監査 / 認証

2022.01.19

英国 デジタル・文化・メディア・スポーツ省 ガイダンス:就労権、賃借権、犯罪歴確認のためのデジタルID認証

こんにちは、丸山満彦です。

英国のデジタル・文化・メディア・スポーツ省が、就労権、賃借権、犯罪歴確認のためのデジタルID認証についてのガイダンス文書を公表していますね。。。

U.K. Government

・2022.01.17 Digital identity certification for right to work, right to rent and criminal record checks

・2022.01.17 Guidance Digital identity certification for right to work, right to rent and criminal record checks

 

Contents 目次
1.Introduction 1. はじめに
2.What does this mean for employers and landlords? 2. 雇用主や家主にとってどのような意味がありますか?
3.What do providers become certified against? 3. プロバイダは何に対して認証を受けるのですか?
4.How do providers become certified? 4. プロバイダはどのようにして認証を受けるのですか?
5.Who are the certification bodies? 5. 認証機関は誰ですか?
6.List of certified providers 6. 認証プロバイダのリスト
7.Frequently asked questions 7. よくある質問
8.Contact details 8. 連絡先

 

1. Introduction 1. はじめに
On 27 December 2021, the government announced its intention to enable employers and landlords to use certified digital identity service providers to carry out identity checks on their behalf for many who are not in scope to use the Home Office online services, including British and Irish citizens. The relevant changes to legislation will take effect from 6 April 2022. 2021年12月27日、政府は、英国人やアイルランド人など、内務省のオンラインサービスを利用する範囲に入っていない多くの人を対象に、雇用主や家主が認証されたデジタルIDサービスプロバイダを利用して、身元確認を代行できるようにする意向を発表しました。関連する法律の変更は、2022年4月6日から施行されます。
This development will align with the Disclosure and Barring Service’s (DBS) proposal to enable digital identity checking within their criminal record checking process, through the introduction of its Identity Trust Scheme. この動きは、無犯罪証明サービス(DBS)がID信頼スキームの導入により、犯罪歴の確認プロセスにおいてデジタルID確認を可能にするという提案に沿うものである。
This guidance sets how providers can become certified to complete digital identity checks for the Right to Work, Right to Rent, and DBS schemes respectively, in line with the Department for Digital, Culture, Media and Sport’s (DCMS) UK Digital Identity and Attributes Trust Framework (the trust framework). 本ガイダンスは、デジタル・文化・メディア・スポーツ省(DCMS)の「UK Digital Identity and Attributes Trust Framework」(信頼フレームワーク)に沿って、プロバイダが「就労権」、「賃借権」、「DBS スキーム」でそれぞれデジタル ID 確認を行うための認証を受ける方法を定めています。
The trust framework is a set of rules providers agree to follow to make secure, trustworthy identity checks. The initial ‘alpha’ version of the trust framework was published in February 2021, with an updated version of the trust framework published in August 2021 following feedback from the public, industry, and civil society. A consultation on underpinning the trust framework in legislation ran from July to September 2021. 信頼フレームワークは、安全で信頼できる本人確認を行うために、プロバイダーが従うことに同意する一連のルールです。2021年2月に信頼フレームワークの最初の「アルファ」版が発表され、国民、業界、市民社会からのフィードバックを受けて、2021年8月に信頼フレームワークの更新版が発表されました。2021年7月から9月にかけて、信頼フレームワームを法律で裏打ちするためのコンサルテーションが行われました。
The Right to Work, Right to Rent, and DBS initiatives form part of DCMS’s trust framework’s testing process, and learnings will help to further refine its development. 「就労権」、「賃借権」、「DBS」の取り組みは、DCMSの信頼フレームワークのテストプロセスの一部を構成しており、学習結果は開発をさらに洗練させるのに役立ちます。
2. What does this mean for employers and landlords? 2. 雇用主や家主にとってどのような意味がありますか?
Employers and landlords will be able to use certified Identification Document Validation Technology (IDVT) service providers to carry out digital eligibility checks on behalf of British and Irish citizens who hold a valid passport. The relevant changes to legislation will take effect from 6 April 2022. 雇用主や家主は、有効なパスポートを保有する英国およびアイルランド国民に代わり、認定IDVT(Identification Document Validation Technology)サービスプロバイダを利用してデジタル資格を確認することができるようになります。関連する法改正は、2022年4月6日から施行されます。
For employers and landlords, the introduction of digital identity checking into the Schemes will mean they can assure prospective employee and tenants’ identities and eligibility, using consistent and more secure methods, reducing risk and allowing them to recruit and rent in a safer way. 雇用主や家主にとっては、デジタルID確認が制度に導入されることで、一貫性のあるより安全な方法で、従業員や入居希望者の身元や適格性を保証することができ、リスクを軽減し、より安全な方法で採用や賃貸を行うことができます。
Enabling the use of IDVT for Right to Work, Right to Rent and DBS checks will help to support long-term post pandemic working practices, accelerate the recruitment and onboarding process, improve employee mobility and enhance the security and integrity of the checks. 就労権、賃借権、DBS確認にIDVTを使用できるようにすることで、パンデミック後の長期的な労働慣行を支援し、採用・入社プロセスを迅速化し、従業員の流動性を高め、確認のセキュリティと整合性を高めることができます。
3. What do providers become certified against? 3. プロバイダは何に対して認証を受けるのですか?
To become certified against the schemes, providers must meet the criteria in the current version of the trust framework. Depending on the scheme(s) they want to join, they must also meet the requirements for the Right to Work & Right to Rent schemes and/or DBS scheme. These guidance documents have been published as a draft, and the Right to Work and Right to Rent Scheme guidance products will be finalised when the legislative changes take effect in April 2022. In the interim period, the guidance will be used during the certification process and should be followed by those providers being certified. 各スキームの認証を受けるためには、プロバイダは、現行の信頼フレームワークの規準を満たす必要があります。また、加入を希望するスキームに応じて、就労権・賃借権スキームやDBSスキームの要件も満たす必要があります。これらのガイダンス文書はドラフトとして公開されており、就労権・賃借権スキームのガイダンス文書は、2022年4月に法改正が発効した時点で最終的に決定されます。この間、ガイダンスは認証プロセスで使用され、認証を受けるプロバイダはこれに従わなければなりません。
The trust framework is currently in its alpha phase. When the beta version of the trust framework is published in Spring/Summer 2022, providers that have not already been certified will need to become certified against the beta version of the trust framework to participate in the Schemes. Providers certified against the alpha trust framework will be expected to move to the beta version at the time of their annual surveillance audit. 信頼フレームワークは、現在、アルファ版の段階にあります。信頼フレームワークのベータ版が2022年春夏に公開されると、まだ認証を受けていないプロバイダは、スキームに参加するために、信頼フレームワークのベータ版に対して認証を受ける必要があります。アルファ版信頼フレームワークで認証されたプロバイダは、年次サーベイランス監査の際にベータ版に移行することが期待されます。
consultation on proposed digital identity legislative measures ran from July to September 2021. Under the proposals, the government intends to legislate to put in place formalised governance arrangements for the trust framework and under these arrangements the trust framework will move to the live phase. The process for certification may change under these arrangements, with providers needing to meet any new requirements. 2021年7月から9月にかけて、デジタルIDに関する立法措置の提案についての協議が行われましました。この提案では、政府は信頼フレームワークの正式なガバナンス体制を整えるための法制化を意図しており、これらの体制の下で信頼フレームワークは本番段階に移行する。このような取り決めの下では、認証のプロセスが変更される可能性があり、プロバイダは新たな要件を満たす必要があります。
4. How do providers become certified? 4. プロバイダはどのようにして認証を受けるのですか?
A step-by-step process for how providers become certified against the trust framework and Right to Work, Right to Rent and DBS Schemes is as follows: プロバイダが信頼フレームワーク、就労権、賃借権、DBSスキームに対して認証を受けるためのプロセスは以下の通りです。
Providers who wish to become certified must firstly decide whether they want to be certified against a) the Right to Work and Right to Rent Schemes only, b) the DBS Scheme only, or c) both. 認証を受けようとするプロバイダは、まず、a)就労権・賃借権制度のみ、b)DBS制度のみ、c)両方、のいずれに対して認証を受けたいかを決定する必要があります。
Providers must engage with one of the selected certification bodies (see below) and agree a contractual relationship for completing the assessment process. プロバイダは、選択した認証機関の1つ(下記参照)と契約を結び、審査プロセスを完了するための契約関係に合意する必要があります。
Providers are assessed by a combination of desk reviews and on-site audits depending on the scope to be assessed. Although having taken part in the alpha testing of trust framework is not a requirement, those who did participate will be able to use their alpha self-assessments as supporting evidence as part of this process. プロバイダは、審査対象の範囲に応じて、デスクレビューとオンサイト監査を組み合わせた審査を受けます。信頼フレームワークのアルファテストに参加していることは必須条件ではありませんが、参加している場合は、アルファテストの自己評価をこのプロセスの裏付け証拠として使用することができます。
After the audits have taken place, certification bodies will advise DCMS and the provider undergoing certification of their recommendation in regard to certification. 監査が行われた後、認証機関はDCMSおよび認証を受けるプロバイダに、認証に関する推奨事項を通知します。
DCMS will review the outcome of the assessment process and, if all requirements have been met, the provider’s name, contact details, and information regarding their certification will be published on this webpage. Employers, landlords and other relevant providers interested in procuring digital identity services will be able to see which providers have been approved. DCMSは審査プロセスの結果を確認し、すべての要件が満たされている場合には、プロバイダの名前、連絡先、認証に関する情報をこのウェブページに掲載します。デジタル・アイデンティティ・サービスの調達に関心のある雇用主、家主、その他の関連プロバイダは、どのプロバイダが承認されたかを確認することができる。
Certification is a time-limited process and providers will need to undertake an annual surveillance audit and biennial recertification to remain on the list of certified providers for these Schemes. 認定は期限付きのプロセスであり、プロバイダはこれらのスキームの認定プロバイダのリストに留ま るために、年 1 回のサーベイランス監査および 2 年に 1 回の再認定を受ける必要がある。
5. Who are the certification bodies? 5. 認証機関は誰ですか?
To be a certification body for this initiative, organisations must submit an expression of interest via the UK Accreditation Service (UKAS) website. Once certification bodies have been selected, this page will be updated. Organisations interested in becoming certified should engage directly with the selected certification bodies once a list is available. このイニシアティブの認証機関になるためには、組織はUK Accreditation Service(UKAS)のウェブサイトから関心表明を提出する必要があります。認証機関が選定されたら、このページを更新します。認証取得に関心のある組織は、リストができ次第、選定された認証機関に直接連絡してください。
6. List of certified providers 6. 認証プロバイダのリスト
A list of certified providers will appear here once certifications have taken place. There are currently no providers certified. Employers, landlords and other relevant organisations interested in procuring a certified provider should engage directly with those providers once a list is available. Employers and landlords which want to carry out digital checks using their own processes will need to become certified themselves. 認証プロバイダのリストは、認証が行われた後にこのページに表示されます。現在、認証プロバイダはありません。認証プロバイダの調達に関心のある雇用主、家主、その他の関連組織は、リストが入手でき次第、それらのプロバイダに直接お問い合わせください。独自のプロセスでデジタル確認を行うことを希望する雇用主や家主は、自ら認証を受ける必要があります。
7. Frequently asked questions 7. よくある質問
How long does certification take? 認証にはどのくらいの時間がかかりますか?
The length of the assessment process will be agreed between the provider wanting to become certified and their selected certification body. We estimate that it will take 4-8 weeks to complete this process. 審査プロセスの期間は、認証を希望するプロバイダと選択した認証機関との間で合意されます。このプロセスを完了するには、4~8週間かかると考えています。
How much does it cost to become certified? 認証を受けるにはどのくらいの費用がかかりますか?
The costs of the assessment are agreed between the provider and their selected certification body. Once certification is achieved, there is no cost to being placed on the list of the government’s certified providers. (Please note this may change in the future.) 審査にかかる費用は、プロバイダと選択した認証機関との間で合意されます。認証を取得すると、政府の認証プロバイダのリストに掲載されますが、費用はかかりません。(ただし、これは将来的に変更される可能性があります。)
How long does certification last? 認証の有効期間はどのくらいですか?
Certification lasts for up to two years, after which providers must become re-certified against the most current version of the trust framework and relevant Scheme guidance to remain on the list of certified providers. Surveillance audits must be undertaken annually, as part of maintaining certification, and will also facilitate a move to the most current version of the trust framework and scheme guidance available. 認証の有効期間は最長で2年間です。その後、認証事業者のリストに残るためには、最新版の信頼フレームワークと関連するスキームガイダンスに基づいて再認証を受ける必要があります。認証を維持するためには、毎年サーベイランス監査を受ける必要があります。これにより、最新版の信頼フレームワークとスキームガイダンスへの移行が促進されます。
Can the identity checks be reused? ID 確認は再利用できるのか。
Whether and where identity checks can be re-used in other contexts is dependent on the requirements of the use case and organisations involved. The reuse of checks may be possible where this is compliant with relevant legislation and rules within the trust framework. ID 確認を他の文脈で再利用できるかどうか、またどこで再利用するかは、使用ケースの要件と関係する組織によります。確認の再利用は、関連する法律および信託フレームワーク内の規則に準拠している場合に可能です。

