応答によって、申請者が提供した ID 情報が公式記録にすでに含まれている情報と一致し ていることを、それらの公式記録の内容を共有する必要なく確認できる。 このようなサービスの利用を支援するために、社会保障長官および OMB 長官が指名する他の機 関の長は、適切な場合に適用法と一致するように、政府運営の ID 検証システムおよび公的給付 プログラムに関するサービスを開発または修正するための措置を講じることを検討する、 このようなシステムおよびプログラムが、申請者から提供された ID 情報をサービスを提供する機関に提出し、申請者から提供された ID 情報がサービスを提供する機関に登録されている情報と一致するかどうかに関して「はい」または「いいえ」の回答を受 けるようにすることを考慮する。 その際、これらの機関の長は、適用法と一致することを保証するよう求めることを特 に検討するものとする: |
| (i) any applicant-provided identity information submitted to the services and any “yes” or “no” response provided by the services are used only to assist with identity verification, program administration, anti-fraud operations, or investigation and prosecution of fraud related to the public benefits program for which the identity information was submitted; | (i) サービスに提出された申請者提供 ID 情報およびサービスによって提供された「はい」ま たは「いいえ」の回答は、ID 情報が提出された公的給付プログラムに関連する ID 検証、プログラム 管理、不正防止業務、または不正の調査および起訴を支援するためにのみ使用される; |
| (ii) the services are made available, to the maximum extent permissible and as appropriate, to public benefits programs; Government-operated identity verification systems, including shared-service providers; payment integrity programs; and United States-regulated financial institutions; and | (ii) サービスは、許容される最大限の範囲で、かつ適切な場合には、公的給付プログラム、 共有サービス・プロバイダを含む政府が運営する ID 検証システム、支払整合性プロ グラム、および米国が規制する金融機関が利用できるようにする。 |
| (iii) the agencies, public benefits programs, or institutions using the services provide reimbursement to appropriately cover costs and support the ongoing maintenance, improvement, and broad accessibility of the services. | (iii) サービスを使用する機関、公的給付プログラム、または機構は、適切に費用を賄い、 サービスの継続的保守、改善、および広範なアクセシビリティを支援するための償還を提供 する。 |
| (c) The Secretary of the Treasury, in consultation with the Administrator of General Services, shall research, develop, and conduct a pilot program for technology that notifies individuals and entities when their identity information is used to request a payment from a public benefits program, gives individuals and entities the option to stop potentially fraudulent transactions before they occur, and reports fraudulent transactions to law enforcement entities. | (c) 財務長官は、一般調達局と協議して、個人および事業体の ID 情報が公的給付プロ グラムからの支払いを要求するために使用された場合にそれを通知し、個人および事業体 に詐欺の可能性のある取引を事前に停止する選択肢を与え、詐欺取引を法執行機関に報告 する技術のパイロット・プログラムを研究、開発、および実施するものとする。 |
| Sec. 65. Promoting Security with and in Artificial Intelligence. Artificial intelligence (AI) has the potential to transform cyber defense by rapidly identifying new vulnerabilities, increasing the scale of threat detection techniques, and automating cyber defense. The Federal Government must accelerate the development and deployment of AI, explore ways to improve the cybersecurity of critical infrastructure using AI, and accelerate research at the intersection of AI and cybersecurity. | 第65項 人工知能を活用したセキュリティの推進。 人工知能(AI)は、新たな脆弱性を迅速に特定し、脅威検知技術の規模を拡大し、サイバー脅威防御を自動化することで、サイバー防御を変革する可能性を秘めている。 連邦政府は、AIの開発と展開を加速させ、AIを利用して重要インフラのサイバーセキュリティを改善する方法を模索し、AIとサイバーセキュリティの交差点における研究を加速させなければならない。 |
| (a) Within 180 days of the date of the completion of the Defense Advanced Research Projects Agency’s 2025 Artificial Intelligence Cyber Challenge, the Secretary of Energy, in coordination with the Secretary of Defense, acting through the Director of the Defense Advanced Research Projects Agency, and the Secretary of Homeland Security, shall launch a pilot program, involving collaboration with private sector critical infrastructure entities as appropriate and consistent with applicable law, on the use of AI to enhance cyber defense of critical infrastructure in the energy sector, and conduct an assessment of the pilot program upon its completion. This pilot program, and accompanying assessment, may include vulnerability detection, automatic patch management, and the identification and categorization of anomalous and malicious activity across information technology (IT) or operational technology systems. | (a) 国防高等研究計画局による2025年人工知能サイバー・チャレンジの完了日から180日以内に、エネルギー省長官は、国防高等研究計画局長官を通じて行動する国防長官および国土安全保障長官と連携して、適切かつ適用法に合致する民間重要インフラ事業体との協力を含め、エネルギー部門の重要インフラのサイバー防衛を強化するためのAIの利用に関するパイロット・プログラムを立ち上げ、その完了後にパイロット・プログラムのアセスメントを実施する。 このパイロット・プログラムおよびそれに伴う評価には、脆弱性検知、自動パッチ管理、情報技術(IT)または運用技術システム全体にわたる異常かつ悪質な活動の特定および分類を含めることができる。 |
| (b) Within 270 days of the date of this order, the Secretary of Defense shall establish a program to use advanced AI models for cyber defense. | (b) 本命令の日から270日以内に、国防長官は、サイバー防衛のために高度なAIモデルを使用するプログラムを確立する。 |
| (c) Within 150 days of the date of this order, the Secretary of Commerce, acting through the Director of NIST; the Secretary of Energy; the Secretary of Homeland Security, acting through the Under Secretary for Science and Technology; and the Director of the National Science Foundation (NSF) shall each prioritize funding for their respective programs that encourage the development of large-scale, labeled datasets needed to make progress on cyber defense research, and ensure that existing datasets for cyber defense research have been made accessible to the broader academic research community (either securely or publicly) to the maximum extent feasible, in consideration of business confidentiality and national security. | (c) この命令の日から150日以内に、商務長官はNIST長官を通じて、エネルギー省長官は科学技術次官を通じて、国土安全保障省長官は科学技術次官を通じて、それぞれ行動する; および全米科学財団(NSF)長官はそれぞれ、サイバー防衛研究の進展に必要な大規模なラベル付きデータセットの開発を奨励し、サイバー防衛研究のための既存のデータセットが、ビジネスの機密性と国家安全保障を考慮した上で、実行可能な最大限の範囲で、より広範な学術研究コミュニティが(安全にまたは公に)アクセスできるようにする、それぞれのプログラムへの資金提供を優先するものとする。 |
