クラウド

2024.05.25

米国 NSA アプリケーションとワークロードのピラーを通してゼロトラストの成熟度を進める

こんにちは、丸山満彦です。

米国の国家安全保障局が、アプリケーションとワークロードのピラーを通してゼロトラストの成熟度を高めるためのガイドを公表していますね...

ゼロトラストアーキテクチャには、7つのピラー、

USER ユーザー
DEVICE デバイス
APPLICATION & WORKLOAD アプリケーションとワークロード
DATA データ
NETWORK & ENVIRONMENT ネットワークと環境
AUTOMATION & ORCHESTRATION 自動化とオーケストレーション
VISIBLITY & ANALITICS 可視性と分析

が、ありますが、

今回のテーマは、APPLICATION & WORKLOAD です...

 

National Security Agency/Central Security Service

・2024.05.22 [PDF] CSI: Advancing Zero Trust Maturity Throughout the Application and Workload Pillar

20240525-33514

・[DOCX][PDF] 仮訳

 

エグゼクティブサマリー...

 

Executive summary  エグゼクティブサマリー
In the current digital landscape where malware and emerging online threats continue to evolve and become more sophisticated, it is imperative that organizations prioritize cybersecurity as essential to their operations. Information Technology (IT) professionals are keenly aware of the security challenges facing applications, but workloads are every bit as important to consider in this domain.   マルウェアや新たなオンラインの脅威が進化を続け、より巧妙になっている現在のデジタル環境では、組織がサイバーセキュリティを業務に不可欠なものとして優先させることが不可欠である。情報技術(IT)の専門家は、アプリケーションが直面するセキュリティ上の課題を強く認識しているが、この領域で考慮すべきは、ワークロードも同様に重要である。  
Workloads represent computational tasks, which encompass multiple programs or applications performing those tasks by utilizing computing, data, networking, and storage resources. Workloads evolve over their lifecycle through mission development, test, and production scenarios. “A workload is an expression of an ongoing effort of an application AND what is being requested of it … Applications tend to shape the characteristics of the workload itself by how it processes the data, or the software limits inherent to the solution.” [1] Workloads can be comprised of services across multiple clouds, with application programming interfaces (APIs) connecting to third parties and sensitive databases that require different levels of access. To navigate the complexities of managing workloads across computing environments and workflows, organizations are turning to advanced tools such as backend APIs, workload automation software, artificial intelligence (AI) predictive analytics, and cloud management platforms. [2]   ワークロードは、コンピューティング、データ、ネットワーキング、およびストレージリソースを利用することで、それらのタスクを実行する複数のプログラムやアプリケーションを包含する計算タスクを表す。ワークロードは、ミッションの開発、テスト、および実稼働シナリオを通じて、そのライフサイクルの中で進化する。「ワークロードは、アプリケーションの継続的な努力の表現であり、アプリケーションに要求されるものである...アプリケーションは、データをどのように処理するか、またはソリューションに固有のソフトウェアの制限によって、ワークロード自体の特性を形成する傾向がある。[ワークロードは複数のクラウドにまたがるサービスで構成され、アプリケーション・プログラミング・インターフェース(API)はサードパーティに接続し、機密性の高いデータベースは異なるレベルのアクセスを必要とする。コンピューティング環境とワークフローにまたがるワークロードの複雑な管理をナビゲートするために、組織はバックエンドAPI、ワークロード自動化ソフトウェア、人工知能(AI)予測分析、クラウド管理プラットフォームなどの高度なツールに目を向けている。[2]  
These tools enable organizations to achieve their mission of interconnectedness, scalability, and usability by interacting with and exchanging data. This exchange of data creates opportunities for malicious actors to target business applications and workloads, as well as the methods used to safeguard them, leading to security challenges.  これらのツールは、データとの相互作用やデータ交換によって、相互接続性、拡張性、ユーザビリティという組織の使命を達成することを可能にする。このようなデータ交換は、悪意のある行為者がビジネス・アプリケーションやワークロード、またそれらを保護するために使用される方法を標的にする機会を生み出し、セキュリティ上の課題につながる。 
This cybersecurity information sheet (CSI) provides recommendations for achieving progressive levels of application and workload pillar capabilities and further discusses how these capabilities integrate into a comprehensive Zero Trust (ZT) framework. [3] National Security System (NSS), Department of Defense (DoD), and Defense Industrial Base (DIB) owners should use this and other guidance to develop concrete steps for maturing their application and workload security.  このサイバーセキュリティ情報シート(CSI)は、アプリケーションとワークロードのピラーとなる能力の漸進的なレベルを達成するための推奨事項を提供し、さらにこれらの能力が包括的なゼロトラスト(ZT)フレームワークにどのように統合されるかについて論じている。[国家安全保障システム(NSS)、国防総省(DoD)、防衛産業基盤(DIB)の所有者は、アプリケーションとワークロードのセキュリティを成熟させるための具体的なステップを開発するために、このガイダンスと他のガイダンスを使用すべきである。 

 

 

7つのピラー...

1_20240525034101

 

 

 

| | Comments (0)

アマゾン 「AWSにおける経済安全保障推進法に関する考慮事項(日本語)」(2024.05.18)

こんにちは、丸山満彦です。

アマゾンが「AWSにおける経済安全保障推進法に関する考慮事項(日本語)」を公表していると、ブログで紹介していますね...松本照吾さんの記事ですね...少し、紹介が遅れました...


AWSは本制度の対象となる基幹インフラ自体を担う事業者ではなく、また特定重要設備をサービスとして提供する事業者ではありません。しかし、こうした社会的な機能維持の責任をもつお客様が、その構成設備の一部としてAWSの様々なサービスを利用されることが想定されます。


 

ということで、このホワイトペーパーを作っている様ですね...

なんと言いますか、一歩先をいっている感があります...

 

AWSAmazon Web Services ブログ

・2024.05.18 「AWSにおける経済安全保障推進法に関する考慮事項」ホワイトペーパーが発行されました。 

・[PDF] AWSにおける経済安全保障推進法に関する考慮事項

20240525-21248

 

あっ、紙がレターサイズですね...

 

目次...


1 対象読者
2
経済安全保障推進法の概要
3
クラウドサービスの利用における留意事項
4 Amazon Web Services
のシステムの概要
5 AWS
における経済安全保障推進法への対応
1.
お客様が実施すべき事項
2.
「導入等計画書」「4.構成設備に関する事項」
3.
「導入等計画書」「5.特定重要設備の導入にあたって特定社会基盤事業者が講ずる特定妨害行為を防止するための措置に係る事項」に関する考慮事項(共通項目)
4.
その他規制業種毎の個別要求項目
Document Revisions


 

いろいろと参考になりますね..

 

 

 

 

 

 

| | Comments (0)

2024.05.20

米国 NIST SP 800-171 改訂 3 版 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護とNIST SP 800-171A 改訂3版 管理対象非機密情報のセキュリティ要件の評価 (2024.05.14)

こんにちは、丸山満彦です。

NISTが、SP 800-171 改訂3版 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護 SP 800-171A 改訂3版 管理対象非機密情報のセキュリティ要件の評価の確定版を公表していますね...

