パブコメ

2024.04.13

米国 NIST IR 8475(初期公開ドラフト) Web3パラダイムに関するセキュリティの視点

こんにちは、丸山満彦です。

自由民主党デジタル社会推進本部(本部長・平井卓也衆院議員)と、同本部のweb3プロジェクトチーム(PT、座長・平将明衆院議員)が合同会議を開き、提言に当たる「ホワイトペーパー2024」を策定したを2024.0.4.12に公表し、このブログでも紹介しましたが、NISTも2024.04.11にNIST IR 8475 Web3パラダイムに関するセキュリティの視点の初期ドラフトを公開し、意見募集しています...

AIのおかげでWeb3の議論が落ち着いてできるようになったようにも思います (^^)

Web3に関連しそうなビジネスをどうやってはやらせるか?という視点での議論が多いように感じるのですが、もともと個人を中心とした社会において、ともすれば大企業に支配されているインターネット空間での活動をどうやって個人の手に取り戻すのか?という話であれば、もう少しいろいろな議論ができると思うのですけどね...

いきなりDAOや暗号資産から始まっちゃうとそのビジネスをなんとかしたいんですかね...になっちゃいますよね...

 

ちなみに、NISTでは一応Web3を次のように考えているようです。。。

1. Introduction  1. 序文 
Web3 is a proposed vision for the future of the internet. It is not a specific single design, architecture, or software but rather a goal for restructuring the internet to be more usercentric. Users would own and manage their personal data, acting as gatekeepers to other applications and services that need it. Systems would be implemented in a decentralized and distributed manner while also providing for direct user participation. Digital tokens would be used to represent assets, and web-native currencies (such as cryptocurrencies) would be used for payments.  Web3とは、インターネットの未来像の提案である。これは、特定のデザイン、アーキテクチャ、ソフトウェアではなく、インターネットをよりユーザー中心に再構築するための目標である。ユーザーは自分の個人データを所有・管理し、それを必要とする他のアプリケーションやサービスへのゲートキーパーの役割を果たす。システムは非中央集権的で分散型に実装され、同時にユーザーの直接参加もプロバイダとして提供される。資産の代表者にはデジタルトークンが使われ、決済にはウェブネイティブ通貨(暗号通貨など)が使われる。

 

「インターネットをユーザー中心に再構築する」という感じですかね...

 

NISTはCloud Computingの時にそうしたように、言葉の定義をしてから議論を進めるのがよいと思います...

3.1. Web3 Vision  3.1. Web3のビジョン 
The definition provided below is intended to be descriptive and inclusive of all Web3 applications. It is not intended to define what is or what is not part of Web3, nor is it intended to limit future Web3 applications. The purpose of the definition and resultant characteristics is to enable the reader to understand the current proposed technology and to provide a foundation for an exploration of potential security and privacy issues.  以下に示す定義は、説明的であり、すべての Web3 アプリケーションを包含することを意図している。何が Web3 の一部で、何が Web3 の一部でないかを定義するものではなく、将来の Web3 アプリケーションを制限するものでもない。定義とその結果の特徴の目的は、読者が現在提案されている技術を理解し、潜在的なセキュリティとプライバシーの問題を調査するための基礎を提供することである。
Web3 is a restructuring of the internet to place ownership and operation into the hands of users themselves, thus changing the structure from organization-centric to user-centric.  Web3は、オーナーシップと運用をユーザー自身の手に委ねるためのインターネットの再構築であり、その結果、組織中心からユーザー中心へと構造を変える。
Web3 proposes several changes to the existing web architecture:  Web3は、既存のWebアーキテクチャにいくつかの変更を提案している: 
•       Users own their data and are responsible for their data, data security, and data privacy.  •  ユーザーは自分のデータを所有し,自分のデータ,データ・セキュリティ,データ・プライバシーに責任を持つ。
•       Decentralized and distributed systems are used, and users can host and run applications.  •  分散・分散システムが使用され,ユーザーはアプリケーションをホストし,実行することができる。
•       Applications and organizations request data directly from users.  •  アプリケーションや組織は,ユーザーから直接データを要求する。
•       Users can supply applications and organizations with actual data or verifiable credentials/verifiable presentations of their data or choose to deny applications and organizations access to their data.  •  ユーザーは,アプリケーションや組織に実際のデータ,または検証可能なクレデンシャル/検証可能なデータの提示を提供するか,アプリケーションや組織によるデータへのアクセスを拒否することを選択できる。
•       Applications and organizations may offer incentives for users to provide data.  •  アプリケーションや組織は,ユーザにデータを提供するインセンティブを提供することができる。
•       Data can be tokenized and transferred directly between users.  •  データはトークン化され,ユーザー間で直接転送することができる。
•       Application execution and transaction fees are paid for with webnative currencies (e.g., cryptocurrencies).  •  アプリケーションの実行と取引手数料は、ウェブネイティブ通貨(暗号通貨など)で支払われる。
•       Users who execute application logic and maintain the state of systems can receive payment in web-native currencies (e.g., cryptocurrencies) for doing so.   •  アプリケーションロジックを実行し、システムの状態を維持するユーザーは、その対価としてウェブネイティブ通貨(暗号通貨など)で支払いを受けることができる。 

 

 

NIST - ITL

・2024.04.11 NIST IR 8475 (Initial Public Draft) A Security Perspective on the Web3 Paradigm

NIST IR 8475 (Initial Public Draft) A Security Perspective on the Web3 Paradigm NIST IR 8475(初期ドラフト) Web3パラダイムに関するセキュリティの視点
Announcement 発表
Since its inception, the internet has constantly developed and improved, moving beyond simple text•  and image-based informational websites to a fully interactive and powerful social, collaborative, and communication platform. However, the basis for much of the internet has remained rooted in a client/server-based paradigm, where organizations provide services and applications in exchange for ownership — partial or whole — of the user data posted to those systems. インターネットはその誕生以来、常に発展し改善され、単純なテキストや画像ベースの情報ウェブサイトから、完全にインタラクティブで強力なソーシャル、コラボレーション、コミュニケーションプラットフォームへと移行してきた。しかしながら、インターネットの基盤の多くは、クライアント/サーバーベースのパラダイムに根ざしたままであり、そこでは、組織がサービスやアプリケーションを提供する代わりに、それらのシステムに投稿されたユーザーデータの一部または全部を所有する。
A growing number of people are exploring what the internet could look like if it were a decentralized system in which users own, manage, and store their own data and collectively participate in hosting and running applications. Many have taken to calling this shift in internet paradigms “Web3.” もしインターネットが、ユーザーが自分自身のデータを所有・管理・保存し、アプリケーションのホスティングと実行に集団で参加する分散型システムであれば、どのようなものになるかを探求する人々が増えている。多くの人々は、インターネットのパラダイムにおけるこの変化を "Web3 "と呼んでいる。
This publication: 本書では
・Provides a brief background on the internet ・インターネットの簡単な背景をプロバイダに提供する。
・Explores some of the concepts behind Web3 ・Web3の背後にあるコンセプトのいくつかを探る
・Explores some of the proposed technologies that could be used ・使用される可能性のあるいくつかの技術について説明する。
・Describes some security and privacy concerns that should be kept in mind as Web3 is explored ・Web3が検討される際に留意すべきセキュリティとプライバシーの懸念について説明する。
Abstract 概要
Web3 is a proposed vision for the future of the internet that is restructured to be more user-centric with an emphasis on decentralized data. Users would own and manage their personal data, and systems would be decentralized and distributed. Digital tokens would be used to represent assets, and web-native currencies (such as cryptocurrencies) would be used for payments. This document provides a high-level technical overview of Web3 and discusses the technologies that are proposed to implement it. The integration of these developing technologies may present novel security challenges, so this paper presents security considerations that should be addressed when considering Web3 technology and adoption. Web3は、分散化されたデータに重点を置き、よりユーザー中心に再構築されたインターネットの未来像である。ユーザーは個人データを所有・管理し、システムは分散化・分散化される。資産の代表者にはデジタルトークンが使われ、決済にはウェブネイティブ通貨(暗号通貨など)が使われる。この文書では、Web3のハイレベルな技術的概要をプロバイダとして提供し、それを実装するために提案されている技術について議論する。これらの発展途上の技術の統合は、新たなセキュリティ上の課題を提示する可能性があるため、本稿では、Web3の技術と採用を検討する際に対処すべきセキュリティ上の考慮事項を提示する。

 

・[PDF] NIST.IR.8475.ipd

20240413-55046

 

目次...

1. Introduction. 1. 序文
2. Background. 2. 背景
2.1. Web 1.0 - The Nascent Web. 2.1. Web 1.0 -  生まれたばかりのウェブ。
2.2. Web 2.0 - The Current Web 2.2. ウェブ2.0 - 現在のウェブ
2.3. Web3 vs. Web 3.0 - The "Semantic" Web 2.3. Web3対Web3.0 - "セマンティック "ウェブ
3. Web3 Overview 3. Web3の概要
3.1. Web3 Vision 3.1. Web3ビジョン
3.2. Web3 Data 3.2. Web3データ
3.3. Web3 Technology Components 3.3. Web3テクノロジー・コンポーネント
3.4. Web3 Discussion 3.4. Web3ディスカッション
4. Web3 Security and Privacy 4. Web3のセキュリティとプライバシー
4.1. Phishing, Scams and Trust in a Decentralized Ecosystem 4.1. フィッシング、詐欺、分散型エコシステムにおける信頼性
4.2. Increased User Responsibility and Access Recovery 4.2. ユーザーの責任とアクセス回復の強化
4.3. Data Persistence and Difficulty Removing Data. 4.3. データの永続性と削除の困難性
4.4. User Security Through Decentralization 4.4. 分散化によるユーザーのセキュリティ
4.5. Errors and Bugs 4.5. エラーとバグ
4.6. Inability to Refuse a Transaction 4.6. 取引を拒否できない
4.7. Availability and Denial of Service 4.7. 可用性とサービス拒否
4.8. Censorship Resistance 4.8. 検閲への抵抗
4.9. Chain Splits, Duplicated Applications and Data 4.9. チェーンの分岐、アプリケーションとデータの複製
4.10. User Profiling 4.10. ユーザーのプロファイリング
4.11. Privacy-Preserving Regulations 4.11. プライバシー保護規制
5. Conclusion 5. 結論
References 参考文献

 

 

 

Continue reading "米国 NIST IR 8475(初期公開ドラフト) Web3パラダイムに関するセキュリティの視点"

| | Comments (0)

2024.04.05

米国 意見募集 NIST CSWP 33(初公開ドラフト) 製品開発サイバーセキュリティハンドブック: IoT製品製造者のための概念と考慮事項

こんにちは、丸山満彦です。

米国では、消費者向けIoT製品について認証制度(サイバートラストマーク制度)が始まろうとしていますが、その参考になる文書ですかね...

 

NIST - ITL

プレス...

・2024.04.03 NIST Releases a Draft Product Development Cybersecurity Handbook for IoT Product Manufacturers for Public Comment

 

文書...

・2024.04.03 NIST CSWP 33 (Initial Public Draft) Product Development Cybersecurity Handbook: Concepts and Considerations for IoT Product Manufacturers

 

NIST CSWP 33 (Initial Public Draft) Product Development Cybersecurity Handbook: Concepts and Considerations for IoT Product Manufacturers NIST CSWP 33(初公開ドラフト) 製品開発サイバーセキュリティハンドブック: IoT製品製造者のための概念と考慮事項
Announcement 発表
This Product Development Cybersecurity Handbook describes broadly applicable considerations for developing and deploying secure IoT products across sectors and use cases. This handbook extends NIST’s work to consider the cybersecurity of IoT product components beyond the IoT device. Significant risks can be introduced by vulnerable IoT product components even if the IoT device itself is hardened since these additional components will likely have privileged access to the IoT device and related data. この製品開発サイバーセキュリティハンドブックは、セクターやユースケースを問わず、安全なIoT製品を開発・展開するための広範に適用可能な考慮事項について説明している。本ハンドブックは、IoTデバイスを超えたIoT製品コンポーネントのサイバーセキュリティを検討するために、NISTの作業を拡張したものである。これらの追加コンポーネントは、IoT デバイスと関連データに特権的にアクセスできる可能性が高いため、IoT デバイス自体が堅牢化されていても、脆弱性のある IoT製品コンポーネントによって重大なリスクがもたらされる可能性がある。
The Product Development Cybersecurity Handbook includes the following topics: 製品開発サイバーセキュリティハンドブックには、以下のトピックが含まれている:
・How IoT product components can vary and be assembled into IoT products ・IoT製品のコンポーネントはどのように変化し、IoT製品に組み立てられるか。
・Cybersecurity considerations for IoT product component hardware and software ・IoT製品コンポーネントのハードウェアとソフトウェアに関するサイバーセキュリティの考慮事項
・How IoT product components use internet infrastructure and other equipment to communicate ・IoT製品コンポーネントがインターネットインフラや他の機器を使用してどのようにコミュニケーションするか
・The multiple parties that may have a role in supporting a secure IoT product life cycle ・安全な IoT製品のライフサイクルをサポートする役割を担う複数の関係者
・Standards and guidance related to cybersecurity outcomes for IoT products ・IoT製品のサイバーセキュリティの成果に関連する標準とガイダンス
・IoT product architecture, deployment, roles, and cybersecurity perspectives ・IoT製品のアーキテクチャ、実装、役割、サイバーセキュリティの観点
・Approaches to cybersecurity in IoT products, including several IoT product deployment and instantiation examples with related informative references ・IoT製品におけるサイバーセキュリティへのアプローチ(IoT製品の配備とインスタンス化の例と関連する参考文献を含む
Abstract 概要
As interest in Internet of Things (IoT) technologies has grown, so have concerns and attention to cybersecurity of the newly network-connected products and services offered in many sectors, including energy services, water/waste-water services, automobiles, consumer electronics, and government. This Product Development Cybersecurity Handbook will describe concepts important to developing and deploying secure IoT products for any sector or use case, including discussion of IoT Product architecture, deployment, roles and cybersecurity perspectives. This publication extends and elaborates on NIST’s prior work related to development of IoT products. In addition to discussing the concepts, this publication also demonstrates their application and discusses how satisfaction of cybersecurity in IoT products can be approached. モノのインターネット(IoT)技術への関心が高まるにつれ、エネルギーサービス、上下水道サービス、自動車、家電製品、政府など、多くの分野で新たに提供されるネットワーク接続製品やサービスのサイバーセキュリティに対する懸念や関心も高まっている。この「製品開発サイバーセキュリティハンドブック」では、IoT製品のアーキテクチャ、展開、役割、サイバーセキュリティの観点など、あらゆる分野やユースケースにおいて安全な IoT製品を開発・展開するために重要な概念を説明する。本書は、IoT製品の開発に関連するNISTの先行研究を拡張し、精緻化したものである。本書では、概念について説明するだけでなく、その適用例を示し、IoT製品におけるサイバーセキュリティの満足度をどのように高めるかについても論じている。

 

・[PDF] NIST.CSWP.33.ipd

20240405-42921

 

目次...

Introduction 序文
IoT Product-System Architecture Considerations IoT製品-システムアーキテクチャに関する考察
IoT Product Deployment Considerations IoT製品の展開に関する考慮事項
Roles Supporting IoT Product Cybersecurity Outcomes IoT製品のサイバーセキュリティの成果を支える役割
IoT Product Cybersecurity Perspectives IoT製品のサイバーセキュリティの観点
IoT Product Components vs. Network Infrastructure, Etc. IoT製品コンポーネントとネットワークインフラ等の比較
IoT Product Component Hardware, Platforms, and Software IoT製品コンポーネントのハードウェア、プラットフォーム、ソフトウェア
Locally vs. Remotely Managed ローカル管理かリモート管理か
Cybersecurity Outcomes and Requirements サイバーセキュリティの成果と要件
Technical Cybersecurity Outcome Considerations サイバーセキュリティの技術的成果に関する考慮事項
Local Device Only IoT Products ローカルデバイスのみのIoT製品
Local Management of IoT products IoT製品のローカル管理
Variety of Local Product-System Architectures 多様なローカル製品-システム・アーキテクチャ
Third-Party Local Management Tools サードパーティ製ローカル管理ツール
Remote Backends リモート・バックエンド
Shared Cloud Backends 共有クラウド・バックエンド
Cloud Backend Interoperability クラウド・バックエンドの相互運用性
Non-technical Cybersecurity Outcome Considerations サイバーセキュリティの非技術的成果に関する考慮事項
Documentation ドキュメンテーション
Information and Query Reception 情報と問い合わせの受信
Information Dissemination 情報発信
Education and Awareness 教育と意識向上
References 参考文献

 

IoT製品のためのサイバーセキュリティの基本コンセプト - ハードウェアから成果まで
20240405-51431

 

 

サイバーセキュリティ成果の満足度評価に関する考慮事項 - 技術的成果と非技術的成果

20240405-51618

 

環境の前提...

1_20240405053701 2_20240405053701 3_20240405053701 4_20240405053701 5_20240405053701 6_20240405053701 7_20240405053701

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

米国...

・2024.03.20 米国 連邦通信委員会 (FCC) がIoTサイバーセキュリティ表示プログラム(サイバートラストマーク)の規則を採択 (2024.03.14)

・2023.07.19 米国 消費者向けIoT製品のセキュリティ認証制度、サイバートラスト・マーク (U.S. Cyber Trust Mark) を発表

・2022.09.24 NIST NISTIR 8425 消費者向けIoT製品のIoTコアベースラインのプロファイル、NISTIR 8431 「NIST基礎の上に築く:IoTセキュリティの次のステップ」ワークショップ概要報告書

・2022.06.19 NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル

・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

・2021.09.02 NIST ホワイトペーパー(ドラフト):消費者向けIoTデバイスのベースライン・セキュリティ基準

・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト(Ver.2)を公開していますね。。。

 

EU

・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)

・2024.02.02 欧州委員会 サイバーセキュリティ認証制度 (EUCC) を採択

・2024.01.17 欧州 欧州議会の投票にかけられるサイバーレジリエンス法案 (Cyber Resilience Act)

・2023.12.04 欧州理事会、欧州議会がサイバーレジリエンス法について政治的合意

・2023.05.31 ENISA 新技術に対応したEUサイバーセキュリティ認証の実現可能性を探る

・2023.03.21 ENISA サイバーセキュリティ認証のウェブページを開設

・2023.03.01 IPA 欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳の公開

・2023.02.02 ドイツ スペースネットAG社のサービスにITセキュリティラベルを渡す

・2022.12.15 ドイツ フランス IT製品のセキュリティ認証に関する共同文書を発行 (固定時間制認証制度)

・2022.10.31 ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)

・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品

・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。

 

英国

・2023.05.04 英国 インターネットに接続するすべての消費者向け製品に適用される最低セキュリティ基準制度が1年後にはじまりますよ〜 (2023.04.29)

・2023.04.25 Five Eyesの国々が安全なスマートシティを作るための共同ガイダンスを発表 (2023.04.20)

・2022.12.11 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法成立 at 2022.12.06

・2022.01.27 英国 スマートデバイスのサイバーセキュリティ新法に一歩近づくと発表

・2021.12.09 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法案 at 2021.11.24

 

中国

・2022.02.15 中国 国家サイバースペース管理局 専門家の解説 ネットワーク重要機器のセキュリティ認証とセキュリティテストによるネットワークセキュリティの基本ディスクの維持

 

日本

・2024.03.17 経済産業省 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会の最終とりまとめを公表し、制度構築方針案に対する意見公募を開始

・2023.05.17 経済産業省 産業サイバーセキュリティ研究会 WG3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会 中間とりまとめ

・2022.11.04 経済産業省 第1回 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会

 

| | Comments (0)

2024.03.30

米国 CISA 意見募集 2022年重要インフラ向けサイバーインシデント報告法(CIRCIA) の規則案を公表

こんにちは、丸山満彦です。

2022年重要インフラ向けサイバーインシデント報告法の規則案が公表されました...

2022年重要インフラ向けサイバーインシデント報告法(CIRCIA)は、ランサムウェアの身代金を払ったら報告しろっという内容を含む法律ですね...

 

CISA

・2024.03.27 CISA Marks Important Milestone in Addressing Cyber Incidents; Seeks Input on CIRCIA Notice of Proposed Rulemaking

CISA Marks Important Milestone in Addressing Cyber Incidents; Seeks Input on CIRCIA Notice of Proposed Rulemaking CISAはサイバーインシデントへの対応において重要なマイルストーンとなるを置いた: CIRCIA規則案公示に関する意見募集
WASHINGTON – Today, the Federal Register posted for public inspection the Department of Homeland Security’s (DHS) Cybersecurity and Infrastructure Security Agency (CISA) Notice of Proposed Rulemaking (NPRM), which CISA was required to develop by the Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA). This marks a major step in bolstering America’s cybersecurity.  ワシントン発-本日、連邦官報は、国土安全保障省(DHS)のサイバーセキュリティ・インフラセキュリティ庁(CISA)が、2022年重要インフラ向けサイバーインシデント報告法(CIRCIA)によりCISAに策定を義務付けられていた規則策定提案公告(NPRM)を一般公開した。これはアメリカのサイバーセキュリティを強化する大きな一歩となる。
Implementation of CIRCIA will improve CISA’s ability to use cybersecurity incident and ransomware payment information reported to the agency to identify patterns in real-time, fill critical information gaps, rapidly deploy resources to help entities that are suffering from cyber attacks, and inform others who would be potentially affected. When information about cyber incidents is shared quickly, CISA can use this information to render assistance and provide warning to prevent other organizations from falling victim to a similar incident. This information is also critical to identifying trends that can help efforts to protect the homeland. The NPRM will soon formally publish in the Federal Register, following which the public will have 60 days to submit written comments to inform the direction and substance of the Final Rule.  CIRCIAの改善は、CISAに報告されたサイバーセキュリティインシデントとランサムウェアの支払い情報を利用して、リアルタイムでパターンを特定し、重要な情報のギャップを埋め、サイバー攻撃を受けている事業体を支援するためにリソースを迅速に配置し、影響を受ける可能性のある他の事業者に情報を提供するCISAの能力を向上させる。サイバーインシデントに関する情報が迅速に共有されれば、CISAはこの情報を利用して支援を提供し、他の組織が同様のインシデントの犠牲にならないよう警告を発することができる。また、この情報は、国土を守る取り組みに役立つ傾向を特定するためにも重要である。NPRMは間もなく連邦官報に正式に掲載され、その後一般市民は60日以内に最終規則の方向性と内容を決定するための意見書を提出することができる。
“Cyber incident reports submitted to us through CIRCIA will enable us to better protect our nation’s critical infrastructure,” said Secretary of Homeland Security Alejandro N. Mayorkas.  “CIRCIA enhances our ability to spot trends, render assistance to victims of cyber incidents, and quickly share information with other potential victims, driving cyber risk reduction across all critical infrastructure sectors. The proposed rule is the result of collaboration with public and private stakeholders, and DHS welcomes feedback during the public comment period on the direction and substance of the final rule.” アレハンドロ・N・マヨルカス国土安全保障長官は次のように述べた。「CIRCIAを通じて提出されたサイバーインシデント報告書により、わが国の重要インフラをよりよく保護することができるようになる。 CIRCIAは、傾向を把握し、サイバーインシデントの被害者に支援を提供し、他の潜在的な被害者と情報を迅速に共有する能力を強化し、すべての重要インフラ部門にわたってサイバーリスク削減を推進する。この規則案は、官民の利害関係者との協力の結果であり、DHSは、最終規則の方向性と内容に関するパブリック・コメント期間中のフィードバックを歓迎する。」
"CIRCIA is a game changer for the whole cybersecurity community, including everyone invested in protecting our nation’s critical infrastructure,” said CISA Director Jen Easterly. “It will allow us to better understand the threats we face, spot adversary campaigns earlier, and take more coordinated action with our public and private sector partners in response to cyber threats. We look forward to additional feedback from the critical infrastructure community as we move towards developing the Final Rule." CISAのディレクターのジェン・イーストリーは次のように述べた。「CIRCIAは、わが国の重要インフラの保護に投資するすべての人を含むサイバーセキュリティ・コミュニティ全体にとって、ゲームチェンジャーである。私たちが直面する脅威をよりよく理解し、敵のキャンペーンをより早く察知し、サイバー脅威に対して官民のパートナーとより協調した行動をとることができるようになる。最終規則の策定に向けて、重要インフラコミュニティからのさらなるフィードバックを期待している。」
Since September 2022, CISA has solicited input from public and private sector stakeholders, including the critical infrastructure community, as the agency developed the NPRM, and this open comment period is another opportunity for stakeholders to submit written comments on the NPRM. The NPRM contains proposed regulations for cyber incident and ransom payment reporting, as well as other aspects of the CIRCIA regulatory program. Implementation of CIRCIA enables CISA to develop insight into the cyber threat landscape to drive cyber risk reduction across the nation and to provide early warning to entities who may be at risk of targeting. The comments CISA received through the Request for Information (RFI) and listening sessions over the past year helped shape this NPRM. In turn, robust input on the NPRM will support our ability to implement CIRCIA to drive national cyber risk reduction. 2022年9月以来、CISAはNPRMの策定にあたり、重要インフラ・コミュニティを含む官民の利害関係者から意見を募っており、今回の意見公募期間も、利害関係者がNPRMに対する意見書を提出する機会となる。NPRM は、サイバーインシデントおよび身代金支払報告に関する規制案、ならびに CIRCIA 規制プログラムのその他の側面を含んでいる。CIRCIAの実施により、CISAはサイバー脅威の状況についての洞察を深め、全国的なサイバーリスクの低減を推進し、標的となるリスクのある事業体に対して早期に警告を発することができる。CISAが過去1年間に情報要求(RFI)およびリスニング・セッションを通じて受け取った意見は、このNPRMの形成に役立った。その結果、NPRM に対する積極的な意見は、国家的なサイバー・リスク削減を推進する CIRCIA の実施能力を支援することになる。
Visit cisa.gov/CIRCIA to learn more. 詳細は cisa.gov/CIRCIA を参照されたい。

 

Federal Register

・2024.03.27 Cyber Incident Reporting for Critical Infrastructure Act

・[PDF] 6 CFR Part 226 [Docket No. CISA-2022-0010] RIN 1670-AA04 Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA) Reporting Requirements

20240329-181555

 

目次...

TABLE OF CONTENTS 目次
I. PUBLIC PARTICIPATION I. 市民参加
II. EXECUTIVE SUMMARY II. 要旨
A. PURPOSE AND SUMMARY OF THE REGULATORY ACTION A. 規制措置の目的と概要
B. SUMMARY OF COSTS AND BENEFITS B. 費用と便益の概要
III. BACKGROUND AND PURPOSE III. 背景と目的
A. LEGAL AUTHORITY A. 法的認可
B. CURRENT CYBER INCIDENT REPORTING LANDSCAPE B. 現在のサイバーインシデント報告状況
C. PURPOSE OF REGULATION C. 規制の目的
i. Purposes of the CIRCIA Regulation i. CIRCIA規則の目的
ii. How the Regulatory Purpose of CIRCIA Influenced the Design of the Proposed CIRCIA Regulation ii. CIRCIAの規制目的が提案されたCIRCIA規制の設計にどのような影響を与えたか。
D. HARMONIZATION EFFORTS D. ハーモナイゼーションの取り組み
E. INFORMATION SHARING REQUIRED BY CIRCIA E. CIRCIAが求める情報共有
F. SUMMARY OF STAKEHOLDER COMMENTS F. 利害関係者のコメントの要約
i. General Comments i. 一般的コメント
ii. Comments on the Definition of Covered Entity ii. 対象事業体の定義に関するコメント
iii. Comments on the Definition of Covered Cyber Incident and Substantial Cyber Incident  iii. 対象となるサイバーインシデント及び実質的なサイバーインシデントの定義に関する意見 
iv. Comments on Other Definitions iv. その他の定義に関する意見
v. Comments on Criteria for Determining whether the Domain Name System Exception Applies  v. ドメインネームシステムの例外が適用されるかどうかの判断基準に関する意見 
vi. Comments on Manner and Form of Reporting, Content of Reports, and Reporting Procedures  vi. 報告の方法・形式、報告内容、報告手順に関する意見 
vii. Comments on the Deadlines for Submission of CIRCIA Reports  vii. CIRCIA 報告書の提出期限に関する意見 
viii. Comments on Third-Party Submitters  viii. サードパーティ提出者に関する意見 
ix. Comments on Data and Records Preservation Requirements ix. データおよび記録の保存要件に関するコメント
x. Comments on Other Existing Cyber Incident Reporting Requirements and the Substantially Similar Reporting Exception  x. その他の既存のサイバーインシデント報告要件および実質的に類似した報告例外に関する意見 
xi. Comments on Noncompliance and Enforcement  xi. コンプライアンス違反と執行に関する意見 
xii. Comments on Treatment and Restrictions on Use of CIRCIA Reports  xii. CIRCIA 報告書の取り扱いと使用制限に関するコメント 
IV. DISCUSSION OF PROPOSED RULE IV. 規則案の検討
A. DEFINITIONS A. 定義
i. Covered Entity  i. 対象事業体 
ii. Cyber Incident, Covered Cyber Incident, and Substantial Cyber Incident  ii. サイバーインシデント、対象サイバーインシデント、実質的サイバーインシデント 
iii. CIRCIA Reports  iii. CIRCIAレポート 
iv. Other Definitions iv. その他の定義
v. Request for Comments on Proposed Definitions v. 定義案に関する意見要求
B. APPLICABILITY B. 適用範囲
i. Interpreting the CIRCIA Statutory Definition of Covered Entity  i. CIRCIAの対象事業体の法定定義の解釈 
ii. Determining if an Entity is in a Critical Infrastructure Sector ii. 事業体が重要インフラ部門に属するかどうかの判断
iii. Clear Description of the Types of Entities that Constitute Covered Entities Based on Statutory Factors  iii. 法定要因に基づく、対象事業体を構成する事業体の種類の明確な説明 
iv. Explanation of Specific Proposed Applicability Criteria iv. 具体的な適用基準案の説明
v. Other Approaches Considered to Describe Covered Entity  v. 対象事業体を説明するために検討された他のアプローチ 
vi. Request for Comments on Applicability Section vi. 適用セクションに関する意見要求
C. REQUIRED REPORTING ON COVERED CYBER INCIDENTS AND RANSOM PAYMENTS C. 対象となるサイバーインシデントおよび身代金の支払いに関する報告義務
i. Overview of Reporting Requirements i. 報告要件の概要
ii. Reporting of Single Incidents Impacting Multiple Covered Entities ii. 複数の対象事業体に影響を与える単一インシデントの報告
D. EXCEPTIONS TO REQUIRED REPORTING ON COVERED CYBER INCIDENTS AND RANSOM PAYMENTS D. 対象となるサイバーインシデントおよび身代金の支払いに関する報告義務の例外
i. Substantially Similar Reporting Exception  i. 実質的に類似した報告の例外 
ii. Domain Name System (DNS) Exception ii. ドメインネームシステム(DNS)の例外
iii. Exception for Federal Agencies Subject to Federal Information Security Modernization Act Reporting Requirements iii. 連邦情報セキュリティ近代化法(Federal Information Security Modernization Act)報告要件の対象となる連邦機関の例外
E. MANNER, FORM, AND CONTENT OF REPORTS E. 報告の方法、形式および内容
i. Manner of Reporting  i. 報告の方法 
ii. Form for Reporting  ii. 報告の書式 
iii. Content of Reports  iii. 報告の内容 
iv. Timing of Submission of CIRCIA Reports  iv. CIRCIA報告書の提出時期 
v. Report Submission Procedures v. 報告書提出手順
vi. Request for Comments on Proposed Manner, Form, and Content of Reports vi. 報告書の様式、内容に関する意見要求
F. DATA AND RECORDS PRESERVATION REQUIREMENTS F. データおよび記録の保存要件
i. Types of Data That Must be Preserved  i. 保存されなければならないデータの種類 
ii. Required Preservation Period  ii. 必要な保存期間 
iii. Data Preservation Procedural Requirements iii. データ保存の手続き要件
iv. Request for Comments on Proposed Data Preservation Requirements iv. データ保全要件案に関する意見要求
G. ENFORCEMENT G. 実施
i. Overview i. 概要
ii. Request for Information  ii. 情報提供の要請 
iii. Subpoena  iii. 召喚状 
iv. Service of an RFI, Subpoena, or Notice of Withdrawal  iv. RFI、召喚状、または撤回通知の送達 
v. Enforcement of Subpoenas  v. 召喚状の執行 
vi. Acquisition, Suspension, and Debarment Enforcement Procedures  vi. 取得、一時停止、および資格剥奪の執行手続き 
vii. Penalty for False Statements and Representations  vii. 虚偽の陳述および表明に対する罰則 
viii. Request for Comments on Proposed Enforcement viii. 施行案に関する意見要求
H. PROTECTIONS H. 防御
i. Treatment of Information and Restrictions on Use  i. 情報の取り扱いと使用制限 
ii. Protection of Privacy and Civil Liberties  ii. プライバシーと自由の防御 
iii. Digital Security iii. デジタル・セキュリティ
iv. Request for Comments on Proposed Protections iv. 防御案に対する意見要求
I. SEVERABILITY I. 可逆性
V. STATUTORY AND REGULATORY ANALYSES V. 法規制に関する分析
A. REGULATORY PLANNING AND REVIEW A. 規制の計画と見直し
i. Number of Reports  i. 報告書の数 
ii. Industry Cost ii. 業界コスト
iii. Government Cost  iii. 政府コスト 
iv. Combined Costs  iv. 複合コスト 
v. Benefits  v. 利益 
vi. Accounting Statement  vi. 会計計算書 
vii. Alternatives vii. 代替案
B. SMALL ENTITIES B. 小規模事業体
C. ASSISTANCE FOR SMALL ENTITIES C. 小規模事業体に対する支援
D. COLLECTION OF INFORMATION D. 情報収集
E. FEDERALISM E. 連邦主義
F. UNFUNDED MANDATES REFORM ACT F. 義務不履行改革法
G. TAKING OF PRIVATE PROPERTY G. 私有財産の収奪
H. CIVIL JUSTICE REFORM H. 民事司法改革
I. PROTECTION OF CHILDREN I. 子どもの保護
J. INDIAN TRIBAL GOVERNMENTS J. インディアン部族政府
K. ENERGY EFFECTS K. エネルギーへの影響
L. TECHNICAL STANDARDS L. 技術標準
M. NATIONAL ENVIRONMENTAL POLICY ACT M. 国家環境政策法
VI. PROPOSED REGULATION  VI. 規制案 

 

規則案...