 

Fig1_20220118215501

 

 


 

関連

● U.K. Governance

・2021.12.27 Digital identity document validation technology (IDVT)

・2021.07.19 Digital identity and attributes consultation

・2021.08.02 UK digital identity & attributes trust framework: updated version

DBSについて

Disclosure & Barring Service

日本でも導入したらどうかという話もありますね。。。

● UKAS

Expressions of interest

・2022.01.17 Expression of Interest – UK Digital Identity and Attributes Trust Framework

 

 

| | Comments (0)

中国 海外上場をする企業にセキュリティ審査をする国家安全保障上の意図の説明 at 2022.01.07

こんにちは、丸山満彦です。

2021年12月28日にネットワークセキュリティ審査弁法が改定発行され、2022年2月15日に施行すると発表されています。改正のポイントとして「100万人以上のユーザーの個人情報を保有しているオンラインプラットフォーム事業者が海外で株式公開する場合、ネットワークセキュリティ審査室にネットワークセキュリティクリアランスを提出しなければならない。」(第7条)がありますね。。。

これらの条文も含めて安全保障上の意図について専門家の解釈とした説明が公表されていました。。。

中央网络安全和信息化委员会办公室 (Office of the Central Cyberspace Affairs Commission / Cyberspace Administration of China)

2022.01.07 专家解读|实施赴国外上市网络安全审查,保障国家安全 専門家による解説|国家安全保障を守るための海外上場に向けたネットワークセキュリティ審査の実施について

 

专家解读|实施赴国外上市网络安全审查,保障国家安全 専門家による解説|国家安全保障を守るための海外上場に向けたネットワークセキュリティ審査の実施について
新年伊始,修订后的《网络安全审查办法》正式颁布,并于2月15日起实施。此次对《网络安全审查办法》的修订,继续秉承了关口前移、防患于未然的网络安全审查制度设计初心,是落实“网络安全为人民”,贯彻《数据安全法》《个人信息保护法》的具体举措。 新年早々、改正された「サイバーセキュリティ審査弁法」が正式に公布され、2月15日から施行されました。 今回の「ネットワークセキュリティ審査弁法」の改訂は、ゲートをより前に配置し、問題を未然に防ぐというネットワークセキュリティ審査システムの当初の設計を引き続き堅持するものであり、「国民のためのネットワークセキュリティ」および「データセキュリティ法」「個人情報保護法」を実施するための具体的な対策でもあります。
我国是互联网应用大国,各类互联网平台众多。既有为社会提供金融支付、通信交流等基础性服务的互联网平台;也有专注于视听、求职、打车、货运、购物等的领域性互联网平台。这些平台或掌握了海量的公民个人数据,或在一个领域内掌握具有垄断性的用户信息。互联网平台掌握的数据一旦发生泄漏,将会严重危害公民的个人信息安全,给不法分子实施诈骗、非法营销等活动提供便利;一旦被滥用,将能分析出个人的家庭状况、癖好、心理、宗教信仰等敏感个人信息,给公民隐私权带来威胁。甚至对一些特定领域的个人信息进行有针对性的分析,能够得出我国社会经济运行的敏感信息,一旦泄漏将会影响国家安全。 中国はインターネットの普及率が高く、さまざまな種類のインターネット・プラットフォームがあります。 金融決済やコミュニケーションなどの基本的なサービスを提供するインターネット・プラットフォームもあれば、オーディオ・ビジュアル、就職活動、タクシー、荷物運送、ショッピングなどの分野に特化したインターネット・プラットフォームもあります。 これらのプラットフォームは、膨大な量の市民の個人情報を保有しているか、ある分野のユーザーの情報を独占しています。 インターネットプラットフォームが保有するデータが流出すると、市民の個人情報の安全性が著しく損なわれ、悪意のある者による詐欺や違法なマーケティングなどの行為が行われやすくなります。また、悪用されると、個人の家族構成、フェチ、心理、宗教観などの微妙な個人情報を分析することが可能になり、市民のプライバシーが脅かされることになります。 ある特定の分野に絞って個人情報を分析したとしても、社会や経済の運営に関わる機密情報が得られる可能性があり、それが流出すれば国家の安全保障に影響を与えることになります。
上市,对于互联网平台具有特殊意义。国内互联网平台大多以上市,特别是赴国外上市作为发展的主要目标。但如果一个互联网平台不遵守国家有关网络安全要求,不落实重要数据和个人信息保护责任义务,滥用数据,上市后在金融力量的加持下无序扩张,网络安全风险和威胁将成倍扩大。同时,一些国家出于保护本国投资者的目的,通过法律要求在其国内上市的企业披露业务经营数据。这个理由一旦被滥用,索要数据的边界将不受限制,给我国国家安全带来威胁。 リスティングは、インターネットプラットフォームにとって特別な意味を持ちます。 国内のインターネットプラットフォームの多くは、特に海外を開発の主な目標として挙げています。 しかし、インターネットプラットフォームが、サイバーセキュリティに関する国の要求を遵守せず、重要なデータや個人情報を保護する責任と義務を履行せず、データを誤用し、上場後に財力の支援を受けて無秩序に拡大した場合、サイバーセキュリティのリスクと脅威は指数関数的に拡大することになります。 一方で、投資家保護を目的に、自国に上場している企業に事業運営データの開示を義務付ける法律を制定している国もあります。 この理由が悪用されると、要求されたデータの境界は無制限になり、国家安全保障に脅威を与えることになります。
此次《网络安全审查办法》的修订,提出“掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”的要求,目的是对计划赴国外上市互联网平台进行充分的国家安全层面上的风险评估,一旦发现平台有违反国家网络安全、数据安全要求,存在国家安全层面上的风险时,将禁止赴国外上市。这么做将有效化解互联网平台因赴国外上市而带来的国家安全风险。同时,也有效促进各大互联网平台遵守国家网络安全、数据安全等各方面要求,提高全社会对网络安全、数据安全的重视程度。 ネットワークセキュリティ審査弁法の改正の目的は、海外での上場を計画しているインターネットプラットフォームに対して、国家安全保障上のリスク評価を全面的に行い、100万人以上のユーザーの個人情報を持つインターネット・プラットフォームの運営者に対して、海外での上場時にネットワークセキュリティ審査室への提出を義務付けることにあります。 プラットフォームが国のサイバーセキュリティおよびデータセキュリティ要件に違反し、国家安全保障上のリスクがあると判断された場合、そのプラットフォームは海外での上場が禁止されます。 これにより、海外でのインターネット・プラットフォームの上場に伴う国家安全保障上のリスクが効果的に軽減されます。 同時に、主要なインターネットプラットフォームが各国のネットワークセキュリティおよびデータセキュリティ要件に準拠することを効果的に促進し、社会全体におけるネットワークセキュリティおよびデータセキュリティの重要性を高めることにもなります。
(作者:唐旺,中国网络安全审查技术与认证中心高级工程师) (筆者:中国ネットワークセキュリティ検閲技術・認証センター シニアエンジニア Tang Wang)

 

1_20210612030101


 

● まるちゃんの情報セキュリティきまぐれ日記

ネットワークセキュリティ審査弁法についての過去の記事。。

・2022.01.05中国 ネットワークセキュリティ審査弁法

 

改正前のバージョンの話

・2020.06.09 中国 「サイバーセキュリティー審査弁法」が6月1日より施行されましたね。。。

・2020.05.02 中国 サイバースペース管理局、他11局が共同で、サイバーセキュリティレビューのための措置を発行しましたね。。。

・2020.02.22 中国サイバーセキュリティ関連組織・・・

・2020.02.21 中国のサイバーセキュリティ法(CCSL)関係

・2020.02.04 中国が情報セキュリティ関連の国家標準のパブコメを18件出していました・・・

 


・2022.01.17 中国 電気通信端末産業協会 (TAF) が「スマート端末側のビジネスのリスク防止・管理のためのセキュリティガイドライン」等、9つの文書を公表していますね。。。

・2022.01.06 中国 意見募集 金融商品オンラインマーケティング管理弁法(案)

・2022.01.05 中国 インターネット情報サービスのアルゴリズム推奨管理規則

・2022.01.05 中国 ネットワークセキュリティ審査弁法

・2022.01.03 中国 全国人民大会 個人情報保護法についての記事

・2021.12.29 中国 ネットワークセキュリティ・情報技術中央委員会が「第14次5ヵ年国家情報化計画」を発表していますね。。。

・2021.12.28 中国 全国人民大会 法の支配に向かうデータセキュリティ

・2021.12.27 中国 通信院 テレマティックス白書と量子情報技術の開発と応用に関する調査報告書

・2021.12.26 中国 インターネット上の宗教情報サービスの管理に関する弁法

・2021.12.25 中国 意見募集 産業情報技術分野におけるデータセキュリティリスク情報の報告・共有に関するガイドライン(試行)

・2021.12.24 中国 通信院 グローバルデジタルガバナンス白書、ブロックチェーン白書、デジタルツインシティ白書、デジタルカーボンニュートラル白書、ビッグデータ白書、インターネット法白書

・2021.12.12 中国 サイバースペース管理局が、CNCERTと中国サイバースペースセキュリティ協会が、アプリによる個人情報の違法・不正な収集・利用に関する監視・分析レポートを発表したと公表していますね。。。

・2021.11.28 中国 国家サイバースペース管理局が「芸能スターのオンライン情報の規制に関連する業務の更なる強化に関する通知」を公表していますね。。。

・2021.11.21 中国通信院 モバイルインターネットアプリケーション(APP)の個人情報保護ガバナンスに関するホワイトペーパー

・2021.11.20 中国 インターネットの法の支配についての普及・教育計画

・2021.11.16 中国 意見募集 ネットワークデータセキュリティ管理条例

・2021.11.01 中国 意見募集 データ域外移転のセキュリティ評価に関する弁法

・2021.11.01 中国 意見募集 インターネットユーザアカウント名情報の管理に関する規則

・2021.10.22 中国 意見募集 国家標準案「情報セキュリティ技術 自動車収集データに関するセキュリティ要件 」

・2021.10.13 中国 TC260 15のセキュリティ関連の標準を決定

・2021.10.04 中国 意見募集 ネットワークセキュリティ基準実施要領-データ分類・等級付けガイドライン(案)