SP800-53が改正されたのに合わせた改訂ですが、2020年2月に第2版が公表されていますので、4年ちょっとでの改訂となります。

3.14. System and Information Integrity 3.14. システムと情報の完全性
3.15. Planning 3.15. 計画
3.16. System and Services Acquisition 3.16. システムとサービスの取得
3.17. Supply Chain Risk Management 3.17. サプライチェーンリスクマネジメント

が新たに追加されています...

 

● NIST - ITL

・2024.05.14 NIST SP 800-171 Rev.3 Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations

NIST SP 800-171 Rev. 3 Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations NIST SP 800-171 改訂3版 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護
Abstract 概要
The protection of Controlled Unclassified Information (CUI) is of paramount importance to federal agencies and can directly impact the ability of the Federal Government to successfully conduct its essential missions and functions. This publication provides federal agencies with recommended security requirements for protecting the confidentiality of CUI when the information is resident in nonfederal systems and organizations. The requirements apply to components of nonfederal systems that process, store, or transmit CUI or that provide protection for such components. The security requirements are intended for use by federal agencies in contractual vehicles or other agreements established between those agencies and nonfederal organizations. This publication can be used in conjunction with its companion publication, NIST Special Publication 800-171A, which provides a comprehensive set of procedures to assess the security requirements. 管理対象非機密情報(CUI)の防御は、連邦政府機関にとって最も重要であり、連邦政府がその重要な任務と機能を成功裏に遂行する能力に直接影響を与える可能性がある。本書は、連邦機関に対し、情報が連邦機関以外のシステムおよび組織に常駐している場合に、CUIの機密性を保護するための推奨セキュリティ要件を提供する。要件は、CUIを処理、保管、または送信する連邦政府以外のシステムのコンポーネント、またはそのようなコンポーネントの保護を提供するコンポーネントに適用される。本セキュリティ要件は、連邦機関と非連邦機関との間で締結される契約書またはその他の合意において、連邦機関が使用することを意図している。本書は、その関連刊行物である NIST 特別刊行物 800-171A と併せて使用することができ、セキュリティ要件を評価するための包括的な手順を提供する。

 

・[PDF] NIST.SP.800-171r3

171-20240518-55955

・[DOCX] [PDF] 仮訳

 

目次...

1. Introduction 1. 序文
1.1 Purpose and Applicability 1.1 目的と適用性
1.2 Organization of This Publication 1.2 本出版物の構成
2. The Fundamentals 2. 基礎
2.1. Security Requirement Assumptions 2.1. セキュリティ要件の前提
2.2. Security Requirement Development Methodology 2.2. セキュリティ要件の開発
3. The Security Requirements 3. セキュリティ要件
3.1. Access Control 3.1. アクセス制御
3.2. Awareness and Training 3.2. 意識向上およびトレーニング
3.3. Audit and Accountability 3.3. 監査および説明責任
3.4. Configuration Management 3.4. 構成管理
3.5 Identification and Authentication 3.5. 識別および認証
3.6. Incident Response 3.6. インシデント対応
3.7. Maintenance 3.7. 保守
3.8. Media Protection 3.8. 媒体保護
3.9. Personnel Security 3.9. 職員のセキュリティ
3.10. Physical Protection 3.10. 物理的保護
3.11. Risk Assessment 3.11. リスクアセスメント
3.12. Security Assessment and Monitoring 3.12. セキュリティアセスメントと監視
3.13. System and Communications Protection 3.13. システムおよび通信の保護
3.14. System and Information Integrity 3.14. システムおよび情報の完全性
3.15. Planning 3.15. 計画
3.16. System and Services Acquisition 3.16. システムとサービスの取得
3.17. Supply Chain Risk Management 3.17. サプライチェーンのリスクマネジメント
References 参考文献
Appendix A. Acronyms 附属書 A. 略語
Appendix B. Glossary 附属書 B. 用語集
Appendix C. Tailoring Criteria 附属書 C. テーラリング基準
Appendix D. Organization-Defined Parameters 附属書 D. 組織定義のパラメータ
Appendix E. Change Log 附属書 E. 変更履歴

 

評価のほう...

・2024.05.14 NIST SP 800-171A Rev. 3 Assessing Security Requirements for Controlled Unclassified Information

 

NIST SP 800-171A Rev. 3 Assessing Security Requirements for Controlled Unclassified Information NIST SP 800-171A 改訂3版 管理対象非機密情報のセキュリティ要件の評価
Abstract 概要
The protection of Controlled Unclassified Information (CUI) is of paramount importance to federal agencies and can directly impact the ability of the Federal Government to successfully conduct its essential missions and functions. This publication provides organizations with assessment procedures and a methodology that can be used to conduct assessments of the security requirements in NIST Special Publication 800-171, Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations. The assessment procedures are flexible and can be customized to the needs of organizations and assessors. Assessments can be conducted as independent, third-party assessments or as government-sponsored assessments. The assessments can be applied with various degrees of rigor based on customer-defined depth and coverage attributes. 管理対象非機密情報(CUI)の保護は、連邦政府機関にとって最も重要であり、連邦政府がその重要な任務と機能を成功裏に遂行する能力に直接影響を与える可能性がある。本書は、NIST特別刊行物800-171「非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護」のセキュリティ要件の評価を実施するために使用できる評価手順および手法を組織に提供する。評価手順は柔軟であり、組織や評価者のニーズに合わせてカスタマイズすることができる。アセスメントは、独立したサードパーティによるアセスメントとして実施することも、政府主催のアセスメントとして実施することもできる。アセスメントは、顧客が定義した深さとカバレッジの属性に基づいて、さまざまな厳しさで適用することができる。

 

・[PDF] NIST.SP.800-171Ar3

171a-20240518-55801

 

 

 

こちらのウェブページにも追加されています...

Cybersecurity and Privacy Reference Tool CPRT

 

 

 

 


 

参考

NIST文書の翻訳がいくつかあります...

● IPA

セキュリティ関連NIST文書について

 

 

● まるちゃんの情報セキュリティ気まぐれ日記

SP800-53, 171, 172関係...