 VI. Proposed Regulation   VI. 規則案 
List of Subjects in 6 CFR Part 226 6 CFR Part 226の対象リスト
Computer Technology, Critical Infrastructure, Cybersecurity, Internet, Reporting and Recordkeeping Requirements.  コンピュータ技術、重要インフラ、サイバーセキュリティ、インターネット、報告および記録要件。
For the reasons stated in the preamble, and under the authority of 6 U.S.C. 681 through 681e and 6 U.S.C. 681g, the Department of Homeland Security proposes to add chapter II, consisting of part 226 to title 6 of the Code of Regulations to read as follows: 前文に記載された理由により、また合衆国法律集第 6 編第 681 条から第 681e 条および第 6 編第 681 条第 681g 条の認可に基づき、国土安全保障省は、規則集第 6 編第 226 部からなる第 II 章を以下のように追加することを提案する:
CHAPTER II--DEPARTMENT OF HOMELAND SECURITY, CYBERSECURITY AND INFRASTRUCTURE SECURITY AGENCY 第 II 章--国土安全保障省、サイバーセキュリティ・インフラセキュリティ庁
PART 226—COVERED CYBER INCIDENT AND RANSOM PAYMENT REPORTING 第 226 部:対象となるサイバーインシデントおよび身代金支払報告
Sec. セクション
226.1 Definitions. 226.1 定義
226.2 Applicability. 226.2 適用可能性
226.3 Required reporting on covered cyber incidents and ransom payments. 226.3 対象となるサイバーインシデントおよび身代金の支払いに関する報告義務
226.4 Exceptions to required reporting on covered cyber incidents and ransom payments. 226.4 対象となるサイバーインシデントおよび身代金の支払いに関する報告義務の例外
226.5 CIRCIA Report submission deadlines. 226.5 CIRCIA 報告書の提出期限
226.6 Required manner and form of CIRCIA Reports. 226.6 CIRCIA 報告書の要求される方法および形式
226.7 Required information for CIRCIA Reports. 226.7 CIRCIA 報告書に必要な情報
226.8 Required information for Covered Cyber Incident Reports. 226.8 対象サイバーインシデント報告書に必要な情報
226.9 Required information for Ransom Payment Reports. 226.9 身代金支払報告書に必要な情報
226.10 Required information for Joint Covered Cyber Incident and Ransom Payment Reports. 226.10 合同対象サイバーインシデントおよび身代金支払報告書に必要な情報
226.11 Required information for Supplemental Reports. 226.11 補足報告に必要な情報。
226.12 Third party reporting procedures and requirements. 226.12 サードパーティ報告手順および要件
226.13 Data and records preservation requirements. 226.13 データおよび記録の保存要件
226.14 Request for information and subpoena procedures. 226.14 情報要求および召喚手続き
226.15 Civil enforcement of subpoenas. 226.15 召喚状の民事執行
226.16 Referral to the Department of Homeland Security Suspension and Debarment Official. 226.16 国土安全保障省の資格停止および資格剥奪担当官への照会
226.17 Referral to Cognizant Contracting Official or Attorney General. 226.17 担当の契約担当官または司法長官への照会
226.18 Treatment of information and restrictions on use. 226.18 情報の取り扱いと使用制限
226.19 Procedures for protecting privacy and civil liberties. 226.19 プライバシーおよび市民的自由を保護するための防御措置。
226.20 Other procedural measures. 226.20 その他の手続き上の措置
AUTHORITY: 6 U.S.C. 681 – 681e, 6 U.S.C. 681g; Sections 2240-2244 and 2246 of the Homeland Security Act of 2002, Pub. L. 107–296, 116 Stat. 2135, as amended by Pub. L. 117-103 and Pub. L. 117-263 (Dec. 23, 2022).  認可:6 U.S.C. 681~681e、6 U.S.C. 681g、2002 年国土安全保障法(Homeland Security Act of 2002, Pub. L.107-296、116 Stat. L.117-103およびPub. L.117-263(2022年12月23日)により改正された。
§ 226.1 Definitions. § 226.1 定義
For the purposes of this part: 本編における定義:
CIRCIA means the Cyber Incident Reporting for Critical Infrastructure Act of 2022, as amended, in 6 U.S.C. 681 – 681g.
CIRCIAとは、6 U.S.C.681~681gにある、改正された2022年重要インフラ法を意味する。
CIRCIA Agreement means an agreement between CISA and another Federal agency that meets the requirements of § 226.4(a)(2), has not expired or been terminated, and, when publicly posted by CISA in accordance with § 226.4(a)(5), indicates the availability of a substantially similar reporting exception for use by a covered entity.  CIRCIA 合意とは、226.4 条(a)(2)の要件を満たし、失効または終了しておらず、226.4 条(a)(5)に従って CISA が公示する場合、対象事業体が実質的に同様の報告例外を利用できることを示す、CISA と他の連邦機関との間の合意をいう。
CIRCIA Report means a Covered Cyber Incident Report, Ransom Payment Report, Joint Covered Cyber Incident and Ransom Payment Report, or Supplemental Report, as defined under this part. CIRCIA 報告書とは、本編に基づき定義されるとおり、対象サイバーインシデント報告書、身代金支払 報告書、共同対象サイバーインシデント及び身代金支払報告書、又は補足報告書をいう。
Cloud service provider means an entity offering products or services related to cloud computing, as defined by the National Institute of Standards and Technology in Nat’l Inst. of Standards & Tech., NIST Special Publication 800-145, and any amendatory or superseding document relating thereto. クラウドサービスプロバイダとは、国立標準技術研究所の NIST 特別刊行物(NIST 特別刊行物 800-145)、およびこれに関連する修正文書または優先文書によって定義される、クラウドコンピューティングに関連する製品またはサービスを提供する事業体をいう。
Covered cyber incident means a substantial cyber incident experienced by a covered entity. 対象サイバーインシデントとは、対象事業体が経験した実質的なサイバーインシデントをいう。
Covered Cyber Incident Report means a submission made by a covered entity or a third party on behalf of a covered entity to report a covered cyber incident as required by this part. A Covered Cyber Incident Report also includes any responses to optional questions and additional information voluntarily submitted as part of a Covered Cyber Incident Report.  対象サイバーインシデント報告とは、対象事業体または対象事業体を代行するサードパーティが、本部の定めるところに従い、対象サイバーインシデントを報告するために提出するものをいう。対象サイバーインシデント報告には、任意の質問に対する回答および対象サイバーインシデント報告の一部として自主的に提出された追加情報も含まれる。
Covered entity means an entity that meets the criteria set forth in § 226.2 of this part. 対象事業体とは、本編第 226.2 条に定める基準を満たす事業体をいう。
Cyber incident means an occurrence that actually jeopardizes, without lawful authority, the integrity, confidentiality, or availability of information on an information system; or actually jeopardizes, without lawful authority, an information system. サイバーインシデントとは、合法的な権限なしに、情報システム上の情報の完全性、機密性、または可用性を実際に危険にさらす、または合法的な権限なしに、情報システムを実際に危険にさらす事象をいう。
Cybersecurity and Infrastructure Security Agency or CISA means the Cybersecurity and Infrastructure Security Agency as established under section 2202 of the Homeland Security Act of 2002 (6 U.S.C. 652), as amended by the Cybersecurity and Infrastructure Security Agency Act of 2018 and subsequent laws, or any successor organization.  サイバーセキュリティ・インフラセキュリティ庁または CISA とは、2002 年国土安全保障法(6 U.S.C. 652)第 2202 条に基づき設立されたサイバーセキュリティ・インフラセキュリティ庁、2018 年サイバーセキュリティ・インフラセキュリティ庁法およびその後の法律により改正されたサイバーセキュリティ・インフラセキュリティ庁、またはその後継組織をいう。
Cybersecurity threat means an action, not protected by the First Amendment to the Constitution of the United States, on or through an information system that may result in an unauthorized effort to adversely impact the security, availability, confidentiality, or integrity of an information system or information that is stored on, processed by, or transiting an information system. This term does not include any action that solely involves a violation of a consumer term of service or a consumer licensing agreement. サイバーセキュリティ上の脅威とは、情報システム上で、または情報システムを通じて、米国憲法修正第1条によって保護されない行為であって、情報システム、または情報システムに保存され、情報システムによって処理され、または情報システムを通過する情報のセキュリティ、可用性、機密性、または完全性に悪影響を及ぼす不正な努力をもたらす可能性のある行為をいう。この用語には、消費者向けサービス条件または消費者向けライセンス契約の違反のみを伴う行為は含まれない。
Director means the Director of CISA, any successors to that position within the Department of Homeland Security, or any designee. 長官とは、CISA長官、国土安全保障省内の同職の後継者、または被指名人をいう。
Information system means a discrete set of information resources organized for the collection, processing, maintenance, use, sharing, dissemination, or disposition of information, including, but not limited to, operational technology systems such as industrial control systems, supervisory control and data acquisition systems, distributed control systems, and programmable logic controllers. 情報システムとは、情報の収集、処理、保守、使用、共有、普及または処分のために組織された情報リソースの個別の集合をいい、産業制御システム、監視制御およびデータ収集システム、分散制御システム、プログラマブル・ロジック・コントローラなどの運用技術システムを含むが、これらに限定されない。
Joint Covered Cyber Incident and Ransom Payment Report means a submission made by a covered entity or a third party on behalf of a covered entity to simultaneously report both a covered cyber incident and ransom payment related to the covered cyber incident being reported, as required by this part. A Joint Covered Cyber Incident and Ransom Payment Report also includes any responses to optional questions and additional information voluntarily submitted as part of the report. 共同対象サイバーインシデントおよび身代金支払報告書とは、本編で義務付けられているとおり、対象事業体または対象事業体を代行するサードパーティが、報告される対象サイバーインシデントに関連する対象サイバーインシデントおよび身代金支払の両方を同時に報告するために提出するものをいう。対象となるサイバーインシデントおよび身代金支払の共同報告には、任意の質問に対する回答および報告の一部として任意に提出された追加情報も含まれる。
Managed service provider means an entity that delivers services, such as network, application, infrastructure, or security services, via ongoing and regular support and active administration on the premises of a customer, in the data center of the entity, such as hosting, or in a third-party data center. マネージド・サービス・プロバイダとは、顧客の構内、ホスティングなどの事業体のデータセンター、またはサードパーティ・データセンターにおいて、継続的かつ定期的なサポートおよび能動的な管理を通じて、ネットワーク、アプリケーション、インフラストラクチャ、またはセキュリティサービスなどのサービスを提供する事業体をいう。
Personal information means information that identifies a specific individual or nonpublic information associated with an identified or identifiable individual. Examples of personal information include, but are not limited to, photographs, names, home addresses, direct telephone numbers, social security numbers, medical information, personal financial information, contents of personal communications, and personal web browsing history. 個人を特定できる情報とは、特定の個人を識別する情報、または識別された個人もしくは識別できる個人に関連する非公開情報をいう。個人情報の例としては、写真、氏名、自宅住所、直通電話番号、社会保障番号、医療情報、個人財務情報、個人コミュニケーションの内容、個人のウェブ閲覧履歴などが挙げられるが、これらに限定されない。
Ransom payment means the transmission of any money or other property or asset, including virtual currency, or any portion thereof, which has at any time been delivered as ransom in connection with a ransomware attack.  身代金の支払いとは、ランサムウェア攻撃に関連して身代金として引き渡された、仮想通貨を含む金銭その他の財産または資産、またはその一部の送信をいう。
Ransom Payment Report means a submission made by a covered entity or a third party on behalf of a covered entity to report a ransom payment as required by this part. A Ransom Payment Report also includes any responses to optional questions and additional information voluntarily submitted as part of a Ransom Payment Report.  身代金支払報告とは、本編の定めるところに従い、対象事業体または対象事業体に代わってサードパーティが身代金支払を報告するために提出するものをいう。身代金支払報告には、任意の質問に対する回答および身代金支払報告の一部として任意 に提出された追加情報も含まれる。
Ransomware attack means an occurrence that actually or imminently jeopardizes, without lawful authority, the integrity, confidentiality, or availability of information on an information system, or that actually or imminently jeopardizes, without lawful authority, an information system that involves, but need not be limited to, the following: ランサムウェア攻撃とは、情報システム上の情報の完全性、機密性、または可用性を、合法的な 権限なく、実際に、または差し迫った形で危険にさらす、または情報システムを、合法的な 権限なく、実際に、または差し迫った形で危険にさらすような発生を意味するが、これらに 限定される必要はない:
(1) The use or the threat of use of:  (1)以下の使用または使用の脅威: 
(i) Unauthorized or malicious code on an information system; or  (i) 情報システム上で不正または悪意のあるコードを使用すること。
(ii) Another digital mechanism such as a denial-of-service attack;  (ii) サービス妨害(DoS)攻撃などの別のデジタル・メカニズム; 
(2) To interrupt or disrupt the operations of an information system or compromise the confidentiality, availability, or integrity of electronic data stored on, processed by, or transiting an information system; and (2) 情報システムの運用を妨害もしくは混乱させること、または情報システムに保存され、情報システムによって処理され、もしくは情報システムを通過する電子データの機密性、可用性、もしくは完全性を侵害すること。
(3) To extort a ransom payment. (3) 身代金の支払いを強要すること。
(4) Exclusion. A ransomware attack does not include any event where the demand for a ransom payment is: (4) 除外。ランサムウェア攻撃には、身代金の支払要求が以下のような事象は含まれない:
(i) Not genuine; or (i) 真正でない。
(ii) Made in good faith by an entity in response to a specific request by the owner or operator of the information system. (ii) 情報システムの所有者または運営者による特定の要求に応じて、事業体によって誠実に行われた。
State, Local, Tribal, or Territorial Government entity or SLTT Government entity means an organized domestic entity which, in addition to having governmental character, has sufficient discretion in the management of its own affairs to distinguish it as separate from the administrative structure of any other governmental unit, and which is one of the following or a subdivision thereof: 州、地方、部族、または準州政府事業体(State, Local, Tribal, or Territorial Government entity)またはSLTT政府事業体(SLTT Government entity)とは、政府としての性格を有することに加え、他のいかなる政府単位の行政機構とも区別されるように、自らの事務の管理において十分な裁量権を有する組織化された国内事業体を意味し、以下のいずれかまたはその下位区分である:
(1) A State of the United States, the District of Columbia, the Commonwealth of Puerto Rico, the Virgin Islands, Guam, American Samoa, the Commonwealth of the Northern Mariana Islands, and any possession of the United States;  (1) 米国の州、コロンビア特別区、プエルトリコ連邦、バージン諸島、グアム、米領サモア、北マリアナ諸島連邦、および米国の属領; 
(2) A county, municipality, city, town, township, local public authority, school district, special district, intrastate district, council of governments, regardless of whether the council of governments is incorporated as a nonprofit corporation under State law, regional or interstate government entity, or agency or instrumentality of a Local government;  (2) 郡、自治体、市、町、郷、地方公共団体、学区、特別区、州内地区、自治体評議会(自治体評議会が州法に基づく非営利法人として法人化されているか否かを問わない)、地域政府または州間政府事業体、または地方政府の機関または組織; 
(3) An Indian tribe, band, nation, or other organized group or community, or other organized group or community, including any Alaska Native village or regional or village corporation as defined in or established pursuant to 43 U.S.C. 1601 et seq., which is recognized as eligible for the special programs and services provided by the United States to Indians because of their status as Indians; and  (3) インディアンの部族、バンド、国民、その他の組織化された集団または共同体、あるいは 43 U.S.C.1601.他に従って定義または設立されたアラスカ先住民の村、地域または村社会を含むその他の組織化された集団または共同体であって、インディア ンであることを理由に米国がインディアンに提供する特別なプログラムやサービスを受ける資格があると認 められているもの。
(4) A rural community, unincorporated town or village, or other public entity. (4) 農村コミュニティ、法人化されていない町村、またはその他の事業体。
Substantial cyber incident means a cyber incident that leads to any of the following:  実質的なサイバーインシデントとは、以下のいずれかにつながるサイバーインシデントをいう: 
(1) A substantial loss of confidentiality, integrity or availability of a covered entity’s information system or network;  (1) 対象事業体の情報システムまたはネットワークの機密性、完全性または可用性の重大な損失; 
(2) A serious impact on the safety and resiliency of a covered entity’s operational systems and processes; (2) 対象事業体の業務システムおよびプロセスの安全性およびレジリエンスに対する重大な影響;
(3) A disruption of a covered entity’s ability to engage in business or industrial operations, or deliver goods or services;  (3) 対象事業体の事業活動もしくは産業活動、または商品もしくはサービスの提供能力の中断; 
(4) Unauthorized access to a covered entity’s information system or network, or any nonpublic information contained therein, that is facilitated through or caused by a: (4) 対象事業体の情報システムおよびネットワーク、またはそこに含まれる非公開情報への不正アクセ スであって、以下を通じて容易になったもの、または以下に起因するもの:
(i) Compromise of a cloud service provider, managed service provider, or other third-party data hosting provider; or  (i) クラウドサービス・プロバイダ、マネージドサービス・プロバイダ、またはその他のサードパーティ・データ・ホスティング・プロバイダの危殆化。
(ii) Supply chain compromise. (ii) サプライチェーンの侵害
(5) A “substantial cyber incident” resulting in the impacts listed in paragraphs (1) through (3) in this definition includes any cyber incident regardless of cause, including, but not limited to, any of the above incidents caused by a compromise of a cloud service provider, managed service provider, or other third-party data hosting provider; a supply chain compromise; a denial-of-service attack; a ransomware attack; or exploitation of a zero-day vulnerability.  (5) 本定義の第(1)項から第(3)項までに列挙される影響をもたらす「実質的なサイバーインシデント」には、クラウドサービス・プロバイダ、マネージドサービス・プロバイダ、またはその他のサードパーティデータホスティングプロバイダの危殆化、サプライチェーンの危殆化、サービス妨害攻撃、ランサムウェア攻撃、またはゼロデイ脆弱性の悪用によって引き起こされる上記のインシデントを含むが、これらに限定されない、原因の如何を問わないあらゆるサイバーインシデントが含まれる。
(6) The term “substantial cyber incident” does not include:  (6) 「実質的なサイバーインシデント」という用語には、以下は含まれない: 
(i) Any lawfully authorized activity of a United States Government entity or SLTT Government entity, including activities undertaken pursuant to a warrant or other judicial process;  (i) 米国政府事業体またはSLTT政府事業体の合法的に認可された活動(令状またはその他の司法手続に従って行われる活動を含む); 
(ii) Any event where the cyber incident is perpetrated in good faith by an entity in response to a specific request by the owner or operator of the information system; or  (ii) サイバー・インシデントが、情報システムの所有者または運営者による特定の要請に応じて、事業体によって誠実に実行された場合。
(iii) The threat of disruption as extortion, as described in 6 U.S.C. 650(22). (iii) 6 U.S.C.650(22)に記載されているように、恐喝として破壊の恐れがある場合。
Supplemental report means a submission made by a covered entity or a third party on behalf of a covered entity to update or supplement a previously submitted Covered Cyber Incident Report or to report a ransom payment made by the covered entity after submitting a Covered Cyber Incident Report as required by this part. A supplemental report also includes any responses to optional questions and additional information voluntarily submitted as part of a supplemental report. 補足報告とは、対象事業体または対象事業体に代わって第三者が、以前に提出された対象サイ バーインシデント報告書を更新または補足するために、または本編の定めるところに従って対象サイ バーインシデント報告書を提出した後に対象事業体が行った身代金の支払いを報告するために提出するものをいう。補足報告には、任意の質問に対する回答および補足報告の一部として自主的に提出された追加情報も含まれる。
Supply chain compromise means a cyber incident within the supply chain of an information system that an adversary can leverage, or does leverage, to jeopardize the confidentiality, integrity, or availability of the information system or the information the system processes, stores, or transmits, and can occur at any point during the life cycle. サプライチェーンの危殆化とは、情報システムのサプライチェーン内において、敵対者が情報シス テムまたはシステムが処理、保存、送信する情報の機密性、完全性、または可用性を危うくする ために利用することができる、または利用するサイバーインシデントを意味し、ライフサイクル のどの時点においても発生する可能性がある。
Virtual currency means the digital representation of value that functions as a medium of exchange, a unit of account, or a store of value. Virtual currency includes a form of value that substitutes for currency or funds.  仮想通貨とは、交換媒体、勘定単位、または価値の保管庫として機能する価値のデジタル表現を意味する。仮想通貨には、通貨または資金の代わりとなる価値の形態も含まれる。
§ 226.2 Applicability. § 226.2 適用可能性
This part applies to an entity in a critical infrastructure sector that either:  本編は、以下のいずれかに該当する重要インフラ部門の事業体に適用される: 
(a) Exceeds the small business size standard. Exceeds the small business size standard specified by the applicable North American Industry Classification System Code in the U.S. Small Business Administration’s Small Business Size Regulations as set forth in 13 CFR part 121; or (a) 中小企業標準を超える。13 CFR part 121 に規定される米国中小企業局の中小企業規 則(Small Business Size Regulations)の該当する北米産業分類システムコードによって指定される中小企業規格を超える。
(b) Meets a sector-based criterion. Meets one or more of the sector-based criteria provided below, regardless of the specific critical infrastructure sector of which the entity considers itself to be part:  (b) 業種別基準を満たす。事業体が属する特定の重要インフラ部門にかかわらず、以下に示す部門別基準を1つ以上満たしている: 
(1) Owns or operates a covered chemical facility. The entity owns or operates a covered chemical facility subject to the Chemical Facility Anti-Terrorism Standards pursuant to 6 CFR part 27; (1) 対象となる化学施設を所有または運営している。事業体は、6 CFRパート27に従った化学施設テロ対策標準の対象となる化学施設を所有または運営している;
(2) Provides wire or radio communications service. The entity provides communications services by wire or radio communications, as defined in 47 U.S.C. 153(40), 153(59), to the public, businesses, or government, as well as one-way services and two-way services, including but not limited to: (2) 有線または無線によるコミュニケーションサービスをプロバイダとして提供する。事業体は、47 U.S.C. 153(40)、153(59)に定義される有線または無線通信によるコミュニケーション・サービスを、一般市民、企業、または政府に対して、一方向サービスおよび双方向サービスとして提供する:
(i) Radio and television broadcasters;  (i) ラジオ・テレビ放送事業者; 
(ii) Cable television operators;  (ii) ケーブルテレビ事業者 
(iii) Satellite operators;  (iii) 衛星通信事業者 
(iv) Telecommunications carriers;  (iv) 電気通信事業者 
(v) Submarine cable licensees required to report outages to the Federal  (v) 47 CFR 4.15に基づき、連邦通信委員会に停電を報告する必要がある海底ケーブル免許事業者。
Communications Commission under 47 CFR 4.15;  (v) 47 CFR 4.15に基づき連邦コミュニケーション委員会に停電を報告する必要がある海底ケーブル免許業者; 
(vi) Fixed and mobile wireless service providers;  (vi) 固定および移動無線サービスプロバイダ; 
(vii) Voice over Internet Protocol providers; or (vii) ボイス・オーバー・インターネット・プロトコル・プロバイダ。
(viii) Internet service providers;  (viii) インターネット・サービス・プロバイダ; 
(3) Owns or operates critical manufacturing sector infrastructure. The entity owns or has business operations that engage in one or more of the following categories of manufacturing: (3) 重要な製造部門のインフラを所有または運営している。事業体は、以下のカテゴリーの1つ以上に従事する製造業を所有または事業展開している:
(i) Primary metal manufacturing;  (i) 一次金属製造業; 
(ii) Machinery manufacturing;  (ii) 機械製造; 
(iii) Electrical equipment, appliance, and component manufacturing; or  (iii) 電気機器、器具、部品製造業;または 
(iv) Transportation equipment manufacturing; (iv) 輸送機器製造;
(4) Provides operationally critical support to the Department of Defense or processes, stores, or transmits covered defense information. The entity is a contractor or subcontractor required to report cyber incidents to the Department of Defense pursuant to the definitions and requirements of the Defense Federal Acquisition Regulation Supplement 48 CFR 252.204-7012;
(4) 国防総省に運用上重要な支援を提供する、または対象となる国防情報を処理、保管、伝送する。事業体は、国防連邦調達規則補遺 48 CFR 252.204-7012 の定義および要件に従って、サイバーインシデントを国防総省に報告する必要がある請負業者または下請業者である;
(5) Performs an emergency service or function. The entity provides one or more of the following emergency services or functions to a population equal to or greater than 50,000 individuals: (5) 緊急サービスまたは機能を実行する。事業体は、50,000 人以上の人口に対し、以下の緊急サービスまたは機能の 1 つ以上を提供する:
(i) Law enforcement;  (i) 法執行; 
(ii) Fire and rescue services;  (ii) 消防および救助サービス; 
(iii) Emergency medical services;  (iii) 緊急医療サービス 
(iv) Emergency management; or (iv) 緊急事態管理
(v) Public works that contribute to public health and safety;  (v) 公共衛生および安全に寄与する公共事業; 
(6) Bulk electric and distribution system entities. The entity is required to report cybersecurity incidents under the North American Electric Reliability Corporation Critical Infrastructure Protection Reliability Standards or required to file an Electric Emergency Incident and Disturbance Report OE-417 form, or any successor form, to the Department of Energy; (6) バルク電気および配電系統事業体。事業体は、北米電気信頼性委員会の重要インフラ保護信頼性基準に基づきサイバーセキュリティインシデントを報告する必要があるか、または電気緊急インシデントおよび妨害行為報告書OE-417フォーム、またはその後継フォームをエネルギー省に提出する必要がある;
(7) Owns or operates financial services sector infrastructure. The entity owns or operates any legal entity that qualifies as one or more of the following financial services entities: (7) 金融サービス部門のインフラを所有または運営している。事業体は、以下の1つ以上の金融サービス事業体に該当する法人を所有または運営している:
(i) A banking or other organization regulated by: (i) 以下の規制を受ける銀行またはその他の組織:
(A) The Office of the Comptroller of the Currency under 12 CFR parts 30 and 53, which includes all national banks, Federal savings associations, and Federal branches and agencies of foreign banks; (A) 通貨監督庁(Office of the Comptroller of the Currency)12 CFR 第 30 部および第 53 部に基づき規制される銀行またはその他の組織;
(B) The Federal Reserve Board under: (B) 以下の連邦準備制度理事会:
(1) 12 CFR parts 208, 211, 225, or 234, which includes all U.S. bank holding companies, savings and loans holding companies, state member banks, the U.S. operations of foreign banking organizations, Edge and agreement corporations, and certain designated financial market utilities; or  (1) 12 CFR 第 208 部、第 211 部、第 225 部、または第 234 部に基づく連邦準備制度理事会。これには、全ての米国銀行持株会社、貯蓄貸付持株会社、加盟国銀行、外国銀行組織の米国事業、エッジ・アンド・アグリーメント・コーポレーション、および特定の指定金融市場公益事業が含まれる。
(2) 12 U.S.C. 248(j), which includes the Federal Reserve Banks;  (2) 12 U.S.C. 248(j)(連邦準備銀行を含む; 
(C) The Federal Deposit Insurance Corporation under 12 CFR part 304, which includes all insured state nonmember banks, insured state-licensed branches of foreign banks, and insured State savings associations; (C)連邦預金保険公社は、12 CFR part 304 に基づき、すべての被保険州非加盟銀行、外国銀行の被保険州認可支店、および被保険州貯蓄組合を含む;
(ii) A Federally insured credit union regulated by the National Credit Union Administration under 12 CFR part 748;  (ii) 12 CFR part 748 に基づき全米信用組合管理局によって規制されている連邦政府被保険信用組合; 
(iii) A designated contract market, swap execution facility, derivatives clearing organization, or swap data repository regulated by the Commodity Futures Trading Commission under 17 CFR parts 37, 38, 39, and 49; (iii) 17 CFR part 37, 38, 39, 49 に基づき商品先物取引委員会が規制する指定契約市場、スワップ執行機 関、デリバティブ清算機関、またはスワップデータリポジトリ;
(iv) A futures commission merchant or swap dealer regulated by the Commodity Futures Trading Commission under 17 CFR parts 1 and 23; (iv) 17 CFR 第 1 部及び第 23 部に基づき商品先物取引委員会が規制する先物取引業者又はスワップ・ディーラー;
(v) A systems compliance and integrity entity, security-based swap dealer, or security-based swap data repository regulated by the Securities and Exchange Commission under Regulation Systems Compliance and Integrity or Regulation Security-Based Swap Regulatory Regime, 17 CFR part 242;  (v) 証券取引委員会により、17CFR part 242「システム・コンプライアンス及び完全性規制」または「セキュリテ ィ・ベース・スワップ規制」に基づき規制されているシステム・コンプライアンス及び完全性事 業体、セキュリティ・ベース・スワップ・ディーラー、またはセキュリティ・ベース・スワップ・ データ保管所; 
(vi) A money services business as defined in 31 CFR 1010.100(ff); or (vi) 31 CFR 1010.100(ff)に定義されるマネーサービス事業。
(vii) Fannie Mae and Freddie Mac as defined in 12 CFR 1201.1; (vii) 12 CFR 1201.1 に定義されるファニーメイおよびフレディマック;
(8) Qualifies as a State, local, Tribal, or territorial government entity. The entity is a State, local, Tribal, or territorial government entity for a jurisdiction with a population equal to or greater than 50,000 individuals; (8) 州、地方、部族、または準州の政府事業体に該当する。事業体は、人口 50,000 人以上の管轄区域の州、地方、部族、または準州の政府機関である;
(9) Qualifies as an education facility. The entity qualifies as any of the following types of education facilities:  (9) 教育施設である。事業体は、以下の種類の教育施設のいずれかに該当する: 
(i) A local educational agency, educational service agency, or state educational agency, as defined under 20 U.S.C. 7801, with a student population equal to or greater than 1,000 students; or  (i) 学生数が1,000人以上の、U.S.C.第7801条に基づいて定義される地方教育機関、教育サー ビス機関、または州教育機関。
(ii) An institute of higher education that receives funding under Title IV of the Higher Education Act, 20 U.S.C. 1001 et seq., as amended; (ii) 高等教育法 Title IV(合衆国法典第 20 編第 1001 条ほか、改正されたもの)に基づき資金援助 を受ける高等教育機関;
(10) Involved with information and communications technology to support elections processes. The entity manufactures, sells, or provides managed services for information and communications technology specifically used to support election processes or report and display results on behalf of State, Local, Tribal, or Territorial governments, including but not limited to: (10) 選挙プロセスを支援するための情報通信技術に関与している。事業体は、州、地方、部族、または準州政府に代わって、選挙プロセスを支援するため、または結果を報告・表示するために特別に使用される情報通信技術を製造、販売、またはマネージドサービス・プロバイダーとして提供している:
(i) Voter registration databases;  (i) 有権者登録データベース; 
(ii) Voting systems; and (ii) 投票システム
(iii) Information and communication technologies used to report, display, validate, or finalize election results;  (iii) 選挙結果の報告、表示、検証、確定に使用される情報通信技術; 
(11) Provides essential public health-related services. The entity provides one or more of the following essential public health-related services: (11) 必要不可欠な公衆衛生関連サービスをプロバイダとして提供する。事業体は、以下の一つ以上の必須公衆衛生関連サービスを提供する:
(i) Owns or operates a hospital, as defined by 42 U.S.C. 1395x(e), with 100 or more beds, or a critical access hospital, as defined by 42 U.S.C. 1395x(mm)(1); (i) 42 U.S.C.1395x(e)に定義される、100 床以上の病院、または 42 U.S.C.1395x(mm)(1)に定義される重要アクセス病院を所有または運営する;
(ii) Manufactures drugs listed in appendix A of the Essential Medicines Supply Chain and Manufacturing Resilience Assessment developed pursuant to section 3 of E.O. 14017; or
(ii) E.O. 14017 の第 3 項に従って作成された必須医薬品サプライチェーンおよび製造レジリエンス・アセスメントの付録 A に記載されている医薬品を製造している。