| (d) Within 150 days of the date of this order, the Secretary of Commerce, acting through the Director of NIST; the Secretary of Energy; the Secretary of Homeland Security, acting through the Under Secretary for Science and Technology; and the Director of the NSF shall prioritize research on the following topics: | (d) 本命令の日付から150日以内に、商務長官(NIST長官を通じて)、エネルギー省長官、国土安全保障省長官(科学技術次官を通じて)、およびNSF長官は、以下のテーマに関する研究に優先順位をつけるものとする: |
| (i) human-AI interaction methods to assist defensive cyber analysis; | (i)防御的サイバー分析を支援するための人間とAIの相互作用手法; |
| (ii) security of AI coding assistance, including security of AI-generated code; | (ii)AI生成的コードのセキュリティを含む、AIコーディング支援のセキュリティ; |
| (iii) methods for designing secure AI systems; and | (iii) 安全なAIシステムを設計するための方法。 |
| (iv) methods for prevention, response, remediation, and recovery of cyber incidents involving AI systems. | (iv) AIシステムが関与するサイバーインシデントの予防、対応、修復、回復のための方法。 |
| (e) Within 150 days of the date of this order, the Secretary of Defense, the Secretary of Homeland Security, and the Director of National Intelligence, in coordination with the Director of OMB, shall incorporate management of AI software vulnerabilities and compromises into their respective agencies’ existing processes and interagency coordination mechanisms for vulnerability management, including through incident tracking, response, and reporting, and by sharing indicators of compromise for AI systems. | (e) 本命令の日付から150日以内に、国防長官、国家安全保障長官、国家情報長官は、OMB長官と連携して、AIソフトウェアの脆弱性と侵害の管理を、インシデントの追跡、対応、報告、AIシステムの侵害の指標を共有することを含め、それぞれの省庁の脆弱性管理の既存のプロセスや省庁間の調整メカニズムに組み込むものとする。 |
| “Sec. 5. Promoting Security with and in Artificial Intelligence. Artificial intelligence (AI) has the potential to transform cyber defense by rapidly identifying vulnerabilities, increasing the scale of threat detection techniques, and automating cyber defense. | 第5項 人工知能を用いた、および人工知能におけるセキュリティの推進。 人工知能(AI)は、脆弱性を迅速に特定し、脅威検知技術の規模を拡大し、サイバー脅威防御を自動化することで、サイバー防御を変革する可能性を秘めている。 |
| (a) By November 1, 2025, the Secretary of Commerce, acting through the Director of NIST; the Secretary of Energy; the Secretary of Homeland Security, acting through the Under Secretary for Science and Technology; and the Director of the National Science Foundation shall ensure that existing datasets for cyber defense research have been made accessible to the broader academic research community (either securely or publicly) to the maximum extent feasible, in consideration of business confidentiality and national security. | (a)2025年11月1日までに、商務長官(NIST長官を通じて)、エネルギー省長官、国土安全保障省長官(科学技術次官を通じて)、および全米科学財団長官は、サイバー防衛研究のための既存のデータセットが、ビジネスの機密性と国家安全保障に配慮して、実行可能な最大限の範囲で、より広範な学術研究コミュニティが(安全にまたは公に)アクセスできるようにする。 |
| (b) By November 1, 2025, the Secretary of Defense, the Secretary of Homeland Security, and the Director of National Intelligence, in coordination with appropriate officials within the Executive Office of the President, to include officials within the Office of Science and Technology Policy, the Office of the National Cyber Director, and the Director of OMB, shall incorporate management of AI software vulnerabilities and compromises into their respective agencies’ existing processes and interagency coordination mechanisms for vulnerability management, including through incident tracking, response, and reporting, and by sharing indicators of compromise for AI systems.”; | (b) 2025年11月1日までに、国防長官、国土安全保障長官、国家情報長官は、大統領府内の適切な職員(米国科学技術政策局、国家サイバー長官室、OMB長官を含む)と連携して、AIソフトウェアの脆弱性と侵害の管理を、インシデントの追跡、対応、報告、AIシステムの侵害の指標の共有を含む、脆弱性管理のためのそれぞれの省庁の既存のプロセスおよび省庁間の調整メカニズムに組み込むものとする; |
| Sec. 76. Aligning Policy to Practice. (a) IT infrastructure and networks that support agencies’ critical missions need to be modernized. Agencies’ policies must align investments and priorities to improve network visibility and security controls to reduce cyber risks. | 第76項 政策と実務の整合 (a) 省庁の重要任務を支えるITインフラとネットワークは近代化される必要がある。 各省庁の政策は、サイバー・リスクを軽減するために、ネットワークの可視性とセキュリティ管理を改善するための投資と優先順位を一致させなければならない。 |
| (i) Within 3 years of the date of this order, the Director of OMB shall issue guidance, including any necessary revision to OMB Circular A-130, to address critical risks and adapt modern practices and architectures across Federal information systems and networks. This guidance shall, at a minimum: | (i) 本命令の日付から3年以内に、OMB長官は、重要リスクに対処し、連邦情報システムとネットワーク全体に最新の慣行とアーキテクチャを適応させるため、OMB Circular A-130の必要な改訂を含むガイダンスを発行する。 このガイダンスは、最低限次のことを行う: |
| (A) outline expectations for agency cybersecurity information sharing and exchange, enterprise visibility, and accountability for enterprise-wide cybersecurity programs by agency CISOs; | (A) 省庁の CISO によるサイバーセキュリティ情報の共有と交換、エンタープライズの可視性、および全社的なサイバーセキュリティプログラムの説明責任に対する期待事項を概説する; |