・2023.11.13 NIST 意見募集 SP 800-171 Rev.3(最終ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報の保護、NIST SP 800-171A 改訂第3版(初期公開ドラフト) 管理対象非機密情報のセキュリティ要件の評価

・2023.05.13 米国 NIST 意見募集 SP 800-171 Rev.3(ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報の保護

・2022.07.21 NIST SP 800-171 Rev. 3 (ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護の作成に向けた意見募集

・2022.03.18 NIST SP 800-172A 管理対象非機密情報に対する強化版セキュリティ要件の評価

・2022.03.18 NIST SP 800-172A 管理対象非機密情報に対する強化版セキュリティ要件の評価

・2022.01.27 NIST SP 800-53A Rev. 5 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価

・2021.08.06 NIST SP 800-53A Rev. 5 (Draft) 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価

・2021.07.19 IPA NIST文書SP800-53 rev.5「組織と情報システムのためのセキュリティおよびプライバシー管理策」及びSP800-53B「組織と情報システムのための管理策ベースライン」の翻訳版を公開

・2021.04.28 NIST SP 800-172A 管理対象非機密情報 (CUI) に対する強化版セキュリティ要件の評価

・2021.02.04 NIST SP 800-172 Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171

・2020.12.11 SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations, SP 800-53B Control Baselines for Information Systems and Organizationsの記載ミスの修正と第5版と第4版の更新分析、ISO/IEC27001とのマッピング表等の追加

・2020.10.30 NIST SP 800-53B Control Baselines for Information Systems and Organizations 情報システムと組織のコントロールベースライン

・2020.03.17 NIST SP 800-53 Rev. 5(Draft) Security and Privacy Controls for Information Systems and Organizations (Final Public Draft)

・2020.02.22 NIST Publishes SP 800-171 Revision 2: Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations

 

少し前...

・2012.03.01 NIST Draft SP 800-53 Rev. 4 Security and Privacy Controls for Federal Information Systems and Organizations

・2011.07.22 NIST Draft SP 800-53 Appendix J DRAFT Privacy Control Catalog

・2010.05.10 NIST SP800-53関係の情報

 

 

国防総省の委託先の管理の話...

・2024.01.03 米国 国防総省 パブコメ サイバーセキュリティ成熟度認証規則案 (2023.12.26)

・2023.12.11 米国 国防総省 内部監察官室 請負業者ネットワーク上の国防総省管理対象非機密情報保護に関するサイバーセキュリティの共通の不備 (2023.12.04)

・2021.12.11 米国 GAO 国防省の委託事業者のサイバーセキュリティについての認証フレームワークの改善

・2021.12.10 米国 CMMC Ver.2.0

・2021.11.07 米国 DoD サイバーセキュリティ成熟度モデル認証(CMMC)プログラムの戦略的方向性 - CMMC2.0

・2020.10.02 米国国防省がCMMCの暫定規則(DFARS Case 2019-D041)を公表し、意見募集を行っています

・2020.05.01 Cybersecurity成熟度モデル認証制度は普及するか、しないか・・・

・2020.03.31 CMMC概要 An Introduction to the Cybersecurity Maturity Model Certification (CMMC)

・2020.03.09 Cybersecurity Maturity Model Certification (CMMC) Version 1.0

 

 

 

 

| | Comments (0)

2024.05.15

米国 MITRE 連邦政府機関向けの新たなAI実験・プロトタイピング機能を創設 (2024.05.07)

こんにちは、丸山満彦です。

MITREが連邦政府機関向けの新たなAI実験・プロトタイピング機能を創設したようですね...

NVIDIA DGX SuperPOD™だそうです...

 

MITRE

・2024.05.07 MITRE to Establish New AI Experimentation and Prototyping Capability for U.S. Government Agencies

MITRE to Establish New AI Experimentation and Prototyping Capability for U.S. Government Agencies MITRE、米国政府機関向けに新たなAI実験およびプロトタイピング能力を確立する
MITRE Federal AI Sandbox to be Powered by NVIDIA DGX SuperPOD  MITRE Federal AI SandboxはNVIDIA DGX SuperPODを搭載する 
McLean, Va., May 7, 2024 – MITRE is building a new capability intended to give its artificial intelligence (AI) researchers and developers access to a massive increase in computing power. The new capability, MITRE Federal AI Sandbox, will provide better experimentation of next generation AI-enabled applications for the federal government. The Federal AI Sandbox is expected to be operational by year’s end and will be powered by an NVIDIA DGX SuperPOD™ that enables accelerated infrastructure scale and performance for AI enterprise work and machine learning. ヴァージニア州マクリーン、2024年5月7日 - MITREは、人工知能(AI)の研究者と開発者が膨大なコンピューティング・パワーを利用できるようにすることを目的とした新機能を構築している。この新機能「MITRE Federal AI Sandbox」は、連邦政府向けの次世代AI対応アプリケーションの実験を改善する。連邦AIサンドボックスは年内に運用を開始する予定で、AIエンタープライズ業務と機械学習のためのインフラ規模の拡大と性能の加速を可能にするNVIDIA DGX SuperPOD™を搭載する。
As U.S. government agencies seek to apply AI across their operations, few have adequate access to supercomputers and the deep expertise required to operate the technology and test potential applications on secure infrastructure.  米国政府機関が業務全体にAIを適用しようとしている中、スーパーコンピュータへの十分なアクセスや、安全なインフラ上で技術を運用し、潜在的なアプリケーションをテストするのに必要な深い専門知識を持っているところはほとんどない。
"The recent executive order on AI encourages federal agencies to reduce barriers for AI adoptions, but agencies often lack the computing environment necessary for experimentation and prototyping," says Charles Clancy, MITRE, senior vice president and chief technology officer. "Our new Federal AI Sandbox will help level the playing field, making the high-quality compute power needed to train and test custom AI solutions available to any agency ."  MITREのチャールズ・クランシー上級副社長兼最高技術責任者(CTO)は次のように述べている。「AIに関する最近の大統領令は、連邦政府機関に対してAI導入の障壁を減らすよう促しているが、政府機関には実験やプロトタイピングに必要なコンピューティング環境がないことが多い。我々の新しいFederal AI Sandboxは、カスタムAIソリューションの訓練とテストに必要な高品質の計算能力をどのような機関でも利用できるようにし、競争の場を平準化するのに役立つだろう。」
MITRE will apply the Federal AI Sandbox to its work for federal agencies in areas including national security, healthcare, transportation, and climate. Agencies can gain access to the benefits of the Federal AI Sandbox through existing contracts with any of the six federally funded research and development centers MITRE operates. MITREは連邦AIサンドボックスを、国家安全保障、ヘルスケア、交通、気候などの分野で連邦政府機関向けの業務に適用する。各省庁は、MITREが運営する6つの連邦政府出資の研究開発センターとの既存の契約を通じて、Federal AI Sandboxの恩恵にアクセスすることができる。
Sandbox capabilities offer computing power to train cutting edge AI applications for government use including large language models (LLMs) and other generative AI tools. It can also be used to train multimodal perception systems that can understand and process information from multiple types of data at once such as images, audio, text, radar, and environmental or medical sensors, and reinforcement learning decision aids that learn by trial and error to help humans make better decisions. サンドボックスの機能は、大規模言語モデル(LLM)やその他の生成的AIツールを含む、政府用の最先端AIアプリケーションを訓練するためのコンピューティングパワーを提供する。また、画像、音声、テキスト、レーダー、環境・医療センサーなど、複数の種類のデータからの情報を一度に理解・処理できるマルチモーダル知覚システムや、人間がより良い意思決定を行えるよう試行錯誤しながら学習する強化学習意思決定支援システムの訓練にも利用できる。
"MITRE’s purchase of a DGX SuperPOD to assist the federal government in its development of AI initiatives will turbocharge the U.S. federal government’s efforts to leverage the power of AI," says Anthony Robbins, vice president of public sector, NVIDIA. "AI has enormous potential to improve government services for citizens and solve big challenges, like transportation and cyber security."  NVIDIAの公共部門担当副社長であるアンソニー・ロビンズ氏は、次のように述べている。「MITREがDGX SuperPODを購入し、連邦政府のAIイニシアチブの開発を支援することで、AIのパワーを活用するための米国連邦政府の取り組みが加速するでしょう。AIは、市民のための政府サービスを改善し、交通やサイバーセキュリティのような大きな課題を解決する大きな可能性を秘めている。」
The NVIDIA DGX SuperPOD powering the sandbox is capable of an exaFLOP of performance to train and deploy custom LLMs and other AI solutions at scale. サンドボックスを駆動するNVIDIA DGX SuperPODは、カスタムLLMやその他のAIソリューションを大規模に訓練・展開するために、エクサFLOPの性能を発揮する。