(iii) Manufactures a Class II or Class III device as defined by 21 U.S.C. 360c; (iii) 21 U.S.C. 360c で定義されるクラスⅡまたはクラスⅢの機器を製造する;
(12) Information technology entities. The entity meets one or more of the following criteria: (12) 情報技術事業体。事業体は、以下の基準の 1 つ以上を満たす:
(i) Knowingly provides or supports information technology hardware, software, systems, or services to the Federal government; (i) 情報技術のハードウェア、ソフトウェア、システム、またはサービスを、連邦政府 に故意にプロバイダまたはサポートする;
(ii) Has developed and continues to sell, license, or maintain any software that has, or has direct software dependencies upon, one or more components with at least one of these attributes:  (ii)以下の属性の少なくとも1つを持つ1つまたは複数のコンポーネントを持つ、またはそれに直接依存するソフトウェアを開発し、販売、ライセンス供与、または保守を継続している: 
(A) Is designed to run with elevated privilege or manage privileges;  (A) 昇格した特権で実行されるか、特権を管理するように設計されている; 
(B) Has direct or privileged access to networking or computing resources; (B) ネットワークまたはコンピューティングリソースに直接または特権的にアクセスする;
(C) Is designed to control access to data or operational technology;  (C) データまたは運用技術へのアクセスを制御するように設計されている; 
(D) Performs a function critical to trust; or  (D) 信頼に不可欠な機能を実行する。
(E) Operates outside of normal trust boundaries with privileged access;  (E) 特権アクセスにより、通常の信頼境界の外で運用される; 
(iii) Is an original equipment manufacturer, vendor, or integrator of operational technology hardware or software components; (iii) 運用技術のハードウェアまたはソフトウェア・コンポーネントの製造事業者、ベンダー、またはインテグレーターである;
(iv) Performs functions related to domain name operations;  (iv) ドメイン名の運用に関連する機能を実行する; 
(13) Owns or operates a commercial nuclear power reactor or fuel cycle Facility. The entity owns or operates a commercial nuclear power reactor or fuel cycle facility licensed to operate under the regulations of the Nuclear Regulatory Commission, 10 CFR chapter I; (13) 商業用原子炉または燃料サイクル施設を所有または運営している。事業体は、原子力規制委員会の規制(10CFR第I章)に基づ いて操業することを許可された商業用原子炉または燃料サイクル施設を所有または操業する;
(14) Transportation system entities. The entity is required by the Transportation Security Administration to report cyber incidents or otherwise qualifies as one or more of the following transportation system entities: (14) 輸送システム事業体。事業体は、運輸保安局からサイバーインシデントの報告を求められているか、そうでなければ以下の運輸システム事業体の一つ以上に該当する:
(i) A freight railroad carrier identified in 49 CFR 1580.1(a)(1), (4), or (5); (i) 49 CFR 1580.1(a)(1)、(4)または(5)で識別される貨物鉄道事業者;
(ii) A public transportation agency or passenger railroad carrier identified in 49 CFR 1582.1(a)(1)-(4); (ii) 49 CFR 1582.1(a)(1)~(4)で識別される公共交通機関または旅客鉄道事業者;
(iii) An over-the-road bus operator identified in 49 CFR 1584.1; (iii) 49 CFR 1584.1 で特定される道路バス事業者;
(iv) A pipeline facility or system owner or operator identified in 49 CFR 1586.101; (iv) 49 CFR 1586.101で特定されるパイプライン施設またはシステムの所有者または運営者;
(v) An aircraft operator regulated under 49 CFR part 1544;  (v) 49 CFR パート 1544 に基づき規制される航空機運航者; 
(vi) An indirect air carrier regulated under 49 CFR part 1548;  (vi) 49 CFR part 1548 に基づき規制される間接航空運送事業者; 
(vii) An airport operator regulated under 49 CFR part 1542; or  (vii) 49 CFR part 1542 に基づき規制される空港運営者。
(viii) A Certified Cargo Screening Facility regulated under 49 CFR part 1549; (viii) 49 CFR part 1549 に基づき規制される認定貨物スクリーニング施設;
(15) Subject to regulation under the Maritime Transportation Security Act. The entity owns or operates a vessel, facility, or outer continental shelf facility subject to 33 CFR parts 104, 105, or 106; or  (15) 海上輸送安全法に基づく規制対象。事業体は、33 CFR part 104、105、または 106 の対象となる船舶、施設、または大陸棚外施設を所有または運営する。
(16) Owns or operates a qualifying community water system or publicly owned treatment works. The entity owns or operates a community water system, as defined in 42 U.S.C. 300f(15), or a publicly owned treatment works, as defined in 40 CFR 403.3(q), for a population greater than 3,300 people. (16) 適格な地域水道システムまたは公営の処理施設を所有または運営している。事業体は、42 U.S.C. 300f(15)に定義される地域水道、または 40 CFR 403.3(q)に定義される公有処理施設を、3,300 人以上の人口のために所有または運営している。
§ 226.3 Required reporting on covered cyber incidents and ransom payments. § 226.3 対象となるサイバーインシデントおよび身代金の支払いに関する報告義務
(a) Covered cyber incident. A covered entity that experiences a covered cyber incident must report the covered cyber incident to CISA in accordance with this part.  (a) 対象サイバーインシデント。対象サイバーインシデントを経験した対象事業体は、本編に従い、対象サイバーインシデントを CISA に報告しなければならない。
(b) Ransom payment. A covered entity that makes a ransom payment, or has another entity make a ransom payment on the covered entity’s behalf, as the result of a ransomware attack against the covered entity must report the ransom payment to CISA in accordance with this part. This reporting requirement applies to a covered entity even if the ransomware attack that resulted in a ransom payment is not a covered cyber incident subject to the reporting requirements of this part. If a covered entity makes a ransom payment that relates to a covered cyber incident that was previously reported in accordance with paragraph (a) of this section, the covered entity must instead submit a supplemental report in accordance with paragraph (d)(1)(ii) of this section. (b) 身代金の支払い。対象事業体に対するランサムウェア攻撃の結果として、身代金の支払いを行う、または対象事業体に代わ って他の事業体に身代金の支払いを行わせる対象事業体は、本編に従い、身代金の支払いを CISA に報告しなければならない。この報告要件は、身代金支払の原因となったランサムウェア攻撃が、本編の報告要件の対象となる対象サイバーインシデントでない場合であっても、対象事業体に適用される。対象事業体が、本項の(a)項に従って以前に報告された対象サイバーインシデントに関連する身代金の支払いを行った場合、対象事業体は代わりに、本項の(d)(1)(ii)項に従って補足報告を提出しなければならない。
(c) Covered cyber incident and ransom payment. A covered entity that experiences a covered cyber incident and makes a ransom payment, or has another entity make a ransom payment on the covered entity’s behalf, that is related to that covered cyber incident may report both events to CISA in a Joint Covered Cyber Incident and Ransom Payment Report in accordance with this part. If a covered entity, or a third party acting on the covered entity’s behalf, submits a Joint Covered Cyber Incident and Ransom Payment Report in accordance with this part, the covered entity is not required to also submit reports pursuant to paragraph (a) and (b) of this section. (c) 対象となるサイバーインシデントおよび身代金の支払い。対象となるサイバーインシデントを経験し、身代金の支払いを行った、または対象となるサイバーインシデントに関連する身代金の支払いを他の事業体に代行させた対象事業体は、本編に従い、対象となるサイバーインシデントおよび身代金支払い共同報告書において、両方の事象を CISA に報告することができる。対象事業体または対象事業体の代理を務めるサードパーティが、本編に従って共同対象サイ バーインシデントおよび身代金支払報告書を提出する場合、対象事業体は、本項(a)および(b)に従った報告書も提出する必要はない。
(d) Supplemental Reports--(1) Required Supplemental Reports. A covered entity must promptly submit Supplemental Reports to CISA about a previously reported covered cyber incident in accordance with this part unless and until such date that the covered entity notifies CISA that the covered cyber incident at issue has concluded and has been fully mitigated and resolved. Supplemental Reports must be promptly submitted by the covered entity if: (d) 補足報告書--(1) 必須の補足報告書。対象事業体は、対象事業体が問題の対象サイバーインシデントが終結し、完全に低減され解決されたと CISA に通知しない限り、またその日まで、本編に従い、以前に報告された対象サイバーインシデントに関する補足報告を CISA に速やかに提出しなければならない。以下の場合、対象事業体は速やかに補足報告書を提出しなければならない:
(i) Substantial new or different information becomes available. Substantial new or different information includes but is not limited to any information that the covered entity was required to provide as part of a Covered Cyber Incident Report but did not have at the time of submission; or (i) 実質的に新しいまたは異なる情報が入手可能となった場合。実質的に新しいまたは異なる情報には、対象事業体が対象サイバーインシデント報告書の一部 として提供することを義務付けられていたが、提出時に持っていなかった情報が含まれるが、こ れらに限定されない。
(ii) The covered entity makes a ransom payment, or has another entity make a ransom payment on the covered entity’s behalf, that relates to a covered cyber incident that was previously reported in accordance with paragraph (a) of this section.  (ii) 対象事業体が、本項の(a)項に従って以前に報告された対象サイバーインシデントに関連して、身代金の支払いを行うか、または対象事業体に代わって他の事業体に身代金の支払いを行わせる。
(2) Optional notification that a covered cyber incident has concluded. A covered entity may submit a Supplemental Report to inform CISA that a covered cyber incident previously reported in accordance with paragraph (a) of this section has concluded and been fully mitigated and resolved. (2) 対象となるサイバーインシデントが終了したことの任意の通知。対象事業体は、本項の(a)項に従って以前に報告された対象サイバーインシデントが終結し、完全に低減され解決されたことを CISA に通知するために、補足報告を提出することができる。
§ 226.4 Exceptions to required reporting on covered cyber incidents and ransom payments. § 226.4 対象のサイバーインシデント及び身代金の支払いに関する報告義務の例外
(a) Substantially similar reporting exception--(1) In general. A covered entity that reports a covered cyber incident, ransom payment, or information that must be submitted to CISA in a supplemental report to another Federal agency pursuant to the terms of a CIRCIA Agreement will satisfy the covered entity’s reporting obligations under § 226.3. A covered entity is responsible for confirming that a CIRCIA Agreement is applicable to the covered entity and the specific reporting obligation it seeks to satisfy under this part, and therefore, qualifies for this exemption.  (a) 実質的に類似した報告の例外--(1) 一般的に。対象となるサイバーインシデント、身代金の支払い、またはCIRCIA協定の条件に従って他の連邦機関への補足報告でCISAに提出しなければならない情報を報告する対象事業体は、226.3条に基づく対象事業体の報告義務を満たす。対象事業体は、CIRCIA合意が対象事業体に適用され、本編に基づき充足しようとする特定の報告義務に適用され、したがって本免除の対象となることを確認する責任を負う。
(2) CIRCIA Agreement requirements. A CIRCIA Agreement may be entered into and maintained by CISA and another Federal agency in circumstances where CISA has determined the following: (2) CIRCIA協定の要件。CISAが以下のように判断した場合、CISAと他の連邦機関によりCIRCIA合意が締結され、維持されることがある:
(i) A law, regulation, or contract exists that requires one or more covered entities to report covered cyber incidents or ransom payments to the other Federal agency; (i) 1つ以上の対象事業体が、対象となるサイバー・インシデントまたは身代金の支払いを他の連邦機 関に報告することを要求する法律、規制、または契約が存在する;
(ii) The required information that a covered entity must submit to the other Federal agency pursuant to a legal, regulatory, or contractual reporting requirement is substantially similar information to that which a covered entity is required to include in a CIRCIA Report as specified in §§ 226.7 through 226.11, as applicable; (ii) 法律、規制、または契約上の報告要件に従って、対象事業体が他の連邦機関に提出しなければならな い必要な情報が、該当する場合、第 226.7 条から第 226.11 条に規定される CIRCIA 報告書に対象事 業体が記載することを義務付けられている情報と実質的に類似している;
(iii) The applicable law, regulation, or contract requires covered entities to report covered cyber incidents or ransom payments to the other Federal agency within a substantially similar timeframe to those for CIRCIA Reports specified in § 226.5; and  (iii) 適用法、規制、または契約により、対象事業体は、226.5 条に規定される CIRCIA 報告書と実質的に同様の期間内に、対象となるサイバーインシデントまたは身代金の支払いを他の連邦機関に報告することが義務付けられている。
(iv) CISA and the other Federal agency have an information sharing mechanism in place. (iv) CISA と他の連邦機関は、情報共有の仕組みを有している。
(3) Substantially similar information determination. CISA retains discretion to determine what constitutes substantially similar information for the purposes of this part. In general, in making this determination, CISA will consider whether the specific fields of information reported by the covered entity to another Federal agency are functionally equivalent to the fields of information required to be reported in CIRCIA Reports under §§ 226.7 through 226.11, as applicable. (3) 実質的に類似した情報の判断。CISAは、本編の目的上、何が実質的に類似した情報を構成するかを決定する裁量権を保持する。一般に、CISAは、この判定を行うにあたり、対象事業体が他の連邦機関に報告する特定の情報分野が、該当する場合、§226.7から§226.11に基づきCIRCIAレポートで報告することが要求される情報分野と機能的に同等であるかどうかを考慮する。
(4) Substantially similar timeframe. Reporting in a substantially similar timeframe means that a covered entity is required to report covered cyber incidents, ransom payments, or supplemental reports to another Federal agency in a timeframe that enables the report to be shared by the Federal agency with CISA by the applicable reporting deadline specified for each type of CIRCIA Report under § 226.5.  (4) 実質的に同様のタイムフレーム。実質的に類似した時間枠での報告とは、対象事業体が、226.5 条に基づき、CIRCIA 報告書の種類ごとに指定された該当する報告期限までに、連邦機関が CISA と報告書を共有できる時間枠で、対象となるサイバーインシデント、身代金の支払い、または補足的な報告書を他の連邦機関に報告することが求められることをいう。
(5) Public posting of CIRCIA Agreements. CISA will maintain an accurate catalog of all CIRCIA Agreements on a public-facing website and will make CIRCIA Agreements publicly available, to the maximum extent practicable. An agreement will be considered a CIRCIA Agreement for the purposes of this section when CISA publishes public notice concerning the agreement on such website and until notice of termination or expiration has been posted as required under § 226.4(a)(6). (5) CIRCIA 協定の公開。CISA は、全ての CIRCIA Agreements の正確なカタログを公開ウェブサイト上に維持し、CIRCIA Agreements を可能な限り公開する。CISA が当該ウェブサイトに当該契約に関する公告を掲載した時点、及び§226.4(a)(6)に基づき要求される終了または失効通知が掲載されるまでは、当該契約は本条項において CIRCIA 契約とみなされる。
(6) Termination or expiration of a CIRCIA Agreement. CISA may terminate a CIRCIA Agreement at any time. CISA will provide notice of the termination or expiration of CIRCIA Agreements on the public-facing website where the catalog of CIRCIA Agreements is maintained.  (6) CIRCIA 協定の終了又は失効。CISA はいつでも CIRCIA 協定を終了することができる。CISA は、CIRCIA 協定のカタログが維持されている一般向けウェブサイト上で、CIRCIA 協定の終了または失効を通知する。
(7) Continuing supplemental reporting requirement. Covered entities remain subject to the supplemental reporting requirements specified under § 226.3(d), unless the covered entity submits the required information to another Federal agency pursuant to the terms of a CIRCIA Agreement.  (7) 補足報告要件の継続。対象事業体が、CIRCIA 協定の条件に従って他の連邦機関に必要な情報を提出しない限り、対象事 業体は、引き続き§226.3(d)に定める補足報告要件の対象となる。
(8) Communications with CISA. Nothing in this section prevents or otherwise restricts CISA from contacting any entity that submits information to another Federal agency, nor is any entity prevented from communicating with, or submitting a CIRCIA Report to, CISA.  (8) CISAとのコミュニケーション。本節のいかなる規定も、CISAが他の連邦機関に情報を提出する事業体とコミュニケーションすることを妨げるものではなく、また、事業体がCISAとコミュニケーションすること、またはCISAにCIRCIA報告書を提出することを妨げるものではない。
(b) Domain Name System exception. The following entities, to the degree that they are considered a covered entity under § 226.2, are exempt from the reporting requirements in this part: (b) ドメインネームシステムの例外。以下の事業体は、226.2 条に基づき対象事業体とみなされる限りにおいて、本編の報告義務を免除される:
(1) The Internet Corporation for Assigned Names and Numbers; (1) ICANN: The Internet Corporation for Assigned Names and Numbers;
(2) The American Registry for Internet Numbers;  (2) 米国インターネット番号登録局; 
(3) Any affiliates controlled by the covered entities listed in paragraphs (b)(1) and (2) of this section; and
(3) 本項第(b)(1)および(2)に記載される対象事業体が管理する関連会社。
(4) The root server operator function of a covered entity that has been recognized by the Internet Corporation for Assigned Names and Numbers as responsible for operating one of the root identities and has agreed to follow the service expectations established by the Internet Corporation for Assigned Names and Numbers and its Root Server System Advisory Committee. (4) ICANNによってルートアイデンティティの1つを運用する責任があると認められ、ICANNおよびそのルートサーバシステム諮問委員会によって確立されたサービス期待に従うことに同意した対象事業体のルートサーバ運用者機能。
(c) FISMA report exception. Federal agencies that are required by the Federal Information Security Modernization Act, 44 U.S.C. 3551 et seq., to report incidents to CISA are exempt from reporting those incidents as covered cyber incidents under this part. (c) FISMA報告書の例外。連邦情報セキュリティ近代化法(44 U.S.C. 3551 et seq.)によりインシデントを CISA に報告することが義務付けられている連邦機関は、当該インシデントを本編の対象サイバーインシデントとして報告することを免除される。
§ 226.5 CIRCIA Report submission deadlines. § 226.5 CIRCIA 報告書の提出期限
Covered entities must submit CIRCIA Reports in accordance with the submission deadlines specified in this section. 対象事業体は、本項に定める提出期限に従い、CIRCIA 報告書を提出しなければならない。
(a) Covered Cyber Incident Report deadline. A covered entity must submit a Covered Cyber Incident Report to CISA no later than 72 hours after the covered entity reasonably believes the covered cyber incident has occurred. (a) 対象サイバーインシデント報告書の期限。対象事業体は、対象サイバーインシデントが発生したと合理的に考えてから 72 時間以内に、対象サイ バーインシデント報告書を CISA に提出しなければならない。
(b) Ransom Payment Report deadline. A covered entity must submit a Ransom Payment Report to CISA no later than 24 hours after the ransom payment has been disbursed.  (b) 身代金支払報告期限。対象事業体は、身代金支払が行われた後 24 時間以内に、身代金支払報告書を CISA に提出しなければならない。
(c) Joint Covered Cyber Incident and Ransom Payment Report deadline. A covered entity that experiences a covered cyber incident and makes a ransom payment within 72 hours after the covered entity reasonably believes a covered cyber incident has occurred may submit a Joint Covered Cyber Incident and Ransom Payment Report to CISA no later than 72 hours after the covered entity reasonably believes the covered cyber incident has occurred.  (c) 合同の対象サイバーインシデントおよび身代金支払報告期限。対象事業体が対象サイバーインシデントが発生したと合理的に考えてから 72 時間以内に、対象サイ バーインシデントを経験し、身代金の支払いを行う対象事業体は、対象事業体が対象サイバーインシデ ントが発生したと合理的に考えてから 72 時間以内に、対象サイバーインシデント及び身代金支払い共同 報告書を CISA に提出することができる。
(d) Supplemental Report Deadline. A covered entity must promptly submit supplemental reports to CISA. If a covered entity submits a supplemental report on a ransom payment made after the covered entity submitted a Covered Cyber Incident Report, as required by § 226.3(d)(1)(ii), the covered entity must submit the Supplemental Report to CISA no later than 24 hours after the ransom payment has been disbursed. (d) 補足報告期限。対象事業体は、速やかに CISA に補足報告を提出しなければならない。対象事業体が226.3(d)(1)(ii)により義務付けられている対象サイバーインシデント報告書を提出した後に行われた身代金の支払いについて補足報告を提出する場合、対象事業体は、身代金の支払いが行われた後24時間以内に補足報告書をCISAに提出しなければならない。
§ 226.6 Required manner and form of CIRCIA Reports. § 226.6 CIRCIA 報告書の要求される方法および形式
A covered entity must submit CIRCIA Reports to CISA through the web-based CIRCIA Incident Reporting Form available on CISA’s website or in any other manner and form of reporting approved by the Director.  対象事業体は、CISAのウェブサイトで入手可能なウェブベースのCIRCIAインシデント報告書を通じて、又は所長が承認したその他の報告の方法及び形態で、CISAにCIRCIA報告書を提出しなければならない。
§ 226.7 Required information for CIRCIA Reports. § 226.7 CIRCIA 報告書に必要な情報
A covered entity must provide the following information in all CIRCIA Reports to the extent such information is available and applicable to the event reported: 対象事業体は、すべての CIRCIA 報告書において、報告された事象に該当する情報が入手可能な限り、 以下の情報を提供しなければならない:
(a) Identification of the type of CIRCIA Report submitted by the covered entity;  (a) 対象事業体が提出した CIRCIA 報告書の種類の特定; 
(b) Information relevant to establishing the covered entity’s identity, including the covered entity’s:  (a) 対象事業体により提出された CIRCIA 報告書の種類の特定: 
(1) Full legal name;  (1) 正式名称; 
(2) State of incorporation or formation;  (2) 法人設立または結成の州; 
(3) Affiliated trade names;  (3) 関連商号 
(4) Organizational entity type;  (4) 組織事業体の種類; 
(5) Physical address;  (5) 物理的住所 
(6) Website;  (6) ウェブサイト 
(7) Internal incident tracking number for the reported event;  (7) 報告された事象の社内インシデント追跡番号; 
(8) Applicable business numerical identifiers;  (8) 該当する事業者識別番号; 
(9) Name of the parent company or organization, if applicable; and (9) 親会社または組織の名称(該当する場合)。
(10) The critical infrastructure sector or sectors in which the covered entity considers itself to be included;  (10) 対象事業体が含まれると考える重要インフラ部門またはセクター; 
(c) Contact information, including the full name, email address, telephone number, and title for: (c) 以下の氏名、電子メールアドレス、電話番号、役職を含む連絡先情報:
(1) The individual submitting the CIRCIA Report on behalf of the covered entity; (1) 対象事業体を代表して CIRCIA 報告書を提出する者;
(2) A point of contact for the covered entity if the covered entity uses a third party to submit the CIRCIA Report or would like to designate a preferred point of contact that is different from the individual submitting the report; and  (2) 対象事業体が CIRCIA 報告書の提出にサードパーティを使用する場合、または報告書提出者 と異なる優先連絡先を指定したい場合は、対象事業体の連絡先。
(3) A registered agent for the covered entity, if neither the individual submitting the CIRCIA Report, nor the designated preferred point of contact are a registered agent for the covered entity; and  (3) CIRCIA 報告書を提出する個人または指定された優先連絡先のいずれも対象事業体の登録 代理人でない場合は、対象事業体の登録代理人。
(d) If a covered entity uses a third party to submit a CIRCIA Report on the covered entity’s behalf, an attestation that the third party is expressly authorized by the covered entity to submit the CIRCIA Report on the covered entity’s behalf. (d) 対象事業体が、対象事業体に代わって CIRCIA 報告書を提出するためにサードパーティを使 用する場合、当該サードパーティが、対象事業体に代わって CIRCIA 報告書を提出するこ とを対象事業体から明示的に認可されている旨の宣誓書。
§ 226.8 Required information for Covered Cyber Incident Reports. § 226.8 対象サイバーインシデント報告書に必要な情報
A covered entity must provide all the information identified in § 226.7 and the following information in a Covered Cyber Incident Report, to the extent such information is available and applicable to the covered cyber incident: 対象事業体は、226.7 条で特定されるすべての情報および以下の情報を、当該情報が入手可能であり、対象サイ バーインシデントに該当する限り、対象サイバーインシデント報告書に提供しなければならない:
(a) A description of the covered cyber incident, including but not limited to: (a) 対象となるサイバーインシデントの説明(以下を含むが、これに限定されない:
(1) Identification and description of the function of the affected networks, devices, and/or information systems that were, or are reasonably believed to have been, affected by the covered cyber incident, including but not limited to:  (1) 対象となるサイバーインシデントにより影響を受けた、または受けたと合理的に考えられるネットワーク、デバイス、および/または情報システムの機能の特定および説明: 
(i) Technical details and physical locations of such networks, devices, and/or information systems; and  (i) 当該ネットワーク、デバイス、および/または情報システムの技術的な詳細および物理的な場所。
(ii) Whether any such information system, network, and/or device supports any elements of the intelligence community or contains information that has been determined by the United States Government pursuant to an Executive Order or statute to require protection against unauthorized disclosure for reasons of national defense or foreign relations, or any restricted data, as defined in 42 U.S.C. 2014(y); (ii)当該情報システム、ネットワーク、および/またはデバイスが、インテリジェンス・コミュニティの要素をサポートしているかどうか、または大統領令もしくは法令に従って米国政府が国防もしくは外交関係を理由に不正な開示から保護する必要があると決定した情報、または合衆国法典第42編2014(y)に定義される制限データを含んでいるかどうか;
(2) A description of any unauthorized access, regardless of whether the covered cyber incident involved an attributed or unattributed cyber intrusion, identification of any informational impacts or information compromise, and any network location where activity was observed; (2) 対象となるサイバーインシデントが帰属するサイバー侵入であるか帰属しないサイバー侵入であるかにかかわらず、不正アクセスの説明、情報への影響または情報漏洩の特定、および活動が観察されたネットワークの場所;
(3) Dates pertaining to the covered cyber incident, including but not limited to:  (3) 対象となるサイバーインシデントに関連する日付: 
(i) The date the covered cyber incident was detected;  (i) 対象のサイバーインシデントが検知された日; 
(ii) The date the covered cyber incident began;  (ii) 対象のサイバーインシデントが開始した日; 
(iii) If fully mitigated and resolved at the time of reporting, the date the covered cyber incident ended;  (iii) 報告時に完全に低減され解決されている場合は、対象となるサイバーインシデントが終了した日; 
(iv) The timeline of compromised system communications with other systems; and (iv) 侵害されたシステムの他のシステムとのコミュニケーションのタイムライン。
(v) For covered cyber incidents involving unauthorized access, the suspected duration of the unauthorized access prior to detection and reporting; and (v) 不正アクセスを伴う対象サイバーインシデントについては、検知および報告前の不正アクセスの疑い期間。
(4) The impact of the covered cyber incident on the covered entity’s operations, such as information related to the level of operational impact and direct economic impacts to operations; any specific or suspected physical or informational impacts; and information to enable CISA’s assessment of any known impacts to national security or public health and safety; (4) 業務上の影響のレベル及び業務への直接的な経済的影響に関連する情報など、対象事業体の業務に対す る対象サイバーインシデントの影響、具体的な又は疑われる物理的又は情報的な影響、並びに国家安全保障又は公衆衛生 及び安全に対する既知の影響の CISA による評価を可能にする情報;
(b) The category or categories of any information that was, or is reasonably believed to have been, accessed or acquired by an unauthorized person or persons; (b) 許可されていない者によりアクセス又は取得された、又はされたと合理的に考えられる情報のカテゴリー;
(c) A description of any vulnerabilities exploited, including but not limited to the specific products or technologies and versions of the products or technologies in which the vulnerabilities were found; (c) 脆弱性が悪用された場合の説明(脆弱性が発見された特定の製品または技術、製品または技術のバージョンを含むが、これらに限定されない);
(d) A description of the covered entity’s security defenses in place, including but not limited to any controls or measures that resulted in the detection or mitigation of the incident; (d)インシデントの検知又は低減につながった管理又は防御策を含むが、これに限定されな い、対象事業体の実施中のセキュリティ防御策の記述;
(e) A description of the type of incident and the tactics, techniques, and procedures used to perpetrate the covered cyber incident, including but not limited to any tactics, techniques, and procedures used to gain initial access to the covered entity’s information systems, escalate privileges, or move laterally, if applicable; (e)インシデントの種類、及び対象事業体の情報システムへの最初のアクセス、権限の昇格、又は横 断的な移動に使用された戦術、技術、及び手順を含むがこれらに限定されない、対象サイ バーインシデントを実行するために使用された戦術、技術、及び手順の説明(該当する場合);
(f) Any indicators of compromise, including but not limited to those listed in§ 226.13(b)(1)(ii), observed in connection with the covered cyber incident;  (f) 226.13(b)(1)(ii)に列挙されているものを含むがこれに限定されない、対象となるサイ バーインシデントに関連して観察された危殆化の指標; 
(g) A description and, if possessed by the covered entity, a copy or samples of any malicious software the covered entity believes is connected with the covered cyber incident; (g) 対象事業体が保有している場合、対象サイバーインシデントに関連していると考えられる悪意のあるソフトウエアの説明及びコピー又はサンプル;
(h) Any identifying information, including but not limited to all available contact information, for each actor reasonably believed by the covered entity to be responsible for the covered cyber incident; (h) 対象となるサイバーインシデントに責任があると対象事業体が合理的に考える各関係者の、利用可能なすべての連絡先情報を含むがこれに限定されない識別情報;
(i) A description of any mitigation and response activities taken by the covered entity in response to the covered cyber incident, including but not limited to:  (i) 対象となるサイバーインシデントに対応して対象事業体が行った低減及び対応活動の説明: 
(1) Identification of the current phase of the covered entity’s incident response efforts at the time of reporting;  (1) 報告時における対象事業体のインシデント対応活動の現在の段階の特定; 
(2) The covered entity’s assessment of the effectiveness of response efforts in mitigating and responding to the covered cyber incident;  (2) 対象サイバーインシデントの低減および対応における対応努力の有効性に関する対象事業体の評価; 
(3) Identification of any law enforcement agency that is engaged in responding to the covered cyber incident, including but not limited to information about any specific law enforcement official or point of contact, notifications received from law enforcement, and any law enforcement agency that the covered entity otherwise believes may be involved in investigating the covered cyber incident; and (3) 対象のサイバーインシデントへの対応に従事している法執行機関の特定(特定の法執行機関の職員または連絡先、法執行機関から受領した通知、および対象事業体がその他の方法で対象サイバーインシデントの調査に関与していると考える法執行機関に関する情報を含むが、これらに限定されない)。
(4) Whether the covered entity requested assistance from another entity in responding to the covered cyber incident and, if so, the identity of each entity and a description of the type of assistance requested or received from each entity;  (4) 対象事業体が、対象となるサイバーインシデントへの対応において、他の事業体に支援を要請したかどうか、要請した場合は、各事業体の身元、および各事業体に要請または受領した支援の種類の説明; 
(j) Any other data or information as required by the web-based CIRCIA Incident Reporting Form or any other manner and form of reporting authorized under § 226.6. (j) ウェブベースのCIRCIAインシデント報告書、または§226.6に基づき認可されたその他の報告の方法および形式により要求されるその他のデータまたは情報。
§ 226.9 Required information for Ransom Payment Reports. § 226.9 身代金支払報告書に必要な情報
A covered entity must provide all the information identified in § 226.7 and the following information in a Ransom Payment Report, to the extent such information is available and applicable to the ransom payment: 対象事業体は、身代金支払報告書において、身代金支払に該当する情報が入手可能である限り、第 226.7 条で特定されるすべての情報および以下の情報を提供しなければならない:
(a) A description of the ransomware attack, including but not limited to: (a) ランサムウェア攻撃の説明(以下を含むが、これに限定されない):
(1) Identification and description of the function of the affected networks, devices, and/or information systems that were, or are reasonably believed to have been, affected by the ransomware attack, including but not limited to:  (1) ランサムウェア攻撃により影響を受けた、または受けたと合理的に考えられるネットワーク、デバイス、および/または情報システムの機能の特定および説明: 
(i) Technical details and physical locations of such networks, devices, and/or information systems; and  (i) 当該ネットワーク、デバイス、および/または情報システムの技術的詳細および物理的な場所。
(ii) Whether any such information system, network, and/or device supports any elements of the intelligence community or contains information that has been determined by the United States Government pursuant to an Executive Order or statute to require protection against unauthorized disclosure for reasons of national defense or foreign relations, or any restricted data, as defined in 42 U.S.C. 2014(y); (ii) そのような情報システム、ネットワーク、および/またはデバイスが、インテリジェンス・コミュニティの要素をサポートしているかどうか、または大統領令もしくは法令に従って米国政府が国防もしくは外交関係を理由に不正な開示から保護する必要があると決定した情報、または合衆国法典第42編2014(y)に定義されるような制限されたデータを含んでいるかどうか;
(2) A description of any unauthorized access, regardless of whether the ransomware attack involved an attributed or unattributed cyber intrusion, identification of any informational impacts or information compromise, and any network location where activity was observed; (2) ランサムウェア攻撃が帰属するサイバー侵入であるか帰属しないサイバー侵入であるかにかかわらず、不正アクセスの説明、情報への影響または情報漏洩の特定、および活動が観察されたネットワークの場所;
(3) Dates pertaining to the ransomware attack, including but not limited to:  (3) ランサムウェア攻撃に関連する日付: 
(i) The date the ransomware attack was detected;  (i) ランサムウェア攻撃が検知された日付; 
(ii) The date the ransomware attack began;  (ii) ランサムウェア攻撃の開始日; 
(iii) If fully mitigated and resolved at the time of reporting, the date the ransomware attack ended;  (iii) 報告時に完全に低減され解決されている場合は、ランサムウェア攻撃が終了した日; 
(iv) The timeline of compromised system communications with other systems; and (iv) 侵害されたシステムの他のシステムとのコミュニケーションのタイムライン。
(v) For ransomware attacks involving unauthorized access, the suspected duration of the unauthorized access prior to detection and reporting; and (v) 不正アクセスを伴うランサムウェア攻撃については、検知および報告前の不正アクセスの疑い期間。
(4) The impact of the ransomware attack on the covered entity’s operations, such as information related to the level of operational impact and direct economic impacts to operations; any specific or suspected physical or informational impacts; and any known or suspected impacts to national security or public health and safety; (4) 対象事業体の業務に対するランサムウェア攻撃の影響。例えば、業務上の影響のレベルおよび業務に対する直接的な経済的影響、物理的または情報的な影響、および国家安全保障または公衆衛生および安全に対する既知のまたは疑われる影響に関連する情報など;
(b) A description of any vulnerabilities exploited, including but not limited to the specific products or technologies and versions of the products or technologies in which the vulnerabilities were found; (b) 悪用された脆弱性の説明。脆弱性が発見された特定の製品または技術、製品または技術のバージョンを含むが、これらに限定されない;
(c) A description of the covered entity’s security defenses in place, including but not limited to any controls or measures that resulted in the detection or mitigation of the ransomware attack; (c)ランサムウェア攻撃の検知または低減につながった管理または対策を含むがこれに限定されない、対象事業体のセキュリティ防御策の説明;
(d) A description of the tactics, techniques, and procedures used to perpetrate the ransomware attack, including but not limited to any tactics, techniques, and procedures used to gain initial access to the covered entity’s information systems, escalate privileges, or move laterally, if applicable; (d)ランサムウェア攻撃を実行するために使用された戦術、技法および手順(該当する場合、対象事業体の情報システムへの初期アクセス、権限の昇格、または横移動に使用された戦術、技法および手順を含むが、これらに限定されない)の説明;
(e) Any indicators of compromise the covered entity believes are connected with the ransomware attack, including, but not limited to, those listed in section  (e)ランサムウェア攻撃に関連していると対象事業体が考える危殆化の指標。
226.13(b)(1)(ii), observed in connection with the ransomware attack; 226.13(b)(1)(ii)に記載されているものを含むが、これに限定されない;
(f) A description and, if possessed by the covered entity, a copy or sample of any malicious software the covered entity believes is connected with the ransomware attack; (g) Any identifying information, including but not limited to all available contact information, for each actor reasonably believed by the covered entity to be responsible for the ransomware attack; (f) 対象事業体が保有している場合、ランサムウェア攻撃に関連していると対象事業体が考える悪意あるソフトウエアの説明およびコピーまたはサンプル (g) 対象事業体がランサムウェア攻撃に関与していると合理的に考える各関係者の識別情報(すべての可用性連絡先情報を含むが、これに限定されない);
(h) The date of the ransom payment;  (h) 身代金の支払日; 
(i) The amount and type of assets used in the ransom payment; (i) 身代金の支払いに使用された資産の金額および種類;
(j) The ransom payment demand, including but not limited to the type and amount of virtual currency, currency, security, commodity, or other form of payment requested; (j) 身代金の支払要求(要求された仮想通貨、通貨、証券、商品またはその他の支払形態の種類および金額を含むが、これらに限定されない);
(k) The ransom payment instructions, including but not limited to information regarding how to transmit the ransom payment; the virtual currency or physical address where the ransom payment was requested to be sent; any identifying information about the ransom payment recipient; and information related to the completed payment, including any transaction identifier or hash;  (k) 身代金支払の指示(身代金支払の送信方法に関する情報を含むがこれに限定されない)、身代金支払の送信が要求された仮想通貨または物理的住所、身代金支払の取得者に関する識別情報、および完了した支払に関する情報(取引識別子またはハッシュを含むがこれに限定されない); 
(l) Outcomes associated with making the ransom payment, including but not limited to whether any exfiltrated data was returned or a decryption capability was provided to the covered entity, and if so, whether the decryption capability was successfully used by the covered entity; (l) 身代金支払いに関連する成果。これには、流出したデータが返却されたか、または対象事業体に復号化機能が提供されたかどうか、および提供された場合、対象事業体によって復号化機能が正常に使用されたかどうかが含まれるが、これらに限定されない;
(m) A description of any mitigation and response activities taken by the covered entity in response to the ransomware attack, including but not limited to: (m)ランサムウェア攻撃に対応して対象事業体が行った低減および対応活動の説明:
(1) Identification of the current phase of the covered entity’s incident response efforts at the time of reporting;  (1) 報告時における対象事業体のインシデント対応活動の現在の段階の特定; 
(2) The covered entity’s assessment of the effectiveness of response efforts in mitigating and responding to the ransomware attack; (2) ランサムウェア攻撃の低減および対応における対応努力の有効性に関する対象事業体の評価;
(3) Identification of any law enforcement agency that is engaged in responding to the ransomware attack, including but not limited to information about any specific law enforcement official or point of contact, notifications received from law enforcement, and any law enforcement agency that the covered entity otherwise believes may be involved in investigating the ransomware attack; and  (3) ランサムウェア攻撃への対応に従事している法執行機関の特定(特定の法執行機関の職員または連絡先、法執行機関から受領した通知、およびランサムウェア攻撃の調査に関与している可能性があると対象事業体が別途考える法執行機関に関する情報を含むが、これらに限定されない)。
(4) Whether the covered entity requested assistance from another entity in responding to the ransomware attack or making the ransom payment and, if so, the identity of such entity or entities and a description of the type of assistance received from each entity; (4) 対象事業体が、ランサムウェア攻撃への対応または身代金の支払いにおいて、他の事業体に支援を要請したかどうか、要請した場合には、当該事業体の身元、および各事業体から受けた支援の種類の説明;
(n) Any other data or information as required by the web-based CIRCIA Incident Reporting Form or any other manner and form of reporting authorized under § 226.6. (n) ウェブベースの CIRCIA インシデント報告書、または第 226.6 条に基づき認可されたその他の報告の方法および形式により要求されるその他のデータまたは情報。
§ 226.10 Required information for Joint Covered Cyber Incident and Ransom Payment Reports. § 226.10.共同対象サイバーインシデントおよび身代金支払報告に必要な情報。
A covered entity must provide all the information identified in §§ 226.7, 226.8, and 226.9 in a Joint Covered Cyber Incident and Ransom Payment Report to the extent such information is available and applicable to the reported covered cyber incident and ransom payment. 対象事業体は、226.7 条、226.8 条及び 226.9 条で識別されるすべての情報を、報告された対象サイ バーインシデント及び身代金支払いに適用可能な範囲で、共同対象サイバーインシデント及び身代金支払報告書に提供しなければならない。
§ 226.11 Required information for Supplemental Reports. § 226.11 補足報告に必要な情報
(a) In general. A covered entity must include all of the information identified as required in § 226.7 and the following information in any Supplemental Report: (a) 一般的に。対象事業体は、§ 226.7 で要求されている全ての情報、及び以下の情報を補足報告に含めなければならない:
(1) The case identification number provided by CISA for the associated Covered Cyber Incident Report or Joint Covered Cyber Incident and Ransom Payment Report; (1) 関連する対象サイバーインシデント報告書または共同対象サイバーインシデント及び身代金支払報告書について CISA が提供するケース識別番号;
(2) The reason for filing the Supplemental Report; (2) 補足報告を提出した理由;
(3) Any substantial new or different information available about the covered cyber incident, including but not limited to information the covered entity was required to provide as part of a Covered Cyber Incident Report but did not have at the time of submission and information required under § 226.9 if the covered entity or another entity on the covered entity’s behalf has made a ransom payment after submitting a Covered Cyber Incident Report; and  (3) 対象事業体が、対象サイバーインシデント報告書の一部として提供することが要求されていたが、提出時には持っていなかった情報、及び対象事業体又は対象事業体に代わって身代金の支払いを行った事業体が対象サイバーインシデント報告書を提出した後に身代金の支払いを行った場合に第226.9条に基づき要求される情報を含むが、これらに限定されない、対象サイバーインシデントに関して入手可能な実質的に新しい又は異なる情報。
(4) Any other data or information required by the web-based CIRCIA Incident Reporting Form or any other manner and form of reporting authorized under § 226.6. (4) ウェブベースの CIRCIA インシデント報告書、または第 226.6 条に基づき認可された報告 の他の方法および形式により要求されるその他のデータまたは情報。
(b) Required information for a Supplemental Report providing notice of a ransom payment made following submission of a Covered Cyber Incident Report. When a covered entity submits a Supplemental Report to notify CISA that the covered entity has made a ransom payment after submitting a related Covered Cyber Incident Report, the supplemental report must include the information required in § 226.9.  (b) 対象サイバーインシデント報告書の提出後に行われた身代金支払の通知を提供する補足報 告に必要な情報。対象事業体が、関連する対象サイバーインシデント報告書の提出後に身代金の支払いを行ったことを CISA に通知するために補足報告書を提出する場合、補足報告書には第 226.9 条で要求される情報が含まれていなければならない。
(c) Optional information to provide notification that a covered cyber incident has concluded. Covered entities that choose to submit a notification to CISA that a covered cyber incident has concluded and has been fully mitigated and resolved may submit optional information related to the conclusion of the covered cyber incident. (c) 対象サイバーインシデントが終了したことを通知するためのオプション情報。対象となるサイバーインシデントが終結し、完全に低減及び解決された旨の通知を CISA に提出することを選択した対象事業体は、対象となるサイバーインシデントの終結に関連するオプション情報を提出することができる。
§ 226.12 Third party reporting procedures and requirements. § 226.12 サードパーティ報告手順および要件
(a) General. A covered entity may expressly authorize a third party to submit a  (a) 一般。対象事業体は、第三者が対象事業体に関する CIRCIA 報告書を提出することを明示的に認可することができる。
CIRCIA Report on the covered entity’s behalf to satisfy the covered entity’s reporting obligations under § 226.3. The covered entity remains responsible for ensuring compliance with its reporting obligations under this part even when the covered entity has authorized a third party to submit a CIRCIA Report on the covered entity’s behalf.  対象事業体は、226.3 条に基づく対象事業体の報告義務を満たすために、対象事業体に代わって CIRCIA 報告書を提出する権限を明示的に付与することができる。対象事業体は、対象事業体に代わって第三者が CIRCIA 報告書を提出することを認可した場 合でも、本編に基づく報告義務の遵守を確保する責任を負う。
(b) Procedures for third party submission of CIRCIA Reports. CIRCIA Reports submitted by third parties must comply with the reporting requirements and procedures for covered entities set forth in this part.  (b) 第三者による CIRCIA 報告書の提出手順。サードパーティが提出する CIRCIA 報告書は、本編に定める対象事業体の報告要件および手順に従わなければならない。
(c) Confirmation of express authorization required. For the purposes of compliance with the covered entity’s reporting obligations under this part, upon submission of a CIRCIA Report, a third party must confirm that the covered entity expressly authorized the third party to file the CIRCIA Report on the covered entity’s behalf. CIRCIA Reports submitted by a third party without an attestation from the third party that the third party has the express authorization of a covered entity to submit a report on the covered entity’s behalf will not be considered by CISA for the purposes of compliance of the covered entity’s reporting obligations under this part. (c) 求められる明示的認可の確認。本編に基づく対象事業体の報告義務を遵守するため、CIRCIA 報告書を提出する際、第三者は、 対象事業体が、対象事業体に代わって CIRCIA 報告書を提出することを当該第三者に明示的 に認可したことを確認しなければならない。サードパーティが、対象事業体に代わって報告書を提出することを対象事業体から明示的に認可されていることをサードパーティが証明することなく提出したCIRCIA報告書は、本編に基づく対象事業体の報告義務の遵守を目的として、CISAにより考慮されない。
(d) Third party ransom payments and responsibility to advise a covered entity. A third party that makes a ransom payment on behalf of a covered entity impacted by a ransomware attack is not required to submit a Ransom Payment Report on behalf of itself for the ransom payment. When a third party knowingly makes a ransom payment on behalf of a covered entity, the third party must advise the covered entity of its obligations to submit a Ransom Payment Report under this part.  (d) 第三者による身代金の支払いと対象事業体への助言責任。ランサムウェア攻撃の影響を受けた対象事業体に代わって身代金支払いを行う第三者は、身代金支払いについて、自らに代わって身代金支払い報告書を提出する必要はない。第三者が、対象事業体に代わって故意に身代金の支払いを行う場合、当該第三者は、対象事業体に対し、本項に基づく身代金支払い報告書の提出義務を通知しなければならない。