| (B) revise OMB Circular A-130 to be less technically prescriptive in key areas, where appropriate, to more clearly promote the adoption of evolving cybersecurity best practices across Federal systems, and to include migration to zero trust architectures and implementation of critical elements such as EDR capabilities, encryption, network segmentation, and phishing-resistant multi-factor authentication; and | (B) OMB Circular A-130 を改訂し、適切な場合には、主要な領域における技術的な規定 を緩和し、連邦システム全体で進化するサイバーセキュリティのベスト・プラクティスの採用をよ り明確に促進し、ゼロ・トラスト・アーキテクチャへの移行、EDR 機能、暗号化、ネットワーク・セグメンテー ション、フィッシングに強い多要素認証などの重要な要素の実装を含める。 |
| (C) address how agencies should identify, assess, respond to, and mitigate risks to mission essential functions presented by concentration of IT vendors and services. | (C)ITベンダーやサービスの集中によってもたらされるミッション・エッセンシャル機能に対するリスクを各省庁がどのように特定、アセスメント、対応、緩和すべきかについて言及する。 |
| (ii) The Secretary of Commerce, acting through the Director of NIST; the Secretary of Homeland Security, acting through the Director of CISA; and the Director of OMB shall establish a pilot program of a rules-as-code approach for machine-readable versions of policy and guidance that OMB, NIST, and CISA publish and manage regarding cybersecurity. | (ii) 商務長官は NIST 長官を通じ、国土安全保障長官は CISA 長官を通じ、OMB 長官は OMB、NIST、CISA がサイバーセキュリティに関して発行・管理する政策・ガイダンスの機械読み取り可能なバージョンのルール・アズ・コード・アプローチのパイロット・プログラムを確立する。 |
| (b) Managing cybersecurity risks is now a part of everyday industry practice and should be expected for all types of businesses. Minimum cybersecurity requirements can make it costlier and harder for threat actors to compromise networks. Within 240 days of the date of this order, the Secretary of Commerce, acting through the Director of NIST, shall evaluate common cybersecurity practices and security control outcomes that are commonly used or recommended across industry sectors, international standards bodies, and other risk management programs, and based on that evaluation issue guidance identifying minimum cybersecurity practices. In developing this guidance, the Secretary of Commerce, acting through the Director of NIST, shall solicit input from the Federal Government, the private sector, academia, and other appropriate actors. | (b)サイバーセキュリティ・リスクのマネジメントは、今や日常的な業界慣行の一部であり、あらゆる種類の企業に期待されるべきものである。 サイバーセキュリティに関する最低限の要件は、脅威アクターによるネットワーク侵害をよりコスト高に、より困難にする。 商務長官は、本命令の日付から 240 日以内に、NIST 長官を通じて、産業分野、国際標準団体、 その他のリスクマネジメントプログラムで一般的に使用または推奨されている一般的なサイバーセ キュリティの慣行とセキュリティ管理の成果を評価し、その評価に基づいて、最低限のサイバーセ キュリティの慣行を特定するガイダンスを発行するものとする。 このガイダンスの策定にあたり、商務長官は NIST 長官を通じて、連邦政府、民間部門、学界、その他適切な関係者から意見を求めるものとする。 |
| (c) Agencies face multiple cybersecurity risks when purchasing products and services. While agencies have already made significant advances to improve their supply chain risk management, additional actions are needed to keep pace with the evolving threat landscape. Within 180 days of the issuance of the guidance described in subsection (b) of this section, the FAR Council shall review the guidance and, as appropriate and consistent with applicable law, the agency members of the FAR Council shall jointly take steps to amend the FAR to: | (c) 政府機関は、製品やサービスを購入する際に複数のサイバーセキュリティ・リスクに 直面している。 各省庁は、サプライチェーンリスクマネジメントを改善するために、すでに大きな前進を遂げているが、脅威の進化に対応するためには、さらなる取り組みが必要である。 本節第(b)項に記載されたガイダンスの発行から180日以内に、FAR審議会はガイダンスを検討し、適切かつ適用法と整合性がある場合には、FAR審議会の各省庁メンバーは共同で、以下を行うためにFARを改正する措置を講じるものとする: |
| (i) require that contractors with the Federal Government follow applicable minimum cybersecurity practices identified in NIST’s guidance pursuant to subsection (b) of this section with respect to work performed under agency contracts or when developing, maintaining, or supporting IT services or products that are provided to the Federal Government; and | (i) 連邦政府との契約業者が、連邦政府との契約に基づいて実施される業務、または連邦政府 に提供される IT サービスもしくは製品を開発、維持、サポートする際に、本条第(b)項に従っ て NIST のガイダンスで特定された該当する最低限のサイバーセキュリティ慣行に従うことを 要求する。 |
| (ii) adopt requirements for agencies to, by January 4, 2027, require vendors to the Federal Government of consumer Internet-of-Things products, as defined by 47 C.F.R. 8.203(b), to carry United States Cyber Trust Mark labeling for those products. | (ii) 2027 年 1 月 4 日までに、連邦規則集 47 編 8.203(b)に定義されているように、消費者向け Internet-of-Things 製品の連邦政府向けベンダーに対し、当該製品に米国サイバートラストマークのラベリングを義務付けるための要件を、各省庁に採用する。 |
| Sec. 76. Aligning Policy to Practice. Agencies’ policies must align investments and priorities to improve network visibility and security controls to reduce cyber risks. In consultation with the National Cyber Director, agencies shall take the following actions: | 第76項 政策と実務の整合。 各省庁の政策は、サイバー・リスクを削減するために、ネットワークの可視性とセキュリティ管理を改善するための投資と優先順位を一致させなければならない。 国家サイバー局長と協議の上、各省庁は以下の行動を取らなければならない: |
| (a) Within 3 years of the date of this order, the Director of OMB shall issue guidance, including any necessary revision to OMB Circular A–130, to address critical risks and adapt modern practices and architectures across Federal information systems and networks. | (a) 本命令の日付から3年以内に、OMB長官は、OMB Circular A-130の必要な改訂を含むガイダンスを発行し、重要なリスクに対処し、連邦情報システムとネットワーク全体に最新の慣行とアーキテクチャを適応させる。 |