 

・2024.05.07 Federal AI Sandbox

Federal AI Sandbox 連邦AIサンドボックス
To realize the incredible potential of AI within the federal government, a secure sandbox environment with significant computational power is needed for prototyping, training, and testing complex AI model 連邦政府内でAIの驚異的な可能性を実現するためには、複雑なAIモデルのプロトタイピング、トレーニング、テストのために、大きな計算能力を備えたセキュアなサンドボックス環境が必要である。
AI has the potential to drive transformational advances in fields including healthcare, cybersecurity, transportation, finance, climate, and national security—but to harness this impact the nation must accelerate safe and secure prototyping of new AI solutions built around government datasets. AIは、ヘルスケア、サイバーセキュリティ、交通、金融、気候、国家安全保障などの分野で変革をもたらす可能性を秘めているが、このインパクトを活用するためには、政府は政府のデータセットを基に構築された新しいAIソリューションの安全かつセキュアなプロトタイピングを加速させなければならない。
MITRE’s new flagship AI supercomputer will streamline and expand government access to the high-end computing that drives modern AI. An AI supercomputer at this scale is ideal for training new, government-specific large frontier AI models, including LLMs, other generative AI, machine vision and multimodal perception systems, and reinforcement learning decision aids. MITREの新しいフラッグシップAIスーパーコンピューターは、最新のAIを推進するハイエンド・コンピューティングへの政府アクセスを合理化し、拡大する。この規模のAIスーパーコンピューターは、LLM、その他の生成的AI、マシンビジョン、マルチモーダル知覚システム、強化学習意思決定支援など、政府固有の新しい大規模フロンティアAIモデルのトレーニングに最適である。

 

 

・[PDF

20240515-04359

 

 

MITRE is investing in a massive AI supercomputer to power a new federal AI sandbox.  MITREは、連邦政府の新しいAIサンドボックスを動かすために、巨大なAIスーパーコンピューターに投資している。
AI has the potential to drive transformational advances in fields like healthcare, cybersecurity, transportation, finance, climate, and national security—but to harness this impact the nation must accelerate safe and secure prototyping of new AI solutions built around government datasets.  AIは、ヘルスケア、サイバーセキュリティ、交通、金融、気候、国家安全保障などの分野で変革をもたらす可能性を秘めているが、この影響力を活用するためには、政府は政府のデータセットを基に構築された新しいAIソリューションの安全かつセキュアなプロトタイピングを加速させなければならない。
Today, few federal agencies have adequate access to large-scale computing infrastructure. This situation inhibits public sector innovation by limiting the creation and evaluation of customized AI tools like large language models (LLMs) similar to ChatGPT. MITRE’s new flagship AI supercomputer will streamline and expand government access to the high-end computing that drives modern AI. The NVIDIA DGX SuperPOD system powering the sandbox is capable of an exaFLOP of 8-bit AI compute, meaning it performs a quintillion math operations each second to train and deploy custom LLMs and other AI solutions at scale.  今日、大規模なコンピューティング・インフラに十分アクセスできる連邦機関はほとんどない。この状況は、ChatGPTのような大規模言語モデル(LLM)のようなカスタマイズされたAIツールの作成と評価を制限することで、公共部門のイノベーションを阻害している。MITREの新しいフラッグシップAIスーパーコンピュータは、最新のAIを駆動するハイエンドコンピューティングへの政府アクセスを合理化し、拡大する。サンドボックスを駆動するNVIDIA DGX SuperPODシステムは、8ビットAIコンピュートのエクサFLOPが可能であり、これはカスタムLLMやその他のAIソリューションを大規模に訓練・展開するために、毎秒5億回の数学演算を実行することを意味する。
Federal agencies can gain access to the benefits of MITRE’s AI sandbox through existing contracts with any of the six federally funded research and development centers that MITRE operates. The sandbox, which launches in late 2024, will substantially augment MITRE’s AI Platform—increasing compute power by two orders of magnitude.  連邦政府機関は、MITREが運営する6つの連邦政府出資の研究開発センターとの既存の契約を通じて、MITREのAIサンドボックスのメリットを利用できる。2024年後半に開始されるサンドボックスは、MITREのAIプラットフォームを大幅に増強し、計算能力を2桁増加させる。
An AI supercomputer at this scale is ideal for training new, government-specific large frontier AI models, including LLMs, other generative AI, machine vision and multimodal perception systems, and reinforcement learning decision aids. MITRE continues to invest in innovation and resources that enable our experts, often in collaboration with government, industry, and academia, to solve complex problems in the public interest. この規模のAIスーパーコンピューターは、LLM、その他の生成的AI、マシンビジョン、マルチモーダル知覚システム、強化学習意思決定支援など、政府固有の新しい大規模フロンティアAIモデルのトレーニングに最適である。MITREは、我々の専門家が政府、産業界、学界としばしば協力し、公共の利益のために複雑な問題を解決することを可能にするイノベーションとリソースへの投資を続けている。
To realize the incredible potential of AI within the federal government, a secure sandbox environment with significant computational power is needed for prototyping, training, and testing complex AI models. 連邦政府内でAIの驚異的な可能性を実現するためには、複雑なAIモデルのプロトタイピング、トレーニング、テストのために、大きな計算能力を持つ安全なサンドボックス環境が必要である。

 

 

| | Comments (0)

2024.05.09

CSA サイバー・保護サーフェイスの定義 (日本語翻訳)

こんにちは、丸山満彦です。

CSAが今年の3月にDefining the Zero Trust Protect Surfaceを公表していたのですが、すっかり失念していました。そして、これまた4月には日本語版と韓国語版が公表されていました..

そして、この文書が参照している、次の2つの文書も失念していますね...(^^;;

・[PDF] NSTAC Report to the President onZero Trust and Trusted Identity Management

・[PDF] CISA Zero Trust Maturity Model V2

あらら...