§ 226.13 Data and records preservation requirements. § 226.13 データおよび記録の保存要件
(a) Applicability. (1) A covered entity that is required to submit a CIRCIA Report under § 226.3 or experiences a covered cyber incident or makes a ransom payment but is exempt from submitting a CIRCIA Report pursuant to § 226.4(a) is required to preserve data and records related to the covered cyber incident or ransom payment in accordance with this section. (a) 適用可能性。(1) 第 226.3 項に基づき CIRCIA 報告書の提出が義務付けられている、または対象となるサイバーインシデントを経験した、もしくは身代金支払いを行ったが第 226.4 項(a)に基づき CIRCIA 報告書の提出が免除されている対象事業体は、本項に基づき、対象となるサイバーインシデントまたは身代金支払いに関連するデータおよび記録を保存する必要がある。
(2) A covered entity maintains responsibility for compliance with the preservation requirements in this section regardless of whether the covered entity submitted a CIRCIA Report or a third party submitted the CIRCIA Report on the covered entity’s behalf.  (2) 対象事業体は、対象事業体が CIRCIA 報告書を提出したか、対象事業体に代わってサードパーティが CIRCIA 報告書を提出したかにかかわらず、本節の保存要件を遵守する責任を負う。
(b) Covered data and records. (1) A covered entity must preserve the following data and records: (b) 対象データおよび記録。(1) 対象事業体は、以下のデータおよび記録を保存しなければならない:
(i) Communications with any threat actor, including copies of actual correspondence, including but not limited to emails, texts, instant or direct messages, voice recordings, or letters; notes taken during any interactions; and relevant information on the communication facilities used, such as email or Tor site; (i) 脅威行為者とのコミュニケーション(電子メール、テキスト、インスタントメッセージ、ダイレクトメッ セージ、音声記録、書簡を含むがこれらに限定されない)、対話中に取られたメモ、および電子メールや Tor サイトなど使用された通信設備に関する関連情報;
(ii) Indicators of compromise, including but not limited to suspicious network traffic; suspicious files or registry entries; suspicious emails; unusual system logins; unauthorized accounts created, including usernames, passwords, and date/time stamps and time zones for activity associated with such accounts; and copies or samples of any malicious software; (ii)不審なネットワークトラフィック、不審なファイルまたはレジストリエントリ、不審な電子メール、異常なシステムログイン、ユーザー名、パスワード、当該アカウントに関連するアクティビティの日付/タイムスタンプおよびタイムゾーンを含むがこれらに限定されない不正アカウントの作成、および悪意のあるソフトウェアのコピーまたはサンプルを含むがこれらに限定されない侵害の指標;
(iii) Relevant log entries, including but not limited to, Domain Name System, firewall, egress, packet capture file, NetFlow, Security Information and Event Management/Security Information Management, database, Intrusion Prevention System/Intrusion Detection System, endpoint, Active Directory, server, web, Virtual Private Network, Remote Desktop Protocol, and Window Event;  (iii) ドメインネームシステム、ファイアウォール、イグジット、パケットキャプチャファイル、NetFlow、セキュリティ情報とイベント管理/セキュリティ情報管理、データベース、侵入防御システム/侵入検知システム、エンドポイント、Active Directory、サーバー、ウェブ、仮想プライベートネットワーク、リモートデスクトッププロトコル、ウィンドウイベントを含むがこれらに限定されない関連ログエントリ; 
(iv) Relevant forensic artifacts, including but not limited to live memory captures; forensic images; and preservation of hosts pertinent to the incident; (iv) ライブメモリキャプチャ、フォレンジック画像、インシデントに関連するホストの保存を含むがこれらに限定されない、関連するフォレンジック成果物;
(v) Network data, including but not limited to NetFlow or packet capture file, and network information or traffic related to the incident, including the Internet Protocol addresses associated with the malicious cyber activity and any known corresponding dates, timestamps, and time zones; (v) ネットワークデータ(NetFlowまたはパケットキャプチャファイルを含むがこれに限定されない)、およびインシデントに関連するネットワーク情報またはトラフィック(悪意のあるサイバー活動に関連するインターネットプロトコルアドレス、および対応する既知の日付、タイムスタンプ、タイムゾーンを含む);
(vi) Data and information that may help identify how a threat actor compromised or potentially compromised an information system, including but not limited to information indicating or identifying how one or more threat actors initially obtained access to a network or information system and the methods such actors employed during the incident;  (vi) 脅威行為者がどのようにして情報システムに侵入したのか、または侵入した可能性があるのかを特定するのに役立つデータおよび情報。これには、一人または複数の脅威行為者が最初にどのようにしてネットワークと情報システムにアクセスしたのか、およびインシデント中にそのような行為者がどのような方法を用いたのかを示す情報または特定する情報が含まれるが、これらに限定されない; 
(vii) System information that may help identify exploited vulnerabilities, including but not limited to operating systems, version numbers, patch levels, and configuration settings;  (vii) オペレーティング・システム、バージョン番号、パッチ・レベル、構成設定を含むがこれらに限定されない、悪用された脆弱性の特定に役立つシステム情報; 
(viii) Information about exfiltrated data, including but not limited to file names and extensions; the amount of data exfiltration by byte value; category of data exfiltrated, including but not limited to, classified, proprietary, financial, or personal information; and evidence of exfiltration, including but not limited to relevant logs and screenshots of exfiltrated data sent from the threat actor; (viii) ファイル名および拡張子、バイト値ごとのデータ流出量、機密情報、専有情報、財務情報、個人情報など(ただしこれらに限定されない)流出したデータのカテゴリー、脅威行為者から送信された関連ログおよび流出したデータのスクリーンショットなど(ただしこれらに限定されない)流出の証拠を含む(ただしこれらに限定されない)流出したデータに関する情報;
(ix) All data or records related to the disbursement or payment of any ransom payment, including but not limited to pertinent records from financial accounts associated with the ransom payment; and (ix) 身代金の支払いに関連する金融口座の関連記録を含むがこれに限定されない、身代金 の支払いまたは支払いに関連するすべてのデータまたは記録。
(x) Any forensic or other reports concerning the incident, whether internal or prepared for the covered entity by a cybersecurity company or other third-party vendor.  (x) インシデントに関するフォレンジック報告書またはその他の報告書(社内のものであるか、サイバーセキュリティ会社またはその他のサードパーティが対象事業体のために作成したものであるかを問わない)。
(2) A covered entity is not required to create any data or records it does not already have in its possession based on this requirement. (2) 対象事業体は、この要件に基づき、既に保有していないデータまたは記録を作成する必要はない。
(c) Required preservation period. Covered entities must preserve all data and records identified in paragraph (b) of this section: (c) 必要とされる保存期間。対象事業体は、本項(b)に識別されるすべてのデータおよび記録を保存しなければならない:
(1) Beginning on the earliest of the following dates:  (1) 以下の日付のうち最も早い日から開始する: 
(i) The date upon which the covered entity establishes a reasonable belief that a covered cyber incident occurred; or (i) 対象事業体が、対象となるサイバーインシデントが発生したと合理的に判断した日。
(ii) The date upon which a ransom payment was disbursed; and (ii) 身代金の支払いが行われた日。
(2) For no less than two years from the submission of the most recently required CIRCIA Report submitted pursuant to § 226.3, or from the date such submission would have been required but for the exception pursuant to § 226.4(a).  (2) 第 226.3 条に従って提出された直近に要求された CIRCIA 報告書の提出から、または第 226.4 条(a)に従った例外がなければ当該提出が要求されたであろう日から、2 年以上。
(d) Original data or record format. Covered entities must preserve data and records set forth in paragraph (b) of this section in their original format or form whether the data or records are generated automatically or manually, internally or received from outside sources by the covered entity, and regardless of the following: (d) 元のデータまたは記録形式。対象事業体は、本項(b)に定めるデータ及び記録を、当該データ又は記録が自動的又は手動で生成されたものであるか、内部で生成されたものであるか、対象事業体が外部から受領したものであるかを問わず、また、以下のいずれであるかを問わず、元の形式又は形態で保存しなければならない:
(1) Form or format, including hard copy records and electronic records; (1) ハードコピー記録および電子記録を含む形式またはフォーマット;
(2) Where the information is stored, located, or maintained without regard to the physical location of the information, including stored in databases or cloud storage, on network servers, computers, other wireless devices, or by a third-party on behalf of the covered entity; and (2) データベースまたはクラウドストレージ、ネットワークサーバー、コンピュータ、その他の無線デバイス、または対象事業体に代わってサードパーティが保管するなど、情報の物理的な場所を問わず、情報が保管、配置、または維持されている場所。
(3) Whether the information is in active use or archived. (3) 情報が現在使用中であるか、保管されているか。
(e) Storage, protection, and allowable use of data and records. (1) A covered entity may select its own storage methods, electronic or non-electronic, and procedures to maintain the data and records that must be preserved under this section.  (e) データ及び記録の保管、保護、及び許容される使用。(1) 対象事業体は、本項に基づき保存しなければならないデータ及び記録を維持するために、電子的又は非電子的な保存方法及び手順を自ら選択することができる。
(2) Data and records must be readily accessible, retrievable, and capable of being lawfully shared by the covered entity, including in response to a lawful government request.  (2) データおよび記録は、容易にアクセスでき、検索可能であり、かつ、政府の合法的な要請に応じる場合を含め、対象事業体が合法的に共有できるものでなければならない。
(3) A covered entity must use reasonable safeguards to protect data and records against unauthorized access or disclosure, deterioration, deletion, destruction, and alteration. (3) 対象事業体は、不正なアクセスまたは開示、劣化、削除、破壊、および改ざんからデータおよび 記録を保護するために、合理的な保護措置を講じなければならない。
§ 226.14 Request for information and subpoena procedures. § 226.14 情報要求および召喚手続き
(a) In general. This section applies to covered entities, except a covered entity that qualifies as a State, Local, Tribal, or Territorial Government entity as defined in § 226.1.  (a) 一般的に。本条項は、226.1 条に定義される州、地方、部族、または準州の政府機関として適格である対象事業体を除 き、対象事業体に適用される。
(b) Use of authorities. When determining whether to exercise the authorities in this section, the Director or designee will take into consideration: (b) 認可の使用。本項の権限を行使するかどうかを決定する際、局長または被指名人は、以下を考慮する:
(1) The complexity in determining if a covered cyber incident has occurred; and (1) 対象となるサイバーインシデントが発生したかどうかを判断する際の複雑さ。
(2) The covered entity’s prior interaction with CISA or the covered entity’s awareness of CISA’s policies and procedures for reporting covered cyber incidents and ransom payments. (2) 対象事業体と CISA との事前のやりとり、または対象サイバーインシデントおよび身代金支払の 報告に関する CISA の方針および手続に対する対象事業体の認識。
(c) Request for information--(1) Issuance of request. The Director may issue a request for information to a covered entity if there is reason to believe that the entity experienced a covered cyber incident or made a ransom payment but failed to report the incident or payment in accordance with § 226.3. Reason to believe that a covered entity failed to submit a CIRCIA Report in accordance with § 226.3 may be based upon public reporting or other information in possession of the Federal Government, which includes but is not limited to analysis performed by CISA. A request for information will be served on a covered entity in accordance with the procedures in paragraph (e) of this section. (c) 情報提供要請--(1) 要請の発行。局長(Director)は、対象事業体が対象となるサイバーインシデントを経験し又は身代金支払いを行ったが、226.3条に従ってインシデント又は支払いの報告を行わなかったと信じるに足る理由がある場合、対象事業体に対して情報提供要請を行うことができる。対象事業体が226.3条に従ったCIRCIA報告書を提出しなかったと信じる理由は、公的報告または連邦政府が保有するその他の情報(CISAが行った分析を含むがこれに限定されない)に基づくことができる。情報提供の要請は、本条(e)項の手続に従い、対象事業体に送達される。
(2) Form and contents of the request. At a minimum, a request for information must include: (2) 要請の形式および内容。最低限、情報提供要請には以下が含まれなければならない:
(i) The name and address of the covered entity; (i) 対象事業体の名称及び住所;
(ii) A summary of the facts that have led CISA to believe that the covered entity has failed to submit a required CIRCIA Report in accordance with § 226.3. This summary is subject to the nondisclosure provision in paragraph (f) of this section; (ii) 対象事業体が第 226.3 条に従って要求される CIRCIA 報告書を提出しなかったと CISA が考えるに至った事実の概要。この概要は、本項(f)の非開示規定の対象となる;
(iii) A description of the information requested from the covered entity. The Director, in his or her discretion, may decide the scope and nature of information necessary for CISA to confirm whether a covered cyber incident or ransom payment occurred. Requested information may include electronically stored information, documents, reports, verbal or written responses, records, accounts, images, data, data compilations, and tangible items;  (iii) 対象事業体に要求された情報の説明。局長は、その裁量で、対象となるサイバーインシデントまたは身代金支払いが発生したかどうかを CISA が確認するために必要な情報の範囲および性質を決定することができる。要求される情報には、電子的に保存された情報、文書、報告書、口頭または書面による回答、記録、口座、画像、データ、データ編集物、および有形物が含まれる; 
(iv) A date by which the covered entity must reply to the request for information; and (iv) 対象事業体が情報要求に回答しなければならない期日。
(v) The manner and format in which the covered entity must provide all information requested to CISA.  (v) 対象事業体が要求された全ての情報をCISAに提供しなければならない方法及び形式。
(3) Response to request for information. A covered entity must reply in the manner and format, and by the deadline, specified by the Director. If the covered entity does not respond by the date specified in paragraph (c)(2)(iv) of this section or the Director determines that the covered entity’s response is inadequate, the Director, in his or her discretion, may request additional information from the covered entity to confirm whether a covered cyber incident or ransom payment occurred, or the Director may issue a subpoena to compel information from the covered entity pursuant to paragraph (d) of this section.  (3) 情報要求に対する回答。対象事業体は、長官が指定する方法及び形式で、期限までに回答しなければならない。対象事業体が本項(c)(2)(iv)で指定された期日までに回答しない場合、または所長が対象事業体の回答が不十分であると判断した場合、所長は、その裁量により、対象サイバーインシデントまたは身代金支払いが発生したかどうかを確認するために、対象事業体に追加情報を要求することができ、または所長は、本項(d)に従い、対象事業体に情報を強制するための召喚状を発行することができる。
(4) Treatment of information received. Information provided to CISA by a covered entity in a reply to a request for information under this section will be treated in accordance with §§ 226.18 and 226.19.  (4) 受領した情報の扱い。本項に基づく情報要求に対する回答として対象事業体から CISA に提供された情報は、第 226.18 条及び第 226.19 条に従って取り扱われる。
(5) Unavailability of Appeal. A request for information is not a final agency action within the meaning of 5 U.S.C. 704 and cannot be appealed.  (5) 不服申立ての不能。情報提供の要請は、合衆国法律集第 5 編第 704 条の意味における最終的な機関決定ではなく、上訴できない。
(d) Subpoena--(1) Issuance of subpoena. The Director may issue a subpoena to compel disclosure of information from a covered entity if the entity fails to reply by the date specified in paragraph (c)(2)(iv) of this section or provides an inadequate response, to a request for information. The authority to issue a subpoena is a nondelegable authority. A subpoena will be served on a covered entity in accordance with the procedures in paragraph (e) of this section.  (d) 召喚--(1) 召喚状の発行。事業体が本項(c)(2)(iv)で指定された期日までに回答しなかった場合、または不十分な回答をした場合、所長は、対象事業体からの情報開示を強制するために召喚状を発行することができる。召喚状を発行する認可は、委譲不可能な権限である。召喚状は、本項(e)の手続に従い、対象事業体に送達される。
(2) Timing of subpoena. A subpoena to compel disclosure of information from a covered entity may be issued no earlier than 72 hours after the date of service of the request for information.  (2) 召喚の時期。対象事業体からの情報開示を強制する召喚状は、情報要求の送達日から 72 時間以内に発 行することができる。
(3) Form and contents of subpoena. At a minimum, a subpoena must include: (3) 召喚状の形式および内容。最低限、召喚状には以下が含まれなければならない:
(i) The name and address of the covered entity; (i) 対象事業体の名称及び住所;
(ii) An explanation of the basis for issuance of the subpoena and a copy of the request for information previously issued to the covered entity, subject to the nondisclosure provision in paragraph (f) of this section;  (ii) 本項(f)の非開示規定に従うことを条件として、召喚状発行の根拠の説明及び対象事業体に対して以前に発行された情報提供要請の写し; 
(iii) A description of the information that the covered entity is required to produce. The Director, in his or her discretion, may determine the scope and nature of information necessary to determine whether a covered cyber incident or ransom payment occurred, obtain the information required to be reported under § 226.3, and to assess the potential impacts to national security, economic security, or public health and safety. Subpoenaed information may include electronically stored information, documents, reports, verbal or written responses, records, accounts, images, data, data compilations, and tangible items;  (iii) 対象事業体が提出を求められる情報の説明。局長は、その裁量において、対象となるサイバーインシデントまたは身代金の支払いが発生したかどうかを判断し、226.3条に基づき報告することが求められる情報を入手し、国家安全保障、経済安全保障、または公衆の健康と安全に対する潜在的な影響を評価するために必要な情報の範囲および性質を決定することができる。召喚される情報には、電子的に保存された情報、文書、報告書、口頭または書面による回答、記録、口座、画像、データ、データ編集物、および有形物が含まれる; 
(iv) A date by which the covered entity must reply; and (iv) 対象事業体が回答しなければならない期日。
(v) The manner and format in which the covered entity must provide all information requested to CISA. (v) 対象事業体が要求された全ての情報をCISAに提供しなければならない方法及び形式。
(4) Reply to the Subpoena. A covered entity must reply in the manner and format, and by the deadline, specified by the Director. If the Director determines that the information received from the covered entity is inadequate to determine whether a covered cyber incident or ransom payment occurred, does not satisfy the reporting requirements under § 226.3, or is inadequate to assess the potential impacts to national security, economic security, or public health and safety, the Director may request or subpoena additional information from the covered entity or request civil enforcement of a subpoena pursuant to § 226.15. 
(4) 召喚状に対する回答。対象事業体は、局長が指定する方法および様式で、期限までに回答しなければならない。監督官が、対象事業体から受領した情報が、対象となるサイバーインシデントまたは身代金の支払いが発生したかどうかを判断するのに不十分である、226.3条に基づく報告要件を満たしていない、または国家安全保障、経済安全保障、または公衆の健康と安全に対する潜在的な影響を評価するのに不十分であると判断した場合、監督官は、226.15条に従って、対象事業体に追加情報を要求または召喚するか、召喚の民事執行を要求することができる。
(5) Authentication requirement for electronic subpoenas. Subpoenas issued electronically must be authenticated with a cryptographic digital signature of an authorized representative of CISA or with a comparable successor technology that demonstrates the subpoena was issued by CISA and has not been altered or modified since issuance. Electronic subpoenas that are not authenticated pursuant to this subparagraph are invalid.  (5) 電子召喚状の本人認証要件。電子的に発行された召喚状は、CISAの認可を受けた代表者の暗号デジタル署名、または召喚状がCISAによって発行され、発行後に変更または修正されていないことを証明する同等の後継技術で認証されなければならない。本号に従って認証されない電子召喚状は無効である。
(6) Treatment of information received in response to a subpoena--(i) In general. Information obtained by subpoena is not subject to the information treatment requirements and restrictions imposed within § 226.18 and privacy and procedures for protecting privacy and civil liberties in § 226.19; and (6) 召喚に応じて受領した情報の扱い--(i) 一般的に。召喚状によって入手された情報は、226.18 条で課された情報防御の要件および制限、ならびに 226.19 条のプライバシーおよび市民的自由の保護のためのプライバシーおよび手続きの対象とはならない。
(ii) Provision of certain information for criminal prosecution and regulatory enforcement proceedings. The Director may provide information submitted in response to a subpoena to the Attorney General or the head of a Federal regulatory agency if the Director determines that the facts relating to the cyber incident or ransom payment may constitute grounds for criminal prosecution or regulatory enforcement action. The Director may consult with the Attorney General or the head of the appropriate Federal regulatory agency when making any such determination. Information provided by CISA under this paragraph (d)(6)(ii) may be used by the Attorney General or the head of a Federal regulatory agency for criminal prosecution or a regulatory enforcement action. Any decision by the Director to exercise this authority does not constitute final agency action within the meaning of 5 U.S.C. 704 and cannot be appealed. (ii) 刑事訴追および規制執行手続きのための特定の情報の提供。局長は、サイバーインシデントまたは身代金支払いに関連する事実が刑事訴追または規制執行措置の根拠となり得ると判断した場合、召喚に応じて提出された情報を司法長官または連邦規制機関の長に提供することができる。長官は、そのような判断を下す際に、司法長官または該当する連邦規制機関の長と協議することができる。本項(d)(6)(ii)に基づきCISAが提供した情報は、司法長官または連邦規制機関の長が刑事訴追または規制執行措置のために使用することができる。この認可を行使する長官による決定は、合衆国法律集(U.S.C.)5.704の意味における最終的な機関決定を構成せず、上訴できない。
(7) Withdrawal and appeals of subpoena issuance--(i) In general. CISA, in its discretion, may withdraw a subpoena that is issued to a covered entity. Notice of withdrawal of a subpoena will be served on a covered entity in accordance with the procedures in paragraph (e) of this section.  (7) 召喚状発行の撤回及び上訴--(i) 一般的に。CISAは、その裁量により、対象事業体に対して発行された召喚状を撤回することができる。召喚状取下げの通知は、本項(e)の手続きに従い対象事業体に送達される。
(ii) Appeals of subpoena issuance. A covered entity may appeal the issuance of a subpoena through a written request that the Director withdraw it. A covered entity, or a representative on behalf of the covered entity, must file a Notice of Appeal within seven  (ii) 召喚状発行に対する不服申立。対象事業体は、局長が召喚状を撤回するよう書面で要請することにより、召喚状の発 行に不服を申し立てることができる。対象事業体または対象事業体を代表する代表者は、召喚状の送達後 7 暦日以内に異議申立書を提出しなければならない。
(7) calendar days after service of the subpoena. All Notices of Appeal must include: (7)暦日以内に提出しなければならない。すべての異議告知には、以下が含まれなければならない:
(A) The name of the covered entity; (A) 対象事業体の名称;
(B) The date of subpoena issuance; (B) 召喚状が発行された日付;
(C) A clear request that the Director withdraw the subpoena;  (C) ディレクターが召喚状を撤回することを求める明確な要求; 
(D) The covered entity’s rationale for requesting a withdrawal of the subpoena; and  (D) 召喚状の撤回を要請する事業体の根拠。
(E) Any additional information that the covered entity would like the Director to consider as part of the covered entity’s appeal. (E)対象事業体が、対象事業体の不服申立ての一部として、院長に考慮することを望む追加情報。
(iii) Director’s final decision. Following receipt of a Notice of Appeal, the Director will issue a final decision and serve it upon the covered entity. A final decision made by the Director constitutes final agency action. If the Director’s final decision is to withdraw the subpoena, a notice of withdrawal of a subpoena will be served on the covered entity in accordance with the procedures in § 226.14(e).  (iii) 院長の最終決定。不服申立通知の受領後、院長は最終決定を下し、対象事業体に送達する。局長による最終決定は、最終的な機関決定を構成する。局長の最終決定が召喚状の取り下げである場合、召喚状の取り下げ通知は、226.14条(e)の手続きに従って対象事業体に送達される。
(e) Service--(1) covered entity point of contact. A request for information, subpoena, or notice of withdrawal of a subpoena may be served by delivery on an officer, managing or general agent, or any other agent authorized by appointment or law to receive service of process on behalf of the covered entity.  (e) サービス--(1) 対象事業体の連絡先。情報提供の要請、召喚状、又は召喚状の撤回通知は、対象事業体のために送達を受 け取る権限を任命又は法律により付与された役員、経営代理人又は一般代理人、又はその他の 代理人に送達することができる。
(2) Method of service. Service of a request for information, subpoena, or notice of withdrawal of a subpoena will be served on a covered entity through a reasonable electronic or non-electronic attempt that demonstrates receipt, such as certified mail with return receipt, express commercial courier delivery, or electronically.  (2) 送達方法。情報提供要請、召喚状、または召喚状の撤回通知の送達は、配達証明付配達証明郵便、速達商 業宅配便、または電子的方法など、受領を証明する合理的な電子的または非電子的方法によ り、対象事業体に送達される。
(3) Date of service. The date of service of any request for information, subpoena, or notice of withdrawal of a subpoena shall be the date on which the document is mailed, electronically transmitted, or delivered in person, whichever is applicable.  (3) 送達日。情報要求、召喚状、または召喚状の撤回通知の送達日は、文書が郵送された日、電子的に送信された日、または直接交付された日のいずれか該当する日とする。
(f) Nondisclosure of certain information. In connection with the procedures in this section, CISA will not disclose classified information as defined in Section 1.1(d) of E.O. 12968 and reserves the right to not disclose any other information or material that is protected from disclosure under law or policy.  (f) 特定の情報の非開示。本セクションの手続きに関連して、CISAは、E.O.12968のセクション1.1(d)に定義される機密情報を開示せず、また、法律または政策により開示から保護されるその他の情報または資料を開示しない権利を留保する。
§ 226.15 Civil enforcement of subpoenas.  § 226.15 召喚状の民事執行 
(a) In general. If a covered entity fails to comply with a subpoena issued pursuant to § 226.14(d), the Director may refer the matter to the Attorney General to bring a civil action to enforce the subpoena in any United States District Court for the judicial district in which the covered entity resides, is found, or does business.  (a) 一般的に。対象事業体が§226.14(d)に従って発布された召喚令状に従わない場合、局長は、対象事業体が居住し、所在し、または事業を行っている司法地区の米国連邦地方裁判所において召喚令状を執行する民事訴訟を提起するために、司法長官に事案を照会することができる。
(b) Contempt. A United States District Court may order compliance with the subpoena and punish failure to obey a subpoena as a contempt of court. (b) 法廷侮辱罪。米国地方裁判所は、召喚状の遵守を命じ、召喚状に従わない場合は法廷侮辱罪として処罰することができる。
(c) Classified and protected information. In any review of an action taken under § 226.14, if the action was based on classified or protected information as described in § 226.14(f), such information may be submitted to the reviewing court ex parte and in camera. This paragraph does not confer or imply any right to review in any tribunal, judicial or otherwise.  (c) 機密情報および保護情報。226.14条に基づき行われた措置の審査において、当該措置が226.14条(f)に記載される機密情報または保護情報に基づくものであった場合、当該情報は、審査裁判所に一方的かつ非公開で提出することができる。この段落は、司法、その他を問わず、いかなる法廷における再審査の権利を付与するものでも示唆するものでもない。
§ 226.16 Referral to the Department of Homeland Security Suspension and Debarment Official.  § 226.16 国土安全保障省の資格停止および資格剥奪担当省への照会
The Director must refer all circumstances concerning a covered entity’s noncompliance that may warrant suspension and debarment action to the Department of Homeland Security Suspension and Debarment Official.  局長は、一時停止および資格剥奪措置が正当化される可能性のある、対象事業体の不遵守に関す るすべての状況を、国土安全保障省の一時停止および資格剥奪担当省に照会しなければならない。
§ 226.17 Referral to Cognizant Contracting Official or Attorney General.  § 226.17 契約担当官または司法長官への照会
The Director may refer information concerning a covered entity’s noncompliance with the reporting requirements in this part that pertain to performance under a federal procurement contract to the cognizant contracting official or the Attorney General for civil or criminal enforcement. 局長は、連邦調達契約の履行に関連する、本編の報告要件に対する対象事業体の不遵守に関す る情報を、民事上又は刑事上の執行のため、管轄の契約担当官又は司法長官に照会することができる。
§ 226.18 Treatment of information and restrictions on use. § 226.18 情報の取扱い及び使用制限
(a) In general. The protections and restrictions on use enumerated in this section apply to CIRCIA Reports and information included in such reports where specified in this section, as well as to all responses provided to requests for information issued under § 226.14(c). This section does not apply to information and reports submitted in response to a subpoena issued under § 226.14(d) or following Federal government action under §§ 226.15-226.17.  (a) 一般的に。本条に列挙された防御および使用制限は、226.14 条(c)に基づき発行された情報要求に対して提供されたすべての回答と同様に、CIRCIA 報告書および本条に規定された当該報告書に含まれる情報に適用される。本条は、226.14条(d)に基づき、または226.15条から226.17条に基づく政府の措置に基づき、召喚に応じて提出された情報および報告書には適用されない。
(b) Treatment of information--(1) Designation as commercial, financial, and proprietary information. A covered entity must clearly designate with appropriate markings at the time of submission a CIRCIA Report, a response provided to a request for information issued under § 226.14(c), or any portion of a CIRCIA Report or a response provided to a request for information issued under § 226.14(c) that it considers to be commercial, financial, and proprietary information. CIRCIA Reports, responses provided to a request for information issued under § 226.14(c), or designated portions thereof, will be treated as commercial, financial, and proprietary information of the covered entity upon designation as such by a covered entity. (b) 情報の扱い--(1) 商業情報、財務情報、専有情報としての指定。対象事業体は、CIRCIA 報告書、226.14 条(c)に基づき発行された情報要求に提供された回答、または CIRCIA 報告書もしくは 226.14条(c)に基づき発行された情報要求に提供された回答のうち、商業情報、財務情報、専有情報であるとみなされる部分を、提出時に適切な表示で明確に指定しなければならない。CIRCIA 報告書、226.14 条(c)に基づき発行された情報要求に提供された回答、またはその指定された部分は、対象事業体によりそのように指定された場合、対象事業体の商業的、財務的、専有情報として扱われる。
(2) Exemption from disclosure under the Freedom of Information Act. CIRCIA Reports submitted pursuant to this part and responses provided to requests for information issued under § 226.14(c) are exempt from disclosure under the Freedom of Information Act, 5 U.S.C. 552(b)(3), and under any State, Local, or Tribal government freedom of information law, open government law, open meetings law, open records law, sunshine law, or similar law requiring disclosure of information or records. If CISA receives a request under the Freedom of Information Act to which a CIRCIA Report, response to a request for information under § 226.14(c), or information contained therein is responsive, CISA will apply all applicable exemptions from disclosure, consistent with 6 CFR part 5. (2) 情報公開法に基づく開示の免除。本編に従って提出された CIRCIA 報告書、および第 226.14 条(c)に基づき発行された情報要求に対するプロバイダ の回答は、情報公開法(5 U.S.C. 552(b)(3))、および州、地方、または部族政府の情報公開法、公開政府法、公開会議法、公開記録法、日照 法、または情報もしくは記録の開示を要求する類似の法律に基づき、開示が免除される。CISAが、CIRCIA報告書、§226.14(c)に基づく情報要求に対する回答、又はそこに含まれる情報が応 答する情報公開法に基づく要求を受けた場合、CISAは、6CFRパート5に従い、適用されるすべての開示免除を適 用する。
(3) No Waiver of Privilege. A covered entity does not waive any applicable privilege or protection provided by law, including trade secret protection, as a consequence of submitting a CIRCIA Report under this part or a response to a request for information issued under § 226.14(c). (3) 特権を放棄しない。対象事業体は、本編に基づく CIRCIA 報告書の提出又は第 226.14 条(c)に基づき発行された情 報要求に対する回答により、企業秘密保護を含む適用法上の特権又は保護を放棄しない。
(4) Ex parte communications waiver. CIRCIA Reports submitted pursuant to this part and responses provided to requests for information issued under § 226.14(c) are not subject to the rules or procedures of any Federal agency or department or any judicial doctrine regarding ex parte communications with a decision-making official. (4) 一方的コミュニケーションの放棄。本編に基づき提出された CIRCIA 報告書、および第 226.14(c)条に基づき発行された情報要求に対するプロバイダは、連邦政府機関や省庁の規則や手続き、あるいは意思決定担当者との一方的なコミュニケーションに関する司法教義の適用を受けない。
(c) Restrictions on use--(1) Prohibition on use in regulatory actions. Federal, State, Local, and Tribal Government entities are prohibited from using information obtained solely through a CIRCIA Report submitted under this part or a response to a request for information issued under § 226.14(c) to regulate, including through an enforcement proceeding, the activities of the covered entity or the entity that made a ransom payment on the covered entity’s behalf, except:  (c) 使用の制限--(1) 規制措置における使用の禁止。連邦、州、地方、および部族政府機関は、本編に基づき提出された CIRCIA 報告書、または第 226.14 条(c)に基づき発行された情報要求に対する回答書を通じてのみ入手した情報を、対象事業体または対象事業体に代わって身代金支払を行った事業体の活動を、強制手続を通じた場合を含め、規制するために使用することは禁止されている: 
(i) If the Federal, State, Local, or Tribal Government entity expressly allows the entity to meet its regulatory reporting obligations through submission of reports to CISA; or (i) 連邦政府、州政府、地方政府、又は部族政府機関が、CISAへの報告書の提出を通じて事業体が規制 報告義務を果たすことを明示的に認めている場合。
(ii) Consistent with Federal or State regulatory authority specifically relating to the prevention and mitigation of cybersecurity threats to information systems, a CIRCIA Report or response to a request for information issued under § 226.14(c) may inform the development or implementation of regulations relating to such systems.  (ii) 情報システムに対するサイバーセキュリティの脅威の防止及び軽減に特に関連する連邦又は州 の認可に基づき、CIRCIA 報告書又は第 226.14 条(c)に基づき発行された情報要求に対する回答が、当該シス テムに関連する規制の策定又は実施に情報を提供する場合がある。
(2) Liability protection--(i) No cause of action. No cause of action shall lie or be maintained in any court by any person or entity for the submission of a CIRCIA Report or a response to a request for information issued under § 226.14(c) and must be promptly dismissed by the court. This liability protection only applies to or affects litigation that is solely based on the submission of a CIRCIA Report or a response provided to a request for information issued under § 226.14(c).  (2) 責任の保護--(i) 訴因はない。CIRCIA 報告書の提出または第 226.14(c)節に基づき発行された情報要求に対する回答を理由として、いかなる個人または事業体も、いかなる裁判所においても訴因を有し、または維持することはできず、裁判所により速やかに却下されなければならない。この防御は、CIRCIA 報告書の提出、または§226.14(c)に基づき発行された情報要求に対する回答書のプロバイダのみに基づく訴訟にのみ適用される。
(ii) Evidentiary and discovery bar for reports. CIRCIA Reports submitted under this part, responses provided to requests for information issued under § 226.14(c), or any communication, document, material, or other record, created for the sole purpose of preparing, drafting, or submitting CIRCIA Reports or responses to requests for information issued under § 226.14(c), may not be received in evidence, subject to discovery, or otherwise used in any trial, hearing, or other proceeding in or before any court, regulatory body, or other authority of the United States, a State, or a political subdivision thereof. This bar does not create a defense to discovery or otherwise affect the discovery of any communication, document, material, or other record not created for the sole purpose of preparing, drafting, or submitting a CIRCIA Report under this part or a response to a request for information issued under § 226.14(c). (ii) 報告書の証拠開示および証拠開示の禁止。本条に基づき提出された CIRCIA 報告書、226.14 条(c)に基づき発行された情報要求に対する回答、または CIRCIA 報告書もしくは 226.14条(c)に基づき発行された情報要求に対する回答を作成、ドラフト、提出することのみを目的として作成されたコミュニケーション、文書、資料、その他の記録は、米国、州、またはその政治的小部門の裁判所、規制団体、その他の当局における、またはそれらに対する裁判、聴聞会、その他の手続において、証拠として受理されたり、証拠開示の対象とされたり、その他の方法で使用されたりすることはできない。この禁止は、本項に基づく CIRCIA 報告書の作成、ドラフト、提出、または第 226.14 条(c)に基づき発行された情報要求に対する回答のみを目的として作成されたものでないコミュニケーション、文書、資料、またはその他の記録の証拠開示に対する抗弁を生じさせたり、または証拠開示に影響を及ぼすものではない。
(iii) Exception. The liability protection provided in paragraph (c)(2)(i) of this section does not apply to an action taken by the Federal government pursuant to § 226.15. (iii) 例外。本条第(c)項(2)(i)に定める防御は、226.15 条に基づき連邦政府によって行われる措置には適用されない。
(3) Limitations on authorized uses. Information provided to CISA in a CIRCIA Report or in a response to a request for information issued under § 226.14(c) may be disclosed to, retained by, and used by any Federal agency or department, component, officer, employee, or agent of the Federal Government, consistent with otherwise applicable provisions of Federal law, solely for the following purposes: (3) 認可用途の制限。CIRCIA 報告書において、または第 226.14(c)条に基づき発行された情報要求に対する回答書において CISA に提供された情報は、連邦法のその他の適用法に基づき、連邦政府 のいかなる機関もしくは部局、構成機関、役員、職員、または代理人に対しても、以下の目的のためにのみ開示、保 管、使用することができる:
(i) A cybersecurity purpose; (i) サイバーセキュリティ目的;
(ii) The purpose of identifying a cybersecurity threat, including the source of the cybersecurity threat, or a security vulnerability; (ii) サイバーセキュリティの脅威(サイバーセキュリティの脅威の発生源を含む)またはセキュリティの脆弱性を識別する目的;
(iii) The purpose of responding to, or otherwise preventing or mitigating, a specific threat of:  (iii) 特定の脅威への対応、または予防もしくは低減を目的とする: 
(A) Death;  (A) 死亡; 
(B) Serious bodily harm; or (B) 重大な身体的危害、または
(C) Serious economic harm;  (C) 深刻な経済的被害; 
(iv) The purpose of responding to, investigating, prosecuting, or otherwise preventing or mitigating a serious threat to a minor, including sexual exploitation and threats to physical safety; or (iv) 未成年者に対する重大な脅威(性的搾取、身体の安全に対する脅威を含む)に対応、調査、訴追、またはその他の方法で防止もしくは軽減する目的。
(v) The purpose of preventing, investigating, disrupting, or prosecuting an offense:  (v) 犯罪を防止、調査、妨害、起訴する目的: 
(A) Arising out of events required to be reported in accordance with § 226.3;  (A) 第 226.3 項に従って報告することが義務付けられている事象に起因する; 
(B) Described in 18 U.S.C. 1028 through 1030 relating to fraud and identity theft; (B) 詐欺および ID 窃盗に関する合衆国法律集第 18 編第 1028 条から第 1030 条に記述されているもの;
(C) Described in 18 U.S.C. chapter 37 relating to espionage and censorship; or (C) スパイ活動および検閲に関する合衆国法律集第 18 編第 37 章に記述されているもの。
(D) Described in 18 U.S.C. 90 relating to protection of trade secrets. (D) 企業秘密の保護に関する合衆国法律集第 18 編第 90 章に記述されているもの。
§ 226.19 Procedures for protecting privacy and civil liberties.  § 226.19 プライバシーおよび市民の自由を保護するための防御手順
(a) In general. The use of personal information received in CIRCIA Reports and in responses provided to requests for information issued under § 226.14(c) is subject to the procedures described in this section for protecting privacy and civil liberties. CISA will ensure that privacy controls and safeguards are in place at the point of receipt, retention, use, and dissemination of a CIRCIA Report. The requirements in this section do not apply to personal information submitted in response to a subpoena issued under § 226.14(d) or following Federal government action under §§ 226.15 through 226.17.  (a) 一般的に。CIRCIA レポートで受領した個人情報及び§226.14(c)に基づき発行された情報要求に対する回答で受領した個人情報の 使用は、プライバシー及び市民の自由を保護するために本条に記載された手続きに従う。CISA は、CIRCIA 報告書の受領、保管、使用、配布の時点でプライバシー管理と保護措置が実施されていることを保証する。本条項の要件は、226.14条(d)に基づき発行された召喚状に応じて、又は226.15条から226.17条に基づく政府の措置を受けて提出された個人情報には適用されない。
(b) Instructions for submitting personal information. A covered entity should only include the personal information requested by CISA in the web-based CIRCIA Incident Reporting Form or in the request for information and should exclude unnecessary personal information from CIRCIA Reports and responses to requests for information issued under § 226.14(c).  (b) 個人情報の提出に関する指示。対象事業体は、CISA が要求した個人情報のみをウェブベースの CIRCIA インシデント報告書又は情報要求に含めるべきであり、CIRCIA 報告書及び第 226.14条(c)に基づき発行された情報要求に対する回答からは不要な個人情報を除外すべきである。
(c) Assessment of personal information. CISA will review each CIRCIA Report and response to request for information issued under § 226.14(c) to determine if the report contains personal information other than the information requested by CISA and whether the personal information is directly related to a cybersecurity threat. Personal information directly related to a cybersecurity threat includes personal information that is necessary to detect, prevent, or mitigate a cybersecurity threat.  (c) 個人情報の評価 CISA は、226.14(c)に基づき発行された各 CIRCIA 報告書及び情報要求に対する回答書をレビューし、報告書に CISA が要求した情報以外の個人情報が含まれているかどうか、及び当該個人情報がサイバーセキュリティ上の脅威に直接関連しているかどうかを判断する。サイバーセキュリティの脅威に直接関連する個人情報には、サイバーセキュリティの脅威を検 出、防止又は軽減するために必要な個人情報が含まれる。
(1) If CISA determines the personal information is not directly related to a cybersecurity threat, nor necessary for contacting a covered entity or report submitter, CISA will delete the personal information from the CIRCIA Report or response to request for information. covered entity or report submitter contact information, including information of third parties submitting on behalf of an entity, will be safeguarded when retained and anonymized prior to sharing the report outside of the federal government unless CISA receives the consent of the individual for sharing personal information and the personal information can be shared without revealing the identity of the covered entity.  (1)CISAが、個人情報がサイバーセキュリティの脅威に直接関係せず、対象事業体または報告書提出者と の連絡にも必要でないと判断した場合、CISAはCIRCIA報告書または情報要求に対する回答から当該個 人情報を削除する。対象事業体または報告書提出者の連絡先情報は、事業体に代わって提出するサードパーティ の情報を含め、CISAが個人情報の共有について本人の同意を受け、対象事業体の身元を明らかにすることな く個人情報を共有できる場合を除き、連邦政府外で報告書を共有する前に保持され匿名化された状態で保護さ れる。
(2) If the personal information is determined to be directly related to a cybersecurity threat, CISA will retain the personal information and may share it consistent with § 226.18 of this part and the guidance described in paragraph (d) of this section.  (2) 個人情報がサイバーセキュリティの脅威に直接関連すると判断された場合、CISAは個人情報を保持 し、本編第226.18条及び本項(d)に記載されるガイダンスに従って共有することができる。
(d) Privacy and civil liberties guidance. CISA will develop and make publicly available guidance relating to privacy and civil liberties to address the retention, use, and dissemination of personal information contained in Covered Cyber Incident Reports and Ransom Payment Reports by CISA. The guidance shall be consistent with the need to protect personal information from unauthorized use or disclosure, and to mitigate cybersecurity threats.  (d) プライバシー及び市民的自由のガイダンス。CISA は、CISA による対象サイバーインシデント報告書および身代金支払報告書に含まれる個人情報の保 持、使用、および配布に対処するため、プライバシーおよび市民的自由に関する指針を策定し、公 開する。ガイダンスは、個人情報を不正使用または不正開示から保護し、サイバーセキュリティの脅威を低減する必要性に合致したものでなければならない。
(1) One year after the publication of the guidance, CISA will review the effectiveness of the guidance to ensure that it appropriately governs the retention, use, and dissemination of personal information pursuant to this part and will perform subsequent reviews periodically. (1) ガイダンスの公表から1年後、CISAは、ガイダンスが本編に従った個人情報の保持、使用及び普及を適切に ガバナンスしていることを確認するため、ガイダンスの有効性をレビューし、その後も定期的にレ ビューを実施する。
(2) The Chief Privacy Officer of CISA will complete an initial review of CISA’s compliance with the privacy and civil liberties guidance approximately one year after the effective date of this part and subsequent periodic reviews not less frequently than every three years.  (2) CISAのチーフ・プライバシー・オフィサーは、本編の発効日から約1年後にCISAのプライバシー及び市民的自由のガイダンスへの準拠の初期レビューを完了し、その後3年ごとを下回らない頻度で定期レビューを実施する。
§ 226.20 Other procedural measures. § 226.20 その他の手続き上の措置
(a) Penalty for false statements and representations. Any person that knowingly and willfully makes a materially false or fraudulent statement or representation in connection with, or within, a CIRCIA Report, response to a request for information, or response to an administrative subpoena is subject to the penalties under 18 U.S.C. 1001. (b) Severability. CISA intends the various provisions of this part to be severable from each other to the extent practicable, such that if a court of competent jurisdiction were to vacate or enjoin any one provision, the other provisions are intended to remain in effect unless they are dependent upon the vacated or enjoined provision. (a) 虚偽の陳述および表明に対する罰則。意図的かつ故意に、CIRCIA 報告書、情報要求に対する回答、または行政召喚に対する回答に 関連して、またはその中で、重大な虚偽または詐欺的な陳述または表明を行った者は、合衆国法律集第 18 編第 1001 条に基づく罰則の対象となる。(b) 分離可能性。CISA は、本編の各条項を、実務上可能な範囲で互いに分離可能なものとすることを意図しており、管轄権を有 する裁判所がいずれかの条項を破棄または差し止めた場合でも、他の条項は、破棄または差し止められた条項 に依存しない限り、効力を維持することを意図している。
______________________ ______________________
Jennie M. Easterly, ジェニー・M・イースタリー
Director, 所長
Cybersecurity and Infrastructure Security Agency, Department of Homeland Security. 国土安全保障省サイバーセキュリティ・インフラセキュリティ庁長官 ジェニー・M・イースターリー。
[FR Doc. 2024-06526 Filed: 3/27/2024 8:45 am; Publication Date:  4/4/2024] [FR Doc. 2024-06526 Filed: 3/27/2024 8:45 am; Publication Date: 4/4/2024].