| (b) Within 1 year of the date of this order, the Secretary of Commerce, acting through the Director of NIST; the Secretary of Homeland Security, acting through the Director of CISA; and the Director of OMB shall establish a pilot program of a rules-as- code approach for machine-readable versions of policy and guidance that OMB, NIST, and CISA publish and manage regarding cybersecurity. | (b) 本命令の日付から 1 年以内に、商務長官は NIST 長官を通じ、国土安全保障長官は CISA 長官を通じ、OMB 長官は OMB、NIST、CISA がサイバーセキュリティに関して発行・管理する政策・指針の機械可読版について、ルール・アズ・コード・アプローチのパイロット・プログラムを確立する。 |
| (c) Within 1 year of the date of this order, agency members of the FAR Council shall, as appropriate and consistent with applicable law, jointly take steps to amend the FAR to adopt requirements for agencies to, by January 4, 2027, require vendors to the Federal Government of consumer Internet-of-Things products, as defined by 47 CFR 8.203(b), to carry United States Cyber Trust Mark labeling for those products.”; and | (c) 本命令の日付から 1 年以内に、FAR 評議会の加盟国は、適切かつ適用法と一致するように、2027 年 1 月 4 日までに、47CFR 8.203(b)で定義されているように、消費者向け Internet-of-Things 製品の米国政府向けベンダーに対し、当該製品に米国サイバートラストマークの表示を義務付ける要件を採用するために、FAR を改正するための措置を共同で講じるものとする。 |
| Sec. 87. National Security Systems and Debilitating Impact Systems. (a) Except as specifically provided for in section 4(f)(v) of this order, sections 1 through 7 of this order shall not apply to Federal information systems that are NSS or are otherwise identified by the Department of Defense or the Intelligence Community as debilitating impact systems. | 第87項 国家安全保障システムおよび壊滅的影響システム。 (a) 本命令の第 4 項(f)(v)に具体的に規定されている場合を除き、本命令の第 1 項から第 7 項は、NSS である連邦情報システム、または国防総省もしくはインテリジェンス・コミュニティが衰弱させる影響力のあるシステムであるとその他の方法で識別した連邦情報システムには適用されない。 |
| (a) Except as specifically provided for in subsection 4(f) of this order, sections 1 through 7 of this order shall not apply to Federal information systems that are NSS or are otherwise identified by the Department of Defense or the Intelligence Community as debilitating impact systems. | (a)本命令の第 4 項(f)に具体的に規定されている場合を除き、本命令の第 1 項から第 7 項は、NSS であるか、または国防総省もしくはインテリジェンス・コミュニティが衰弱的な影響 を与えるシステムであると識別した連邦情報システムには適用されないものとする |
| (b) Within 90 days of the date of this order, to help ensure that NSS and debilitating impact systems are protected with the most advanced security measures, the Secretary of Defense, acting through the Director of NSA as the National Manager for National Security Systems (National Manager), in coordination with the Director of National Intelligence and the Committee on National Security Systems (CNSS), and in consultation with the Director of OMB and the Assistant to the President for National Security Affairs (APNSA), shall develop requirements for NSS and debilitating impact systems that are consistent with the requirements set forth in this order, as appropriate and consistent with applicable law. The Secretary of Defense may grant exceptions to such requirements in circumstances necessitated by unique mission needs. Such requirements shall be incorporated into a proposed National Security Memorandum, to be submitted to the President through the APNSA. | (b) 本命令の日付から90日以内に、NSSおよび壊滅的影響システムが最先端のセキュリティ対策で確実に防御されるようにするため、国防長官は、国家情報長官および国家安全保障システム委員会(CNSS)と連携し、国家安全保障システム担当国家管理者(国家管理者)としてNSA長官を通じて行動する、 また、OMB 長官および国家安全保障問題担当大統領補佐官(APNSA)と協議の上、適切かつ適用法に合致するように、本命令に定める要件に合致する NSS および衰弱影響システムに関する要件を策定するものとする。 国防長官は、固有の任務ニーズにより必要とされる状況において、かかる要件の例外を認めることができる。 かかる要件は、APNSAを通じて大統領に提出される国家安全保障覚書案に盛り込まれるものとする。 |
| (c) To help protect space NSS with cybersecurity measures that keep pace with emerging threats, within 210 days of the date of this order, the CNSS shall review and update, as appropriate, relevant policies and guidance regarding space system cybersecurity. In addition to appropriate updates, the CNSS shall identify and address appropriate requirements to implement cyber defenses on Federal Government-procured space NSS in the areas of intrusion detection, use of hardware roots of trust for secure booting, and development and deployment of security patches. | (c) 新たな脅威と歩調を合わせたサイバーセキュリティ対策で宇宙NSSを保護するため、本命令の日付から210日以内に、CNSSは宇宙システムのサイバーセキュリティに関する関連する方針および指針を見直し、必要に応じて更新するものとする。 適切な更新に加え、CNSS は、侵入検知、セキュアブートのためのハードウェア信頼根の使用、セキュリティパッチの開発と展開の分野において、連邦政府調達の宇宙 NSS にサイバー防御を実装するための適切な要件を特定し、対処するものとする。 |
| (d) To enhance the effective governance and oversight of Federal information systems, within 90 days of the date of this order, the Director of OMB shall issue guidance as appropriate requiring agencies to inventory all major information systems and provide the inventory to CISA, the Department of Defense, or the National Manager, as applicable, which shall each maintain a registry of agency inventories within their purview. CISA, the Department of Defense CIO, and the National Manager will share their inventories as appropriate to identify gaps or overlaps in oversight coverage. This guidance shall not apply to elements of the Intelligence Community. | (d) 連邦情報システムの効果的なガバナンスと監視を強化するため、本命令の日付から90日以内に、OMB長官は、各省庁に対し、すべての主要情報システムのインベントリを作成し、該当する場合には、CISA、国防総省、または国家管理者にインベントリを提供することを求めるガイダンスを適宜発行する。 CISA、国防総省 CIO、および国家管理者は、監視範囲におけるギャップまたは重複を特定するため、必要に応じてインベントリを共有する。 このガイダンスは、インテリジェンス・コミュニティの要素には適用されない。 |