 

要旨は...


この文書の目的は、John Kindervag が最初に策定し社会化したNSTAC Report to the President onZero Trust and Trusted Identity Managementに記載されている 5 つのステップのゼロトラスト実装プロセスの第 1 ステップを反復的に実行するためのガイダンスを提供することです。5 つのステップのそれぞれについて詳細なガイダンスを作成するために、別の CSA リサーチ文書が作成されているところです。

この重要な最初のステップである「保護サーフェス の定義」では、組織のデータ、アプリケーション、資産、サービス(DAAS)の要素を特定し、ビジネスリスクと現在のセキュリティ成熟度の評価を行い、実装の優先順位付けを行います。本稿では、DAAS 要素を保護サーフェスにグループ化するなど、このプロセスの背後にある方法論に焦点を当てます。

ビジネス情報システムを構成する攻撃サーフェスと保護サーフェスの相互関係や、CISA Zero Trust Maturity Model V2実装の優先順位付けに活用する方法など、重要な検討事項と概念について説明します。このガイダンスは、組織がゼロトラスト実装の複雑さを乗り越えるための反復可能なプロセスを採用することを支援します。


 

対象とする読者も次のような感じですね...


主な対象者: ゼロトラストアーキテクトおよび実装チーム、最高情報セキュリティ責任者、情報セキュリティ管理者、ITセキュリティアナリスト

第二の対象者: CxO(CEO、CISO、CFO、CTO、CIO)、プライバシー・コンプライアンス・オフィサー、IT監査・評価者、ソフトウェア開発者、ネットワーク・セキュリティ・エンジニア


 

目次...

Abstract 要旨
Target Audience 対象とする読者
Introduction to Zero Trust ゼロトラスト入門
Document Scope 文書の範囲
Business Assets Overview ビジネス資産の概要
Zero Trust Implementation Process ゼロトラスト導入プロセス
Overview of the Protect Surface 保護サーフェスの概要
Prioritizing Iterative Execution of the 5-Step Process 5-ステッププロセスの反復実行の優先順位付け
Caution Regarding DAAS Elements Whose Purpose Is Uncertain 目的が不明確なDAAS要素に関する注意
DAAS Elements Comprising a Protect Surface 保護サーフェスを構成するDAAS要素
Data データ
Applications and Workloads アプリケーションとワークロード
Assets: Systems and Devices 資産: システムとデバイス
Services サービス
NSTAC, CISA Maturity Model and Protect Surfaces NSTAC、CISA成熟度モデルと保護サーフェス
Risks and Impacts of Protect Surface Compromises 保護サーフェスの侵害がもたらすリスクと影響
Applying Data Classifications データ分類の適用
Attack Surface Versus Protect Surface 攻撃サーフェスと保護サーフェス
Looking Ahead, After Protect Surfaces are Defined 保護サーフェスが定義された後の展望
Conclusion 結論
Useful References 参考文献

 

 

Cloud Security Alliance; CSA

・2024.04.14 Defining the Zero Trust Protect Surface - Japanese Translation

20240509-50152

 

 

オリジナルの英語版...

・2024.03.05 Defining the Zero Trust Protect Surface

20240509-51241

 

韓国語翻訳版も...

・2024.04.24 Defining the Zero Trust Protect Surface - Korean Translation

20240509-51607

 

 


参照されている文書...

 

CISA

・2022.02.23 [PDF] NSTAC Report to the President onZero Trust and Trusted Identity Management

20240509-51937

 

 

成熟度モデル

Zero Trust Maturity Model

・2023.04 [PDF] CISA Zero Trust Maturity Model V2

20240509-52305

 

 

 

| | Comments (0)

2024.04.30

中国 TC260 意見募集 国家標準 「情報システムの災害復旧仕様」案 (2024.04.15)

こんにちは、丸山満彦です。

中国の国家情報セキュリティ標準化技術委員会 (TC260) が「情報システムの災害復旧仕様」の草案を公表し、意見募集をしていますね。。。

信息安全技术 信息系统灾难恢复规范 (情報セキュリティ技術情報システムの災害復旧に関する仕様)」(GB/T 20988-2007)及び「信息安全技术 灾难恢复中心建设与运维管理规定(情報セキュリティ技術災害復旧センターの建設管理及び運営維持に関する仕様)」(GB/T 30285-2013)に替わるもののようです...

 

わりと細かく規定されているので、参考になる部分も多いように思います...

 

● 全国信息安全标准化技术委员会

・2024.04.15 关于国家标准《网络安全技术 信息系统灾难恢复规范》征求意见稿征求意见的通知

意見募集案...

・[PDF] 网络安全技术 信息系统灾难恢复规范-标准文本

20240430-20041

・[DOCX][PDF] 仮訳

 

説明

・[DOCX] 网络安全技术 信息系统灾难恢复规范-编制说明

 


Continue reading "中国 TC260 意見募集 国家標準 「情報システムの災害復旧仕様」案 (2024.04.15)"

| | Comments (0)

2024.04.27

公正取引委員会 「スマートフォンにおいて利用される特定ソフトウェアに係る競争の促進に関する法律案」の閣議決定等について

こんにちは、丸山満彦です。

公正取引委員会が、実に何年かぶりに法案を提出することになりましたね...

 

アプリストア事業者は、提供するアプリが脆弱性等が限りなくないようにする適切な審査を確実に実施するようにしないと、スマートフォン環境においても、PC環境と同じような状況が発生しかねないので、大変危惧しています...

安かろう、悪かろうとならないようにしないといけないですよね...

 

公正取引委員会

・2024.04.26 「スマートフォンにおいて利用される特定ソフトウェアに係る競争の促進に関する法律案」の閣議決定等について

 


1 法案の概要(別紙1、別紙2及び別添参照)

(1)規制対象事業者の指定

 公正取引委員会は、特定ソフトウェアを提供する事業者のうち、特定ソフトウェアの種類ごとに政令で定める一定規模以上の事業を行う者を規制対象事業者として指定する(指定を受けた事業者を「指定事業者」という。)。

 

(2)禁止事項及び遵守事項の整備

 特定ソフトウェアを巡る競争上の課題に対応するため、指定事業者に対して、一定の行為の禁止(禁止事項)や、一定の措置を講ずる義務付け(遵守事項)を定める。

 

(3)規制の実効性確保のための措置

 指定事業者による規制の遵守状況に関する報告、関係事業者による情報提供、関係省庁との連携、公正取引委員会の調査権限や違反を是正するための命令、課徴金納付命令(算定率20%)等の規定を整備する。


 

(別紙1)法案概要(1枚)

20240426-173150

(別紙2)法案概要(8枚)

(別添)法案要綱

(別添)法案及び理由

(別添)新旧対照条文

(別添)参照条文

 


 