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.28 米国 SEC 上場企業によるサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示に関する規則を採択

・2022.09.14 米国 CISA サイバーインシデント報告法 (CIRCIA) における報告要件に関する意見募集 (2022.09.09)

・2022.03.17 米国 バイデン大統領が歳出法案に署名ー重要インフラの所有者・運営者は、サイバー攻撃を受けた場合は72時間以内に、ランサムウェアの支払いを行った場合は24時間以内にCISAに報告することが義務付けられる...

 

 

| | Comments (0)

2024.03.26

米国 FedRAMP 意見募集 ペネトレーション・テスト・ガイダンス Version 4.0(案) (2024.03.04)

 こんにちは、丸山満彦です。

米国連邦政府のクラウド認証といえば、FedRAMP。日本もこれを参考にISMAPの制度をつくりましたね...

FedRAMPの2015年に策定された「ペネトレーション・テスト・ガイダンス」ですが、改訂を重ねて、2022年に現在のVersion 3.0となり、今回Version 4.0のドラフトが公開され、意見募集されています。

このガイドを理解するためには、以下の文章も参照にするとよいですね...

ということで...

FedRAMP - Blog

・2024.03.04 Penetration Test Guidance Public Comment Period

ということで...

Penetration Test Guidance Public Comment Period ペネトレーション・テスト・ガイダンスのパブリック・コメント期間
FedRAMP is seeking feedback on the draft FedRAMP Penetration Test Guidance. The original guidance provides requirements for organizations planning to conduct a FedRAMP penetration test to identify weaknesses in their IT system, as well as the associated attack vectors and overall reporting requirements. FedRAMP は FedRAMP ペネトレーション・テスト・ガイダンスのドラフトに対する意見を求めている。オリジナルのガイダンスは、IT システムの弱点を特定するために FedRAMP ペネトレーション・テストの実施を計画している組織に対する要件、関連する攻撃ベクトル、および全体的な報告要件を規定している。
The FedRAMP Rev. 5 High, Moderate, Low, and Li-SaaS baselines include an annual requirement for penetration testing. For FedRAMP Low and Li-SaaS baselines, an independent assessor is not required and scope can be limited to public facing applications in alignment with OMB Memorandum M-22-09. FedRAMP Rev. 5 High、Moderate、Low、Li-SaaS ベースラインには、ペネトレーション・テストの年次要件が含まれている。FedRAMPのLowとLi-SaaSのベースラインでは、独立した評価者は必要なく、範囲はOMB覚書M-22-09に沿った公衆向けアプリケーションに限定することができる。
The updated guidance explains the requirements for organizations executing FedRAMP penetration tests and reporting testing results. Third Party Assessment Organizations (3PAOs) must follow the requirements for testing implementation. Cloud Service Providers can use the guidance to understand the scope of, and their role in the 3PAO testing. The guidance has been updated to include the Red Team Testing Requirements. More information can be found in our most recent blog post highlighting the additional Rev. 5 documents that were released, which were adopted in FedRAMP baselines. FedRAMP does not provide a Penetration Testing and Reporting template. 更新されたガイダンスは、FedRAMP の侵入テストを実施し、テスト結果を報告する組織の要件を説明している。第三者評価機関(3PAO)は、テストの実施に関する要件に従わなければならない。クラウド・サービス・プロバイダは、3PAOのテストの範囲とその役割を理解するために、このガイダンスを利用することができる。本ガイダンスは、レッドチームテスト要件を含むように更新された。より詳しい情報は、FedRAMP のベースラインに採用された Rev.5 の追加文書がリリースされたことを強調する、当機関の最新のブログ投稿で見ることができる。FedRAMP は、侵入テストと報告のテンプレートを提供していない。
The existing FedRAMP Penetration Test Guidance vectors are based on threat and attack models listed in the updated guidance. These have remained standard. However, based on the current threat environment, FedRAMP understands additional attack vectors might be defined for consideration, e.g., vectors applicable to Data Loss Prevention subsystems. If a stakeholder feels it reasonable to include additional attack vectors for consideration, the additional threat and attack models should also be included, as applicable. At a minimum, FedRAMP requires that all mandatory attack vectors outlined in the FedRAMP Penetration Test Guidance are covered in every 3PAO Penetration Test and Report. 既存の FedRAMP ペネトレーションテストガイダンスのベクターは、更新されたガイダンスに記載されている脅威と攻撃モデルに基づいている。これらは標準のままである。しかしながら、現在の脅威環境に基づき、FedRAMP は、例えばデータ損失防止サブシステムに適用可能なベクターなど、検討のために追加の攻撃ベクターが定義される可能性があることを理解している。利害関係者が検討のために追加の攻撃ベクターを含めることが妥当であると考える場合、該当する場合には、追加の脅威および攻撃モデルも含めるべきである。最低限、FedRAMP は、FedRAMP ペネトレーションテストガイダンスに概説されているすべての必須攻撃ベク ターを、すべての 3PAO ペネトレーションテストおよび報告書でカバーすることを要求している。
Additionally, several other requirements were updated to provide clarity and ensure that requirements were identified as mandatory instead of optional. Outlined below are the most notable updates: さらに、他のいくつかの要件は、明確性を提供し、要件がオプションではなく必須として識別されるように更新された。以下に、最も注目すべき更新の概要を示す:
NIST SP 800-53 Revision 5 update - Security Control CA-8(2) Security Assessment and Authorization, Penetration Testing, Red Team Exercises for all FedRAMP High and Moderate criticality systems added as Appendix E: Red Team Exercises. ・NIST SP 800-53 改訂第 5 版の更新 - すべての FedRAMP 高・中重要度システムのセキュリティ管理 CA-8(2) セキュリティアセスメントと認可、侵入テスト、レッドチーム演習を附属書 E:レッドチーム演習として追加した。
・Language clarifications to ensure that the mandatory requirements are better understood. ・必須要件がよりよく理解されるよう、文言を明確化した。
・Detailed explanation of the Email Phish Campaign requirements to most effectively conduct the campaign. Updates were made for landing page requirements for CSP personnel who are victims of the campaign. ・最も効果的にキャンペーンを実施するための、電子メールフィッシングキャンペーンの要件の詳細な説明。キャンペーンの被害者である CSP 要員のためのランディングページの要件が更新された。
Addition of references to the MITRE ATT&CK(R) Matrix for Enterprise and the NIST Red Team Definition. ・エンタープライズ向け MITRE ATT&CK(R) マトリクスおよび NIST レッドチーム定義への参照を追加した。
Note that the CA-8(2) Red Team Testing Requirements outlined in the Penetration Test Guidance address the NIST/FedRAMP testing requirements, and are not the same as the ‘intensive, expert-led “red team”’ assessments referred to in the Office of Management and Budget draft memo, Modernizing the Federal Risk and Authorization Management Program (FedRAMP) (which was discussed previously on the FedRAMP blog). ペネトレーション・テスト・ガイダンスに概説されている CA-8(2) レッドチーム・テスト要件は、NIST/FedRAMP テスト要件に対応するものであり、行政管理予算局のドラフト・メモ「連邦リスク及び認可管理プログラム(FedRAMP)の近代化」(FedRAMP ブログで以前議論された)で言及されている「専門家主導の集中的な "レッドチーム"」アセスメントとは異なることに注意すること。
If you have comments, edits, or feedback on the draft updated Penetration Test Guidance, submit them via the Public Comments_Draft Penetration Test Guidance form by April 24, 2024. Please be sure to include the specific draft section to which your question or comment refers. To read comments that have already been submitted, you may view the Public Comments Draft Penetration Test Guidance read-only version. 更新されたペネトレーションテストガイダンスのドラフトについてコメント、編集、フィードバックがある場合は、2024年4月24日までにパブリックコメント_ドラフトペネトレーションテストガイダンスのフォームから提出すること。その際、質問やコメントの対象となる特定のドラフト・セクションを必ず含めること。すでに提出されたコメントを読むには、パブリックコメント・ドラフト・ペネトレーションテストガイダンスの読み取り専用版を閲覧することができる。

 

・[PDF] FedRAMP Penetration Test Guidance Version 4.0 Dfaft

20240326-33552

 

目次...

About This Document この文書について
Who Should Use This Document? 誰がこの文書を使うべきか?
How to Contact Us 連絡方法
1. Scope of Testing 1. テストの範囲
1.1 Table 2: Cloud Service Classification 1.1 表2:クラウドサービスの分類
2. Threats 2. 脅威
2.1 Threat Models 2.1 脅威モデル
2.2 Attack Models 2.2 攻撃モデル
3. Attack Vectors 3. 攻撃ベクトル
3.1 Mandatory Attack Vectors 3.1 必須の攻撃ベクトル
3.1.1 Attack Vector 1: External to Corporate 3.1.1 攻撃ベクトル1:外部から企業へ
Email Phish Campaign 電子メールによるフィッシングキャンペーン
Non-Credentialed-Based Phishing Attack 非認証ベースのフィッシング攻撃
3.1.2 Attack Vector 2: External to CSP Target System 3.1.2 攻撃ベクトル 2:外部からCSP ターゲット・システムへ
Internal Threats 内部脅威
Unintentional Threat (Negligence, Accidental) 非意図的な脅威(過失、事故)
Intentional Threats 意図的な脅威
Other Threats その他の脅威
Poor Separation Measures and Defense In Depth 分離対策および防御策の不備
3.1.3 Attack Vector 3: Tenant to CSP Management System 3.1.3 攻撃のベクトル 3: テナントから CSP管理システムへ
Privileged and Unprivileged Users 特権ユーザと非特権ユーザ
3.1.4 Attack Vector 4: Tenant-to-Tenant 3.1.4 攻撃のベクトル 4:テナント間
3.1.5 Attack Vector 5: Mobile Application to Target System 3.1.5 攻撃のベクトル 5:モバイル・アプリケーションからターゲット・システムへ
3.1.6 Attack Vector 6: Client-side Application and/or Agents to Target System 3.1.6 攻撃手段 6:クライアント側アプリケーションおよび/またはエージェントから対象システムへ
4. Scoping the Penetration Test 4. 侵入テストのスコープ
5. Rules of Engagement (ROE) 5. ルール・オブ・エンゲージメント(ROE)
6. Reporting 6. 報告
6.1 Scope of Target System 6.1 対象システムの範囲
6.2 Attack Vectors Assessed During the Penetration Test 6.2 侵入テストで評価される攻撃ベクトル
6.3 Timeline for Assessment Activity 6.3 評価活動のタイムライン
6.4 Actual Tests Performed and Results 6.4 実際に実施したテストとその結果
6.5 Findings and Evidence 6.5 発見事項と証拠
6.6 Access Paths 6.6 アクセス経路
7. Testing Schedule Requirements 7. テストスケジュールの要件
8. Third Party Assessment Organizations (3PAOs) Staffing Requirements 8. 第三者評価機関(3PAO)の人員要件
Appendix A: Definitions 附属書 A:定義
Appendix B: References 附属書 B:参考文献
Appendix C: Rules of Engagement / Test Plan Template 附属書 C:関与規定/テスト計画書テンプレート
Rules of Engagement / Test Plan 関与規定/テスト計画書
System Scope システム範囲
Assumptions and Limitations 想定と制限
Testing Schedule テストスケジュール
Testing Methodology テスト方法
Relevant Personnel 関係者
Incident Response Procedures インシデント対応手順
Evidence Handling Procedures 証拠取扱手順
Appendix D: Red Team Exercises 附属書 D: レッドチーム演習
Requirement 要件
Objective 目的
Deliverables 成果物

 

ちなみに現在のVersion 3.0

・[PDF] FedRAMP Penetration Test Guidance Version 3.0

20240326-34736

 

 

| | Comments (0)

2024.03.25

米国 NIST NIST IR 7621 Rev. 2(初期ドラフト)プレドラフト意見募集|「小事業の情報セキュリティ: 基礎編」

こんにちは、丸山満彦です。

米国のNISTが2016年に改訂したNIST IR 7621 小事業 (small business) のための情報セキュリティ基礎編の改訂にあたり、意見を募集していますね。現在のIR 7621 Rev.1はNISTサイバーセキュリティフレームワークに沿って作成されているのと、改訂後の変更を取り入れる必要があり、改訂するようですね...

日本でも業務のサプライチェーンを保護することが必要となるため、委託先管理としてのサプライチェーンリスクも注目されていますが、そのさいにいわゆる中小企業のセキュリティ対策が重要となるのですが、こういうガイドも参考になるかもですね...

 

● NIST - ITL

・2024.03.18 NIST IR 7621 Rev. 2 (Initial Preliminary Draft) PRE-DRAFT Call for Comments | Small Business Information Security: The Fundamentals

 

NIST IR 7621 Rev. 2 (Initial Preliminary Draft) PRE-DRAFT Call for Comments | Small Business Information Security: The Fundamentals NIST IR 7621 Rev. 2(初期ドラフト) プレドラフト意見募集|小事業の情報セキュリティ: 基礎編」
Announcement 発表
Summary 概要
NIST plans to update NIST IR 7621 Rev. 1, Small Business Information Security: The Fundamentals and is issuing this Pre-Draft Call for Comments to solicit feedback. The public is invited to provide input by 12 p.m. ET on May 16, 2024.  NISTは、NIST IR 7621 Rev.1「小事業の情報セキュリティ」を更新する予定である: このプレドラフトを公表し、意見を募集する。一般市民は、2024年5月16日午後12時(米国東部時間)までに意見を提出することが求められる。
Details 詳細
Since NIST IR 7621 Revision 1 was published in November of 2016, NIST has developed new frameworks for cybersecurity and risk management and released major updates to critical resources and references. This revision will focus on clarifying publication audience, making the document more user-friendly, aligning with other NIST guidance, updating the narrative with current approaches to cybersecurity risk management, and updating appendices. Before revising, NIST invites the public to suggest changes that would improve the document’s effectiveness, relevance, and general use to better help the small business community understand and manage their cybersecurity risk. 2016年11月にNIST IR 7621 Revision 1が発行されて以来、NISTはサイバーセキュリティとリスクマネジメントのための新たなフレームワークを開発し、重要なリソースや参考文献の大幅な更新を発表してきた。今回の改訂では、発行対象者の明確化、文書の使いやすさ、他のNISTガイダンスとの整合、サイバーセキュリティリスクマネジメントの最新のアプローチによる説明の更新、附属書の更新に重点を置く。改訂に先立ち、NIST は、小事業コミュニティがサイバーセキュリティ・リスクを理解し、マネジメントすることをより良く支援するために、この文書の有効性、妥当性、一般的な利用方法を改善するような変更点を提案するよう一般に呼びかけている。
NIST welcomes feedback and input on any aspect of NIST IR 7621 and additionally proposes a list of non-exhaustive questions and topics for consideration: NISTは、NIST IR 7621のあらゆる側面に関するフィードバックや意見を歓迎し、さらに、検討のための非網羅的な質問とトピックのリストを提案する:
・How have you used or referenced NIST IR 7621? ・NIST IR 7621をどのように利用または参照したか?
・What specific topics in NIST IR 7621 are most useful to you? ・NIST IR 7621のどのようなトピックが最も有用か。
・What challenges have you faced in applying the guidance in NIST IR 7621? ・NIST IR 7621のガイダンスを適用するにあたり、どのような課題に直面したか?
・Is the document’s current level of specificity appropriate, too detailed, or too general? If the level of specificity is not appropriate, how can it be improved? ・文書の現在の具体性のレベルは適切か、詳細すぎるか、一般的すぎるか。具体性のレベルが適切でない場合、どのように改善できるか。
・How can NIST improve the alignment between NIST IR 7621 and other frameworks and publications? ・NIST IR 7621 と他のフレームワークや出版物との整合性をどのように改善できるか。
・What new cybersecurity capabilities, challenges, or topics should be addressed? ・どのような新しいサイバーセキュリティ能力、課題、またはトピックを取り上げるべきか。
・What topics or sections currently in the document are out of scope, no longer relevant, or better addressed elsewhere? ・現在文書に記載されているトピックやセクションのうち、適用範囲外であるもの、もはや適切でないもの、他で扱った方がよいものは何か。
・Are there other substantive suggestions that would improve the document? ・その他、文書を改善するための実質的な提案はあるか。
・Are there additional appendices in NIST IR 7621, or resources outside NIST IR 7621, that would add value to the document? ・NIST IR 7621の附属書、またはNIST IR 7621以外のリソースで、文書に付加価値を与えるものはあるか。

 


 

現在のIR 7621 Rev.1

・[PDF] IR 7621r1

20240325-51705

 

目次...