| (e) Nothing in this order alters the authorities and responsibilities granted in law or policy to the Director of National Intelligence, the Secretary of Defense, and the National Manager over applicable systems pursuant to the National Security Act of 1947 (Public Law 80–253), the Federal Information Security Modernization Act of 2014 (Public Law 113-283), National Security Directive 42 of July 5, 1990 (National Policy for the Security of National Security Telecommunications and Information Systems), or National Security Memorandum 8 of January 19, 2022 (Improving the Cybersecurity of National Security, Department of Defense, and Intelligence Community Systems). | (e) 本命令のいかなる規定も、1947 年国家安全保障法(公法 80-253)、2014 年連邦情報セキュ リティ近代化法(公法 113-283)に従い、国家情報長官、国防長官、国家管理者に適用され るシステムに関して、法律または政策で認められた権限と責任を変更するものではない、 1990年7月5日の国家安全保障指令42(国家安全保障通信・情報システムのセキュリティに関する国家政策)、または2022年1月19日の国家安全保障覚書8(国家安全保障、国防総省、インテリジェンス・コミュニティのシステムのサイバーセキュリティ改善)に従う。 |
| Sec. 98. Additional Steps to Combat Significant Malicious Cyber-Enabled Activities. Because I find that additional steps must be taken to deal with the national emergency with respect to significant malicious cyber-enabled activities declared in Executive Order 13694 of April 1, 2015 (Blocking the Property of Certain Persons Engaging in Significant Malicious Cyber-Enabled Activities), as amended by Executive Order 13757 of December 28, 2016 (Taking Additional Steps to Address the National Emergency With Respect to Significant Malicious Cyber-Enabled Activities), and further amended by Executive Order 13984 of January 19, 2021 (Taking Additional Steps to Address the National Emergency With Respect to Significant Malicious Cyber-Enabled Activities), to protect against the growing and evolving threat of malicious cyber-enabled activities against the United States and United States allies and partners, including the increasing threats by foreign actors of unauthorized access to critical infrastructure, ransomware, and cyber-enabled intrusions and sanctions evasion, I hereby order that section 1(a) of Executive Order 13694 is further amended to read as follows: | 第98項 重大な悪意のあるサイバーイネーブル活動に対抗するための追加措置 私は、2015年4月1日の大統領令13694(重大な悪意のあるサイバー対応活動に従事する特定の人物の財産を封鎖する)で宣言された重大な悪意のあるサイバー対応活動に関する国家非常事態に対処するため、2016年12月28日の大統領令13757(重大な悪意のあるサイバー対応活動に関する国家非常事態に対処するための追加的措置を講じる)で修正され、さらに2021年1月19日の大統領令13984(重大な悪意のあるサイバー対応活動に関する国家非常事態に対処するための追加的措置を講じる)で修正された追加的措置を講じる必要があると考える、 2021年1月19日の大統領令13984(重要な悪意のあるサイバー対応活動に関する国家緊急事態に対処するための追加的措置を講じる)によりさらに改正され、重要インフラへの不正アクセス、ランサムウェア、サイバー対応侵入および制裁回避という外国アクターによる増大する脅威を含め、米国および米国の同盟国およびパートナーに対する悪意のあるサイバー対応活動の増大し発展する脅威から保護するため、私はここに大統領令13694の第1節(a)をさらに以下のように改正することを命ずる: |
| “Section 1. (a) All property and interests in property that are in the United States, that hereafter come within the United States, or that are or hereafter come within the possession or control of any United States person of the following persons are blocked and may not be transferred, paid, exported, withdrawn, or otherwise dealt in: | 「(a)米国内にある、もしくは今後米国内に入る、または米国人の所有もしくは管理下にある、もしくは今後米国人の所有もしくは管理下に入る、以下の人物のすべての財産および財産の権利は封鎖され、譲渡、支払、輸出、引出し、またはその他の取引を行うことはできない: |
| (i) the persons listed in the Annex to this order; | (i) この命令の附属書に記載されている者; |
| (ii) any person determined by the Secretary of the Treasury, in consultation with the Attorney General and the Secretary of State, to be responsible for or complicit in, or to have engaged in, directly or indirectly, cyber-enabled activities originating from, or directed by persons located, in whole or in substantial part, outside the United States that are reasonably likely to result in, or have materially contributed to, a threat to the national security, foreign policy, or economic health or financial stability of the United States, and that have the purpose of or involve: | (ii) 財務長官が、司法長官および国務長官と協議の上、米国の国家安全保障、外交政策、経済的健全性もしくは財政的安定に対する脅威をもたらすか、またはその脅威に重大な貢献をした可能性が合理的に高く、以下を目的とするか、またはそれに関与する、米国外を発信源とするか、または米国外に所在する者の指示によるサイバー対応活動に、直接または間接的に、責任を負うか、それに加担しているか、または関与していると判断した者: |
| (A) harming, or otherwise compromising the provision of services by, a computer or network of computers that support one or more entities in a critical infrastructure sector; | (A) 重要インフラ部門の1つまたは複数の事業体をサポートするコンピュータまたはコンピュータ・ネットワークに危害を加え、サービスの提供を損なう; |
| (B) compromising the provision of services by one or more entities in a critical infrastructure sector; | (B) 重要インフラ部門の1つまたは複数の事業体によるサービスの提供を危うくすること; |
| (C) causing a disruption to the availability of a computer or network of computers or compromising the integrity of the information stored on a computer or network of computers; | (C)コンピュータまたはコンピュータ・ネットワークの可用性を中断させること、またはコンピュータまたはコンピュータ・ネットワークに保存されている情報の完全性を損なうこと; |