・2021.08.31 中国 「個人情報保護法」についての専門家の解釈

・2021.08.30 中国 「重要情報インフラのセキュリティ保護規制」についての専門家の解釈+「データセキュリティ法」についての解釈

・2021.08.30 中国 2021年のサイバーセキュリティに関する国家標準プロジェクトリスト

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.24 中国 全国人民代表大会常務委員会法制委員会経済法室の楊和慶副室長による個人情報保護法の説明

・2021.08.23 中国 自動車データのセキュリティ管理に関する一定の規定(試行)が公表されていますね。。。at 2021.08.16

・2021.08.22 中国 個人情報保護法は2021.11.01施行

・2021.08.18 中国 国務院令第745号 重要情報インフラのセキュリティ保護規制

・2021.08.15 中国 個人情報保護法案が少し改訂されているようですね。。。

・2021.08.13 中国 意見募集 「情報セキュリティ技術 情報システムセキュリティ保証評価フレームワーク第1部:導入と一般モデル」の国家標準の改訂案を発表し、意見募集していますね。。。at 2021.07.23

・2021.08.11 中国 通信院 プライバシーコンピューティング白書 (2021) at 2021.07.21

・2021.08.04 中国 通信院 クラウドコンピューティング白書

・2021.07.25 中国 CNCERT / CCが2020年のインターネットセキュリティ報告書を公開

・2021.07.16 中国 ネットワーク製品のセキュリティ脆弱性管理に関する規定を公開

・2021.07.14 中国 工業情報化部 意見募集 「サイバーセキュリティ産業の質の高い発展のための3カ年行動計画(2021-2023)」

・2021.07.11 中国サイバースペース管理局が「运满满」、「货车帮」、「BOSS直聘」にサイバーセキュリティ審査を開始し、新規ユーザ登録を停止していますね。。。

・2021.07.05 中国 NY証券取引所に2021.06.30に上場した配車サービス「滴滴出行」が個人情報の取扱が不適切としてアプリの提供を2021.07.04に禁止される

・2021.06.12 中国 データセキュリティ法が承認され2021.09.01施行されますね。。。

・2021.05.20 中国 意見募集 自動車データセキュリティの管理に関する規定 at 2021.05.12

・2021.05.19 中国 スパイ対策のセキュリティ作業を強化・標準化する等のための「スパイ活動のセキュリティ対策規定」を制定していました...

・2021.05.13 中国 意見募集 顔認識、歩行認識、音声認識に続けて、遺伝子認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.05.02 デジタルチャイナの情報セキュリティ・プライバシーに対する中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)の記事

・2021.04.28 中国 意見募集 スマホアプリによる個人情報保護管理に関する暫定規定

・2021.01.09 中国 互联网信息服务管理办法(インターネット情報サービスの運営に関する措置)の改訂案について意見募集中

・2020.12.17 中国 セキュリティ評価に合格したクラウドプラットフォーム

・2020.11.12 中国 TC260 パブコメ オンライン車予約サービスのデータセキュリティに関するガイド案

・2020.11.10 中国 TC260 ネットワークセキュリティ状況認識技術の標準化に関する白書

・2020.10.29 中国が情報セキュリティに関連の国家標準のパブコメ (2020.03.20期日以降2020.11.29まで分)

・2020.10.29 パブコメ 中国の個人情報保護法案 (2020.10.22)

・2020.10.29 中国中央銀行がクラウドコンピューティングテクノロジーに関する3つの金融業界標準を発表しましたね。。。

・2020.10.20 中国 パブコメ 商業銀行法改正 商業銀行に対し、個人情報の適正な取得、目的外利用の禁止、安全の確保等の義務付け

・2020.09.10 中国が「グローバル データ セキュリティ イニシアティブ」構想を米国の「クリーン ネットワーク」プログラム発表の1ヶ月後に提案

・2020.07.06 中国のデータセキュリティ法案

 

かなり遡りますが、、、

・2005.09.27 中国 新規則策定 ネット上で非合法な集会・デモ禁止

| | Comments (0)

2022.01.15

英国 会計検査院 NAO Blog サイバーセキュリティ:パンデミックは何を変えたか?

こんにちは、丸山満彦です。

英国会計検査院のブログに「サイバーセキュリティ:パンデミックは何を変えたか?」という投稿がありますね。。。

英国の会計検査院 (National Audit Office) には、サイバーセキュリティ担当のディレクターがいるようですね。。。まぁ、重要な分野ですからね。。。

 

National Audit Office: NAO - NAO blog

・2022.01.14 Cyber security: has the pandemic changed anything?

Cyber security: has the pandemic changed anything? サイバーセキュリティ:パンデミックは何を変えたか?
Posted on January 14, 2022 by Tom McDonald 投稿日: 2022年1月14日 投稿者: Tom McDonald
The start of a new year brings the opportunity to look back and reflect on the challenges we faced in dealing with COVID-19 during the last year. One of the many impacts of the pandemic we did not foresee was moving many aspects of our social and economic life online to try and keep them going through lockdowns. This came with considerable advantages, keeping many businesses, social networks and relationships going. But it also came with a significant downside, as we all became more vulnerable to the risks associated with operating online. In addition to the major attacks like WannaCry and SolarWinds, which have affected organisations in the UK and overseas, it is now increasingly likely that each of us has either personally suffered from some kind of online crime or know someone else who has. 新しい年の始まりは、昨年のCOVID-19への対応で直面した課題を振り返り、反省する機会となります。パンデミックの影響で予想できなかったことは、社会的・経済的な生活の多くの側面をオンラインに移行し、ロックダウンの間もそれらを維持しようとしたことでした。これは、多くのビジネス、ソーシャルネットワーク、人間関係を維持できるという大きなメリットがありました。その一方で、オンラインでの活動に伴うリスクに対して私たちがより脆弱になるという、大きなマイナス面もありました。WannaCryやSolarWindsなどの大規模な攻撃が英国や海外の組織に影響を与えていることに加えて、私たち一人一人が何らかのオンライン犯罪の被害に遭っているか、そのような人を知っている可能性がますます高くなっています。
In its latest Annual Report, government’s National Cyber Security Centre (NCSC) is clear about the nature of the risks we have faced during the pandemic, noting the startling finding that “From household goods to vaccine appointments, there have been few avenues criminals have not tried to exploit”. And the move to living more of our lives online has resulted in some shifts in criminal activity. 政府の国家サイバーセキュリティセンター(NCSC)は、最新の年次報告書の中で、パンデミックの間に我々が直面したリスクの性質について明確に述べており、「家財道具からワクチンの予約に至るまで、犯罪者が利用しようとしなかった手段はほとんどなかった」という驚くべき発見をしています。また、生活の多くをオンラインで過ごすようになったことで、犯罪行為にも変化が生じています。
The major trend identified by the NCSC is the growth in criminal groups using ransomware to extort organisations of all kinds. The NCSC describes ransomware as the most immediate cyber security threat to UK businesses: this obviously makes it a threat to the resilience and performance of the economy. But it is also a risk to both central and local government and the wide range of services which they support. So, whether we are taxpayers or service users, we should be concerned at this increased use of ransomware being added to the existing list of cyber threats. NCSCが指摘する大きな傾向は、犯罪グループがランサムウェアを使ってあらゆる種類の組織を脅迫するケースが増えていることです。NCSCは、ランサムウェアを英国企業にとって最も差し迫ったサイバーセキュリティの脅威であるとしています。しかし、ランサムウェアは、中央政府、地方政府、そしてそれらが支える広範なサービスにとってもリスクとなります。納税者であれ、サービス利用者であれ、既存のサイバー脅威のリストにランサムウェアが追加されたことを懸念すべきです。
Unfortunately, the other threats on that list haven’t gone away. The March 2021 Microsoft Exchange Servers incident, in which a sophisticated attacker used zero-day vulnerabilities to compromise at least 30,000 separate organisations, highlighted the dangers posed by supply chain attacks. And there are plenty of examples in the news of other incidents, both malicious and accidental, which have put data, operations and organisational resilience at risk in both private and public sectors. 残念ながら、このリストにある他の脅威はなくなっていません。2021年3月に発生したMicrosoft Exchange Serverの事件では、巧妙な攻撃者がゼロデイ脆弱性を利用して少なくとも3万の個別組織を危険にさらし、サプライチェーン攻撃がもたらす危険性を浮き彫りにしました。その他にも、悪意のあるもの、偶発的なものを問わず、官民を問わず、データ、業務、組織の回復力を危険にさらした事件の例は、ニュースで数多く取り上げられています。
In its new National Cyber Strategy, government has set out some of the things it wants to do to make the UK more resilient to cyber-attack. Like its predecessors, the Strategy is painted on a broad canvas, setting out high-level objectives: it says that the UK should strengthen its grasp of technologies that are critical to cyber security and that it should limit its reliance on individual suppliers or technologies which are developed under regimes that do not share its values. These objectives are aimed at the structural factors behind cyber security. And in the meantime, government is developing its Active Cyber Defence programme – which seeks to reduce the risk of high-volume cyber-attacks ever reaching UK citizens – and pressing ahead with other work on skills, resilience and partnerships across different industries and sectors. 政府は、新しい「国家サイバー戦略」の中で、英国のサイバー攻撃に対する耐性を高めるために、どのようなことをしたいかを示しています。これまでの戦略と同様に、この戦略は大きなキャンバスに描かれており、高レベルの目標を設定しています。すなわち、英国はサイバーセキュリティに不可欠な技術の把握を強化し、価値観を共有しない体制下で開発された個々のサプライヤーや技術への依存を制限すべきであるとしています。これらの目標は、サイバーセキュリティの背後にある構造的な要因を狙ったものです。一方、政府は、大量のサイバー攻撃が英国市民に到達するリスクを低減することを目的とした「アクティブ・サイバー・ディフェンス」プログラムを展開しているほか、スキル、レジリエンス、さまざまな業界・セクター間のパートナーシップに関するその他の作業を進めています。
So, it seems clear that, despite the efforts of public and private sectors, the pandemic has exacerbated some of the threats we face online. But one thing that most experts agree on is that our best defence is getting the basics right. Many of the attacks which we have seen during the pandemic could have been avoided if individuals and organisations had followed recognised good practice. This includes actions like implementing formal information security regimes, avoiding unsupported software and adopting good password practices. We have specific guidance to help Audit Committees think about these sorts of issues in our updated Cyber and Information Security Good Practice Guide. このように、官民一体となった取り組みにもかかわらず、パンデミックによって、私たちがオンラインで直面している脅威のいくつかが悪化していることは明らかなようです。しかし、ほとんどの専門家が同意しているのは、最善の防御策は基本を正しく理解することだということです。今回のパンデミックで発生した攻撃の多くは、個人や組織が認識されているグッドプラクティスに従っていれば回避できたはずです。これには、正式な情報セキュリティレジームの導入、サポートされていないソフトウェアの回避、適切なパスワードの使用などが含まれます。私たちは、監査委員会がこのような問題について考える際に役立つ具体的なガイダンスを、最新の「サイバーおよび情報セキュリティに関するグッド・プラクティス・ガイド」に掲載しています。
So, if you are still thinking about your New Year’s resolutions, how about refreshing your cyber security practices? That may help you avoid becoming the next victim of a cyber-attack. もし、まだ新年の抱負を考えているのであれば、サイバー・セキュリティ対策を見直してみてはいかがでしょうか。そうすれば、次のサイバー攻撃の犠牲者にならずに済むかもしれません。

 

Nao-logo-2

 

 

 


参考

文中のリンクに関係する部分

まるちゃんの情報セキュリティきまぐれ日記

・2021.12.17 英国 国家サイバー戦略

・2021.11.19 英国 NCSC Annual Review 2021 国家サイバーセキュリティセンター2021年報告書

・2021.10.30 英国 会計検査院 サイバー・情報セキュリティ:グッドプラクティスガイド

 

その他。。。

・2021.09.24 英国 国家AI戦略

・2021.07.09 英国 データ保護局 (ICO) 年次報告書を公開していますね。。。

・2021.03.27 英国 国家サイバーセキュリティセンター (NCSC) の新しいCEOが今後のサイバーリスクについて説明し、自己満足にならないように警告

・2021.03.26 英国 デジタル・文化・メディア・スポーツ省 「サイバーセキュリティ侵害調査報告書2021」

・2020.11.09 英国 NCSC Annual Review 2020 国家サイバーセキュリティセンター2020年報告書

 

 

| | Comments (0)

2022.01.13

米国 GAO ざっとみたところ、各省庁のFISMA要件の実施は各省庁でばらつきがあるようだ...