首相官邸 - デジタル市場競争本部

デジタル市場競争会議

・2023.06.16 第7回 デジタル市場競争会議 配布資料

・・[PDF] モバイル・エコシステムに関する競争評価の最終報告(案) 概要

・・[PDF] モバイル・エコシステムに関する競争評価の最終報告(案)

 

 

Continue reading "公正取引委員会 「スマートフォンにおいて利用される特定ソフトウェアに係る競争の促進に関する法律案」の閣議決定等について"

| | Comments (0)

2024.04.19

ドイツ BSI エッジコンピューティングの安全な利用に関する推奨

こんにちは、丸山満彦です。

ドイツの連邦情報セキュリティ局 (BSI) が、エッジ・コンピューティングについての推奨事項を公表していますね。。。

 

Bundesamt für Sicherheit in der Informationstechnik; BSI

・2024.04.17 BSI gibt Empfehlungen zur sicheren Nutzung von Edge Computing

BSI gibt Empfehlungen zur sicheren Nutzung von Edge Computing BSI、エッジコンピューティングの安全な利用に関する推奨を発表
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zum 17. April 2024 eine Cybersicherheitsempfehlung für den sicheren Einsatz von Edge und Fog Computing veröffentlicht. Das Dokument gibt Anbietenden, Anwenderinnen und Anwendern konkrete Hilfen an die Hand, damit Edge und Fog Computing sicher eingesetzt und genutzt werden können. ドイツ連邦情報セキュリティ局(BSI)は2024年4月17日、エッジコンピューティングとフォグコンピューティングの安全な利用に関するサイバーセキュリティの推奨を発表した。この文書では、エッジコンピューティングとフォグコンピューティングを安全に導入・利用できるよう、プロバイダーとユーザーに具体的な支援を提供している。
Edge und Fog Computing bringt Cloud-Technologie näher an Endgeräte heran oder integriert sie in Netzkomponenten. Hierdurch werden einerseits Latenzen verringert, andererseits Compliance- und Sicherheitsfragen aufgeworfen. Nicht zuletzt der hohe Vernetzungsgrad stellt eine große Herausforderung für die Absicherung dar. Der Praxisleitfaden des BSI erklärt unter anderem, wie verschiedene Komponentenarten in verschiedenen Einsatzszenarien abgesichert werden können. Zum Beispiel in Landwirtschaft, Industrie, Verkehrssteuerung oder Militär. エッジおよびフォグ・コンピューティングは、クラウド技術をエンド・デバイスに近づけたり、ネットワーク・コンポーネントに統合したりする。一方では、待ち時間が短縮される一方で、コンプライアンスやセキュリティの問題が生じる。最後に、高度なネットワーキングはセキュリティに大きな課題をもたらす。BSIの実践ガイドでは、特に、さまざまなアプリケーション・シナリオにおいて、さまざまなタイプのコンポーネントをどのようにセキュアにするかについて説明している。例えば、農業、工業、交通管制、軍事などである。
In der Praxis werden inzwischen Edge und Fog Computing fast überwiegend einheitlich unter dem Begriff Edge Computing zusammengefasst. Das BSI geht in der Cybersicherheitsempfehlung auf die Unterschiede ein, nutzt aber in der Veröffentlichung weitestgehend den Begriff Edge Computing. 実際には、エッジコンピューティングとフォグコンピューティングは、現在ではほとんどエッジコンピューティングという用語でまとめられている。BSIはサイバーセキュリティ勧告の中でこの違いを取り上げているが、出版物全体を通してエッジコンピューティングという用語を使用している。

 

・[PDF]

20240418-225554

・[DOCX][PDF] 仮訳

 

目次...

1 Inhaltsverzeichnis  1 目次  
2 Einleitung 2 はじめに
3 Grundlagen von Edge Computing 3 エッジコンピューティングの基礎
3.1 Grundverständnis 3.1 基本的な理解
3.2 Abgrenzungen 3.2 デマケーション
3.3 Rahmenbedingungen (Governance und Compliance) 3.3 枠組み条件(ガバナンスとコンプライアンス)
4 Technologie 4 テクノロジー
4.1 Infrastruktur 4.1 インフラストラクチャー
  4.1.1 Edge (und Fog) Computing Modelle   4.1.1 エッジ(およびフォグ)コンピューティング・モデル
4.2 Netztechnologien 4.2 ネットワーク技術
  4.2.1 Software Defined Networking (SDN)   4.2.1 ソフトウェア・デファインド・ネットワーキング(SDN)
  4.2.2 Funknetze   4.2.2 無線ネットワーク
4.3 Komponenten 4.3 コンポーネント
  4.3.1 Cloudlets   4.3.1 クラウドレット
  4.3.2 Integration in Netzkomponenten   4.3.2 ネットワーク・コンポーネントへの統合
  4.3.3 Integration in Endgeräte   4.3.3 エンド・デバイスへの統合
5 Exemplarische Use Cases 5 ユースケース
5.1 Einleitung 5.1 はじめに
5.2 Use Case 1: IoT für Gesellschaft (Verkehrssteuerung/Smart City) 5.2 ユースケース1:社会のためのIoT(交通管制/スマートシティ)
  5.2.1 Definition   5.2.1 定義
  5.2.2 Relevante Gefährdungen   5.2.2 関連する危険
  5.2.3 Angriffsszenario 1: Angriff auf die Verfügbarkeit   5.2.3 攻撃シナリオ1:可用性への攻撃
  5.2.4 Angriffsszenario 2: Angriff auf die Vertraulichkeit und Integrität   5.2.4 攻撃シナリオ2:機密性と完全性への攻撃
5.3 Use Case 2: IoT für Industrie (Predictive Maintenance) 5.3 ユースケース2:産業向けIoT(予知保全)
  5.3.1 Definition   5.3.1 定義
  5.3.2 Relevante Gefährdungen   5.3.2 関連する危険
  5.3.3 Angriffsszenario 1: Angriff durch einen Außentäter   5.3.3 攻撃シナリオ1:外部からの加害者による攻撃
  5.3.4 Angriffsszenario 2: Angriff durch einen Innentäter   5.3.4 攻撃シナリオ2:内部犯行による攻撃
5.4 Use Case 3: Datenverarbeitung und Enterprise Security (Hochfrequenzhandel an der Börse) 5.4 ユースケース3:データ処理と企業のセキュリティ(証券取引所の高頻度取引)
  5.4.1 Definition   5.4.1 定義
  5.4.2 Relevante Gefährdungen   5.4.2 関連する危険
  5.4.3 Angriffsszenario 1: Angriff durch Außentäter über die Edge-Ebene   5.4.3 攻撃シナリオ1:エッジレベルを介した外部犯行による攻撃
  5.4.4 Angriffsszenario 2: Angriff durch Innentäter über die Edge-Ebene   5.4.4 攻撃シナリオ2:エッジレベルを介した内部犯行による攻撃
6 Sicherheitsbetrachtungen für die praktische Umsetzung 6 実用化のための安全性への配慮
6.1 Einleitung 6.1 はじめに
6.2 Praxisleitfaden 6.2 実践ガイド
  6.2.1 Planung und Beschaffung (PB)   6.2.1 計画と調達 (PB)
  6.2.2 Einsatz (EZ)   6.2.2 実装(EZ)
  6.2.3 Ende des Einsatzes (EX)   6.2.3 利用終了(EX)
7 Anhang 1 Literaturverzeichnis 7 附属書1 書誌
8 Anhang 2 Abbildungsverzeichnis 8 附属書2 図版リスト

 

 

| | Comments (0)

2024.04.08

CSA ハードウェアセキュアモジュール・アズ・ア・サービス (HSMaaS) クラウド・セキュリティ・アライアンス (Cloud Security Alliance; CSA)

こんにちは、丸山満彦です。

クラウド・セキュリティ・アライアンス (Cloud Security Alliance; CSA) がHSMaaSについての文書を公表していますね...