| (D) causing a misappropriation of funds or economic resources, intellectual property, proprietary or business confidential information, personal identifiers, or financial information for commercial or competitive advantage or private financial gain; | (D) 商業上もしくは競争上の優位性または私的な金銭的利益のために、資金もしくは経済的資源、知的財産、専有もしくは営業上の秘密情報、個人を特定できる情報、または財務情報を不正に流用すること; |
| (E) tampering with, altering, or causing a misappropriation of information with the purpose of or that involves interfering with or undermining election processes or institutions; or | (E) 選挙のプロセスや機構を妨害したり、弱体化させたりする目的で、またはそれに関与する目的で、情報を改ざん、変更、または不正流用すること。 |
| (F) engaging in a ransomware attack, such as extortion through malicious use of code, encryption, or other activity to affect the confidentiality, integrity, or availability of data or a computer or network of computers, against a United States person, the United States, a United States ally or partner or a citizen, national, or entity organized under the laws thereof; or | (F) 米国人、米国、米国の同盟国もしくはパートナー、またはその法律に基づいて組織された市民、国民もしくは事業体に対して、コード、暗号化、またはデータの機密性、完全性もしくは可用性、またはコンピュータもしくはコンピュータのネットワークに影響を与えるその他の活動の悪意のある使用による恐喝などのランサムウェア攻撃に関与すること。 |
| (iii) any person determined by the Secretary of the Treasury, in consultation with the Attorney General and the Secretary of State: | (iii) 財務長官が司法長官および国務長官と協議して決定した者: |
| (A) to be responsible for or complicit in, or to have engaged in, directly or indirectly, the receipt or use for commercial or competitive advantage or private financial gain, or by a commercial entity, outside the United States of funds or economic resources, intellectual property, proprietary or business confidential information, personal identifiers, or financial information misappropriated through cyber-enabled means, knowing they have been misappropriated, where the misappropriation of such funds or economic resources, intellectual property, proprietary or business confidential information, personal identifiers, or financial information is reasonably likely to result in, or has materially contributed to, a threat to the national security, foreign policy, or economic health or financial stability of the United States; | (A)米国外において、商業的または競争上の利益もしくは私的な金銭的利益のために、または営利事業体によって、資金もしくは経済的資源、知的財産、所有権もしくは事業上の機密情報、個人を特定できる情報、または金融情報がサイバー可能な手段によって不正に流用された場合に、直接的または間接的に、その受領もしくは使用に責任がある、またはそれに加担している、またはそれに関与していると財務長官が判断した者、 そのような資金または経済資源、知的財産、専有情報または企業機密情報、個人を特定できる情報、または財務情報の不正流用が、米国の国家安全保障、外交政策、または経済の健全性もしくは財政の安定に対する脅威をもたらす可能性が合理的に高い場合、またはそのような脅威に実質的に寄与した場合、不正流用されたことを知りながら、その資金または経済資源、知的財産、専有情報または企業機密情報、個人を特定できる情報、または財務情報を米国外に流出させること; |
| (B) to be responsible for or complicit in, or to have engaged in, directly or indirectly, activities related to gaining or attempting to gain unauthorized access to a computer or network of computers of a United States person, the United States, a United States ally or partner or a citizen, national, or entity organized under the laws thereof, where such efforts originate from or are directed by persons located, in whole or substantial part, outside the United States and are reasonably likely to result in, or have materially contributed to, a significant threat to the national security, foreign policy, or economic health or financial stability of the United States; | (B)米国人、米国、米国の同盟国もしくはパートナー、またはその法律に基づいて組織された市民、国民もしくは事業体のコンピュータまたはコンピュータ・ネットワークへの不正アクセスを得ること、または得ようとすることに関連する活動に、直接的または間接的に責任を負うか、それに加担すること、またはそれに関与したこと、 このような取り組みが、その全部または一部が米国外に所在する者から発信され、または米国外に所在する者によって指示され、米国の国家安全保障、外交政策、または経済的健全性もしくは財政的安定に対する重大な脅威をもたらす可能性が合理的に高い場合、またはそのような脅威に重大な貢献をした場合; |
| (C) to have materially assisted, sponsored, or provided financial, material, or technological support for, or goods or services to or in support of, any activity described in subsections (a)(ii) or (a)(iii)(A) or (B) of this section or any person whose property and interests in property are blocked pursuant to this order; | (C) 本項第(a)号(ii)もしくは第(a)号(iii)(A)もしくは(B)号に記載された活動、または本命令に基づきその財産および財産権益が封鎖された人物に対し、実質的に支援、後援、または財政的、物質的、技術的支援、または物品もしくはサービスの提供をしている; |
| (D) to be owned or controlled by, or to have acted or purported to act for or on behalf of, directly or indirectly, any person whose property and interests in property are blocked pursuant to this order or that has engaged in any activity described in subsections (a)(ii) or (a)(iii)(A) – (C) of this section; | (D) 本命令に従って財産および財産上の利益が封鎖されている、または本節の(a)(ii)または(a)(iii)(A)~(C)に記載されている活動に従事している人物が、直接的または間接的に、所有または支配している、またはそのために行動した、またはそのように意図したことがある; |
| (E) to have attempted to engage in any of the activities described in subsections (a)(ii) and (a)(iii)(A)-(D) of this section; or | (E) 本項(a)(ii)および(a)(iii)(A)~(D)に記載された活動に従事しようとしたことがある。 |
| (F) to be or have been a leader, official, senior executive officer, or member of the board of directors of any person whose property and interests in property are blocked pursuant to this order or that has engaged in any activity described in subsections (a)(ii) or (a)(iii)(A) – (E) of this section.” | (F) 本命令に基づき財産および財産上の利益が封鎖された、または本項(a)(ii)または(a)(iii)(A)~(E)に記載された活動に従事した者の指導者、幹部、上級役員、または取締役である、または過去にあった。 |