FOREWORD まえがき
PURPOSE 目的
1  BACKGROUND: WHAT IS INFORMATION SECURITY AND CYBERSECURITY? 1 背景:情報セキュリティとサイバーセキュリティとは何か?
1.1  WHY SMALL BUSINESSES? 1.1 なぜ小事業なのか?
1.2  ORGANIZATION OF THIS PUBLICATION 1.2 本書の構成
2  UNDERSTANDING AND MANAGING YOUR RISKS 2 リスクの理解とマネジメント
2.1  ELEMENTS OF RISK 2.1 リスクの要素
2.2  MANAGING YOUR RISKS 2.2 リスクマネジメント
• Identify what information your business stores and uses ・自社がどのような情報を保管し、使用しているかを識別する
• Determine the value of your information ・情報の価値を決定する
• Develop an inventory ・インベントリを作成する
• Understand your threats and vulnerabilities ・脅威と脆弱性を理解する
2.3  WHEN YOU NEED HELP 2.3 助けが必要な場合
3  SAFEGUARDING YOUR INFORMATION 3 情報を保護する
3.1  IDENTIFY 3.1 識別
• Identify and control who has access to your business information ・誰が自社のビジネス情報にアクセスできるかを識別し、管理する
• Conduct Background Checks ・身元調査を実施する
• Require individual user accounts for each employee ・各従業員に個別のユーザーアカウントを要求する
• Create policies and procedures for information security ・情報セキュリティに関する方針と手順を作成する
3.2  PROTECT 3.2 防御
• Limit employee access to data and information ・従業員のデータや情報へのアクセスを制限する
• Install Surge Protectors and Uninterruptible Power Supplies (UPS) ・サージプロテクターと無停電電源装置(UPS)を設置する
• Patch your operating systems and applications ・オペレーティング・システムとアプリケーションにパッチを当てる
• Install and activate software and hardware firewalls on all your business networks ・すべてのビジネスネットワークにソフトウェアとハードウェアのファイアウォールをインストールし、有効化する
• Secure your wireless access point and networks ・ワイヤレス・アクセス・ポイントとネットワークを保護する
• Set up web and email filters ・ウェブ・フィルタと電子メール・フィルタを設定する
• Use encryption for sensitive business information ・機密性の高いビジネス情報は暗号化する
• Dispose of old computers and media safely ・古いコンピュータやメディアを安全に廃棄する
• Train your employees ・従業員を教育する
3.3  DETECT 3.3 検出
• Install and update anti-virus, -spyware, and other –malware programs ・アンチウイルス、スパイウェア、その他のマルウェアプログラムをインストールし、更新する
• Maintain and monitor logs ・ログを維持・監視する
3.4  RESPOND 3.4 対応
• Develop a plan for disasters and information security incidents ・災害や情報セキュリティインシデントに対する計画を策定する
3.5  RECOVER 3.5 復旧
• Make full backups of important business data/information ・重要なビジネスデータ/情報の完全バックアップを取る
• Make incremental backups of important business data/information ・重要な業務データ/情報の増分バックアップを取る
• Consider cyber insurance ・サイバー保険を検討する
• Make improvements to processes / procedures / technologies ・プロセス/手順/技術の改善を行う
4  WORKING SAFELY AND SECURELY 4 安全かつ確実に作業する
• Pay attention to the people you work with and around ・一緒に働く人や周囲の人に注意を払う
• Be careful of email attachments and web links ・電子メールの添付ファイルやウェブリンクに注意する
• Use separate personal and business computers, mobile devices, and accounts ・個人用と業務用のコンピュータ、モバイルデバイス、アカウントを使い分ける
• Do not connect personal or untrusted storage devices or hardware into your computer, mobile device, or network ・個人用または信頼できないストレージデバイスやハ ードウェアをコンピュータ、モバイルデバイス、ネッ トワークに接続しない
• Be careful downloading software ・ソフトウェアのダウンロードに注意する
• Do not give out personal or business information ・個人情報やビジネス情報を提供しない
• Watch for harmful pop-ups ・有害なポップアップに注意する
• Use strong passwords ・強力なパスワードを使用する
• Conduct online business more securely ・オンラインビジネスをより安全に行う
APPENDIX A— GLOSSARY AND LIST OF ACRONYMS  附属書 A - 用語集および頭字語リスト 
APPENDIX B— REFERENCES  附属書 B - 参考文献 
APPENDIX C— ABOUT THE FRAMEWORK FOR IMPROVING CRITICAL INFRASTRUCTURE CYBERSECURITY  附属書 C - 重要インフラのサイバーセキュリティ改善のためのフレームワークについて 
APPENDIX D— WORKSHEETS  附属書 D - ワークシート 
• Identify and prioritize your information types  ・情報の種類を識別し、優先順位を付ける 
• Develop an Inventory  ・インベントリを作成する 
• Identify Threats, Vulnerabilities, and the Likelihood of an Incident  ・脅威、脆弱性、インシデントの可能性を識別する 
• Prioritize your mitigation activities  ・低減活動の優先順位を決める 
APPENDIX E— SAMPLE POLICY & PROCEDURE STATEMENTS  附属書 E - 方針・手順書のサンプル 

 

 

| | Comments (0)

2024.03.17

経済産業省 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会の最終とりまとめを公表し、制度構築方針案に対する意見公募を開始

こんにちは、丸山満彦です。

IoT製品のセキュリティについては英国でPTSI法があと1ヶ月少し(2024.04.29)より施行されますし、欧州のサイバーレジリエンス法 (CRA) もまもなく施行されそうですね。。。そして、米国のサイバートラストマークによるIoTセキュリティの担保についても、今月中には、なんらかの決定がでるような気がします。。。

と、IoTセキュリティの話が多いのですが、日本でもついに...IoT製品に対するセキュリティ適合性評価制度についての話がでてきました...

欧州のように法制化ではなく、任意制度として政府調達、マーク付与による差別化による価格転嫁がしやすくするなど、市場原理が適正に働く方向のインセンティブの導入により制度の普及を図るようにすることのようです。

保証水準はCCと同じように複数つくるようです。⭐️2、⭐︎1といった感じで...

1_20240316151201

 

評価基準(Criteria)については、これからつめることになりますかね。。。

2_20240316151301

 

一部英語に仮訳されていますね...

 

経済産業省

・2024.03.15 [PDF] IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会最終とりまとめ(本編)

20240316-150306

 

・2024.03.15 [PDF] IoT製品に対するセキュリティ適合性評価制度構築方針案(本編)

20240316-150407

 

・2024.03.15 [PDF] IoT製品に対するセキュリティ適合性評価制度構築方針案(概要説明資料)

20240316-181434

 

 

● ワーキンググループ3IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会)

・2024.03.15 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会 最終とりまとめ

 

・[PDF] 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会 最終とりまとめ

別添1 セキュリティ要件一覧(後日公開予定)

・[PDF] 別添2 ☆1セキュリティ要件・適合基準

20240316-181217

 

英語仮訳

・2024.03.15 [PDF] IoT Product Security Conformity Assessment Scheme Policy Draft

20240316-182348

 

・2024.03.15 [PDF] (Annex) Security Requirements and Conformance Criteria for ☆1 (Star 1)

20240316-182852

 

 


 

検討会...

ワーキンググループ3IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会)

IoT製品のセキュリティ適合性評価制度における基準等の策定に向けたプレ検討委員会

の開催状況

2024.03.15 制度構築に向けた検討会 最終
とりまとめ
2024.03.04 制度構築に向けた検討会 第7回
2024.02.02 基準等の策定に向けたPre検討会 第4回
2023.12.12 制度構築に向けた検討会 第6回
2023.10.03 制度構築に向けた検討会 第5回
2023.09.27 基準等の策定に向けたPre検討会 第3回
2023.09.11 基準等の策定に向けたPre検討会 第2回
2023.08.09 基準等の策定に向けたPre検討会 第1回
2023.07.19 制度構築に向けた検討会 第4回
2023.05.15 制度構築に向けた検討会 中間
とりまとめ
2023.03.17 制度構築に向けた検討会 第3回
2023.02.06 制度構築に向けた検討会 第2回
2022.11.01 制度構築に向けた検討会 第1回

 

まるちゃんの情報セキュリティ気まぐれ日記

検討会...

・2023.05.17 経済産業省 産業サイバーセキュリティ研究会 WG3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会 中間とりまとめ

・2022.11.04 経済産業省 第1回 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会

 

EU CRA...

・2024.02.02 欧州委員会 サイバーセキュリティ認証制度 (EUCC) を採択

・2024.01.17 欧州 欧州議会の投票にかけられるサイバーレジリエンス法案 (Cyber Resilience Act)

・2023.12.04 欧州理事会、欧州議会がサイバーレジリエンス法について政治的合意

・2023.05.31 ENISA 新技術に対応したEUサイバーセキュリティ認証の実現可能性を探る

・2023.04.21 欧州委員会 マネージド・セキュリティサービスの認証にむけたサイバーセキュリティ法の改正案 (2023.04.18)

・2023.03.21 ENISA サイバーセキュリティ認証のウェブページを開設

・2023.01.29 欧州 サイバーレジリエンス法案に対するポジションペーパー by 欧州消費者機構

・2022.09.17 欧州委員会 サイバーレジリエンス法案 製造者は「積極的に悪用される脆弱性」に気づいたら24時間以内にENISAに報告しなければならない...

 

英国 PTSI

・2024.01.29 英国 2022年製品セキュリティ・通信インフラ制度のウェブページ(Product Security and Telecommunications Infrastructure Act 2022 関係)

・2023.05.04 英国 インターネットに接続するすべての消費者向け製品に適用される最低セキュリティ基準制度が1年後にはじまりますよ〜 (2023.04.29)

・2022.12.11 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法成立 at 2022.12.06

・2022.01.27 英国 スマートデバイスのサイバーセキュリティ新法に一歩近づくと発表

・2021.12.09 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法案 at 2021.11.24

 

ドイツのセキュリティ製品の認証

・2022.10.31 ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)

・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品

・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。

 

米国のサイバーセキュリティラベル

・2023.07.19 米国 消費者向けIoT製品のセキュリティ認証制度、サイバートラスト・マーク (U.S. Cyber Trust Mark) を発表

・2023.05.10 米国 ホワイトハウス 重要新興技術に関する国家標準化戦略を発表 (2023.05.04)

・2023.04.25 Five Eyesの国々が安全なスマートシティを作るための共同ガイダンスを発表 (2023.04.20)

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

・2023.05.07 米国 NIST SP 1800-36 (ドラフト) 信頼できるIoTデバイスのネットワーク層オンボーディングとライフサイクル管理:インターネットプロトコルベースのIoTデバイスとネットワークのセキュリティ強化(初期ドラフト)(2023.05.03)

・2022.06.19 NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル

・2022.05.19 NIST IoTセキュリティ関連の文書についてNISTのブログで簡単に説明されていますね。。。

・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

| | Comments (0)

2024.03.07

米国 NSIT サイバーセキュリティ・フレームワーク(CSF)2.0 関連 SP 1299, 1300, 1301, 1302, 1303, 1305 (2024.02.26)

こんにちは、丸山満彦です。

NISTがサイバーセキュリティ・フレームワーク(CSF)2.0 を公表しましたね。それに合わせて7つの関連文書も公表しています。。。昨日は、「CSWP 32(初期公開ドラフト) NIST サイバーセキュリティ・フレームワーク 2.0: コミュニティプロファイル作成ガイド を紹介したと思いますが、今日は6つの特別刊行物 (SP) を紹介します。。。

1304が抜けていますが、そのうち出てくるのでしょう...

 

CSWP 29 final The NIST Cybersecurity Framework (CSF) 2.0 NISTサイバーセキュリティフレームワーク(CSF)2.0 
CSWP 32 initial Public Draft (Initial Public Draft) NIST Cybersecurity Framework 2.0: A Guide to Creating Community Profiles  NIST サイバーセキュリティフレームワーク 2.0: コミュニティプロファイル作成ガイド
         
SP 1299 final NIST Cybersecurity Framework 2.0: Resource and Overview Guide  NIST サイバーセキュリティフレームワーク 2.0: リソースと概要ガイド
SP 1300 final NIST Cybersecurity Framework 2.0: Small Business Quick-Start Guide NIST サイバーセキュリティフレームワーク 2.0: 中小企業向けクイックスタートガイド
SP 1301 final NIST Cybersecurity Framework 2.0: Quick-Start Guide for Creating and Using Organizational Profiles NIST サイバーセキュリティフレームワーク 2.0: 組織プロファイルの作成と使用のためのクイックスタートガイド
SP 1302 initial Public Draft NIST Cybersecurity Framework 2.0: Quick-Start Guide for Using the CSF Tiers NIST サイバーセキュリティフレームワーク 2.0: CSF の階層を使用するためのクイックスタートガイド
SP 1303 initial Public Draft NIST Cybersecurity Framework 2.0: Enterprise Risk Management Quick-Start Guide NIST サイバーセキュリティフレームワーク 2.0: エンタープライズリスクマネジメント クイックスタートガイド
SP 1305 initial Public Draft NIST Cybersecurity Framework 2.0: Quick-Start Guide for Cybersecurity Supply Chain Risk Management (C-SCRM) NIST サイバーセキュリティフレームワーク 2.0: サイバーセキュリティサプライチェーンリスクマネジメント(C-SCRM)のためのクイックスタートガイド

 

 


 

リソースと概要ガイド

・2024.02.26 NIST SP 1299 NIST Cybersecurity Framework 2.0: Resource and Overview Guide

・[PDF]

20240307-04106

NIST SP 1299 NIST Cybersecurity Framework 2.0: Resource and Overview Guide NIST SP 1299 NIST サイバーセキュリティフレームワーク 2.0: リソースと概要ガイド
Abstract 概要
This brief report presents a high-level overview of the CSF 2.0 and provides links to relevant resources such as the CSF 2.0 specification and supporting Quick-Start Guides. この簡単な報告書は、CSF 2.0 の概要と、CSF 2.0 仕様やクイックスタートガイドなどの関連リソースへのリンクを示している。

 

 

 

中小企業向けクイックスタートガイド

・2024.02.26 NIST SP 1300 NIST Cybersecurity Framework 2.0: Small Business Quick-Start Guide

・[PDF]

20240307-04357

NIST SP 1300 NIST Cybersecurity Framework 2.0: Small Business Quick-Start Guide NIST SP 1300 NIST サイバーセキュリティフレームワーク 2.0: 中小企業向けクイックスタートガイド
Abstract 概要
This guide provides small-to-medium sized businesses (SMB), specifically those who have modest or no cybersecurity plans in place, with considerations to kick-start their cybersecurity risk management strategy by using the NIST Cybersecurity Framework (CSF) 2.0. The guide also can assist other relatively small organizations, such as non-profits, government agencies, and schools. It is a supplement to the NIST CSF and is not intended to replace it. 本ガイドは、中小企業(SMB)、特にサイバーセキュリティ計画が緩やかな、あるいは全くない企業に対して、NIST サイバーセキュリティフレームワーク(CSF)2.0 を利用してサイバーセキュリティリスクマネジメント戦略を開始するための留意点を提供するものである。このガイドは、非営利団体、政府機関、学校などの比較的小規模な組織にも役立つ。本書は NIST CSF を補足するものであり、NIST CSF に取って代わるものではない。

 

 

 

組織プロファイルの作成と使用のためのクイックスタートガイド

・2024.02.26 NIST SP 1301 NIST Cybersecurity Framework 2.0: Quick-Start Guide for Creating and Using Organizational Profiles

・[PDF]

20240307-04532

NIST SP 1301 NIST Cybersecurity Framework 2.0: Quick-Start Guide for Creating and Using Organizational Profiles NIST SP 1301 NIST サイバーセキュリティフレームワーク 2.0: 組織プロファイルの作成と使用のためのクイックスタートガイド
Abstract 概要
This Quick-Start Guide gives an overview of creating and using organizational profiles for NIST CSF 2.0. An Organizational Profile describes an organization’s current and/or target cybersecurity posture in terms of cybersecurity outcomes from the Cybersecurity Framework (CSF) Core. Organizational Profiles are used to understand, tailor, assess, and prioritize cybersecurity outcomes based on an organization’s mission objectives, stakeholder expectations, threat landscape, and requirements. The organization can then act strategically to achieve those outcomes. These Profiles can also be used to assess progress toward targeted outcomes and to communicate pertinent information to stakeholders. このクイックスタート・ガイドは、NIST CSF 2.0 の組織プロファイルの作成と使用の概要を示す。組織プロファイルは、サイバーセキュリティフレームワーク(CSF)コアのサイバーセキュリティ成果の観点から、組織の現在および/または目標とするサイバーセキュリティの姿勢を記述するものである。組織プロファイルは、組織のミッション目標、利害関係者の期待、脅威の状況、要件に基づいて、サイバーセキュリティの成果を理解し、調整し、評価し、優先順位をつけるために使用される。そして、組織はこれらの成果を達成するために戦略的に行動することができる。これらのプロファイルは、目標とする成果に対する進捗状況を評価し、利害関係者に適切な情報を伝達するためにも使用できる。

 

 

 

CSF の階層を使用するためのクイックスタートガイド(ドラフト)

・2024.02.26 NIST SP 1302 (Initial Public Draft) NIST Cybersecurity Framework 2.0: Quick-Start Guide for Using the CSF Tiers

・[PDF

20240307-04736

NIST SP 1302 (Initial Public Draft) NIST Cybersecurity Framework 2.0: Quick-Start Guide for Using the CSF Tiers NIST SP 1302(初期公開ドラフト)NIST サイバーセキュリティフレームワーク 2.0: CSF の階層を使用するためのクイックスタートガイド
Abstract 概要
This Quick-Start Guide describes how to apply the CSF 2.0 Tiers. CSF Tiers can be applied to CSF Organizational Profiles to characterize the rigor of an organization’s cybersecurity risk governance and management outcomes. This can help provide context on how an organization views cybersecurity risks and the processes in place to manage those risks.​ The Tiers can also be valuable when reviewing processes and practices to determine needed improvements and monitor progress made through those improvements. このクイックスタート・ガイドでは、CSF 2.0 の階層を適用する方法について説明する。CSF の階層を CSF 組織プロファイルに適用することで、組織のサイバーセキュリティリスクガバナンスとマネジメントの成果の厳しさを特徴付けることができる。この階層は、組織がサイバーセキュリティリスクをどのようにとらえているか、また、それらのリスクを管理するためにどのようなプロセスが実施されているかについて、コンテキストを提供するのに役立つ。 また、この階層は、プロセスやプラクティスをレビューして必要な改善を判断し、その改善による進捗を監視する際にも有用である。
Announcement 発表
Quick-start guides are supplemental resources for the NIST Cybersecurity Framework (CSF) 2.0. See more information on CSF 2.0 quick-start guides.  クイックスタートガイドは、NISTサイバーセキュリティフレームワーク(CSF)2.0の補足リソースである。CSF 2.0クイックスタートガイドの詳細については、こちらを参照のこと。
NIST seeks comments on this initial public draft by May 3, 2024. Submit comments to cyberframework@nist.gov. NIST は、2024 年 5 月 3 日までに、この最初の公開ドラフトに対するコメントを求めている。cyberframework@nist.gov。

 

 

エンタープライズリスクマネジメント クイックスタートガイド

・2024.02.26 NIST SP 1303 (Initial Public Draft) NIST Cybersecurity Framework 2.0: Enterprise Risk Management Quick-Start Guide

・[PDF]

20240307-05031

NIST SP 1303 (Initial Public Draft) NIST Cybersecurity Framework 2.0: Enterprise Risk Management Quick-Start Guide NIST SP 1303(初期公開ドラフト)NIST サイバーセキュリティフレームワーク 2.0: エンタープライズリスクマネジメント クイックスタートガイド
Announcement 発表
Quick-start guides are supplemental resources for the NIST Cybersecurity Framework (CSF) 2.0. See more information on CSF 2.0 quick-start guides.  クイックスタートガイドは、NIST サイバーセキュリティフレームワーク(CSF)2.0 の補足リソースである。CSF 2.0クイックスタートガイドの詳細については、こちらを参照のこと。
NIST seeks comments on this initial public draft by May 3, 2024. Submit comments to [mail] NISTは、2024年5月3日までにこの最初の公開ドラフトに対するコメントを求めている。[mail] にコメントを提出する。
Abstract 概要
This guide provides an introduction to using the NIST Cybersecurity Framework (CSF) 2.0 for planning and integrating an enterprise-wide process for integrating cybersecurity risk management information, as a subset of information and communications technology risk management, into enterprise risk management. The use of CSF common language and outcomes supports the integration of risk monitoring, evaluation, and adjustment across various organizational units and programs. 本ガイドは、情報通信技術のリスクマネジメントのサブセットとしてのサイバーセキュリティリスクマネジメント情報をエンタープライズリスクマネジメントに統合するためのエンタープライズ規模のプロセスを計画し、統合するために、NIST サイバーセキュリティフレームワーク(CSF)2.0 を使用するための序文を提供する。CSF の共通言語と成果を使用することで、さまざまな組織単位やプログラムにまたがるリスクの監視、評価、調整の統合を支援する。

 

サイバーセキュリティサプライチェーンリスクマネジメント(C-SCRM)のためのクイックスタートガイド

・2024.02.26 NIST SP 1305 (Initial Public Draft) NIST Cybersecurity Framework 2.0: Quick-Start Guide for Cybersecurity Supply Chain Risk Management (C-SCRM)

・[PDF

20240307-05031

NIST SP 1305 (Initial Public Draft) NIST Cybersecurity Framework 2.0: Quick-Start Guide for Cybersecurity Supply Chain Risk Management (C-SCRM) NIST SP 1305(初期公開ドラフト)NIST サイバーセキュリティフレームワーク 2.0: サイバーセキュリティサプライチェーンリスクマネジメント(C-SCRM)のためのクイックスタートガイド
Announcement 発表
Quick-start guides are supplemental resources for the NIST Cybersecurity Framework (CSF) 2.0. See more information on CSF 2.0 quick-start guides.  クイックスタートガイドは、NISTサイバーセキュリティフレームワーク(CSF)2.0の補足リソースである。CSF 2.0クイックスタートガイドの詳細はこちら。
Abstract 概要
Use the CSF to Improve Your C-SCRM Processes. The CSF can help an organization become a smart acquirer and supplier of technology products and services. This guide focuses on two ways the CSF can help you: 1)Use the CSF’s GV.SC Category to establish and operate a C-SCRM capability. 2) Define and communicate supplier requirements using the CSF.  CSF を使用して C-SCRM プロセスを改善する。CSFは、組織がテクノロジー製品及びサービスのスマートな取得者及び供給者になるのを助けることができる。本ガイドは、CSFが役立つ2つの方法に焦点を当てている: 1)CSFのGV.SCカテゴリーを使用して、C-SCRM能力を確立し、運用する。2)CSFを使用して、サプライヤーの要求事項を定義し、コミュニケーションする。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.03.06 米国 NIST CSWP 32(初期公開ドラフト)サイバーセキュリティフレームワーク 2.0: コミュニティプロファイル作成ガイド (2024.02.26)

・2024.02.28 米国 NIST CSWP 29 NISTサイバーセキュリティフレームワーク(CSF)2.0

 

| | Comments (0)

2024.03.06

米国 NIST CSWP 32(初期公開ドラフト)サイバーセキュリティフレームワーク 2.0: コミュニティプロファイル作成ガイド (2024.02.26)

こんにちは、丸山満彦です。

このブログでも触れていますが、NISTが2024.02.26にサイバーセキュリティフレームワーク2.0 (CSF 2.0) を公表しています。そして、NISTはCSF 2.0の発行に合わせて関連文書を多く公表しています。。。

CSF 2.0で言われているコミュニティー・プロファイルの作成ガイド案です。。。

 

● NIST - ITL

・2024.02.26 NIST CSWP 32 (Initial Public Draft) NIST Cybersecurity Framework 2.0: A Guide to Creating Community Profiles

NIST CSWP 32 (Initial Public Draft) NIST Cybersecurity Framework 2.0: A Guide to Creating Community Profiles NIST CSWP 32(初期公開ドラフト) NIST サイバーセキュリティフレームワーク 2.0: コミュニティプロファイル作成ガイド
Announcement 発表
Since the NIST Cybersecurity Framework (CSF) was first released in 2014, the CSF has been used by communities with shared interests in cybersecurity risk management. These communities developed what are now called “Community Profiles” to outline shared interests, goals, and outcomes within a specific context, such as a sector, technology, or challenge. CSF 2.0 introduced the term “Community Profiles” to describe the ways various organizations have used CSF Profiles to develop cybersecurity risk management guidance that applies to multiple organizations, as well as to differentiate them from Organizational Profiles that are internally focused on the organization itself and generally not shared publicly. A Community Profile can be thought of as guidance for a specific community that is organized around the common taxonomy of the CSF. 2014年にNISTサイバーセキュリティフレームワーク(CSF)が最初にリリースされて以来、CSFはサイバーセキュリティリスクマネジメントに共通の関心を持つコミュニティによって利用されてきた。これらのコミュニティは、現在「コミュニティ・プロファイル」と呼ばれるものを作成し、セクター、技術、課題などの特定のコンテキストにおける共通の関心、目標、成果の概要を示した。CSF 2.0 では、さまざまな組織が CSF プロファイルを使用して、複数の組織に適用されるサイバーセ キュリティリスクマネジメントのガイダンスを策定する方法を説明するため、また、組織自体に内 部的に焦点を当て、一般に公開されない組織プロファイルと区別するために、「コミュニティプロフ ァイル」という用語を導入した。コミュニティプロファイルは、CSF の共通の分類法を中心に組織された特定のコミュニティ向けのガイダンスと考えることができる。
This guide provides considerations for creating and using Community Profiles to implement the CSF 2.0. It is intended to provide a starting point, as there are a myriad of ways that Community Profiles have been developed to serve communities. Communities can build on the ideas in this guide to create a Community Profile that supports their needs where they share common priorities. このガイドは、CSF 2.0 を実施するためにコミュニティ・プロファイルを作成し、使用するための 考慮事項を提供する。コミュニティ・プロファイルがコミュニティに役立つように開発された方法は無数にあるため、これは出発点を提供することを意図している。地域社会は、この手引きのアイデアを基に、共通の優先事項を持つ自分たちのニーズを支援するコミュニティ・プロフィールを作成することができる。
Abstract 概要
The NIST Cybersecurity Framework (CSF) 2.0 introduced the term “Community Profiles” to reflect the use of the CSF for developing use case-specific cybersecurity risk management guidance for multiple organizations. This guide provides considerations for creating and using Community Profiles to help implement the Framework. The guide describes Community Profiles, provides guidance for the content that may be conveyed through a Community Profile, and offers a Community Profile Lifecycle (Plan, Develop, Use, Maintain). NIST サイバーセキュリティフレームワーク(CSF)2.0 では、複数の組織に対するユースケースに特化したサイバーセキュリティリスクマネジメントガイダンスの策定に CSF を使用することを反映し、「コミュニティプロファイル(Community Profiles)」という用語が導入された。本ガイドは、フレームワークの実施に役立つコミュニティ・プロファイルを作成し、使用するための考慮事項を提供する。このガイドでは、コミュニティプロファイルについて説明し、コミュニティプロファイルを通じて伝達される可能性のある内容についてのガイダンスを提供し、コミュニティプロファイルのライフサイクル(計画、開発、使用、維持)を提供する。

 

・[PDF] NIST.CSWP.32.ipd

20240228-55051

 

目次...

1. About Community Profiles 1. コミュニティプロファイルについて
1.1. Benefits 1.1. 利点
1.2. Developers and Owners. 1.2. 開発者とオーナー
2. Community Profiles Contents 2. コミュニティプロフィールの内容
3. The Community Profile Lifecycle.. 3. コミュニティ・プロファイルのライフサイクル
3.1. Plan 3.1. 計画
3.2. Develop 3.2. 開発
3.3. Use 3.3. 利用
3.4. Maintain 3.4. 維持
4. NCCoE Resources.. 4. NCCoEリソース

 

CSFコアを使用したコミュニティ・プロファイルの表現...

1_20240306080201

 

コミュニティーテンプレートの例

20240306-80343

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.02.28 米国 NIST CSWP 29 NISTサイバーセキュリティフレームワーク(CSF)2.0

 

| | Comments (0)

2024.02.19

中国 TC260 国家標準 「クラウドコンピューティングサービスの情報セキュリティ技術セキュリティ能力評価方法」公開草案 (2024.02.04)

こんにちは、丸山満彦です。

中国の家情報セキュリティ標準化技術委員会 (TC260) が「クラウドコンピューティングサービスの情報セキュリティ技術セキュリティ能力評価方法」公開草案を公表し、意見募集をしていますね。。。

これは、中国独自の標準ですかね。。。

引用標準としては、

GB/T 25069 信息安全技术 术语 GB/T 25069 情報セキュリティ技術用語集
GB/T 31167—2023 信息安全技术 云计算服务安全指南 GB/T 31167-2023 情報セキュリティ技術 クラウドコンピューティングサービスセキュリティガイドライン
GB/T 31168—2023 信息安全技术 云计算服务安全能力要求 GB/T 31168-2023 情報セキュリティ技術 クラウドコンピューティングサービスセキュリティ能力要件
GB/T 37972—2019 信息安全技术 云计算服务运行监管框架 GB/T 37972-2019 情報セキュリティ技術クラウドコンピューティングサービス運営規制枠組み

の4つがあります...

 

● 全国信息安全标准化技术委员会

・2024.02.04 关于国家标准《信息安全技术 云计算服务安全能力评估方法》征求意见稿征求意见的通知

ドラフトはこちら...

・[PDF] 信息安全技术 云计算服务安全能力评估方法-标准文本 (downloaded)

20240219-135956

 

目次...