こんにちは、丸山満彦です。

米国のGAOの予備的調査の結果、各省庁のFISMA要件の実施にはばらつきがあると報告書を公表していますね。。。

● U.S. Government Accountability Office

・2022.01.11 Cybersecurity:Preliminary Results Show That Agencies' Implementation of FISMA Requirements Was Inconsistent

・[PDF] Hilights

・[PDF] Full Report

20220113-45928

 

Cybersecurity:Preliminary Results Show That Agencies' Implementation of FISMA Requirements Was Inconsistent サイバーセキュリティ:予備的調査の結果、各省庁のFISMA要件の実施はばらつきがある
Fast Facts 速報
A 2014 law requires federal agencies to have information security programs. We testified about how agencies have implemented their programs: 2014年の法律により、連邦政府機関は情報セキュリティプログラムを持つことが義務付けられています。私たちは、各省庁がどのようにプログラムを実施したかについて証言しました。
・While agencies have reported some progress, 17 of 23 civilian agencies did not fully meet their cybersecurity targets ・各省庁は一定の進展を報告しているものの、23省庁のうち17省庁はサイバーセキュリティの目標を完全には達成していませんでした。
・Inspectors General reported ineffective programs at 16 of 23 civilian agencies ・23省庁うち16省庁の監察官が、プログラムが効果的でないと報告しました。
・Our recent reports also identified major weaknesses in government-wide and agency-specific cybersecurity initiatives ・最近の報告書では、政府全体および各省庁固有のサイバーセキュリティの取り組みに大きな弱点があることも指摘されています。
・Agency officials have identified obstacles to reporting and made suggestions for improvement ・各省庁の担当者は、報告の障害となっているものを特定し、改善のための提案を行いました。
Federal information security has been a topic on our High Risk List since 1997. 連邦政府の情報セキュリティは、1997年以来、連邦政府のハイリスクリストに掲載されているテーマです。
Highlights ハイライト
What GAO Found GAOの調査結果
Based on GAO's preliminary results, in fiscal year 2020, the effectiveness of federal agencies' implementation of requirements set by the Federal Information Security Modernization Act of 2014 (FISMA) varied. For example, more agencies reported meeting goals related to capabilities for the detection and prevention of cybersecurity incidents, as well as those related to access management for users. However, inspectors general (IG) identified uneven implementation of cyber security policies and practices. For fiscal year 2020 reporting, IGs determined that seven of the 23 civilian Chief Financial Officers Act of 1990 (CFO) agencies had effective agency-wide information security programs. The results from the IG reports for fiscal year 2017 to fiscal year 2020 were similar with a slight increase in effective programs for 2020. GAOの予備的調査の結果によると、2020年会計年度において、2014年連邦情報セキュリティ近代化法(FISMA)で設定された要件の連邦政府機関による実施の効果にはばらつきがありました。例えば、より多くの省庁が、サイバーセキュリティインシデントの検知と防止のための能力や、ユーザーのアクセス管理に関連する目標を達成したと報告しました。しかし、監察官(IG)は、サイバーセキュリティポリシーと実践の実施にばらつきがあることを指摘しました。2020会計年度の報告では、IGは、1990年の最高財務責任者法(CFO)に基づく23省庁のうち、7つ省庁が効果的な機関全体の情報セキュリティプログラムを持っていると判断しました。2017年度から2020年度までのIG報告書の結果では、2020年に向けて効果的なプログラムがわずかに増加しています。
Number of 23 Civilian Chief Financial Officers Act of 1990 Agencies with Effective and Not Effective Agency-Wide Information Security Programs, as Reported by Inspectors General for Fiscal Years 2017-2020 2017~2020年度に監察官が報告した、省庁全体の情報セキュリティプログラムが有効および有効でない23の1990年最高財務責任者法対象省庁の数

20220112-180556
GAO has also routinely reported on agencies' inconsistent implementation of federal cybersecurity policies and practices. Since 2010, GAO has made about 3,700 recommendations to agencies aimed at remedying cybersecurity shortcomings; about 900 were not yet fully implemented as of November 2021. More recent GAO reviews have identified weaknesses regarding access controls, configuration management, and the protection of data shared with external entities. GAO has made numerous recommendations to address these. GAOは、各省庁が連邦政府のサイバーセキュリティ政策や実務を一貫性なく実施していることについても定期的に報告してきました。2010年以降、GAOはサイバーセキュリティの欠点を改善することを目的とした約3,700件の提言を各省庁に行ってきましたが、2021年11月時点で約900件がまだ完全に実施されていません。最近のGAOのレビューでは、アクセス制御、構成管理、外部と共有するデータの保護に関する弱点が指摘されています。GAOはこれらに対処するため、数多くの提言を行っています。
Based on interviews with agency officials, such as chief information security officers, GAO's preliminary results show that officials at 14 CFO Act agencies stated that FISMA enabled their agencies to improve information security program effectiveness to a great extent. Officials at the remaining 10 CFO Act agencies said that FISMA had improved their programs to a moderate extent. The officials also identified impediments to implementing FISMA, such as a lack of resources. Agency officials suggested ways to improve the FISMA reporting process, such as by updating FISMA metrics to increase their effectiveness, improving the IG evaluation and rating process, and increasing the use of automation in report data collection. 最高情報セキュリティ責任者などの省庁関係者へのインタビューに基づいたGAOの予備的調査の結果によると、CFO法適用省庁14の関係者は、FISMAによって省庁の情報セキュリティプログラムの有効性がかなり改善されたと述べています。残りの10のCFO法対象省庁の担当者は、FISMAによってプログラムが中程度に改善されたと述べています。また、担当者は、リソースの不足など、FISMA を実施する上での障害を指摘しています。各省庁の担当者は、FISMA の報告プロセスを改善する方法を提案しました。例えば、FISMA の評価基準を更新してその有効性を高めたり、IGの評価・格付けプロセスを改善したり、報告書のデータ収集における自動化の利用を増やしたりしました。
Why GAO Did This Study GAOがこの調査を行った理由
Federal systems are highly complex and dynamic, technologically diverse, and often geographically dispersed. Without proper safeguards, computer systems are increasingly vulnerable to attack. As such, since 1997, GAO has designated information security as a government-wide high-risk area. 連邦政府のシステムは、非常に複雑で動的であり、技術的にも多様で、地理的にも分散していることが多いです。適切なセーフガードがなければ、コンピュータ・システムはますます攻撃されやすくなります。そのため、1997年以降、GAOは情報セキュリティを政府全体の高リスク分野に指定しています。
FISMA was enacted to provide federal agencies with a comprehensive framework for ensuring the effectiveness of information security controls. FISMA requires federal agencies to develop, document, and implement an information security program to protect the information and systems that support the operations and assets. It also includes a provision for GAO to periodically report on agencies' implementation of the act. FISMAは、情報セキュリティ管理の有効性を確保するための包括的なフレームワークを連邦政府機関に提供するために制定されました。FISMAは、連邦政府機関に対し、業務や資産を支える情報やシステムを保護するための情報セキュリティプログラムを策定し、文書化し、実施することを求めている。また、GAOが各省庁の同法の実施状況を定期的に報告する規定も含まれています。
This testimony discusses GAO's preliminary results from its draft report in which the objectives were to (1) describe the reported effectiveness of federal agencies' implementation of cybersecurity policies and practices and (2) evaluate the extent to which relevant officials at federal agencies consider FISMA to be effective at improving the security of agency information systems. この証言は、GAOの報告書ドラフトの予備的な結果について述べたもので、その目的は、(1)連邦政府機関のサイバーセキュリティポリシーとプラクティスの実施について報告された有効性を説明すること、(2)連邦政府機関の関係者が、FISMAが機関の情報システムのセキュリティを向上させるのに有効であると考えている程度を評価することでした。
To do so, GAO reviewed the 23 civilian CFO Act agencies' FISMA reports, agency-reported performance data, past GAO reports, and OMB documentation and guidance. GAO also interviewed agency officials from the 24 CFO Act agencies (i.e., the 23 civilian CFO Act agencies and the Department of Defense). そのためにGAOは、CFO法対象23省庁のFISMAレポート、省庁が報告したパフォーマンスデータ、過去のGAOレポート、OMBの文書とガイダンスをレビューしました。またGAOは、CFO法対象省庁24(CFO法対象省庁23社と国防総省)の省庁担当者にインタビューを行いました。

 

 


FISMAの評価指標等はCISAのページにあります。。。

CISA

FEDERAL INFORMATION SECURITY MODERNIZATION ACT

 

 

■ このブログ

・2021.05.04 米国 OMB FISMA Report 2020

・2020.06.05 米国行政管理局(OMB)が2019年度版政府機関のサイバーセキュリティーに関する報告書(FISMAレポート)を公表していますね。。。

2011.05.29 NIST 2010 Computer Security Division Annual Report

2009.12.25 連邦機関による年次FISMAレポートのメトリックに関するコメントを要求するOMB

2009.05.08 GAO GAO Federal Information System Controls Audit Manual(FISCAM)

・2008.05.23 米国政府 セキュリティ評価関係 2007(2) 総合評価はC <= C-

・2008.04.15 米国政府 セキュリティ評価関係 2007

・2007.06.14 米国会計検査院 連邦政府機関の情報セキュリティ管理は依然として不十分

・2007.04.15 米国政府 情報セキュリティ通知簿2006

・2007.04.01 米国政府 セキュリティ評価関係

・2006.03.18 米国政府 情報セキュリティ通知簿2005 2

・2006.03.18 米国政府 OMB Releases Annual FISMA Report

・2006.03.17 米国政府 情報セキュリティ通知簿2005

・2005.02.23 米国政府 情報セキュリティ通知簿2

・2005.02.23 米国政府 情報セキュリティ通知簿

2004.12.08 国家セキュリティ体制 米国の状況・・・

 

-----

・報告書 [Downloded]

 


| | Comments (0)

2022.01.07

JASA 監査人の警鐘 – 2022年 情報セキュリティ十大トレンド

こんにちは、丸山満彦です。

JASA(特定非営利活動法人日本セキュリティ監査協会 )が情報セキュリティ監査人が選ぶ2022年の情報セキュリティ十大トレンドを発表していますね。。。

 

● JASA

・2022.01.06 監査人の警鐘 – 2022年 情報セキュリティ十大トレンド

 

ちなみに過去分は2018年からあります。。。

情報セキュリティ十大トレンド

 

今年の10位までを過去に遡ると。。。

項目 2022 2021 2020 2019 2018
緊急コロナ対策からWithコロナへ 業務優先で後回しにしたセキュリティの再点検 1 1 5 5 5
多様化するワークスペースに対応するセキュリティ対策 2 6 -    
ICTサプライチェーンにおける情報セキュリティリスクの増大 3 11 -    
広がるWeb会議利用の盲点 データ漏洩に注意 4 6 -    
ISMSからサイバーセキュリティ対策マネジメントへ 5 10 -    
個人データ活用におけるビジネスとプライバシーの対立 6 18 -    
クラウドの仕様変更への対応不備によるセキュリティ事故 7 - -    
管理機能が攻撃対象に 社外端末によるシステム管理に潜む重大脆弱性 8 - -    
クラウド相互乗り入れ問題 バタフライエフェクトで自社の業務が停止する 9 3 2 10 -
気を付けよう外部サービスの穴 10 -      

 

Jasa_logo_darkblue

 


2002年に経済産業省で始まった情報セキュリティ監査研究会での議論を踏まえて、情報セキュリティ監査制度を作り、その受け皿としてできたのが、特定非営利活動法人日本セキュリティ監査協会です。。。(情報セキュリティではなく、日本セキュリティなんですよね。。。色々あって...)