| Sec. 109. Definitions. For purposes of this order: | 第109項 定義。 本命令においては、以下の通り定義する: |
| (a) The term “agency” has the meaning ascribed to it under 44 U.S.C. 3502(1), except for the independent regulatory agencies described in 44 U.S.C. 3502(5). | (a) 「機関」という用語は、44 U.S.C.3502(5)に記載される独立規制機関を除き、44 U.S.C.3502(1)に基づく意味を有する。 |
| (b) The term “artifact” means a record or data that is generated manually or by automated means and may be used to demonstrate compliance with defined practices, including for secure software development. | (b) 「成果物」とは、手動または自動化された手段により生成され、安全なソフトウェア開発を含め、 定められた慣行への準拠を実証するために使用され得る記録またはデータをいう。 |
| (c) The term “artificial intelligence” or “AI” has the meaning set forth in 15 U.S.C. 9401(3). | (c) 「人工知能」または「AI」という用語は、合衆国法典第15編9401(3)に規定される意味を有する。 |
| (d) The term “AI system” means any data system, software, hardware, application, tool, or utility that operates in whole or in part using AI. | (d) 「AIシステム」という用語は、全部または一部がAIを使用して動作するデータ・システム、ソフトウェア、ハードウェア、アプリケーション、ツール、またはユーティリティを意味する。 |
| (e) The term “authentication” means the process of determining the validity of one or more authenticators, such as a password, used to claim a digital identity. | (e)「認証」とは、デジタル ID を主張するために使用されるパスワードなどの 1 つまたは複数の 認証子の妥当性を確認するプロセスをいう。 |
| (f) The term “Border Gateway Protocol” or “BGP” means the control protocol used to distribute and compute paths between the tens of thousands of autonomous networks that constitute the Internet. | (f) 「ボーダー・ゲートウェイ・プロトコル(Border Gateway Protocol)」または「BGP」 とは、インターネットを構成する何万もの自律ネットワーク間の経路を分配および計算するた めに使用される制御プロトコルを意味する。 |
| (g) The term “consumer Internet-of-Things products” means Internet-of-Things products intended primarily for consumer use, rather than enterprise or industrial use. Consumer Internet-of-Things products do not include medical devices regulated by the United States Food and Drug Administration or motor vehicles and motor vehicle equipment regulated by the National Highway Traffic Safety Administration. | (g) 「消費者向け IoT製品」とは、エンタープライズや産業用ではなく、主に消費者向けの Internet-of-Things 製品を意味する。 消費者向け Internet-of-Things 製品には、米国食品医薬品局が規制する医療機器、米国道路交通安全局が規制する自動車および自動車機器は含まれない。 |
| (h) The term “cyber incident” has the meaning given to the term “incident” under 44 U.S.C. 3552(b)(2). | (h) 「サイバーインシデント」という用語は、44 U.S.C. 3552(b)(2)の「インシデント」という用語に与えられた意味を有する。 |
| (i) The term “debilitating impact systems” means systems as described by 44 U.S.C. 3553(e)(2) and 3553(e)(3) for Department of Defense and Intelligence Community purposes, respectively. | (i) 「衰弱的影響システム」とは、国防総省およびインテリジェンス・コミュニティの目的のために、 それぞれ 44 U.S.C. 3553(e)(2)および 3553(e)(3)に記述されているシステムをいう。 |
| (j) The term “digital identity document” means an electronic, reusable, cryptographically verifiable identity credential issued by a Government source, such as a State-issued mobile driver’s license or an electronic passport. | (j) 「デジタル ID 文書」という用語は、州発行の携帯運転免許証や電子パスポートなど、ガバナン ス情報源によって発行された、電子的で再利用可能な暗号的に検証可能な ID クレデンシャル を意味する。 |
| (k) The term “digital identity verification” means identity verification that a user performs online. | (k) 「デジタル ID 検証」とは、ユーザがオンラインで行う ID 検証をいう。 |
| (l) The term “endpoint” means any device that can be connected to a computer network creating an entry or exit point for data communications. Examples of endpoints include desktop and laptop computers, smartphones, tablets, servers, workstations, virtual machines, and consumer Internet-of-Things products. | (l)「エンドポイント」とは、データ・コミュニケーションの入口または出口を作成するコンピ ュータ・ネットワークに接続できるあらゆる装置をいう。 エンドポイントの例には、デスクトッ プおよびラップトップコンピュータ、スマートフォン、タブレット、サーバ、ワークステー ション、仮想マシン、および消費者向け Internet-of-Things 製品が含まれる。 |
| (m) The term “endpoint detection and response” means cybersecurity tools and capabilities that combine real-time continuous monitoring and collection of endpoint data (for example, networked computing device such as workstations, mobile phones, servers) with rules-based automated response and analysis capabilities. | (m) 「エンドポイント検知・対応」とは、エンドポイント・データ(例えば、ワークステーション、携帯電話、サーバ ーなどのネットワーク接続されたコンピューティング・デバイス)のリアルタイムの継続的な監視・収集と、ル ールに基づく自動対応・分析機能を組み合わせたサイバーセキュリティ・ツールおよび機能をいう。 |
| (n) The term “Federal Civilian Executive Branch agencies” or “FCEB agencies” includes all agencies except for the agencies and other components in the Department of Defense and agencies in the Intelligence Community. | (n)「連邦文民行政機関」または「FCEB機関」という用語は、国防総省の機関およびその他の部門、ならびにインテリジェンス・コミュニティの機関を除くすべての機関を含む。 |
| (o) The term “Federal information system” means an information system used or operated by an agency, a contractor of an agency, or another organization on behalf of an agency. | (o) 「連邦情報システム」とは、政府機関、政府機関の請負業者、または政府機関に代わって他の組織が使用または運用する情報システムをいう。 |
| (p) The term “Government-operated identity verification system” means a system owned and operated by a Federal, State, local, Tribal, or territorial Government entity that performs identity verification, including single-agency systems and shared services that provide service to multiple agencies. | (p) 「政府運営 ID 検証システム」とは、連邦、州、地方、部族、または準州の事業体によって所有 され運営される、ID 検証を行うシステムをいい、単一機関システムおよび複数の機関にサ ービスを提供する共有サービスを含む。 |