前言 前書き
引言 序文
1 范围 1 範囲
2 规范性引用文件 2 引用規格
3 术语和定义 3 用語と定義
4 缩略语 4 略語
5 概述 5 概要
5.1 评估原则 5.1 アセスメントの原則
5.2 评估内容 5.2 アセスメントの内容
5.3 评估证据 5.3 アセスメントの証拠
5.4 评估实施过程 5.4 アセスメント実施プロセス
5.5 综合评估 5.5 総合アセスメント
6 系统开发与供应链安全评估方法 6 システム開発及びサプライチェーンのセキュリティアセスメントの方法論
6.1 资源分配 6.1 資源配分
6.2 系统生命周期 6.2 システムライフサイクル
6.3 采购过程 6.3 調達プロセス
6.4 系统文档 6.4 システムの文書化
6.5 关键性分析 6.5 重要度分析
6.6 外部服务 6.6 外部サービス
6.7 开发商安全体系架构 6.7 開発者セキュリティアーキテクチャ
6.8 开发过程、标准和工具 6.8 開発プロセス、標準及びツール
6.9 开发过程配置管理 6.9 開発プロセスの構成管理
6.10 开发商安全测试和评估 6.10 開発者セキュリティテストと評価
6.11 开发商提供的培训 6.11 開発者が提供するトレーニング
6.12 组件真实性 6.12 コンポーネントの真正性
6.13 不被支持的系统组件 6.13 サポートされないシステムコンポーネント
6.14 供应链保护 6.14 サプライチェーンの保護
7 系统与通信保护评估方法 7 システムと通信の保護評価手法
7.1 边界保护 7.1 境界防御
7.2 传输保密性和完整性 7.2 送信の機密性と完全性
7.3 网络中断 7.3 ネットワーク停止
7.4 可信路径 7.4 信頼された経路
7.5 密码使用和管理 7.5 パスワードの使用と管理
7.6 设备接入保护 7.6 機器のアクセス保護
7.7 移动代码 7.7 モバイルコード
7.8 会话认证 7.8 セッション認証
7.9 恶意代码防护 7.9 悪意のあるコードの保護
7.10 内存防护 7.10 メモリ保護
7.11 系统虚拟化安全性 7.11 システム仮想化のセキュリティ
7.12 网络虚拟化安全性 7.12 ネットワーク仮想化のセキュリティ
7.13 存储虚拟化安全性 7.13 ストレージ仮想化のセキュリティ
7.14 安全管理功能的通信保护 7.14 セキュリティ管理機能の通信保護
8 访问控制评估方法 8 アクセス制御の評価方法
8.1 用户标识与鉴别 8.1 ユーザ識別と認証
8.2 标识符管理 8.2 識別子の管理
8.3 鉴别凭证管理 8.3 識別認証情報管理
8.4 鉴别凭证反馈 8.4 認証クレデンシャルのフィードバック
8.5 密码模块鉴别 8.5 パスワードモジュール認証
8.6 账号管理 8.6 アカウント管理
8.7 访问控制的实施 8.7 アクセス制御の実装
8.8 信息流控制 8.8 情報フロー制御
8.9 最小特权 8.9 最小特権
8.10 未成功的登录尝试 8.10 ログイン試行失敗
8.11 系统使用通知 8.11 システム利用通知
8.12 前次访问通知 8.12 前回のアクセス通知
8.13 并发会话控制 8.13 同時セッション制御
8.14 会话锁定 8.14 セッションのロックアウト
8.15 未进行标识和鉴别情况下可采取的行动 8.15 識別及び認証に失敗した場合に取り得る措置
8.16 安全属性 8.16 セキュリティ属性
8.17 远程访问 8.17 リモートアクセス
8.18 无线访问 8.18 無線アクセス
8.19 外部信息系统的使用 8.19 外部情報システムの利用
8.20 可供公众访问的内容 8.20 一般にアクセス可能なコンテンツ
8.21 Web访问安全 8.21 ウェブアクセスのセキュリティ
8.22 API访问安全 8.22 APIアクセスのセキュリティ
9 数据保护评估方法 9 データ保護の評価方法
9.1 通用数据安全 9.1 一般的なデータセキュリティ
9.2 介质访问和使用 9.2 メディアへのアクセスと利用
9.3 剩余信息保护 9.3 残留情報の保護
9.4 数据使用保护 9.4 データ利用保護
9.5 数据共享保护 9.5 データ共有の保護
9.6 数据迁移保护 9.6 データ移行の保護
10 配置管理评估方法 10 構成管理の評価方法
10.1 配置管理 10.1 構成管理
10.2 基线配置 10.2 ベースライン構成
10.3 变更控制 10.3 変更管理
10.4 配置参数的设置 10.4 構成パラメータの設定
10.5 最小功能原则 10.5 最小機能の原則
10.6 信息系统组件清单 10.6 情報システム構成要素一覧
11 维护管理评估方法 11 保守管理の評価方法
11.1 受控维护 11.1 管理保守
11.2 维护工具 11.2 保守ツール
11.3 远程维护 11.3 遠隔保守
11.4 维护人员 11.4 メンテナンススタッフ
11.5 及时维护 11.5 適時メンテナンス
11.6 缺陷修复 11.6 欠陥の修復
11.7 安全功能验证 11.7 安全機能の検証
11.8 软件和固件完整性 11.8 ソフトウェアとファームウェアの完全性
12应急响应评估方法 12 緊急時対応の評価手法
12.1事件处理计划 12.1 事故対応計画
12.2事件处理 12.2 事故処理
12.3事件报告 12.3 インシデント報告
12.4事件处理支持 12.4 インシデント対応サポート
12.5安全报警 12.5 セキュリティ警告
12.6错误处理 12.6 エラー処理
12.7应急响应计划 12.7 緊急対応計画
12.8应急培训 12.8 緊急対応訓練
12.9应急演练 12.9 緊急時対応訓練
12.10信息系统备份 12.10 情報システムのバックアップ
12.11支撑客户的业务连续性计划 12.11 顧客支援のための事業継続計画
12.12电信服务 12.12 電気通信サービス
13 审计评估方法 13 監査の評価方法
13.1 可审计事件 13.1 監査対象事象
13.2 审计记录内容 13.2 監査記録の内容
13.3 审计记录存储容量 13.3 監査記録の保存容量
13.4 审计过程失败时的响应 13.4 監査プロセスが失敗した場合の対応
13.5 审计的审查、分析和报告 13.5 監査レビュー、分析、報告
13.6 审计处理和报告生成 13.6 監査処理およびレポート生成
13.7 时间戳 13.7 タイムスタンプ
13.8 审计信息保护 13.8 監査情報の保護
13.9 抗抵赖性 13.9 否認防止
13.10 审计记录留存 13.10 監査記録の保持
14 风险评估与持续监控评估方法 14 リスクアセスメントと継続的モニタリングの評価方法
14.1 风险评估 14.1 リスク評価
14.2 脆弱性扫描 14.2 脆弱性スキャン
14.3 持续监控 14.3 継続的モニタリング
14.4 信息系统监测 14.4 情報システムの監視
14.5 垃圾信息监测 14.5 スパム監視
15 安全组织与人员 15 セキュリティ組織と人員
15.1 安全策略与规程 15.1 セキュリティ方針と手順
15.2 安全组织 15.2 セキュリティ組織
15.3 岗位风险与职责 15.3 職務リスクと責任
15.4 人员筛选 15.4 人員の選別
15.5 人员离职 15.5 人員の分離
15.6 人员调动 15.6 人員の異動
15.7 第三方人员安全 15.7 第三者の人的セキュリティ
15.8 人员处罚 15.8 人的制裁
15.9 安全培训 15.9 安全トレーニング
16 物理与环境安全评估方法 16 物理的および環境的安全性評価方法論
16.1 物理设施与设备选址 16.1 物理的施設・設備の配置
16.2 物理和环境规划 16.2 物理的環境計画
16.3 物理环境访问授权 16.3 物理的環境へのアクセス許可
16.4 物理环境访问控制 16.4 物理的環境アクセス制御
16.5 输出设备访问控制 16.5 出力機器アクセス制御
16.6 物理访问监控 16.6 物理的アクセス監視
16.7 访客访问记录 16.7 ゲストアクセスロギング
16.8 设备运送和移除 16.8 機器の配信と削除
附录A(资料性)常见云计算服务脆弱性问题 附属書A (参考)クラウドコンピューティングサービスに共通する脆弱性の問題
参考文献 参考文献

 


 

ちなみに、ISO/IEC 27001, 27005の中国版の標準も意見募集がされていました。。。

2024.01.04 关于国家标准《信息安全技术 信息安全风险管理指导》征求意见稿征求意见的通知  国家標準「情報セキュリティ技術情報セキュリティリスク管理ガイダンス」に関する意見募集の通知 ISO/IEC 27005
2024.01.04 关于国家标准《信息安全技术 信息安全管理体系 要求》征求意见稿征求意见的通知  国家標準「情報セキュリティ技術 情報セキュリティマネジメントシステム要件」に関する意見募集の通知 ISO/IEC 27001

 

| | Comments (0)

2024.02.05

英国 意見募集 サイバー・ガバナンス実践規範 (2024.01.23)

こんにちは、丸山満彦です。

英国が、サイバー・ガバナンス実践規範の意見募集をしています。。。サイバーリスクが経営に占める割合が大きくなってきているので、こういう議論がでてくるのでしょうね。。。

日本の経産省のサイバーセキュリティ経営ガイドライン との比較というのもしておいた方が良いかもですね。。。

 

 

GOV.UK

1_20240205122801

 

・2024.01.26 Business leaders urged to toughen up cyber attack protections

Business leaders urged to toughen up cyber attack protections ビジネスリーダーにサイバー攻撃防御の強化を促す
New guidelines to help directors and business leaders boost their resilience against cyber threats. 取締役やビジネスリーダーがサイバー脅威に対するレジリエンスを高めるための新ガイドラインが発表された。
・New guidelines will help directors and business leaders boost their cyber resilience, as UK government says cyber threats should be prioritised as a key business risk like financial and legal challenges ・新ガイドラインは、取締役やビジネスリーダーのレジリエンス強化を支援するもので、英国政府は、サイバー脅威を財務や法的課題と同様に重要なビジネスリスクとして優先させるべきとしている。
・The proposed Code sets out key actions for Directors to take to strengthen their cyber resilience and help them take full advantage of digital technologies which can fuel innovation and drive competitiveness ・提案されている行動規範は、取締役がサイバーレジリエンスを強化し、イノベーションを促進し競争力を高めるデジタル技術を最大限に活用するために取るべき主要な行動を定めている。
・UK government also acting to empower organisations to reduce risks associated with business software, protecting organisations, supply chains, staff, and customers ・英国政府もまた、組織がビジネス・ソフトウェアに関連するリスクを軽減し、組織、サプライ・チェーン、従業員、顧客を保護できるよう支援している。
A draft Code of Practice on cyber security governance published today will help directors and senior leaders shore up their defences from cyber threats, as the government launches a new call for views from business leaders.   本日発表されたサイバーセキュリティガバナンスに関する実践規範のドラフトは、政府がビジネスリーダーからの意見募集を開始する中、取締役やシニアリーダーがサイバー脅威からの防御を強化するのに役立つだろう。 
Aimed at executive and non-executive directors and other senior leaders, the measures look to establish cyber security issues as a key focus for businesses, putting them on an equal footing with other threats like financial and legal pitfalls. As part of this, the Code recommends that directors set out clear roles and responsibilities across their organisations, boosting protections for customers and safeguarding their ability to operate safely and securely.   取締役、非常勤取締役、その他のシニアリーダーを対象としたこの対策は、サイバーセキュリティ問題を企業にとって重要な焦点として確立し、財務や法的な落とし穴といった他の脅威と同等の立場に置くことを目的としている。その一環として、同規範は、取締役が組織全体で明確な役割と責任を定め、顧客の保護を強化し、安全でセキュアな事業運営能力を保護することを推奨している。 
A key focus of the Code, designed in partnership with industry directors, cyber and governance experts and the National Cyber Security Centre (NCSC), is making sure companies have detailed plans in place to respond to and recover from any potential cyber incidents. The plan should be regularly tested so it’s as robust as possible, with a formal system for reporting incidents also in place.   業界の取締役、サイバーとガバナンスの専門家、そして全米サイバーセキュリティセンター(NCSC)と協力して策定されたこのコードの主な焦点は、企業が潜在的なサイバーインシデントに対応し、そこから回復するための詳細な計画を策定していることを確認することである。計画は定期的にテストされ、可能な限り堅牢であるべきで、インシデントを報告するための正式なシステムも整備されていなければならない。 
Organisations are also encouraged to equip employees with adequate skills and awareness of cyber issues so they can work alongside new technologies in confidence. Today, the government is calling on businesses of all sizes from all sectors with an interest in cyber and governance issues to share their opinions on the draft Code, helping shape and deliver the future of improved cyber security in the UK.  組織はまた、従業員が安心して新しいテクノロジーと共に働けるよう、サイバー問題に関する十分なスキルと意識を身につけるよう奨励されている。政府は本日、サイバーやガバナンスの問題に関心を持つあらゆる分野のあらゆる規模の企業に対し、ドラフトコードに対する意見を共有し、英国におけるサイバーセキュリティ改善の未来を形成し、実現する一助とするよう呼びかけている。
Viscount Camrose, Minister for AI and Intellectual Property, said:  AI・知的財産担当大臣のカムローズ子爵は、次のように述べた: 
Cyber attacks are as damaging to organisations as financial and legal pitfalls, so it’s crucial that bosses and directors take a firm grip of their organisation’s cyber security regimes - protecting their customers, workforce, business operations and our wider economy.   サイバー攻撃は、財務的・法的な落とし穴と同様に組織にダメージを与えるものであるため、上司や取締役が組織のサイバーセキュリティ体制をしっかりと把握し、顧客、従業員、事業運営、そしてより広い経済を守ることが極めて重要である。 
This new Code will help them take the lead in safely navigating potential cyber threats, ensuring businesses across the country can take full advantage of the emerging technologies which are revolutionising how we work.   この新しい規範は、潜在的なサイバー脅威を率先して安全に回避し、全国の企業が、私たちの働き方に革命をもたらしつつある新たなテクノロジーを最大限に活用できるようにするものである。 
It is vital the people at the heart of this issue take the lead in shaping how we can improve cyber security in every part of our economy, which is why we want to see industry and business professionals from all walks coming forward to share their views.”  この問題の中心にいる人々が率先して、経済のあらゆる部分でサイバーセキュリティを改善する方法を形作ることが極めて重要である。
The benefits of the UK’s rapidly growing cyber landscape are sizeable, unlocking new opportunities and ways of working, and creating new jobs to grow every sector of the UK economy – a key priority for the government. This means the risks associated with growing an increasingly digital economy need to be addressed with practical action and robust safeguards. The introduction of the Cyber Governance Code of Practice marks a pivotal step in how the leaders and directors of all organisations approach cyber risk, underpinning the UK’s credentials as a cyber power and protecting our economy.   英国で急成長しているサイバー・ランドスケープがもたらす恩恵は大きく、新たなビジネスチャンスや働き方を生み出し、英国経済のあらゆる部門を成長させる新たな雇用を創出する。つまり、デジタル経済の拡大に伴うリスクには、実際的な行動と強固なセーフガードで対処する必要がある。サイバー・ガバナンス・コード・オブ・プラクティスの序文は、あらゆる組織のリーダーや取締役がサイバーリスクにどのように取り組むかについて、極めて重要な一歩を踏み出すものであり、サイバー大国としての英国の信用を支え、経済を保護するものである。 
The guidance comes as figures show almost one in three (32%) firms have suffered a cyber breach or attack in the past year, with a rise in damaging ransomware attacks and malicious actors posing significant threats as they look to take advantage of cyber security vulnerabilities.  このガイダンスは、ほぼ3社に1社(32%)の企業が過去1年間にサイバー侵害や攻撃を受けたという数字が示すように、サイバーセキュリティの脆弱性を利用しようとするランサムウェア攻撃や悪意ある行為者が増加し、重要な脅威となっている。
New statistics and analysis showing the positive impact of the government’s Cyber Essentials scheme, which helps organisations protect against common cyber attacks, are also published today. Through this scheme, organisations which demonstrate they have vital cyber security controls in place, including effective management of security updates, having suitable anti-virus software and removing default passwords, are awarded a “Cyber Essentials certificate”. 38,113 certificates have been awarded to organisations in the past year, and two in five (39%) of the UK’s largest businesses now hold the accolade.   一般的なサイバー攻撃から組織を保護する政府のサイバー・エッセンシャル・スキームの好影響を示す新たな統計と分析も本日発表された。このスキームを通じて、セキュリティ・アップデートの効果的な管理、適切なアンチウイルス・ソフトウェアの導入、デフォルト・パスワードの削除など、重要なサイバーセキュリティ対策を実施していることを証明した組織には、「サイバー・エッセンシャルズ証明書」が授与される。この1年間で38,113の組織に証明書が授与され、英国の大企業の5社に2社(39%)がこの栄誉を手にしている。 
New analysis of the Cyber Security Breaches Survey also shows that around two thirds (66%) of businesses which adhere to Cyber Essentials have a formal cyber incident response plan, compared to just 18% of those who don’t follow its guidance.   また、サイバーセキュリティ侵害調査の新たな分析によると、Cyber Essentialsを遵守している企業の約3分の2(66%)が正式なサイバーインシデント対応計画を策定しているのに対し、Cyber Essentialsのガイダンスに従っていない企業はわずか18%に過ぎない。 
Lindy Cameron, National Cyber Security Centre CEO, said:  ナショナル・サイバー・セキュリティ・センターのリンディ・キャメロン最高経営責任者(CEO)は、次のように述べている: 
Cyber security is no longer a niche subject or just the responsibility of the IT department, so it is vital that CEOs and directors understand the risks to their organisation and how to mitigate potential threats. サイバーセキュリティは、もはやニッチなテーマでもなければ、IT部門だけの責任でもない。したがって、CEOや取締役が組織にとってのリスクと潜在的脅威を軽減する方法を理解することが不可欠である。
This new Cyber Governance Code of Practice will help ensure cyber resilience is put at the top of the agenda for organisations and I’d encourage all directors, non-executive directors, and senior leaders to share their views. この新しいサイバー・ガバナンス実践規範は、サイバー・レジリエンスが組織の最優先課題であることを確実にする助けとなる。
Senior leaders can also access the NCSC’s Cyber Security Board Toolkit which provides practical guidance on how to implement the actions outlined in the Code, to ensure effective management of cyber risks. シニアリーダーは、NCSCのCyber Security Board Toolkitにアクセスすることもできる。このToolkitは、サイバーリスクの効果的なマネジメントを確実にするために、コードに概説されているアクションを実施する方法について実践的なガイダンスを提供している。
To further support organisations to improve their cyber security and provide more clarity on best practice, the government is also publishing its response to a call for views on software resilience and security today, to help address software risks and make organisations more resilient to cyber threats.  サイバーセキュリティを改善する組織をさらに支援し、ベストプラクティスをより明確にするため、政府は、ソフトウェアのリスクに対処し、サイバー脅威に対して組織をよりレジリエンシーにするための、ソフトウェアのレジリエンスとセキュリティに関する意見募集への回答も本日公表する。
A number of recent, high-profile cyber incidents, including one which took the NHS 111 service offline, have demonstrated the severe impacts attacks on software and digital supply chains can have. The response to the call for views proposes steps to empower those who develop, buy and sell software to better understand how they can reduce risk, prioritising the protection of businesses and other organisations that are reliant on software for their day-to-day operations.  Software is fundamental to virtually all technology used by businesses, from programmes for managing payroll, to essential operating systems and more advanced and emerging technologies such as AI. Protecting software is therefore crucial to protecting businesses and organisations and is a critical part of the government’s work to improve UK cyber resilience.  NHS111サービスをオフラインにした事件を含め、最近、多くの有名なサイバーインシデントが発生し、ソフトウェアやデジタルサプライチェーンへの攻撃が深刻な影響を与えることが明らかになった。意見募集への回答は、ソフトウェアを開発、購入、販売する人々が、どのようにリスクを低減できるかをよりよく理解できるようにするためのステップを提案するものであり、日々の業務をソフトウェアに依存している企業やその他の組織の保護を優先するものである。 ソフトウェアは、給与計算を管理するプログラムから、必要不可欠なオペレーティング・システム、AIなどのより高度で新興のテクノロジーに至るまで、企業が使用する事実上すべてのテクノロジーの基礎となっている。したがって、ソフトウェアを防御することは、企業や組織を保護する上で極めて重要であり、英国のサイバーレジリエンスを改善するための政府の取り組みの重要な部分である。
The plans include measures to ensure software is developed and maintained securely, with risks better managed and communicated throughout supply chains. The government is working with industry to develop these proposals further, from developing a code of practice for software vendors, which will form the crux of this proposed package, to cyber security training for professionals.   この計画には、ソフトウェアが安全に開発・保守され、サプライチェーン全体でリスクがより適切に管理・伝達されるようにするための対策が含まれている。政府は、このパッケージ案の核となるソフトウェア・ベンダー向けの実践規範の策定から、専門家向けのサイバーセキュリティ・トレーニングまで、これらの提案をさらに発展させるために産業界と協力している。 
The call for views, which will be open until 19 March 2024, will help ensure this new Code is straightforward to understand and roll out, and will also help to identify any potential barriers organisations could face in bringing it into force.  意見募集は2024年3月19日まで行われ、この新しい規範が理解しやすく、展開しやすいものであることを確認し、また、組織がこの規範を発効させる際に直面する可能性のある障壁を特定する助けとなる。
The work is part of the government’s £2.6 billion National Cyber Strategy to protect and promote the UK online. この作業は、英国のオンラインを保護し促進するための政府の26億ポンドの国家サイバー戦略の一環である。
Notes to editors 編集後記
Read more on the National Cyber Strategy. 国家サイバー戦略の詳細を読む。
Read the Call for Views on the Cyber Governance Code of Practice サイバー・ガバナンス実践規範に関する意見募集を読む。
Complete the survey as part of the call for views. 意見募集の一環としてアンケートに回答する。
Check out the Cyber Essentials statistics and the new analysis of Cyber Essentials from the Cyber Security Breaches Survey.  サイバーセキュリティ侵害調査によるサイバーエッセンシャルズの統計と新しい分析をチェックする。
The government’s response to the call for views on software security and resilience can be found here. ソフトウェア・セキュリティとレジリエンスに関する意見募集に対する政府の回答はこちらから。

 

・2024.01.23 Cyber Governance Code of Practice: call for views

目次...

Cyber Governance Code of Practice: call for views サイバー・ガバナンス実践規範:意見募集
Foreword: Viscount Camrose まえがき:カムローズ子爵
Introduction 序文
1. Governance in a technology age 1. テクノロジー時代のガバナンス
What is cyber governance and why is it important? サイバーガバナンスとは何か、なぜ重要なのか?
International approaches to cyber governance サイバーガバナンスに対する国際的アプローチ
2. Standards and guidance landscape 2. 標準とガイダンスの状況
3. Regulatory environment 3. 規制環境
Cyber security regulation サイバーセキュリティ規制
UK company law and Corporate Governance Framework 英国の会社法とコーポレート・ガバナンスの枠組み
4. Current UK cyber governance 4. 英国のサイバーガバナンスの現状
5. Proposed approach: Cyber Governance Code of Practice 5. 提案するアプローチ サイバーガバナンス実践規範
Purpose and scope of the call for views 意見募集の目的と範囲
Design 設計
Driving uptake 取り込みを促進する
Assurance 保証
Cyber Governance Code of Practice サイバーガバナンス行動規範
A: Risk management A: リスクマネジメント
B: Cyber strategy B: サイバー戦略
C: People C: 人
D: Incident planning and response D: インシデント計画と対応
E: Assurance and oversight E: 保証と監督

 

本文...