Cloud Security Alliance; CSA

・2024.04.03 HSM-as-a-Serviceの使用例、考慮事項、ベストプラクティス

HSM-as-a-Service Use Cases, Considerations, and Best Practices HSM-as-a-Serviceの使用例、考慮事項、ベストプラクティス
A Hardware Security Module (HSM) is a certified, trusted platform for performing cryptographic operations and protecting keys. It is a tamper-responsive and intrusion-resistant device comprising a security cryptographic accelerator, hardware-based random number generator,  processor, RAM, storage, and external interface. HSMs are often considered the root of trust, as the cryptographic keys created and protected by an HSM are used to underpin the security of an organization’s infrastructure. ハードウェア・セキュリティ・モジュール(HSM)は、暗号処理を実行し、鍵を保護するための、認証された信頼できるプラットフォームである。HSMは、セキュリティ暗号アクセラレーター、ハードウェアベースの乱数生成器、プロセッサー、RAM、ストレージ、外部インターフェイスで構成される、改ざん耐性と侵入耐性を備えたデバイスである。HSM によって作成され、保護される暗号鍵は、組織のインフラストラクチャーのセキュリ ティを支えるために使用されるため、HSM はしばしば信頼の根源とみなされる。
This document describes the Hardware Security Module as a Service (HSMaaS) cloud delivery model for key management and cryptographic operations. Additionally, it explores a sample of use cases with unique drivers justifying this model, discusses logical and physical security considerations, and provides recommendations on how to demonstrate compliance and select a vendor.  本書では、鍵管理と暗号操作のためのHSMaaS(Hardware Security Module as a Service)クラウド・デリバリー・モデルについて説明する。さらに、このモデルを正当化するユニークなドライバーを持つユースケースのサンプルを調査し、論理的および物理的なセキュリティの考慮事項について議論し、コンプライアンスを実証する方法とベンダーを選択する方法に関する推奨事項を提供する。
Cloud service customers that require increased control over key management operations, providers that supply the technology or services to deliver HSMaaS, as well as auditors and Conformity Assessment Bodies, can all benefit from the knowledge in this comprehensive guide. 鍵管理運用の管理強化を必要とするクラウドサービスの顧客、HSMaaSを提供する技術やサービスを提供するプロバイダ、監査人や適合性評価団体は、いずれもこの包括的なガイドの知識を活用することができる。
Key Takeaways:  主な要点 
・The definition and architecture of an HSM ・HSMの定義とアーキテクチャ
・The current and future state of the HSMaaS market ・HSMaaS市場の現状と将来性
・Industry, compliance, and risk use cases for the HSMaaS model ・HSMaaSモデルの産業、コンプライアンス、リスクのユースケース
・The importance of clearly defined responsibilities in the HSMaaS model ・HSMaaSモデルにおける責任の明確化の重要性
・Security considerations for HSMs ・HSMのセキュリティに関する考慮事項
・Key management considerations unique to HSMaaS ・HSMaaS特有の主な管理上の考慮事項
・Important considerations when setting up governance for HSMs ・HSMのガバナンスを設定する際の輸入事業者の留意点
・HSM vendor selection best practices ・HSMベンダー選定のベストプラクティス

 

・[PDF]

20240407-161910

 

目次...

1 Introduction 1 はじめに
1.1 Purpose 1.1 目的
1.2 Scope 1.2 スコープ
1.3 Target Audience 1.3 対象読者
2 Background 2 背景
2.1 Definition of HSM 2.1 HSMの定義
2.2 Current and Future State of the Market 2.2 市場の現状と将来
3 Use Cases 3 事例
3.1 Use Case: PIN-based Payment Card Transactions 3.1 事例:PINベースの決済カード取引
3.2 Use Case: Payment Card Transactions with Point-toPoint Encryption (P2PE) 3.2 事例:ポイント・ツー・ポイント暗号化(P2PE)による決済カード取引
3.3 Use Case: PKI and Signing Services 3.3 事例:PKIと署名サービス
3.4 Use Case: Full Homomorphic Encryption 3.4 事例:完全同型暗号化
3.5 Use Case: Trust Services under eIDAS 3.5 事例:eIDASのトラスト・サービス
3.6 Use Case: Custom Applications 3.6 事例:カスタムアプリケーション
4 Responsibilities 4 責任
4.1 Responsibilities for the Management of HSMaaS Solutions 4.1 HSMaaSソリューションの管理責任
  4.1.1 Infrastructure-as-a-Service (IaaS) Model   4.1.1 インフラストラクチャー・アズ・ア・サービス(IaaS)モデル
  4.1.2 Software-as-a-Service (SaaS) Model   4.1.2 SaaS(Software-as-a-Service)モデル
5 HSM Architecture 5 HSMアーキテクチャ
5.1 Introduction to HSM 5.1 HSM入門
5.2 HSM Standards and Certifications 5.2 HSMの規格と認証
5.3 Types of HSM 5.3 HSMの種類
  5.3.1 General Purpose HSM   5.3.1 汎用HSM
  5.3.2 Payments HSM   5.3.2 ペイメントHSM
6 Security Considerations 6 セキュリティへの配慮
6.1 Physical Security Controls 6.1 物理的セキュリティ管理
6.2 Logical Security Controls 6.2 論理的セキュリティ・コントロール
6.3 Multi-tenant Isolation 6.3 マルチテナント分離
6.4 Other Controls 6.4 その他のコントロール
7 Interfacing and Remote Administration 7 インターフェイスとリモート管理
7.1 Interfacing with HSMaaS Solutions 7.1 HSMaaSソリューションとの連携
7.2 Remote Administration Tools and Associated Security Architecture 7.2 リモート管理ツールと関連するセキュリティ・アーキテクチャ
  7.2.1 Secure Architecture for Remote Administration   7.2.1 リモート管理のためのセキュアなアーキテクチャ
8 Key Management Considerations (Unique to HSMaaS) 8 鍵管理に関する考慮事項(HSMaaSに特有のもの)
9 Governance 9 ガバナンス
10 Vendor Selection Best Practices 10 ベンダー選定のベストプラクティス
11 Conclusions 11 結論
References  参考文献 
Acronyms Table  略語表 

 

プレゼンテーション

・[PDF]

20240407-162050

 

 

これから、クラウド+信頼できる環境というのが重要となるので、HSMaaSは流行るかもですね...