| (q) The term “hardware root of trust” means an inherently trusted combination of hardware and firmware that helps to maintain the integrity of information. | (q) 「ハードウェア・ルート・オブ・トラスト」とは、情報の完全性を維持するのに役立つ、本質的 に信頼できるハードウェアおよびファームウェアの組み合わせをいう。 |
| (r) The term “hybrid key establishment” means a key establishment scheme that is a combination of two or more components that are themselves cryptographic key-establishment schemes. | (r) 「ハイブリッド鍵確立」とは、それ自体が暗号鍵確立方式である 2 つ以上のコンポーネントを 組み合わせた鍵確立方式をいう。 |
| (s) The term “identity verification” means the process of collecting identity information or evidence, validating its legitimacy, and confirming that it is associated with the real person providing it. | (s) 「ID 検証」とは、ID 情報または証拠を収集し、その妥当性を確認し、それが ID 情報を提 供する実在の人物に関連することを確認するプロセスをいう。 |
| (t) The term “Intelligence Community” has the meaning given to it under 50 U.S.C. 3003(4). | (t) 「インテリジェンス・コミュニティ」という用語は、合衆国法律集第 50 編第 3003 条(4)に基づ いて与えられる意味を有する。 |
| (u) The term “key establishment” means the process by which a cryptographic key is securely shared between two or more entities. | (u) 「鍵確立」とは、2 つ以上の事業体の間で暗号鍵が安全に共有されるプロセスをいう。 |
| (v) The term “least privilege” means the principle that a security architecture is designed so that each entity is granted the minimum system resources and authorizations that the entity needs to perform its function. | (v)「最小特権」とは、セキュリティ・アーキテクチャが、各事業体がその機能を実行するために必要な最小限のシステム・リソースおよび認可が付与されるように設計されるという原則をいう。 |
| (w) The term “machine-readable” means that the product output is in a structured format that can be consumed by another program using consistent processing logic. | (w) 「機械可読」とは、製品の出力が、一貫した処理ロジックを使用する他のプログラムによって消費可能な構造化された形式であることを意味する。 |
| (x) The term “national security systems” or “NSS” has the meaning given to it under 44 U.S.C. 3552(b)(6). | (x) 「国家安全保障システム」または「NSS」という用語は、44 U.S.C. 3552(b)(6)に基づき与えられる意味を有する。 |
| (y) The term “patch” means a software component that, when installed, directly modifies files or device settings related to a different software component without changing the version number or release details for the related software component. | (y) 「パッチ」とは、インストール時に、関連するソフトウェア・コンポーネントのバージョン番号またはリリースの詳細を変更することなく、別のソフトウェア・コンポーネントに関連するファイルまたはデバイス設定を直接変更するソフトウェア・コンポーネントをいう。 |
| (z) The term “rules-as-code approach” means a coded version of rules (for example, those contained in legislation, regulation, or policy) that can be understood and used by a computer. | (z) 「ルール・アズ・コード・アプローチ」とは、コンピュータが理解し使用することができる、コード化されたバージョンのルール(例えば、法律、規制、または政策に含まれるもの)をいう。 |
| (aa) The term “secure booting” means a security feature that prevents malicious software from running when a computer system starts up. The security feature performs a series of checks during the boot sequence that helps ensure only trusted software is loaded. | (aa)「セキュア・ブート」とは、コンピュータ・システムの起動時に悪意のあるソフトウェアが実行されるのを防ぐセキュリティ機能をいう。 セキュリティ機能は、ブートシーケンス中に一連のチェックを行い、信頼できるソフトウェアのみがロードされるようにする。 |
| (bb) The term “security control outcome” means the results of the performance or non-performance of safeguards or countermeasures prescribed for an information system or an organization to protect the confidentiality, integrity, and availability of the system and its information. | (bb)「セキュリティ管理結果」とは、システム及びその情報の機密性、完全性及び可用性を保護するために、情報システム又は組織に対して規定された保護措置又は対策の実行又は不実行の結果をいう。 |
| (cc) The term “zero trust architecture” has the meaning given to it in Executive Order 14028. | (cc) 「ゼロ・トラスト・アーキテクチャー」という用語は、大統領令第 14028 号で与えられている意味を持つ。 |
| Sec. 1110. General Provisions. (a) Nothing in this order shall be construed to impair or otherwise affect: | 第 1110 項。 一般規定。 (a) 本命令のいかなる規定も、これを損なったり、その他の影響を及ぼすものと解釈されてはならない: |
| (i) the authority granted by law to an executive department or agency, or the head thereof; or | (i) 行政機関またはその長に法律で認められた認可。 |
| (ii) the functions of the Director of the Office of Management and Budget relating to budgetary, administrative, or legislative proposals. | (ii) 予算案、行政案、立法案に関する行政管理予算局長の機能。 |
| (b) This order shall be implemented in a manner consistent with applicable law and subject to the availability of appropriations. | (b) 本命令は、適用法に合致した方法で、充当可能な予算の範囲内で実施されるものとする。 |
| (c) This order is not intended to, and does not, create any right or benefit, substantive or procedural, enforceable at law or in equity by any party against the United States, its departments, agencies, or entities, its officers, employees, or agents, or any other person. | (c) 本命令は、米国、その省庁、事業体、その役員、職員、代理人、その他いかなる者に対しても、法律上または衡平法上執行可能な、実体的または手続き上の権利または利益を創出することを意図したものではなく、また創出するものでもない。 |
| JOSEPH R. BIDEN JR. | ジョセフ・R・バイデン・ジュニア |
| THE WHITE HOUSE, | ホワイトハウス |
| January 16, 2025. | 2025年1月16日 |
« 米国 NIST SP1800-35 ゼロトラストアーキテクチャの実装: ハイレベル文書 (2025.06.10) | Main | インターポール 20,000以上のIPとドメインの削除、41のサーバーと100GB以上のデータの押収、違法なサイバー活動に関連する32人の容疑者の逮捕 (2025.06.11) »
Comments