ここまで来れたのは、いろいろなひとの力添えがあったのですが、初代事務局長の沓澤さんとその後を引継いだ永宮さんの力が大きいですよね。。。そして、今頑張っている安藤さん...

設立当時、会長に就任することになっていた土居先生に、「NPOの理事長になったら無限責任が発生するので、家屋敷が取られるかもしれないので、気をつけないといけませんよ」と言ったのを覚えています(^^)。

そういえば、いつロゴが変わったのだっけ...

 

Continue reading "JASA 監査人の警鐘 – 2022年 情報セキュリティ十大トレンド"

| | Comments (0)

2022.01.06

中国 意見募集 金融商品オンラインマーケティング管理弁法(案)

こんにちは、丸山満彦です。

金融商品のオンライン上での宣伝、販売に関する弁法案についての意見募集ですね。。。

 

中央网络安全和信息化委员会办公室 (Office of the Central Cyberspace Affairs Commission / Cyberspace Administration of China)

2021.12.30 关于《金融产品网络营销管理办法(征求意见稿)》公开征求意见的通知
「金融商品オンラインマーケティング管理弁法(案)」に関する意見募集の通知

・[DOCX] 附件1:金融产品网络营销管理办法(征求意见稿)

・附件2:《金融产品网络营销管理办法(征求意见稿)》起草说明

金融产品网络营销管理办法 金融商品オンラインマーケティング管理弁法
(征求意见稿) (意見募集稿)
第一章  总则 第1章 総則
第一条【目的依据】为规范金融产品网络营销活动,保障金融消费者合法权益,促进互联网金融业务健康有序发展,根据《中华人民共和国中国人民银行法》《中华人民共和国银行业监督管理法》《中华人民共和国信托法》《中华人民共和国证券法》《中华人民共和国证券投资基金法》《中华人民共和国保险法》《中华人民共和国广告法》《中华人民共和国反不正当竞争法》《中华人民共和国消费者权益保护法》《中华人民共和国个人信息保护法》《期货交易管理条例》《防范和处置非法集资条例》《互联网信息服务管理办法》《金融信息服务管理规定》等,制定本办法。 第1条【目的と根拠】金融商品のオンラインマーケティング活動を規制し、金融消費者の正当な権利と利益を保護し、インターネット金融ビジネスの健全かつ秩序ある発展を促進するために、「中国人民共和国銀行法」、「中国人民共和国銀行業監督管理法
中華人民共和国信託法」、「中華人民共和国証券法」、「中国人民共和国証券投資基金法」、「中国人民共和国保険法」、「中華人民共和国広告法」、「中国人民共和国不正競争防止法」、「中華人民共和国消費者権益保護法」、「中華人民共和国個人情報保護法」、「違法資金調達防止処理条例」、「違法資金調達防止処理条例」、「インターネット情報サービス運営管理弁法」、「金融情報サービス運営管理規定」などに基づいて制定されている。
第二条【适用范围】金融机构或受其委托的第三方互联网平台经营者开展金融产品网络营销,适用本办法。 第2条【適用範囲】本弁法は、金融機関またはその委託を受けた第三者のインターネット・プラットフォーム事業者が金融商品のオンラインマーケティングを行う場合に適用される。
法律法规、规章和规范性文件对金融产品网络营销另有规定的,从其规定。 法律、規制、規則、規範文書が金融商品のオンラインマーケティングについて別途規定している場合は、その規定に従うものとする。
第三条【相关定义】本办法所称金融机构是指国务院金融管理部门依法批准设立的从事金融业务的机构。本办法所称金融产品,是指金融机构设计、开发、销售的产品和服务,包括但不限于存款、贷款、资产管理产品、保险、支付、贵金属等。 第3条【関連定義】本弁法でいう金融機関とは、法律に基づいて国務院の金融管理部門が認可した金融業務を行う機関である。 本弁法で言及する金融商品とは、金融機関が設計、開発、販売する商品およびサービスを指し、預金、ローン、資産運用商品、保険、決済、貴金属などを含むが、これらに限定されるものではない。
本办法所称第三方互联网平台,是指非金融机构自营的,为金融机构开展网络营销提供网络空间经营场所、信息交互、交易撮合等服务的网站、移动互联网应用程序、小程序、自媒体等互联网媒介。 本弁法でいう第三者のインターネットプラットフォームとは、金融機関が所有していないウェブサイト、モバイル・インターネット・アプリケーション、アプレット、セルフ・メディア、その他のインターネット・メディアで、金融機関がオンラインマーケティングを行うためにサイバースペースのビジネス・プレイス、情報のやりとり、取引の集約、その他のサービスを提供するものをいう。
本办法所称网络营销,是指通过互联网平台对金融产品进行商业性宣传推介的活动,包括但不限于展示介绍金融产品相关信息或金融机构业务品牌,为消费者购买金融产品提供转接渠道等。 本弁法でいうオンラインマーケティングとは、インターネット・プラットフォームを通じて金融商品を商業的に宣伝する活動を指し、金融商品や金融機関のビジネス・ブランドに関連する情報を表示・紹介したり、消費者が金融商品を購入するための紹介ルートを提供したりすることなどが含まれるが、これに限定されるものではない。
第四条【基本原则】开展金融产品网络营销,应当遵守相关法律法规制度和社会公序良俗,诚实守信,公平竞争,保障金融消费者知情权、自主选择权和个人信息安全,不得损害国家利益、社会公众利益和金融消费者合法权益。 第4条【基本原則】 金融機関は、金融商品のオンラインマーケティングを行うにあたり、関連法令および社会秩序・道徳を遵守し、誠実で信頼性が高く、公正な競争を行い、金融消費者の情報入手の権利、独立した選択、個人情報のセキュリティを保護し、国家の利益、公共の利益、金融消費者の合法的な権利・利益を損なわないようにしなければならない。
第五条【营销资质】金融机构应当在金融管理部门许可的业务范围内开展金融产品网络营销。除法律法规、规章和规范性文件明确规定或授权外,金融机构不得委托其他机构和个人开展金融产品网络营销。 第5条【マーケティング資格】金融機関は、金融管理当局が許可した業務の範囲内で、金融商品のオンラインマーケティングを行うものとする。 法律、規制、規範文書で明示的に規定または許可されている場合を除き、金融機関は他の機関や個人に金融商品のオンラインマーケティングの実施を委託してはならない。
第六条【禁止网络营销产品】任何机构和个人不得为非法金融活动提供网络营销服务,包括但不限于非法集资、非法发行证券、非法放贷、非法荐股荐基、虚拟货币交易、外汇按金交易等;不得为私募类资产管理产品、非公开发行证券等金融产品开展面向不特定对象的网络营销。 第6条【オンラインマーケティング商品の禁止】いかなる機関または個人も、違法な資金調達、違法な証券発行、違法な貸付、株式やファンドの違法な推奨、仮想通貨取引、外国為替証拠金取引などの違法な金融活動のためにオンラインマーケティング・サービスを提供してはならない。また、私募の資産運用商品や非公募の証券などの金融商品については、不特定多数を対象としたオンラインマーケティングを行ってはならない。
第二章  营销宣传内容规范 第2章 マーケティング・広報コンテンツの仕様
第七条【审核责任】金融机构应当对网络营销宣传内容的合法合规性负责,建立内容审核机制,落实金融消费者权益保护有关要求,有关审核材料应当存档备查。 第7条【監査責任】金融機関は、オンラインマーケティングおよび広報コンテンツの法令遵守に責任を負い、コンテンツ監査メカニズムを確立し、金融消費者の権利と利益の保護のために関連する要求を実施し、関連する監査資料を保管して検査に供しなければならない。
第三方互联网平台应当使用经金融机构审核确定的网络营销宣传内容对金融产品进行宣传推介,不得擅自变更营销宣传内容。 第三者のインターネットプラットフォームは、金融商品の販売促進のために金融機関が決定したオンラインマーケティングおよび広報コンテンツを使用するものとし、許可なくマーケティングおよび広報コンテンツを変更してはならない。
金融机构从业人员通过直播、自媒体账号、互联网群组等新型网络渠道宣传推介金融产品的,口径应与金融机构审核的网络营销宣传内容保持一致。 金融機関の実務者が、ライブストリーミング、セルフメディアアカウント、インターネットグループなどの新しいオンラインチャネルを通じて金融商品を宣伝する場合、その口径は、金融機関が監査したオンラインマーケティングおよびプロモーションの内容と一致するものでなければならない。
第八条【内容标准】网络营销宣传内容应当与金融产品合同条款保持一致,包含产品名称、产品提供者和销售者名称、产品备案或批复信息、产品期限、功能类型、利率收费、风险提示、限制金融消费者权利和加强金融消费者义务的事项等关键信息,不得有重大遗漏。 第8条【内容基準】オンラインマーケティング広報の内容は、金融商品契約の条件と一致していなければならず、商品名、商品提供者と販売者の名称、商品の申請または承認情報、商品の期間、特徴の種類、金利手数料、リスクのヒント、金融消費者の権利を制限し、金融消費者の義務を強化する事項などの重要な情報が含まれており、重大な省略があってはならない。
网络营销宣传内容应当准确、通俗,符合社会主义精神文明建设的要求,践行社会主义核心价值观,倡导正确的投资理念和健康的消费观。 オンラインマーケティングの宣伝内容は、正確で人気があり、社会主義精神文明の要求に沿っており、社会主義のコアバリューを実践し、正しい投資概念と健全な消費概念を提唱するものでなければならない。
第九条【禁止内容】网络营销宣传不得含有以下内容: 第9条【禁止事項】オンラインマーケティングの宣伝文句には、以下の内容を含んではならない。
(一)虚假、欺诈或引人误解的内容; (1) 虚偽、不正、または誤解を招くような内容。
(二)引用不真实、不准确或未经核实的数据和资料; (2) 真実でない、不正確な、または検証されていないデータや情報を引用すること。
(三)明示或暗示资产管理产品保本、承诺收益、限定损失金额或比例; (3) 明示的または黙示的な資産運用商品の資本保護、リターンの約束、限定的な損失額または割合。
(四)夸大保险责任或保险产品收益,将保险产品收益与存款、资产管理产品等金融产品简单类比; (4) 保険負債や保険商品のリターンを誇張したり、保険商品のリターンを預金や資産運用商品などの金融商品と単純に比較したりすること。
    (五)利用国务院金融管理部门的审核或备案为金融产品提供增信保证; (5) 国務院の財務管理部門の審査または申告を利用して、金融商品の信用補完保証を行うこと。
(六)法律法规、规章和规范性文件禁止的其他内容。 (6) その他、法令・規範で禁止されている内容。