1_20240407162101

 

| | Comments (0)

2024.04.07

米国 国防総省 2027会計年度末までにゼロトラストを導入予定

こんにちは、丸山満彦です。

米国の国防総省が2027会計年度末 (2027.09.30) までにゼロトラストを導入する予定と国防調達大学 (Defense Acquisition University; DAU
) [wikipedia] のシンポジウムで発言したようですね...

 

U.S. Department of Defense

・2024.04.03 DOD Cyber Officials Detail Progress on Zero Trust Framework Roadmap

DOD Cyber Officials Detail Progress on Zero Trust Framework Roadmap 国防総省サイバー担当者、ゼロトラスト・フレームワーク・ロードマップの進捗状況を詳述する
The Defense Department is on track to implement its zero trust cybersecurity framework by the end of fiscal year 2027, senior Pentagon information technology officials said this week.  国防総省は、2027会計年度末までにゼロトラスト・サイバーセキュリティ・フレームワークを導入する予定であると、国防総省の情報技術高官が今週明らかにした。
David McKeown, who serves as the DOD's deputy chief information officer, underscored the significant progress the department has made in implementing what he said will be a transformational change in how the department approaches cybersecurity.  国防総省の副最高情報責任者(Deputy Chief Information Officer)を務めるDavid McKeown氏は、国防総省のサイバーセキュリティへの取り組み方を一変させるものになるだろうと述べ、その実施に向けて国防総省が大きく前進していることを強調した。
"Zero trust integration offers the most robust and reliable approach to cybersecurity, ensuring that our systems are resilient against evolving threats, while safeguarding our nation's interests," McKeown said today during his keynote address as part of a virtual two-day Zero Trust Symposium hosted by the Defense Acquisition University.    「ゼロトラスト統合は、サイバーセキュリティに最も強固で信頼できるアプローチを提供し、我々のシステムが進化する脅威に対してレジリエンスであることを保証すると同時に、我が国の利益を保護する」と、マッキューンは本日、国防調達大学主催の仮想2日間のゼロトラスト・シンポジウムの基調講演の中で述べた。  
"It is not just a program, or a new application, zero trust is an evolution of our entire security landscape," he said. "By embracing it, we not only protect our data, but we strengthen our defenses and preserve our way of life."   「ゼロトラストは単なるプログラムでも、新しいアプリケーションでもない。「ゼロトラストを受け入れることで、我々はデータを保護するだけでなく、防御を強化し、我々の生活様式を維持することができる。 
Once implemented, the zero trust framework will move the DOD beyond traditional network security methods with capabilities designed to reduce exposure to cyberattacks, enable risk management and data sharing and quickly contain and remediate adversary activities.  ゼロトラスト・フレームワークが導入されれば、国防総省はサイバー攻撃へのエクスポージャーを減らし、リスクマネジメントとデータ共有を可能にし、敵対者の活動を迅速に封じ込め、是正するよう設計された機能によって、従来のネットワーク・セキュリティ手法を超えることになる。
The department released its strategy for achieving its vision for a zero trust architecture in 2022. The strategy outlines four high-level goals including cultural adoption, security and defense of DOD information systems, technology acceleration and zero trust enablement.   国防総省は2022年、ゼロトラスト・アーキテクチャのビジョンを達成するための戦略を発表した。この戦略では、文化的な採用、国防総省の情報システムのセキュリティと防衛、技術の加速化、ゼロトラストの実現など、4つのハイレベルな目標が概説されている。 
Since unveiling the strategy, McKeown, who also serves as the department's senior information security officer, said his office has remained laser focused on making it a reality.  同戦略を発表して以来、国防総省の上級情報セキュリティ責任者を兼務するマッケイウン氏は、同戦略の実現に集中し続けていると述べた。
"As the DOD's lead for zero trust, we have made great progress," he said, detailing the department's efforts to align resources and capabilities at the component level, review implementation plans submitted by DOD agencies and work with industry to build solutions. 「国防総省のゼロトラストに関するリーダーとして、私たちは大きな進歩を遂げました」と彼は述べ、コンポーネント・レベルでのリソースと能力の調整、国防総省機関から提出された実装計画の見直し、ソリューション構築のための産業界との協力など、国防総省の取り組みについて詳しく説明した。
Spotlight: Engineering in DOD スポットライト DODにおけるエンジニアリング
John Sherman, DOD's chief information officer, said implementing the framework has been an "absolute top priority."  国防総省のジョン・シャーマン最高情報責任者(CIO)は、このフレームワークの導入は「絶対的な最優先事項」だと述べた。
"If you look at our funding, and if you look at our cyber investments we're making and the time we're spending, zero trust is first and foremost among what we're doing," Sherman said yesterday, the first day of the symposium.  「われわれの資金、サイバー投資、そして費やしている時間を見れば、ゼロトラストはわれわれが行っていることの中で第一に優先される」と、シャーマン氏はシンポジウムの初日である昨日述べた。
He said what once seemed unachievable just a few years ago is now becoming a reality.   ほんの数年前までは実現不可能と思われていたことが、今や現実のものとなりつつある。 
"We are looking really good, on track, to get target-level zero trust in place by the end of fiscal [year] 2027," he said.   「私たちは、2027年度末までに目標レベルのゼロトラストを達成する予定である。 
Both officials underscored the importance of implementing the framework as adversaries continue to improve their offensive cyber capabilities.    両高官は、敵が攻撃的なサイバー能力を改善し続ける中、フレームワークを導入することの重要性を強調した。  
"Our protection and detection methodologies absolutely need to change in order to defend against today's adversaries," McKeown said. "Because of this, zero trust is my top cybersecurity initiative. I absolutely believe zero trust will greatly improve our ability to defend our networks against sophisticated attacks."  「今日の敵対勢力から防衛するためには、我々の防御と検知の方法論は絶対に変わる必要がある。「このため、ゼロトラストは私のサイバーセキュリティの最重要課題である。ゼロトラストは、高度な攻撃からネットワークを守る能力を大幅に向上させると確信している。

 

参考

国防総省に関するIT関連の文書等がまとまっています...

● Department of Defense - Chief Information Officer - Library

 

2022年の発表...

・2022.11.22 Department of Defense Releases Zero Trust Strategy and Roadmap

 

 

 

 

国防調達大学

Defense Acquisition University; DAU

該当のシンポジウム..

・2024.04.02 DoD Zero Trust Symposium

 

Cybersecurity

・・Zero Trust Web Seminor

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.11.30 米国 国防総省 ゼロトラスト戦略とロードマップ (2022.11.07)

20221130-23312


| | Comments (0)

より以前の記事一覧