Cyber Governance Code of Practice: call for views サイバー・ガバナンス実践規範:意見募集
Foreword: Viscount Camrose まえがき:カムローズ子爵
The UK has a world leading reputation in cutting edge technologies which is underpinned by a pro-innovation approach to tech regulation. As the digital economy continues to grow at an exponential rate, so does society’s dependence and global interconnectivity. This presents benefits but also challenges. We know that malicious actors pose a significant threat, seeking to capitalise on opportunities that exploit cyber security vulnerabilities in digital systems, disrupting business continuity and causing economic harm.  英国は最先端技術において世界をリードする評価を得ており、それは技術規制に対するイノベーション促進アプローチに支えられている。デジタル経済が指数関数的な速度で成長し続けるにつれ、社会の依存度とグローバルな相互接続性も高まっている。これはメリットであると同時に課題でもある。我々は、悪意ある行為者が重要なサイバー脅威をもたらし、デジタルシステムのサイバーセキュリティの脆弱性を悪用する機会を利用しようとし、事業継続を中断させ、経済的損害をもたらすことを知っている。
The growing use of emerging technologies, such as artificial intelligence, across organisations has elevated the importance and necessity of directors’ taking action on how to govern their implementation, harnessing their power to capitalise on the advantages they provide, while appropriately managing and mitigating their risks. Governing digital and cyber security risk effectively is not only fundamental to building a secure and digital economy, it is integral to organisations’ business continuity and competitiveness. Boards and directors should therefore place the same importance on governing cyber risk as they do with other principal risks. 人工知能のような新興テクノロジーの利用が組織全体で拡大していることから、リスクを適切にマネジメントし軽減しながら、それらがもたらす利点を活用するためにその力を活用し、その導入をガバナンスする方法について取締役が行動を起こすことの重要性と必要性が高まっている。デジタルとサイバーセキュリティのリスクを効果的にガバナンスすることは、安全なデジタル経済を構築するための基本であるだけでなく、組織の事業継続性と競争力にとっても不可欠である。したがって、取締役会や取締役は、他の主要リスクと同様に、サイバーリスクのガバナンスを重視すべきである。
The UK is taking the lead in the technologies vital to being a cyber power, while strengthening resilience at a national and organisational level to prepare for, respond to and recover from cyber attacks. Which is why, backed by £2.6 billion pounds of investment, the government’s National Cyber Strategy sets out how we are building a prosperous and resilient digital UK which will contribute to driving up cyber resilience standards. 英国は、サイバー攻撃に備え、それに対応し、サイバー攻撃から回復するためのレジリエンスを国家レベルおよび組織レベルで強化する一方で、サイバー大国となるために不可欠なテクノロジーを率先して導入している。そのため、政府の国家サイバー戦略は、26億ポンドの投資を背景に、豊かでレジリエンスの高いデジタル英国をどのように構築し、サイバーレジリエンス標準の向上に貢献するかを定めている。
Organisations have a responsibility to take action to manage their own cyber risk but stronger frameworks of accountability and good governance are needed at board level to make this a priority. This requires boards and directors, of organisations of all sizes, to embrace, engage with and understand cyber security within their own organisations. It is in this context that the government sees business resilience and cyber security as intrinsically linked. By neglecting basic cyber security principles and not understanding cyber in the broader context of business resilience, many senior leaders are failing to take responsible action to mitigate threats to business operations.  組織には、自らのサイバー・リスクを管理するために行動を起こす責任があるが、これを優先するためには、取締役会レベルにおける説明責任と優れたガバナンスの枠組みを強化する必要がある。そのためには、あらゆる規模の組織の取締役会と取締役が、自らの組織内のサイバーセキュリティを受け入れ、関与し、理解する必要がある。このような背景から、政府はビジネスのレジリエンスとサイバーセキュリティは本質的に関連していると考えている。サイバーセキュリティの基本原則をおろそかにし、ビジネス・レジリエンスという広い文脈でサイバーセキュリティを理解しないことで、多くのシニアリーダーは、事業運営に対する脅威を軽減するための責任ある行動を取ることができていない。
I am therefore pleased to introduce this call for views on a Cyber Governance Code of Practice, which will support directors to drive greater cyber resilience. This code is the product of extensive engagement with organisations that manage and advise on business risk on a daily basis, and has been co-designed with industry leaders and technical experts at the National Cyber Security Centre. I would like to put on record my thanks and gratitude to those who have so generously given up their time over recent months to help develop the draft code which you now see before you.  そこで、私は、取締役がより大きなサイバー・レジリエンスを推進できるよう支援する「サイバー・ガバナンス実践規範」に関する意見募集を実施することを喜ばしく思う。この規範は、日常的にビジネスリスクを管理・助言している組織との広範な関わりから生まれたものであり、業界のリーダーやナショナル・サイバー・セキュリティ・センターの技術専門家との共同設計によるものである。ここ数ヶ月の間、惜しみなく時間を割いてドラフト作成に協力してくださった方々に、感謝の意を表したい。
The code focuses on the most critical areas that leaders must engage with, forming simple, actions-focused guidance, making it easier for directors to understand what actions to take. This is an integral step in supporting boards and senior leaders to take better accountability for their cyber risk.  この規範は、リーダーが取り組まなければならない最も重要な分野に焦点を当て、シンプルで行動に焦点を絞ったガイダンスを形成し、取締役が取るべき行動を理解しやすくしている。これは、取締役会とシニア・リーダーがサイバー・リスクに対してより良い説明責任を果たすことを支援する上で不可欠なステップである。
Your engagement with the questions in this call for views will help the Government develop plans to build a safer and more prosperous UK. I encourage all organisations with an interest in corporate governance, cyber risk management, board engagement and cyber resilience to take part. We welcome views from all sectors and business sizes. From academics, organisations without formalised boards, to organisations who procure or outsource cyber security, and other interested parties.  この意見募集の質問に対する皆さんの関与は、政府がより安全でより豊かな英国を構築するための計画を策定するのに役立つだろう。コーポレート・ガバナンス、サイバー・リスクマネジメント、取締役会のエンゲージメント、サイバー・レジリエンスに関心のあるすべての組織に参加していただきたい。私たちは、あらゆるセクターや企業規模からの意見を歓迎する。学識経験者、正式な取締役会を持たない組織、サイバーセキュリティを調達またはアウトソーシングしている組織、その他の関係者に至るまでである。
I look forward to continuing discussions on how the government and industry should prioritise efforts to bolster the UK economy’s cyber resilience. I thank you in advance for your contribution to this vital aspect of our national security. 英国経済のレジリエンスを強化するために、政府と産業界がどのように優先順位をつけて取り組むべきか、引き続き議論していきたい。国家安全保障の重要な側面であるサイバーセキュリティへの貢献に感謝する。
Introduction 序文
The vast majority of organisations in the UK rely on digital technologies to create and conduct business operations. As the digital economy grows, so too do cyber security risks, which are a principal risk to many companies. Greater digital operations provide opportunities for malicious actors to exploit vulnerabilities in IT systems and disrupt business continuity. Organisations are now more than ever before at risk of being disrupted and suffering both malicious and accidental material incidents. 英国では、大半の組織がデジタル技術に依存して事業を創出・遂行している。デジタル経済が成長するにつれ、多くの企業にとって主要なリスクであるサイバーセキュリティのリスクも増大している。デジタル業務の拡大は、悪意ある行為者がITシステムの脆弱性を悪用し、事業継続を妨害する機会を提供する。組織は今、悪意あるインシデントと偶発的なインシデントの両方において、これまで以上に混乱や被害を受けるリスクにさらされている。
This relatively new risk environment is dynamic and more fast-moving than traditional business risks. Cyber security risk faces a multiplier effect of (i) the pace at which businesses are digitising and transforming operations, (ii) the increasing interconnectedness of digital supply chains, (iii) an evolving threat landscape where state and non-state actors seek to exploit new vulnerabilities created by increased digitisation and connectedness. This is further complicated by a rapidly evolving set of regulatory frameworks domestically and internationally.  この比較的新しいリスク環境はダイナミックで、従来のビジネスリスクよりも動きが速い。サイバーセキュリティリスクは、(i) 事業のデジタル化と変革のペース、(ii) デジタルサプライチェーンの相互接続性の増大、(iii) デジタル化と相互接続性の増大によって生まれた新たな脆弱性を国家や非国家行為者が悪用しようとする脅威状況の進化、といった乗数効果に直面している。これは、国内外で急速に進化する規制の枠組みによってさらに複雑になっている。
Cyber incidents can have severe impacts on organisations of all sizes, both in the short and longer term, from causing business interruption and reputational damage, to being paralysed by ransomware and unable to recover financially. As explained by David Raissipour Forbes 2023 ‘cyber risk is no longer just an IT problem, it is a critical vulnerability that directly influences the health of the collective enterprise.’ サイバーインシデントは、短期的にも長期的にも、あらゆる規模の組織に深刻な影響を与える可能性があり、事業の中断や風評被害を引き起こしたり、ランサムウェアによって機能麻痺に陥ったり、経済的に回復できなくなったりすることもある。David Raissipour Forbes 2023が説明するように、「サイバーリスクはもはや単なるITの問題ではなく、エンタープライズ全体の健全性に直接影響する重大な脆弱性である」。
Given its impact and materiality to business continuity and competitiveness, cyber risk should have the same prominence as financial or legal risks. In today’s increasingly digitally dependent economy and society, directors should entwine cyber risk management with existing business resilience and risk management practices. This requires boards and directors, of organisations of all sizes, to embrace and engage with cyber security and understand the risk that cyber incidents present to delivery of the business strategy. It is in this context that the government sees business resilience and cyber security as intrinsically linked. 事業継続性や競争力への影響や重要性を考えると、サイバーリスクは財務リスクや法務リスクと同じように重要視されるべきである。デジタル依存度が高まる今日の経済・社会では、取締役はサイバーリスクマネジメントを既存の事業レジリエンスやリスクマネジメントの実践に組み込むべきである。そのためには、あらゆる規模の組織の取締役会および取締役がサイバーセキュリティを受け入れ、それに関与し、サイバーインシデントが事業戦略の遂行にもたらすリスクを理解する必要がある。このような背景から、政府は、ビジネス・レジリエンスとサイバーセキュリティは本質的に関連していると考えている。
1. Governance in a technology age 1. テクノロジー時代のガバナンス
Digital technologies now underpin business resilience and cut across so many organisational and strategic areas of the business, from strategy definition and capability building to partner selection or business integration. Executive and non-executive directors therefore need to take greater action to provide stronger governance on technology strategies. Clear leadership, and becoming skilled at governing technology, both capitalising on its opportunity as well as managing risks associated with its adoption and use, is fundamental to doing business today. Management and leaders therefore need to ensure that there is a coherent and practicable strategy which weighs up various interdependencies between competition and risks of security, safety, ethics and reputation.  デジタル技術は、今やビジネス・レジリエンスを下支えし、戦略定義や能力構築からパートナー選 定や事業統合に至るまで、事業の多くの組織的・戦略的分野にまたがっている。したがって、執行役員および社外取締役は、テクノロジー戦略に関するガバナンスを強化するために、より大きな行動を起こす必要がある。明確なリーダーシップを発揮し、テクノロジーのガバナンスに習熟することで、その機会を活かすと同時に、その導入と使用に伴うリスクを管理することは、今日のビジネスを行う上での基本である。したがって、マネジメントとリーダーは、競争とセキュリティ、安全性、倫理、レピュテーションのリスクとの間の様々な相互依存関係を秤にかけて、首尾一貫した実践可能な戦略を確保する必要がある。
Whether governing of technology issues is done via regular engagement as a recurring agenda item or informal engagement on selected topics, it is critical that executive and non-executive directors develop their understanding and prioritise technology decisions whilst appropriately considering the risks to their business strategy.  テクノロジー問題のガバナンスが、定期的なアジェンダ・アイテムとしてのエンゲージメントを通じて行われるにせよ、選択されたトピックに関する非公式なエンゲージメントを通じて行われるにせよ、経営陣と社外取締役が理解を深め、ビジネス戦略に対するリスクを適切に考慮しながら、テクノロジーに関する意思決定に優先順位をつけることが極めて重要である。
Cyber governance and ensuring the organisation’s resilience to cyber security risk is one part of this broader environment of technology governance. サイバーガバナンスとサイバーセキュリティリスクに対する組織のレジリエンスの確保は、このようなテクノロジーガバナンスの広範な環境の一部である。
What is cyber governance and why is it important? サイバーガバナンスとは何か、なぜ重要なのか?
Cyber governance focuses on a top-down approach to managing and mitigating risks associated with security concerns of the organisation’s use of digital technologies. Better governance of cyber security risk is critical to improving the cyber resilience of organisations and better protecting the UK economy and society. Our evidence suggests that a focus on improving the governance of cyber security within an organisation often leads to the fastest improvements in overall cyber resilience (Cyber security incentives and regulation review 2022. Improving cyber resilience forms part of one of the objectives of the National Cyber Strategy, which sets out the government’s commitment to strengthening resilience at national and organisational level to prepare for, respond to and recover from cyber attacks. This approach to cyber resilience is absolutely critical in order to ensure サイバーガバナンスは、組織がデジタル技術を使用する際のセキュリティ上の懸念に関連するリスクを管理し、低減するためのトップダウンのアプローチに焦点を当てている。サイバーセキュリティリスクのガバナンスを改善することは、組織のサイバーレジリエンスを改善し、英国経済と社会をより良く守るために不可欠である。政府によるエビデンスによると、組織内のサイバーセキュリティのガバナンスの改善に焦点を当てることが、サイバーレジリエンス全体の最も早い改善につながることが多い(Cyber security incentives and regulation review 2022)。サイバーレジリエンスの改善は、国家サイバー戦略の目的の一つを成しており、サイバー攻撃に備え、それに対応し、サイバー攻撃から回復するために、国家レベルおよび組織レベルでレジリエンスを強化するという政府のコミットメントを示している。サイバーレジリエンスに対するこのアプローチは、以下を確実にするために絶対に欠かせない: 
1. Cyber resilience is embedded within company strategy and integrated across all relevant business processes, not just the IT or technology domains; and 1. サイバーレジリエンスが企業戦略の中に組み込まれ、ITやテクノロジーの領域だけでなく、関連するすべてのビジネスプロセスに統合されている。
2. Responsibilities for the management of cyber resilience are clear and are embedded across all relevant domains to ensure they are not siloed.  2. サイバーレジリエンスの管理責任が明確化され、関連するすべての領域にわたって組み込まれ、サイロ化されないようにする。
To govern cyber risk effectively, organisations need to implement a top-down approach. This requires the most senior leaders of an organisation, whether that is the directors, board or equivalent, to take ownership of cyber risk, understand the threats that the organisation faces and assess what action is being taken to manage them.  サイバーリスクを効果的にガバナンスするためには、組織はトップダウンアプローチを実施する必要がある。そのためには、組織の最上位のリーダー(取締役、取締役会、またはそれに準ずるもの)がサイバーリスクのオーナーシップを持ち、組織が直面している脅威を理解し、それらを管理するためにどのような行動が取られているかを評価する必要がある。
International approaches to cyber governance サイバーガバナンスに対する国際的アプローチ
Globally, a number of other countries are prioritising cyber governance and are driving greater engagement and action from directors, including the US through its SEC rules, which require boards to have oversight of risks from cyber security threats. Recently, industry associations, including the US National Association of Corporate Directors and the Australian Institute of Company Directors, have published key principles to support directors in meeting the requirements of their national regulatory frameworks. This demonstrates the growing expectations of directors in grappling with this new form of risk governance. The US National Institute of Standards and Technology has recently launched the first draft of its Cybersecurity Framework 2.0 with the most notable addition being a sixth pillar focusing exclusively on governance. The recent activity around cyber governance demonstrates a collective refocusing on this process, particularly around individuals’ roles and responsibilities in an organisation’s cyber risk management posture. 世界的には、多くの国がサイバーガバナンスを優先し、取締役会の関与と行動を促進している。米国はSEC規則を通じて、取締役会にサイバーセキュリティ脅威によるリスクの監督を義務付けている。最近では、米国の全米取締役協会やオーストラリアの会社取締役協会などの業界機構が、各国の規制枠組みの要件を満たす取締役を支援するための主要原則を発表している。これは、この新しい形のリスクガバナンスに取り組む取締役への期待が高まっていることを示している。米国国立標準技術研究所は最近、サイバーセキュリティフレームワーク2.0の最初のドラフトを発表したが、その中で最も注目すべきは、ガバナンスに特化した第6の柱が追加されたことである。サイバーガバナンスをめぐる最近の動きは、このプロセス、特に組織のサイバーリスクマネジメント態勢における個人の役割と責任をめぐる集団的な再集中を示している。
2. Standards and guidance landscape 2. 標準とガイダンスの状況
There are a number of government and industry-led resources that already exist to help support business leaders. In 2019, the National Cyber Security Centre published the Cyber Security Toolkit for Boards and earlier this year issued a revised version ensuring it remains relevant to the current cyber security landscape. The Toolkit is designed to improve board members’ and senior leaders’ confidence in discussing cyber security with their key stakeholders across the business and help them make informed decisions about cyber risks and cyber security within their organisation. Despite this, the Cyber Security Breaches Survey 2023 found that board engagement has continued to decline among businesses since 2021. Findings from the Cyber Security Incentives and Regulation Review Call for Evidence 2020 demonstrate that there remains demand for further support from the Government to clearly set out what good looks like for governing cyber risk. ビジネスリーダーを支援するために、政府や業界主導のリソースが既に数多く存在している。2019年、National Cyber Security Centreは「Cyber Security Toolkit for Boards(取締役会のためのサイバーセキュリティ・ツールキット)」を発表し、今年初めには、現在のサイバーセキュリティの状況に対応した改訂版を発表した。このツールキットは、取締役会メンバーやシニアリーダーが事業全体の主要な利害関係者とサイバーセキュリティについて議論する際の自信を改善し、組織内のサイバーリスクやサイバーセキュリティについて十分な情報に基づいた意思決定を行うのに役立つように設計されている。このような状況にもかかわらず、サイバーセキュリティ侵害調査2023によると、2021年以降、取締役会の関与は企業間で低下し続けている。サイバーセキュリティのインセンティブと規制のレビューの証拠募集2020からの調査結果は、サイバーリスクを管理するために何が良いかを明確に示すための政府からのさらなる支援の需要が残っていることを示している。
The National Cyber Security Centre’s Cyber Assessment Framework furthermore articulates outcomes expected of regulated companies and including areas of governance such as board direction and assurance.  ナショナル・サイバー・セキュリティ・センターのサイバー・アセスメント・フレームワークはさらに、規制対象企業に期待される成果を明確にしており、取締役会の指示や保証といったガバナンスの分野も含まれている。
Across industry, there are a number of best practice standards, particularly in IT operations, security operations and enterprise risk management, but less so when it comes to governance and providing directors or boards with direction. When looking across the breadth of standards and guidance, it is clear that the majority do not specifically target directors and therefore do not use language that they are familiar with. In addition, the majority are also predominantly outcomes focused which can be difficult to interpret and implement without a reasonable understanding of cyber security. 業界全体では、特にITオペレーション、セキュリティオペレーション、エンタープライズリスクマネジメントにおいて、多くのベストプラクティス標準が存在するが、ガバナンスや取締役会に対する方向性の提供に関しては、それほど多くはない。広範な標準やガイダンスを見渡すと、その大半が特に取締役を対象としておらず、したがって取締役が慣れ親しんでいる言葉を使っていないことは明らかである。加えて、大半は主に成果に焦点を当てたものであり、サイバーセキュリティに関する相応の理解がなければ、その解釈や実施が困難な場合がある。
As demonstrated above, collectively, the current standards and guidance landscape has not led to sufficient action being taken by directors on foundational cyber governance issues to keep pace with this changing risk environment.  以上のように、現在の標準とガイダンスの状況を総合すると、変化するリスク環境に対応するために、取締役がサイバーガバナンスの基礎的な問題について十分な行動をとるには至っていない。
3. Regulatory environment 3. 規制環境
Cyber security regulation サイバーセキュリティ規制
The government has sought to put in place a regulatory framework for cyber security, including data security, that is balanced and sufficiently flexible, so that organisations ensure they protect themselves, their suppliers and partners, and their customers from the harms associated with cyber security risks. The regulations that the government has introduced, such as the Network and Information Systems Regulations, and the UK General Data Protection Regulation (GDPR), complemented by sector specific regulations, set out the requirements and supporting guidance to explain the measures that organisations are expected to implement.  政府は、組織がサイバーセキュリティリスクに関連する被害から自社、サプライヤーやパートナー、顧客を確実に保護できるように、データセキュリティを含むサイバーセキュリティに関する規制の枠組みを、バランスの取れた、十分に柔軟性のあるものにしようと努めてきた。ネットワークと情報システム規則や英国一般データ保護規則(GDPR)などの政府が導入した規制は、セクター固有の規制によって補完され、組織が実施することが期待される対策を説明するための要件と支援ガイダンスを定めている。
The Cyber Assessment Framework was developed as a tool to support effective cyber regulation. As mentioned above, this defines wide ranging outcomes to achieve effective cyber governance, relevant to regulatory requirements under the Network and Information Systems Regulations. サイバーアセスメントフレームワークは、効果的なサイバー規制を支援するツールとして開発された。前述したように、これは効果的なサイバーガバナンスを達成するための幅広い成果を定義しており、ネットワークと情報システム規則の規制要件に関連している。
Beyond cyber regulation, the UK GDPR is a whole-of-economy driver of effective data security. Article 5(1)(f) and Article 32 set out that personal data shall be processed in a manner which ensures appropriate security using appropriate technical and organisational measures. The Information Commissioner’s Office (ICO) has explained in guidance that organisational measures equate to key governance actions including, but not limited to, conducting risk assessments, clear and coordinated accountabilities and responsibilities, and developing a culture of security awareness. Despite this, some directors are not taking responsibility for ensuring that these actions are done. In October 2022, the ICO issued a fine of £4.4 million against Interserve, a Berkshire based construction company, for failing to keep personal information of its staff secure by not putting in place appropriate technical and organisational measures as required by Article 5(1)(f) and Article 32. サイバー規制を超えて、英国のGDPRは効果的なデータセキュリティの経済全体の推進力である。第5条1項(f)と第32条は、個人データは適切な技術的・組織的手段を用いて適切なセキュリティを確保する方法で処理されなければならないと定めている。政府アカウンタビリティ室(ICO)はガイダンスの中で、組織的対策とは、リスクアセスメントの実施、明確かつ協調的な説明責任と責任、セキュリティ意識の文化の醸成を含むがこれらに限定されない主要なガバナンス行動に相当すると説明している。にもかかわらず、一部の取締役はこれらの行動を確実に実行する責任を負っていない。2022年10月、ICOはバークシャーを拠点とする建設会社インターサーブに対し、第5条1項(f)および第32条が要求する適切な技術的・組織的対策を講じず、従業員の個人情報を安全に保管しなかったとして、440万ポンドの罰金を科した。
UK company law and Corporate Governance Framework 英国の会社法とコーポレート・ガバナンスの枠組み
UK businesses are also subject to broader statutory and other regulatory requirements covering risk management, such as contained in the Companies Act 2006, and for premium listed companies, the UK Corporate Governance Code, which should influence the way organisations manage their cyber risk. The Companies Act 2006 currently requires all large companies to provide an annual “description of the principal risks and uncertainties facing the company.” While useful, this existing requirement does not require information on how such risks and uncertainties are being addressed and mitigated, their likelihood and potential impact, the time period over which they are expected to last, and companies’ underpinning governance processes for risk management and developing business resilience.  英国企業は、2006年会社法、およびプレミアム上場企業のための英国コーポレートガバナンス・コードに含まれるような、リスクマネジメントをカバーする広範な法定およびその他の規制要件にも従っている。2006年会社法は現在、すべての大企業に対し、「会社が直面する主要なリスクと不確実性の説明」を毎年提供することを義務付けている。この既存の要件は有用ではあるが、そうしたリスクや不確実性がどのように対処され、低減されているか、その可能性と潜在的な影響、それらが継続すると予想される期間、リスクマネジメントと事業レジリエンス開発のための企業の裏付けとなるガバナンス・プロセスに関する情報を求めてはいない。
The Corporate Governance Code sets best practice in relation to governance and is supported by guidance including Risk Management, Internal Control and Related Financial and Business Reporting. This guidance articulates the duty of the board in risk management. Directors must both design and implement appropriate risk management and internal controls systems that identify the risks facing the company and enable the board to make a robust assessment of the principal risks. We now live in a digital world where for most organisations cyber security is either a principal risk, or is relevant to an organisation’s management of principal risks, given that having access to digital systems is crucial to creating value and maintaining business continuity. To enhance the Corporate Governance Code’s effectiveness promoting good corporate governance in the context of business today, the Financial Reporting Council (FRC) has recently run a consultation which proposes that the board make a declaration that the company’s risk management and internal controls systems have been effective throughout the reporting period. This consultation ended in September 2023 and it is expected that both the Corporate Governance Code and associated Guidance will be updated following feedback received, and we will work to ensure consistency with our Code of Practice. コーポレート・ガバナンス・コードは、ガバナンスに関するベスト・プラクティスを定めており、リスクマネジメント、内部統制、関連する財務・事業報告などのガイダンスによってサポートされている。このガイダンスは、リスクマネジメントにおける取締役会の義務を明確にしている。取締役は、会社が直面するリスクを特定し、取締役会が主要なリスクについて確固としたアセスメントを行うことを可能にする適切なリスクマネジメントおよび内部統制システムを設計し、実施しなければならない。私たちは今、デジタルの世界に生きており、ほとんどの組織にとってサイバーセキュリティは主要なリスクであるか、あるいは主要なリスクのマネジメントに関連するものである。コーポレートガバナンス・コードが、今日のビジネス状況において優れたコーポレートガバナンスを促進する効果を高めるため、財務報告評議会(FRC)は最近、報告期間を通じて会社のリスクマネジメントと内部統制システムが有効であったことを取締役会が宣言することを提案するコンサルテーションを実施した。このコンサルテーションは2023年9月に終了したが、コーポレートガバナンス・コードと関連ガイダンスは、寄せられたフィードバックを受けて更新される見込みであり、当行は当行規範との整合性を確保するよう努める。
4. Current UK cyber governance 4. 英国のサイバーガバナンスの現状
The Cyber Security Breaches Survey 2023 found that while cyber security is seen as a high priority by senior management at 71% of businesses and 62% of charities, this has not translated into action or greater ownership of cyber risk at the most senior level. In addition, only three in ten businesses (30%) and charities (31%) have board members or trustees explicitly responsible for cyber security as part of their job role. Qualitative insights from the same survey show a similar set of issues to previous years that prevent boards from engaging more in cyber security, including a lack of knowledge, training and time. サイバーセキュリティ侵害に関する調査2023」によると、企業の71%、慈善団体の62%において、上級マネジメントがサイバーセキュリティを優先度の高い課題として捉えているものの、上級レベルにおけるサイバーリスクに対する行動やオーナーシップの向上にはつながっていないことがわかった。さらに、役員や評議員が職務の一部としてサイバーセキュリティを明確に担当しているのは、企業では10社に3社(30%)、慈善団体では31%にとどまっている。同じ調査から得られた定性的な洞察によると、取締役会のサイバーセキュリティへの関与を妨げているのは、知識、トレーニング、時間の不足など、例年と同様の問題である。
One example of insufficient director involvement is demonstrated in less than half (47%) of medium organisations and only 64% of large organisations having a formal incident response plan in place (Cyber Security Breaches Survey 2023). Given the criticality in responding to incidents quickly, directors should be ensuring that their organisation has an incident response plan that is tested at least annually, so that when it is needed it can be put into action at pace. 取締役の関与が不十分な一例として、正式なインシデント対応計画を策定しているのは、中規模組織では半数以下(47%)、大規模組織では64%に過ぎないことが示されている(Cyber Security Breaches Survey 2023)。インシデントに迅速に対応することが極めて重要であることを考えると、取締役は、少なくとも年1回テストされるインシデント対応計画を組織に確実に持たせ、必要なときに迅速に実行に移せるようにすべきである。
A second critical aspect of cyber governance lies with who is involved across the organisation. A Marsh global survey of more than 1,300 executives examined cyber risk and management strategies and found that 70% of respondents named the IT department as a primary owner and decision-maker for cyber risk management, compared to 37% who cited the C-suite and 32% their risk management team. A bottom-up approach where the CISO or equivalent is left responsible for governing cyber risk as an enterprise wide risk is not conducive to developing business resilience. It is the responsibility of directors to ensure that the company’s technology stack and associated risks are interwoven with the organisation’s mission, strategy and objectives. This requires directors to have regular two way dialogue with the CISO or key risk owner(s), as well as convening and engaging with others across the organisation who are also responsible for managing and considering cyber risks, for example, the HR or Strategy director. Governing cyber risk in this way allows organisations to take full advantage of digital technologies which fuels innovation and drives their competitiveness サイバーガバナンスの第二の重要な側面は、組織全体で誰が関与するかにある。1,300人以上の経営幹部を対象としたMarshのグローバル調査では、サイバーリスクとマネジメント戦略を調査し、回答者の70%がサイバーリスクマネジメントの主要なオーナーおよび意思決定者としてIT部門を挙げたのに対し、C-suiteを挙げたのは37%、リスクマネジメントチームを挙げたのは32%であった。サイバーリスクをエンタープライズ全体のリスクとしてガバナンスする責任を CISO またはそれに準ずる者に負わせるようなボトムアップのアプローチは、ビジネスのレジリエンスを発展させることにはつながらない。会社のテクノロジー・スタックと関連リスクが、組織のミッション、戦略、目標に織り込まれていることを確認するのは、取締役の責任である。そのためには、取締役がCISOや主要なリスクオーナーと定期的に双方向の対話を行うだけでなく、サイバーリスクのマネジメントや検討に責任を持つ組織内の他の人物(例えば、HRやリスクマネジメント戦略担当取締役など)を招集し、関与する必要がある。このようにサイバーリスクをガバナンスすることで、組織はイノベーションを促進し、競争力を高めるデジタル技術を最大限に活用することができる。
5. Proposed approach: Cyber Governance Code of Practice 5. 提案するアプローチ サイバーガバナンス実践規範
Despite the existing regulatory requirements and supporting guidance and tools, organisations that responded to the Cyber Security Incentives and Regulation Review Call for Evidence 2020 said that they find the cyber landscape complex and challenging to navigate, with 83% of those surveyed stating that there is a need for additional solutions to illustrate ‘what good looks like’. This view has been strongly supported in the engagement the government has had on governing cyber risk over the past twelve months with a range of organisations, including auditors and industry bodies. 既存の規制要件やそれを支援するガイダンスやツールがあるにもかかわらず、「サイバーセキュリティのインセンティブと規制のレビュー」(Cyber Security Incentives and Regulation Review Call for Evidence 2020)に回答した組織は、サイバー情勢が複雑で難しいと感じていると回答しており、調査対象者の83%が「良いとはどのようなものか」を示す追加のソリューションが必要であると述べている。この見解は、政府が過去1年間に監査法人や業界団体を含む様々な組織と行ったサイバーリスクのガバナンスに関する取り組みでも強く支持されている。
This helps demonstrate that whilst resources on how to govern cyber risk more effectively do exist, they can be hard to find and engage with. In addition, the majority of existing resources are predominantly outcomes focused which can be difficult for directors to engage with when having limited time and limited understanding of cyber risk.  このことは、サイバーリスクをより効果的に管理する方法に関するリソースは存在するものの、それらを見つけたり利用したりするのは難しいということを示すのに役立っている。加えて、既存のリソースの大半は、主に成果に焦点を当てたものであり、限られた時間とサイバーリスクに対する限られた理解しか持たない取締役にとっては取り組みにくいものである。
While there is no one size fits all approach to governing business risks such as cyber risk, there are some common fundamental actions that all directors and their organisations should take. A cyber governance Code of Practice, as proposed here, would bring together the critical governance areas that directors need to take ownership of in one place, in a form that is simple to engage with, for organisations of all sizes. サイバーリスクのようなビジネスリスクをガバナンスするための万能なアプローチは存在しないが、すべての取締役とその組織が取るべき共通の基本的な行動はいくつかある。ここで提案するサイバーガバナンス実践規範は、あらゆる規模の組織にとって、取締役がオーナーシップを持つべき重要なガバナンス領域を、取り組みやすい形で一箇所にまとめるものである。
A cyber governance Code of Practice would formalise government’s expectations of directors for governing cyber risk as they would with any other material or principal business risk. サイバーガバナンス実施規範は、政府が取締役に期待するサイバーリスクのガバナンスを、他の重要リスクや主要なビジネスリスクと同様に正式に規定するものである。
Purpose and scope of the call for views 意見募集の目的と範囲
The scope of the call for views is focused around three particular issues:  意見募集の範囲は、以下の3つの特定の問題に焦点を当てている: 
the design of the cyber governance Code of Practice;  サイバーガバナンスの実践規範のデザイン 
how the government can drive uptake of its use and compliance with the code; and  政府はどのようにサイバー・ガバナンス・コードの利用を促進し、その遵守を促すことができるか。
the merits and demand for an assurance process against the Code. 規範に対する保証プロセスのメリットと需要。
Design 設計
A draft Code of Practice has been co-designed with a range of governance experts including but not limited to, non-executive directors, auditors, consultants, CISOs and academics. It is presented (in Annex A) in the form of five overarching principles with relevant actions underneath each principle. The actions are framed in language that directors use, rather than being technical, and they go beyond being outcomes focused to provide a clearer expectation of directors. This will make it easier for directors in organisations of all sizes to understand which actions they should be taking, and why, so that they can better govern cyber risk.  実践規範のドラフトは、非業務執行取締役、監査役、コンサルタント、CISO、学識経験者等、様々なガバナンスの専門家と共同で策定された。この規範は、5つの包括的な原則と、各原則の下に関連する行動という形で示されている(附属書A)。アクションは、技術的なものではなく、取締役が使用する言葉で組み立てられており、取締役に期待することを明確にするために、成果に焦点を当てたものにとどまらない。これにより、あらゆる規模の組織の取締役が、どのような行動をとるべきか、なぜとるべきかを理解しやすくなり、サイバーリスクをより適切にガバナンスできるようになる。
The principles and actions of the Code have been drawn from best practice [footnote 1] and is intended to align with and complement existing industry and government resources, both in the UK and internationally. In particular, further guidance on implementation of these principles and actions, is provided within the NCSC’s Cyber Security Toolkit for Boards and the two will work together to form a coherent set of guidance for boards, directors and their senior advisors 行動規範の原則と行動は、ベストプラクティス[脚注1]から導き出されたものであり、英国内外の既存の業界や政府のリソースと整合し、それを補完することを意図している。特に、これらの原則と行動の実施に関するさらなるガイダンスは、NCSCの「取締役会のためのサイバーセキュリティ・ツールキット」(Cyber Security Toolkit for Boards)の中で提供されており、両者は連携して、取締役会、取締役、上級顧問向けの首尾一貫したガイダンスを形成する。
Through this call for views, we want to test the design of the Code of Practice to determine whether the actions that directors should be taking to govern cyber risk are presented and explained in a way that is straightforward to understand and implement.  今回の意見募集を通じて、サイバーリスクを管理するために取締役が取るべき行動が、理解しやすく、実行しやすい形で示され、説明されているかどうかを判断するため、実践規範のデザインを検証したい。
We also want to better understand what further guidance would help industry in order to be able to implement the code effectively. For example, the Australian Institute of Company Directors’ Cyber Security Governance Principles makes use of a number of additional guidance pieces to form a suite of support to assist organisations of all sizes. These include a ‘checklist’ for small and medium sized organisations and ‘red flags’ to help assist where an organisation might be erring また、この行動規範を効果的に実施するために、産業界にとってどのようなガイダンスがあれば助かるかについても理解を深めたい。例えば、Australian Institute of Company DirectorsのCyber Security Governance Principlesは、あらゆる規模の機構を支援するための一連のサポートとして、多くの追加ガイダンスを活用している。これには、中小規模の組織向けの「チェックリスト」や、組織が誤りを犯す可能性のある箇所を支援する「レッドフラッグ」などが含まれる。
Driving uptake 取り込みを促進する
The proposed Code of Practice would be launched as a voluntary tool, that is, without its own statutory footing. However, the Code of Practice would support and align with a number of existing regulatory obligations. Whilst not sufficient on its own at driving the required improvements in cyber risk management at Board level, the government is exploring the Code’s use in supporting regulators to understand how it can be used to assist with regulatory compliance, including with the General Data Protection Regulation (GDPR) and the Network and Information Systems (NIS) regulations. The government will be working closely with these regulators and competent authorities, as well as broader sectoral regulators, to embed the Code in the existing regulatory landscape as and where it relates to cyber security and broader resilience.  提案されている実践規範は、自主的なツールとして、つまり法的な根拠を持たずに開始される。しかし、この行動規範は、既存の多くの規制義務を支援し、それと整合させるものである。取締役会レベルでのサイバーリスクマネジメントの改善を推進するには、これだけでは不十分であるが、政府は、一般データ保護規則(GDPR)やネットワークと情報システム(NIS)規制など、規制当局のコンプライアンス遵守を支援するために当規範をどのように利用できるかを理解するために、規制当局を支援する上での当規範の利用を検討している。政府は、これらの規制当局や所轄当局、さらにはより広範なセクターの規制当局と緊密に協力し、サイバーセキュリティや広範なレジリエンスに関連する既存の規制の状況にこのガバナンスを組み込む予定である。
However, as cyber risk now comprises a material risk to any business with a digital footprint, whether directly regulated or not, all organisations should adopt the Cyber Governance Code of Practice. To that end, the promotion of the Code, whether it is published through a governance or a cyber security agency, and the broader interventions outlined here to stimulate uptake, are all critical aspects of embedding it in common practice across the UK economy.  しかし、サイバーリスクは、直接的な規制の有無にかかわらず、デジタルフットプリントを持つすべてのビジネスにとって重大なリスクであるため、すべての組織がサイバーガバナンス実践規範を採用すべきである。そのためには、ガバナンスやサイバーセキュリティ機関を通じて公表されるか否かにかかわらず、行動規範の普及を図り、また、ここで説明したような幅広い介入策を講じて普及を促進することが、英国経済全体の一般的な慣行に定着させる上で極めて重要である。
This call for views seeks input on where the Code may be best placed and promoted to ensure it reaches directors and forms a core aspect of their knowledge base on risk management in a digital age. As in other countries, such as the US and Australia, driving the required uptake will necessitate the Cyber Governance Code of Practice to be situated within existing guidance from a governance specific body, such as the Institute of Directors or the Chartered Governance Institute. Such a decision would need to be weighed against the confidence that government ownership would provide industry with when engaging with the Code, as well as the authority government ownership would provide with regards to embedding the Code in the existing regulatory landscape.  この意見募集では、行動規範を取締役に確実に浸透させ、デジタル時代のリスクマネジメントに関する知識基盤の中核を形成するために、行動規範をどのような位置づけで普及させるのが最適かについて意見を求める。米国やオーストラリアなどの他の団体と同様、必要な普及を促進するためには、取締役会やガバナンス協会など、ガバナンスに特化した団体の既存のガイダンスの中にサイバー・ガバナンス実践規範を位置づける必要がある。このような決定には、政府が所有することで、産業界がコードに関与する際の信頼性と、政府が所有することで、既存の規制環境にコードを組み込む際の認可とを比較検討する必要がある。
This call also seeks views on what role other bodies may play in the implementation and uptake of the Code. This includes, for example, considering trade, governance or sectoral organisations’ role in promoting the Code, or the extent to which professional standards and training will impact the Code’s uptake. 今回の要請では、行動規範の実施と導入において、他の団体がどのような役割を果たすかについても意見を求めている。これには、例えば、業界団体、ガバナンス団体、セクター別団体が Code の普及に果たす役割や、専門的な標準や研修が Code の普及にどの程度影響を与えるかについての検討も含まれる。
Finally, this call for views presents industry with the opportunity to provide the government with feedback on any potential barriers to implementation that should be considered, that are not already outlined in this document. 最後に、この意見募集は、この文書にまだ概説されていない、考慮すべき実施上の潜在的な障壁について、政府にフィードバックを提供する機会を産業界に提供するものである。
Assurance 保証
As a form of driving uptake, the government is also seeking to explore the utility and risks of implementing either a self or independently assessed assurance process against the code. There are a number of potential use cases for an assurance against the Code. For example, shareholders, customers, insurance firms, or business partners can derive confidence in an organisation that has external assurance of their governance of cyber risks. This call seeks views on potential demand for an assurance mechanism to support the implementation of the Code, who might find value in an independently assured ‘badge’ and for what market communication and transparency purposes it would be used.  政府は、普及を促進する一手段として、コードに対する自己または第三者評価による保証プロセスを導入することの有用性とリスクについても検討しようとしている。規範に対する保証には、多くの潜在的な利用ケースがある。例えば、株主、顧客、保険会社、ビジネスパートナーは、サイバーリスクのガバナンスを外部から保証された組織に対する信頼を得ることができる。今回の募集では、行動規範の実施を支援する保証メカニズムに対する潜在的な需要、独立した立場から保証された「バッジ」に価値を見出す可能性のある人物、どのような市場コミュニケーションや透明性の目的で利用されるのかについての見解を求めている。
Equally, the call also seeks input on associated risks of assuring cyber governance. As with assurance against any other standard or framework, there are risks of the assurance becoming outdated, and with reliability of the assurance, particularly if self-assessed. Key considerations on this potential approach to driving uptake of the Code are sought in the questions contained within this call.   また、サイバー・ガバナンスの保証に伴うリスクについても意見を求めている。他の標準やフレームワークに対する保証と同様に、保証が古くなるリスクや、特に自己評価の場合には保証の信頼性にリスクがある。規範の普及を促進するためのこの潜在的なアプローチに関する主な検討事項は、本募集に含まれる質問で求められている。 
Annex A: Cyber Governance Code of Practice 附属書A:サイバーガバナンス実践規範
Please note: some users may need to scroll across to see the full text of the Code. 注意:コードの全文を見るには、スクロールが必要な場合がある。
Cyber Governance Code of Practice サイバーガバナンス行動規範
A: Risk management A: リスクマネジメント
・ Ensure the most important digital processes, information and services critical to the ongoing operation of the business and achieving business objectives have been identified, prioritised and agreed. 事業の継続的な運営と事業目標の達成に不可欠な最も重要なデジタルプロセス、情報、サービスが識別され、優先順位が付けられ、合意されていることを確認する。
・ Ensure that risk assessments are conducted regularly and mitigations account for changes in the internal, external and regulatory environments, which are more rapidly changing than in traditional risk areas. リスクアセスメントを定期的に実施し、従来のリスク領域よりも変化の激しい内部、外部、規制環境の変化を考慮した低減策を講じる。
・ Establish confidence in and take effective decisions on the level of cyber security risk that is acceptable to the organisation and how much will need to be managed to achieve the business objectives. 組織として許容できるサイバーセキュリティリスクのレベル、及び事業目標を達成 するためにどの程度のリスクマネジメントが必要であるかについて、自信を確立 し、効果的な意思決定を行う。
・ Ensure that cyber security risks are addressed as part of the organisation’s broader enterprise risk management and internal control activities, and establish ownership of risks with relevant seniors beyond the CISO. サイバーセキュリティリスクが、組織の広範なエンタープライズリスク マネジメント及び内部統制活動の一環として対処されていることを確認し、 CISO 以外の関連する幹部との間でリスクのオーナーシップを確立する。
・ Gain assurance that supplier information is routinely assessed and reviewed commensurate to their level of risk, and that the organisation is resilient against cyber security risks associated with suppliers, stakeholders and business partners. サプライヤの情報が、そのリスクレベルに見合っ て日常的に評価・レビューされ、サプライヤ、 利害関係者、ビジネスパートナーに関連するサイバーセ キュリティリスクに対して組織がレジリエンスを持ってい ることを保証する。
B: Cyber strategy B: サイバー戦略
・ Monitor and review the cyber resilience strategy in accordance with the level of accepted cyber risk, the business strategy, and in the context of legal and regulatory obligations. 許容されるサイバーリスクのレベル、事業戦略、および法的・規制上の義務に照らして、サイバーレジリエンス戦略を監視し、見直す。
・ Monitor and review the delivery of the cyber resilience strategy in line with current business risks and in the context of the changing risk environment. 現在のビジネスリスクと変化するリスク環境に応じて、サイバーレジリエンス戦略の実施を監視し、見直す。
・ Ensure appropriate resources and investment are allocated and used effectively to develop capabilities that manage cyber security threats and the associated business risks. サイバーセキュリティの脅威と関連するビジネスリスクを管理する能力を開発するため に、適切なリソースと投資が割り当てられ、効果的に使用されるようにする。
C: People C: 人
・ Sponsor communications on the importance of cyber resilience to the business, based on the organisation’s strategy. 組織の戦略に基づき、事業にとってのサイバーレジリエンスの重要性に関するコミュニケーションを支援する。
・ Ensure there are clear cyber security policies that support a positive cyber security culture, and satisfy themselves that its culture is aligned with the cyber resilience strategy. 積極的なサイバーセキュリティ文化を支える明確なサイバーセキュリティ方針があることを確 認し、その文化がサイバーレジリエンス戦略と整合していることを自ら確認する。
・ Take responsibility for the security of the organisation’s data and digital assets by undertaking training to ensure cyber literacy and by keeping information and data they use safe. サイバーリテラシーを確保するためのトレーニングを受け、使用する情報やデータを安全に保つことで、組織のデータやデジタル資産のセキュリティに責任を持つ。
・ Ensure the organisation has an effective cyber security training, education and awareness programme and metrics are in place to measure its effectiveness. 組織が効果的なサイバーセキュリティのトレーニング、教育、意識向上プログラムを実施し、その効果を測定するための指標を整備する。
D: Incident planning and response D: インシデント計画と対応
・ Ensure that the organisation has a plan to respond to and recover from a cyber incident impacting business critical processes, technology and services. 組織が、業務上重要なプロセス、技術、サービスに影響を及ぼすサイバーインシデントへの対応と回復のための計画を有していることを確認する。
・ Ensure that there is regular, at least annual, testing of the plan and associated training, which involves relevant internal and external stakeholders. The plan should be reviewed based on lessons learned from the test and broader external incidents. 少なくとも年 1 回は、社内外の関係者が参加する計画の定期的なテストと関連する訓練を確実に実施する。テストから得られた教訓や、より広範な外部インシデントに基づいて、計画を見直す。
・ In the event of an incident, take responsibility for individual regulatory obligations, and support executives in critical decision making and external communications. インシデントが発生した場合、個々の規制上の義務に責任を負い、重要な意思決定と外部コミュ ニケーションにおいて経営幹部を支援する。
・ Ensure that a post incident review process is in place to incorporate lessons learned into future response and recovery plans. インシデント発生後のレビュープロセスを確実に実施し、得られた教訓を今後の対応計画や復旧計画に反映させる。
E: Assurance and oversight E: 保証と監督
・ Establish a governance structure that aligns with the current governance structure of the organisation, including clear definition of roles and responsibilities, and ownership of cyber resilience at executive and non-executive director level. 役割と責任の明確な定義、経営幹部および社外取締役レベルにおけるサイバーレジリエンスのオーナーシップなど、組織の現在のガバナンス構造と整合するガバナンス構造を確立する。
・ Establish a regular monitoring process of the organisation’s cyber resilience and review of respective mitigations and the cyber resilience strategy. 組織のサイバーレジリエンスの定期的なモニタリングプロセスを確立し、それぞれの低減策とサイバーレジリエンス戦略をレビューする。
・ Establish regular two way dialogue with relevant senior executives, including but not limited to the CISO or relevant risk owner. CISO 又は関連リスクオーナーを含むがこれに限定されない、関連する上級幹部との定期的な双方向の対話を確立する。
・ Establish formal reporting on at least a quarterly basis and have agreed a target range for each measurement on what is acceptable to the business. 少なくとも四半期ごとに正式なレポーティングを確立し、各測定値について、ビジネス上許容される目標範囲を合意する。
・ Determine how internal assurance will be achieved and ensure the cyber resilience strategy is integrated across existing external and internal assurance mechanisms. 内部保証の方法を決定し、サイバーレジリエンス戦略が既存の外部保証および内部保証の仕組みに統合されていることを確認する。

 

● 経済産業省

サイバーセキュリティ経営ガイドラインと支援ツール

 


 

 

| | Comments (0)

より以前の記事一覧