第三章 营销宣传行为规范     第3章 マーケティングと宣伝の行動規範    
第十条【分区展示】对于存款、贷款、资产管理产品、保险、支付、贵金属等不同类别、不同风险等级的金融产品,应当分别设立宣传展示专区。 第10条 【ゾーニング表示】 異なるカテゴリーおよび異なるリスクレベルの預金、ローン、資産運用商品、保険、決済、貴金属およびその他の金融商品については、独立したプロモーションおよび表示エリアを設定しなければならない。
第十一条【精准营销】开展精准营销,应当遵守适当性管理要求,将金融产品推介给适当的金融消费者。根据金融消费者兴趣爱好、消费习惯等开展精准营销的,应当同时提供不针对个人特征推送的选项或便捷的拒绝方式。 第11条【精密マーケティング】精密マーケティングを行うためには、適切な金融消費者に対して、適切性管理の要件を満たした上で、金融商品を紹介しなければならない。 金融消費者の関心事や消費習慣などに基づいて精密マーケティングを行う場合は、個人的な特徴を押し付けない選択肢や、便利な拒否方法を伴うものとしなければならない。
第十二条【禁止骚扰性营销】开展营销宣传不得影响他人正常使用互联网和移动终端。以弹出页面等形式开展营销的,应当显著标明关闭标志,确保一键关闭。不得欺骗、误导用户点击金融产品营销内容。 第12条【ハラスメントマーケティングの禁止】 マーケティングキャンペーンは、他人によるインターネットや携帯端末の正常な利用を妨げてはならない。 ポップアップページなどでマーケティングを行う場合は、1回のクリックで閉じることができるように、閉じる記号を目立つように表示しなければならない。 ユーザーは、金融商品のマーケティング・コンテンツに騙されたり、誤解してクリックしてはならない。
第十三条【组合销售】采用组合方式营销金融产品,应当以显著方式提醒金融消费者注意,不得将组合销售金融产品的选项设定为默认或首选。 第13条【複合的マーケティング】 金融商品の複合的マーケティングの使用は、金融消費者の注意を喚起するために目立つようにしなければならず、金融商品の複合的マーケティングの選択肢をデフォルトまたは優先的に設定してはならない。
第十四条【新型网络营销】通过直播、自媒体账号、互联网群组等新型网络渠道营销金融产品,营销人员应当为金融机构从业人员并具备相关金融从业资质。金融机构应当加强事前审核,指定合规人员审看直播或访问相关自媒体账号、互联网群组;加强营销行为可回溯管理,保存有关视频、音频、图文资料以供查验。 第14条【新ネットワークマーケティング】ライブストリーミング、セルフメディアアカウント、インターネットグループなどの新ネットワークチャネルを通じて金融商品をマーケティングする場合、マーケティング担当者は金融機関の実務担当者であり、関連する金融資格を有していなければならない。 金融機関は、事前監査を強化し、コンプライアンス担当者を指名して生放送を確認したり、関連する自己メディアアカウントやインターネットグループを訪問したりする。マーケティング手法のトレーサビリティー管理を強化し、関連するビデオ、オーディオ、グラフィック資料を保存して検査に供する。
第十五条【嵌套销售】非银行支付机构不得为贷款、资产管理产品等金融产品提供营销服务,不得在支付页面中将贷款、资产管理产品等金融产品作为支付选项,以默认开通、一键开通等方式销售贷款、资产管理产品等金融产品。 第15条【入れ子式販売】ノンバンクの決済機関は、ローンや資産運用商品などの金融商品のマーケティングサービスを提供してはならず、また、決済ページの支払い方法としてローンや資産運用商品などの金融商品を記載したり、デフォルトオープンやワンクリックオープンでローンや資産運用商品などの金融商品を販売してはならない。
第十六条【禁止代言】不得利用学术机构、行业协会、专业人士的名义或者形象作推荐、证明。 第16条【推奨の禁止】学術機関、業界団体、専門家の名称やイメージを推奨や認証に使用してはならない。
 金融机构应当遵守金融管理部门有关规定,不得利用演艺明星的名义或形象作推荐、证明。 金融機関は、金融管理当局の関連規則を遵守し、アクティングスターの名前や画像を推薦や認証のために使用してはならない。
第四章 营销合作行为规范 第4章 マーケティング協力のための行動規範
第十七条【责任划分】金融机构委托第三方互联网平台经营者开展金融产品网络营销的,应当作为业务主体承担管理责任。第三方互联网平台经营者未按约定履行受托义务,损害金融消费者权益或造成其他不良影响的,依法承担相关责任。 第17条【責任の分担】金融機関は、第三者であるインターネット・プラットフォーム事業者に金融商品のオンラインマーケティングを委託する場合、事業者としての管理責任を負うものとする。第三者であるインターネットプラットフォーム事業者が、合意された受託者責任を履行せず、金融消費者の権利・利益を損ない、その他の悪影響を及ぼす場合には、法律に基づき関連する責任を負うものとする。
未经金融管理部门批准,第三方互联网平台经营者不得介入或变相介入金融产品的销售业务环节,包括但不限于就金融产品与消费者进行互动咨询、金融消费者适当性测评、销售合同签订、资金划转等,不得通过设置各种与贷款规模、利息规模挂钩的收费机制等方式变相参与金融业务收入分成。 金融管理当局の承認を得ずに、第三者のインターネットプラットフォーム事業者は、金融商品に関する消費者との双方向の相談、金融消費者の適合性評価、売買契約の締結、資金移動など、金融商品販売のビジネス面に介入したり、偽装したりしてはならず、また、融資や利息の規模に連動した様々な手数料の仕組みを設けて、金融ビジネスの収益分配に参加することを偽装してはならない。
金融机构利用第三方互联网平台的网络空间经营场所,应当确保业务独立、技术安全、数据和个人信息安全。第三方互联网平台经营者应当恪守信息技术服务本位,不得变相开展金融业务活动,不得借助技术手段帮助合作金融机构规避监管。 第三者のインターネット・プラットフォームを利用してサイバースペース上の施設を運営する金融機関は、事業の独立性、技術的セキュリティ、データおよび個人情報のセキュリティを確保する必要があります。第三者のインターネットプラットフォーム事業者は、自社の情報技術サービスの適正を遵守し、偽装して金融ビジネス活動を行ったり、協力的な金融機関が技術を利用して規制を回避することを支援したりしてはならない。
第十八条【事前评估】金融机构委托第三方互联网平台经营者或者利用第三方互联网平台的网络空间经营场所开展金融产品网络营销,应当建立事前评估机制,按照互联网平台资质和承担责任相匹配的原则,从电信业务资质、经营情况、技术实力、服务质量、业务合规和声誉等方面进行评估。 第18条【事前審査】金融機関は、金融商品のオンラインマーケティングを行うために、第三者のインターネット・プラットフォーム事業者に委託し、または第三者のインターネット・プラットフォームのサイバースペース事業所を利用する場合には、事前審査の仕組みを構築し、インターネット・プラットフォームの資格と責任を一致させるという原則に基づき、電気通信事業者としての資格、運営、技術力、サービス品質、業務のコンプライアンス、評判などについて審査を行うものとする。
第十九条【书面协议】金融机构应当与第三方互联网平台经营者签订书面合作协议。合作协议应当包含合作范围、操作流程、各方权责、消费者权益保护、数据安全、争议解决、合作事项变更或终止的过渡安排、违约责任等内容。 第19条【書面による契約】 金融機関は、第三者のインターネットプラットフォーム事業者と書面による協力契約を締結しなければならない。 協力協定には、協力の範囲、業務手順、当事者の権利および責任、消費者の権利および利益の保護、データセキュリティ、紛争解決、協力事項の変更または終了のための経過措置、契約違反の責任などが含まれる。
第二十条【持续管理】金融机构应当持续跟踪评估第三方互联网平台经营者的合规性、安全性以及协议履行情况,及时识别、评估、防范因第三方互联网平台经营者违约或经营失败等导致的风险。如发现违反法律法规、有关规定和协议约定的,应当要求其及时整改,情节严重的,立即终止合作,并将有关问题线索移交相关管理部门。 第20条【継続管理】金融機関は、第三者インターネットプラットフォーム事業者のコンプライアンスやセキュリティ、契約の履行状況を継続的に追跡・評価し、第三者インターネットプラットフォーム事業者の債務不履行や運営上の失敗に起因するリスクを迅速に特定・評価・防止しなければならない。 法令や関連規定、協定などの違反が発見された場合には、適時に是正を求め、重大な場合には、直ちに協力関係を解消し、問題の関連糸口を関連管理部門に移すものとする。
第二十一条【信息安全】金融机构和第三方互联网平台应当采取必要的技术安全措施,保障数据传输的保密性、完整性,防止其他机构和个人非法破解、截留、存储有关数据。 第21条【情報セキュリティ】 金融機関および第三者のインターネットプラットフォームは、データ伝送の機密性および完全性を保護し、他の機関および個人が関連データを不正に解読、傍受および保存することを防止するために、必要な技術的セキュリティ対策を講じなければならない。
金融机构利用第三方互联网平台网络空间经营场所,应当防止第三方互联网平台非法破解、截留、存储客户信息和业务数据。 第三者のインターネット・プラットフォームのサイバースペースを利用して業務を行っている金融機関は、第三者のインターネット・プラットフォームが、顧客情報や業務データを不正に解読、傍受、保管することを防止しなければならない。
第二十二条【入驻管理】第三方互联网平台经营者为金融机构提供网络空间经营场所,应当建立准入管理机制,对入驻金融机构从资质资格、业务合规、社会声誉等方面进行评估;建立经营行为监测机制,发现非法金融活动,立即采取措施予以制止,并将线索移交金融管理部门。 第22条【参入管理】金融機関にサイバースペース事業所を提供する第三者インターネットプラットフォーム事業者は、参入管理機構を構築して、金融機関の参入を資格、業務コンプライアンス、社会的評判の観点から評価し、業務行為の監視機構を構築して、違法な金融行為を発見した場合には直ちに停止措置を講じ、金融管理部門に手がかりを渡さなければならない。
第二十三条【不正当竞争】第三方互联网平台经营者应当遵循平等自愿、公平合理、诚实守信的原则,不得滥用市场优势地位实施歧视性、排他性合作安排,不得阻碍金融消费者通过金融机构渠道查询、办理金融业务。 第23条【不正競争】第三者のインターネットプラットフォーム事業者は、平等と自発性、公正と合理性、誠実と信頼性の原則に従わなければならず、市場での支配的地位を濫用して、差別的または排他的な協力協定を実施したり、金融消費者が金融機関のチャネルを通じて金融サービスを照会したり実施することを妨げたりしてはならない。
第二十四条【品牌混同】第三方互联网平台经营者应当以清晰、醒目的方式展示金融产品提供者名称或相关标识。金融产品名称不得使用第三方互联网平台名称、商标的相关字样,造成金融机构和第三方互联网平台的品牌混同。 第24条【ブランド混合】第三者のインターネットプラットフォーム事業者は、金融商品提供者の名称または関連するロゴを明確かつ目立つように表示しなければならない。 金融商品の名称は、第三者のインターネット・プラットフォームの名称または商標の関連語を使用してはならず、その結果、金融機関と第三者のインターネット・プラットフォームとの間にブランドの混同が生じてはならない。
第二十五条【互联网名称】第三方互联网平台经营者在网站、移动互联网应用程序、小程序、自媒体名称中使用“金融”“交易所”“交易中心”“信托公司”“理财”“财富管理”“财富投资管理”“股权众筹”“贷款”“资产管理”“支付”“清算”“征信”“信用评级”“外汇(汇兑、结售汇、货币兑换)”等金融相关字样或者内容,应当取得相应金融业务资质或金融信息服务业务资质。 第25条 【インターネットの名称】ウェブサイト、モバイルインターネットアプリケーション、アプレット、およびセルフメディアの名称に「金融」、「取引所」、「トレーディングセンター」、 信託会社」、「理財」、「資産管理」、「資産投資管理」、「貸付」「アセットマネジメント」、「支払」、「清算」 、「信用」、「信用格付」、「外貨交換(交換、精算、通貨交換)」などの金融関連の 用語や内容が含まれていれば、それに対応する金融業資格や金融情報サービス業資格を取得する必要がある
第二十六条【商标注册】第三方互联网平台经营者注册和使用包含“金融”“交易所”“交易中心”“信托公司”“理财”“财富管理”“财富投资管理”“股权众筹”“贷款”“资产管理””“支付”“清算”“征信”“信用评级”“外汇(汇兑、结售汇、货币兑换)”等金融相关字样或者内容的商标,应当取得相应金融业务资质或金融信息服务业务资质。 第26条【商標登録】第三者のインターネット・プラットフォーム事業者は、「金融」、「取引所」、「トレーディングセンター」、 信託会社」、「理財」、「資産管理」、「資産投資管理」、「貸付」「アセットマネジメント」、「支払」、「清算」 、「信用」、「信用格付」、「外貨交換(交換、精算、通貨交換)」などの金融関連の用語その他の金融関連の単語またはコンテンツを含む商標を登録および使用する第三者のインターネットプラットフォーム事業者は、対応する金融事業資格または金融情報サービス事業資格を取得する必要がある。
第五章  监督管理 第5章 監督および管理
第二十七条【金融机构监管】金融管理部门按照职责分工采取非现场或现场检查等方式,实施对金融机构金融产品网络营销活动的监督管理。 第27条【金融機関の監督】金融管理部門は、責任分担に従い、金融機関の金融商品のオンラインマーケティング活動の監督・管理を実施するために、立入検査または立入検査等の手段を採用しなければならない。
金融机构、第三方互联网平台经营者及其从业人员应当配合金融管理部门的检查,提供的信息、资料应当及时、准确、完整。 金融機関、第三者のインターネットプラットフォーム事業者およびその実務者は、金融管理部門の検査に協力し、提供する情報や資料は適時、正確かつ完全なものでなければならない。
第二十八条【第三方互联网平台监管】相关部门按照职责分工实施对第三方互联网平台金融产品网络营销活动的监督管理。 第28条【第三者インターネットプラットフォームの監督】関係部門は、責任分担に基づき、第三者インターネットプラットフォームにおける金融商品のオンラインマーケティング活動の監督・管理を実施する。
市场监管部门加强互联网广告管理和反不正当竞争执法,及时向金融管理部门通报有关问题情况并在必要时商请协助调查。 市場監督部門は、インターネット広告の管理と反不正競争の執行を強化し、関連する問題状況を速やかに財務管理部門に伝え、必要に応じて調査の支援を相談する。
网信部门加强互联网信息内容管理,会同电信主管部门、金融管理部门加强数据安全管理和个人信息保护。 インターネット情報部門は、インターネット情報コンテンツの管理を強化し、管轄の通信部門、財務管理部門と連携して、データセキュリティ管理と個人情報保護を強化する。
第二十九条【第三方互联网平台名称与商标管理】金融管理部门会同网信部门、电信主管部门加强对第三方互联网平台名称的监测和管理。对违反本办法第二十五条规定的第三方互联网平台经营者,责令其限期整改。 第29条【第三者インターネットプラットフォームの名称および商標の管理】財務管理部門は、インターネット情報部門および管轄の電気通信部門と連携して、第三者インターネットプラットフォームの名称の監視および管理を強化しなければならない。 本弁法の第25条の規定に違反した第三者のインターネットプラットフォーム事業者は、一定期間内に是正を命じられる。
金融管理部门会同知识产权管理部门、市场监管部门加强商标使用的监测和管理。对违反本办法第二十六条规定的第三方互联网平台经营者,责令其限期整改。 財務管理部門は、知的財産管理部門および市場監督部門と連携して、商標の使用に関する監視・管理を強化する。 本弁法の第26条の規定に違反した第三者のインターネットプラットフォーム事業者に対しては、一定期間内に是正・改善を命じるものとする。
第三十条【打击非法金融活动营销】金融管理部门会同网信部门、电信主管部门、市场监管部门加强对非法金融活动网络营销的监测,按照职责分工予以处置。 第30条【違法金融活動のマーケティング対策】財務管理部門は、インターネット情報部門、電気通信当局、市場監督部門と連携して、違法金融活動のオンラインマーケティングの監視を強化し、責任分担に基づいて処分を行う。
第三十一条【行业自律管理】中国互联网金融协会等有关行业协会依照相关法律法规、规章和规范性文件要求以及本办法规定,制定行业标准和自律规范,完善自律惩戒机制。加强金融类移动互联网应用程序备案管理和金融消费者举报平台运营。配合金融管理部门开展金融产品网络营销日常监测,及时移交有关问题线索。加大对社会公众的金融知识普及教育,引导理性投资、健康消费。   第31条【業界の自主規制管理】中国インターネット金融協会およびその他の関連業界団体は、関連する法律、規則、規範文書および本弁法の規定に基づき、業界標準および自主規制規範を策定し、自主規制の規律メカニズムを改善する。 金融モバイルインターネットアプリケーションの記録管理と金融消費者報告プラットフォームの運営を強化する。 金融管理当局と協力して、金融商品のオンライン販売を日常的に監視し、関連する問題の手がかりをタイムリーに引き渡す。 合理的な投資と健全な消費を導くために、一般市民に対する金融リテラシー教育を強化する。 
第六章  法律责任 第6章 法的責任
第三十二条【金融机构责任】金融机构违反本办法规定开展金融产品网络营销的,除法律法规另有规定外,金融管理部门可采取监管谈话、责令整改、出具警示函以及依法依规可以采取的其他措施。 第32条【金融機関の責任】金融商品のネットワークマーケティングを行うためにこれらの措置の規定に違反して金融機関は、法令に別段の定めがある場合を除き、財務管理部門は、規制協議を取ることができる、整流を注文し、警告書や法律や規制に従って取ることができる他の措置を発行する。
第三十三条【第三方互联网平台责任】第三方互联网平台违反本办法第八条、第九条、第十六条第一款、第二十三条、第二十四条规定开展金融产品网络营销的,市场监管部门可依据《中华人民共和国广告法》《中华人民共和国反不正当竞争法》予以处置。 第33条【第三者インターネットプラットフォームの責任】第三者インターネットプラットフォームが本弁法第8条、第9条、第16条(1)、第23条および第24条の規定に違反して金融商品のオンラインマーケティングを行った場合、市場監督当局は中華人民共和国広告法および中華人民共和国反不正競争法に基づいて対処することができるものとする。
第三方互联网平台违反本办法第二十一条规定开展金融产品网络营销的,网信部门、电信主管部门可依据《中华人民共和国个人信息保护法》予以处置。 第三者のインターネットプラットフォームが、本弁法第21条の規定に違反して金融商品のオンラインマーケティングを行った場合、インターネット情報部門および管轄の電気通信部門は、「中華人民共和国個人情報保護法」に基づいて対処することができる。
第三十四条【非法金融活动营销责任】任何机构和个人违反本办法第五条、第六条、第十四条、第十七条第二和第三款、第二十二条规定开展金融产品网络营销的,金融管理部门、地方金融监管部门可依据《中华人民共和国中国人民银行法》《中华人民共和国银行业监督管理法》《中华人民共和国证券法》《中华人民共和国证券投资基金法》《中华人民共和国保险法》《期货交易管理条例》《防范和处置非法集资条例》等法律法规予以处置。 第34条【違法な金融活動のマーケティングに対する責任】本弁法第5条、第6条、第14条、第17条第2項および第3項、第22条の規定に違反して金融商品のオンラインマーケティングを行った機関または個人がいた場合、財務管理部門および地方の財務監督部門は、「中華人民共和国人民銀行法」、「中華人民共和国銀行監督管理法」、「中華人民共和国証券法」、「中華人民共和国証券投資基金法」、「中華人民共和国保険法」、「先物取引管理条例」、「違法資金調達防止処理条例」等の法令を制定して対応する。
第七章 附则 第7章 附則
第三十五条【参照管理】私募基金管理机构、信用评级机构、地方金融监管部门依法批准设立的地方金融组织开展金融产品网络营销参照本办法相关规定执行。 第35条【参考管理】プライベートエクイティファンド管理機関、信用格付機関、および金融商品のオンラインマーケティングを行うために法律に基づいて現地の金融規制当局が承認した現地金融機関は、本弁法の関連規定を参考にして実施する。
第三十六条【解释权】本办法由中国人民银行、工业和信息化部、市场监管总局、国家互联网信息办公室、银保监会、证监会、外汇局、知识产权局负责解释。 第36条【解釈権】本弁法は、中国人民銀行、工業・情報化部、市場規制総局、国家インターネット情報局、銀監会、SFC、外国為替局、知的財産局によって解釈される。
第三十七条【实施日期和整改期限】本办法自 年 月 日起施行。本办法施行前的金融产品网络营销活动不符合本办法相关要求的,金融机构及受其委托的第三方互联网平台经营者应当在本办法施行之日起6个月内完成整改。 第37条【施行日および修正期間】本弁法は、本年1月から施行する。 本弁法施行前の金融商品のオンラインマーケティング活動が本弁法の関連要求に準拠していない場合、金融機関およびその委託を受けた第三者のインターネットプラットフォーム事業者は、本弁法施行日から6ヶ月以内に修正を完了しなければならない。

 

1_20210612030101

 

 

| | Comments (0)

2021.12.29

米国 バイデン大統領が2022年国防授権法にサインをしましたね。。。

こんにちは、丸山満彦です。

バイデン大統領が2022年国権授権法にサインをしましたね。。。この法律毎年あるのですが、400万単語を超える長い〜い法律です。。。

サイバーに関連するセクションだけでもかなりの分量です。。。

White House

・2021.12.27 Statement by the President on S. 1605, the National Defense Authorization Act for Fiscal Year 2022

 

Fig1_20210802074601

 

Congress.GOV

S.1605 - National Defense Authorization Act for Fiscal Year 2022

 

サイバー関連のタイトルXV。。。

TITLE XV--CYBERSPACE-RELATED MATTERS タイトルXV:サイバースペース関連事項
Subtitle A--Matters Related to Cyber Operations and Cyber Forces サブタイトルA:サイバー作戦とサイバー部隊に関連する事項
Sec. 1501. Development of taxonomy of cyber capabilities. Sec. 1501. サイバー能力の分類法の開発
Sec. 1502. Extension of sunset for pilot program on regional cybersecurity training center for the Army National Guard. Sec. 1502. 陸軍州兵のための地域サイバーセキュリティトレーニングセンターのパイロットプログラムの終了を延長する
Sec. 1503. Modification of the Principal Cyber Advisor. Sec. 1503. 主任サイバーアドバイザーの変更
Sec. 1504.Evaluation of Department of Defense cyber governance. Sec. 1504. 国防総省のサイバーガバナンスの評価
Sec. 1505. Operational technology and mission-relevant terrain in cyberspace. Sec. 1505. サイバースペースにおける運用技術と任務に関連する地形
Sec. 1506. Matters concerning cyber personnel requirements. Sec. 1506. サイバー人材の要件に関する事項
Sec. 1507. Assignment of certain budget control responsibilities to commander of United States Cyber Command. Sec. 1507. 米国サイバー司令部の司令官への予算管理責任の割り当て
Sec. 1508. Coordination between United States Cyber Command and private sector. Sec. 1508. 米国サイバー司令部と民間企業との間の調整
Sec. 1509. Assessment of cyber posture and operational assumptions and development of targeting strategies and supporting capabilities. Sec. 1509. サイバー攻撃態勢と作戦前提の評価、標的戦略と支援能力の開発
Sec. 1510. Assessing capabilities to counter adversary use of ransomware, capabilities, and infrastructure. Sec. 1510. 敵のランサムウェア使用、能力、インフラに対抗する能力の評価
Sec. 1511. Comparative analysis of cybersecurity capabilities. Sec. 1511. サイバーセキュリティ能力の比較分析
Sec. 1512. Eligibility of owners and operators of critical infrastructure to receive certain Department of Defense support and services. Sec. 1512. 重要インフラの所有者と運営者が国防総省の支援とサービスを受ける資格
Sec. 1513. Report on potential Department of Defense support and assistance for increasing the awareness of the Cybersecurity and Infrastructure Security Agency of cyber threats and vulnerabilities affecting critical infrastructure. Sec. 1513. 重要インフラに影響を与えるサイバー脅威と脆弱性について、サイバーセキュリティ・インフラセキュリティ庁の認識を高めるための国防総省の支援の可能性についての報告
Subtitle B--Matters Related to Department of Defense Cybersecurity and  Information Technology サブタイトルB:国防総省のサイバーセキュリティと情報技術に関連する事項
Sec. 1521. Enterprise-wide procurement of cyber data products and services. Sec. 1521. サイバーデータ製品・サービスの全社的調達
Sec. 1522. Legacy information technologies and systems accountability. Sec. 1522. レガシー情報技術とシステムの説明責任
Sec. 1523. Update relating to responsibilities of Chief Information Officer. Sec. 1523. 最高情報責任者(CIO)の責任についての更新
Sec. 1524. Protective Domain Name System within the Department of Defense. Sec. 1524. 国防総省内の保護ドメイン名システム
Sec. 1525. Cybersecurity of weapon systems. Sec. 1525. 兵器システムのサイバーセキュリティ
Sec. 1526. Assessment of controlled unclassified information program. Sec. 1526. 管理された未分類情報プログラムの評価
Sec. 1527. Cyber data management. Sec. 1527. サイバーデータ管理
Sec. 1528. Zero trust strategy, principles, model architecture, and implementation plans. Sec. 1528. ゼロトラスト戦略、原則、モデルアーキテクチャ、および実施計画
Sec. 1529. Demonstration program for automated security validation tools. Sec. 1529. 自動セキュリティ検証ツールの実証プログラム
Sec. 1530. Improvements to consortium of universities to advise Secretary of Defense on cybersecurity matters. Sec. 1530. 国防長官にサイバーセキュリティに関する助言を行う大学コンソーシアムの改善
Sec. 1531. Digital development infrastructure plan and working group. Sec. 1531. デジタル開発インフラ計画および作業部会
Sec. 1532. Study regarding establishment within the Department of Defense of a designated central program office to oversee academic engagement programs relating to establishing cyber talent across the Department. Sec. 1532. 国防総省内にサイバー人材の育成に関する学術的なプログラムを統括する中央プログラムオフィスを設置することに関する研究
Sec. 1533. Report on the Cybersecurity Maturity Model Certification program. Sec. 1533. サイバーセキュリティーマチュリティモデル認証プログラムに関する報告書
Sec. 1534. Deadline for reports on assessment of cyber resiliency of nuclear command and control system. Sec. 1534. 核指揮統制システムのサイバー復元力の評価に関する報告書の期限
Subtitle C--Matters Related to Federal Cybersecurity サブタイトルC:連邦政府のサイバーセキュリティに関する事項
Sec. 1541. Capabilities of the Cybersecurity and Infrastructure Security Agency to identify threats to industrial control systems. Sec. 1541. 産業用制御システムへの脅威を特定するためのサイバーセキュリティ・インフラセキュリティ庁の能力
Sec. 1542. Cybersecurity vulnerabilities. Sec. 1542. サイバーセキュリティの脆弱性
Sec. 1543. Report on cybersecurity vulnerabilities. Sec. 1543. サイバーセキュリティの脆弱性に関する報告
Sec. 1544. Competition relating to cybersecurity vulnerabilities. Sec. 1544. サイバーセキュリティの脆弱性に関する競争
Sec. 1545. Strategy. Sec. 1545. 戦略
Sec. 1546. Cyber incident response plan. Sec. 1546. サイバーインシデント対応計画
Sec. 1547. National cyber exercise program. Sec. 1547. 国家サイバー演習プログラム
Sec. 1548. CyberSentry program of the Cybersecurity and Infrastructure Security Agency. Sec. 1548. サイバーセキュリティ・インフラセキュリティ庁のCyberSentryプログラム
Sec. 1549. Strategic assessment relating to innovation of information systems and cybersecurity threats. Sec. 1549. 情報システムの革新とサイバーセキュリティの脅威に関する戦略的評価
Sec. 1550. Pilot program on public-private partnerships with internet ecosystem companies to detect and disrupt adversary cyber operations. Sec. 1550. 敵国のサイバー活動を検知・妨害するためのインターネットエコシステム企業との官民パートナーシップに関するパイロットプログラム
Sec. 1551. United States-Israel cybersecurity cooperation. Sec. 1551. 米国とイスラエルのサイバーセキュリティ協力
Sec. 1552. Authority for National Cyber Director to accept details on nonreimbursable basis. Sec. 1552. 国家サイバー長官が、払い戻しのない詳細な情報を受け取る権限

 


国防授権法に関連している書き込み。。。

● まるちゃんの情報セキュリティきまぐれ日記

・2021.12.03 米国 米国連邦議会諮問委員会 米中経済・安全保障調査委員会の報告書

・2021.09.22 NIST SP 800-50 Rev.1 (ドラフト)  ドラフト作成前のコメント募集:サイバーセキュリティとプライバシーに関する意識向上とトレーニングプログラムの構築

・2021.09.21 国務省OIG 国務省のセキュリティ・クリアランス・データを国家情報長官室に報告するプロセスには改善が必要

・2021.08.16 サイバースペース・ソラリウム委員会が2021年実施報告書を公表していますね。。。

・2021.07.13 従来型抑止と戦略的抑止に対するサイバー脅威と脆弱性 by 米国サイバースペース・ソラリウム委員会の事務局長

・2021.05.16 U.S. FBI & CISA 国内テロリズムに関する戦略的情報評価とデータ

・2021.05.10 米国連邦政府 人工知能イニシアティブ

・2021.03.25 U.S. GAO High-Riskシリーズ:連邦政府は主要なサイバーセキュリティの課題に対処するための重要な行動を早急に実施する必要がある

・2021.01.14 重要な情報の棚卸しは必要だが、そのリストをどのように伝達する?

・2021.01.06 米国 2021年度 National Defense Authorization Act (NDAA) (国防授権法)成立 サイバー関係も・・・

・2020.10.04 サイバースペース・ソラリウム委員会

・2020.07.25 米国連邦議会 2021年度の国防授権法が下院で可決しましたね。。。

 


条文も含めると、、、(ほぼ機械翻訳のままです。。。)

TITLE XV--CYBERSPACE-RELATED MATTERS タイトルXV:サイバースペース関連事項
Subtitle A--Matters Related to Cyber Operations and Cyber Forces サブタイトルA:サイバー作戦とサイバー部隊に関連する事項
Sec. 1501. Development of taxonomy of cyber capabilities. Sec. 1501. サイバー能力の分類法の開発
Sec. 1502. Extension of sunset for pilot program on regional cybersecurity training center for the Army National Guard. Sec. 1502. 陸軍州兵のための地域サイバーセキュリティトレーニングセンターのパイロットプログラムの終了を延長する
Sec. 1503. Modification of the Principal Cyber Advisor. Sec. 1503. 主任サイバーアドバイザーの変更
Sec. 1504.Evaluation of Department of Defense cyber governance. Sec. 1504. 国防総省のサイバーガバナンスの評価
Sec. 1505. Operational technology and mission-relevant terrain in cyberspace. Sec. 1505. サイバースペースにおける運用技術と任務に関連する地形
Sec. 1506. Matters concerning cyber personnel requirements. Sec. 1506. サイバー人材の要件に関する事項
Sec. 1507. Assignment of certain budget control responsibilities to commander of United States Cyber Command. Sec. 1507. 米国サイバー司令部の司令官への予算管理責任の割り当て
Sec. 1508. Coordination between United States Cyber Command and private sector. Sec. 1508. 米国サイバー司令部と民間企業との間の調整
Sec. 1509. Assessment of cyber posture and operational assumptions and development of targeting strategies and supporting capabilities. Sec. 1509. サイバー攻撃態勢と作戦前提の評価、標的戦略と支援能力の開発
Sec. 1510. Assessing capabilities to counter adversary use of ransomware, capabilities, and infrastructure. Sec. 1510. 敵のランサムウェア使用、能力、インフラに対抗する能力の評価
Sec. 1511. Comparative analysis of cybersecurity capabilities. Sec. 1511. サイバーセキュリティ能力の比較分析
Sec. 1512. Eligibility of owners and operators of critical infrastructure to receive certain Department of Defense support and services. Sec. 1512. 重要インフラの所有者と運営者が国防総省の支援とサービスを受ける資格
Sec. 1513. Report on potential Department of Defense support and assistance for increasing the awareness of the Cybersecurity and Infrastructure Security Agency of cyber threats and vulnerabilities affecting critical infrastructure. Sec. 1513. 重要インフラに影響を与えるサイバー脅威と脆弱性について、サイバーセキュリティ・インフラセキュリティ庁の認識を高めるための国防総省の支援の可能性についての報告
Subtitle B--Matters Related to Department of Defense Cybersecurity and  Information Technology サブタイトルB:国防総省のサイバーセキュリティと情報技術に関連する事項
Sec. 1521. Enterprise-wide procurement of cyber data products and services. Sec. 1521. サイバーデータ製品・サービスの全社的調達
Sec. 1522. Legacy information technologies and systems accountability. Sec. 1522. レガシー情報技術とシステムの説明責任
Sec. 1523. Update relating to responsibilities of Chief Information Officer. Sec. 1523. 最高情報責任者(CIO)の責任についての更新
Sec. 1524. Protective Domain Name System within the Department of Defense. Sec. 1524. 国防総省内の保護ドメイン名システム
Sec. 1525. Cybersecurity of weapon systems. Sec. 1525. 兵器システムのサイバーセキュリティ
Sec. 1526. Assessment of controlled unclassified information program. Sec. 1526. 管理された未分類情報プログラムの評価
Sec. 1527. Cyber data management. Sec. 1527. サイバーデータ管理
Sec. 1528. Zero trust strategy, principles, model architecture, and implementation plans. Sec. 1528. ゼロトラスト戦略、原則、モデルアーキテクチャ、および実施計画
Sec. 1529. Demonstration program for automated security validation tools. Sec. 1529. 自動セキュリティ検証ツールの実証プログラム
Sec. 1530. Improvements to consortium of universities to advise Secretary of Defense on cybersecurity matters. Sec. 1530. 国防長官にサイバーセキュリティに関する助言を行う大学コンソーシアムの改善
Sec. 1531. Digital development infrastructure plan and working group. Sec. 1531. デジタル開発インフラ計画および作業部会
Sec. 1532. Study regarding establishment within the Department of Defense of a designated central program office to oversee academic engagement programs relating to establishing cyber talent across the Department. Sec. 1532. 国防総省内にサイバー人材の育成に関する学術的なプログラムを統括する中央プログラムオフィスを設置することに関する研究
Sec. 1533. Report on the Cybersecurity Maturity Model Certification program. Sec. 1533. サイバーセキュリティーマチュリティモデル認証プログラムに関する報告書
Sec. 1534. Deadline for reports on assessment of cyber resiliency of nuclear command and control system. Sec. 1534. 核指揮統制システムのサイバー復元力の評価に関する報告書の期限
Subtitle C--Matters Related to Federal Cybersecurity サブタイトルC:連邦政府のサイバーセキュリティに関する事項
Sec. 1541. Capabilities of the Cybersecurity and Infrastructure Security Agency to identify threats to industrial control systems. Sec. 1541. 産業用制御システムへの脅威を特定するためのサイバーセキュリティ・インフラセキュリティ庁の能力
Sec. 1542. Cybersecurity vulnerabilities. Sec. 1542. サイバーセキュリティの脆弱性
Sec. 1543. Report on cybersecurity vulnerabilities. Sec. 1543. サイバーセキュリティの脆弱性に関する報告
Sec. 1544. Competition relating to cybersecurity vulnerabilities. Sec. 1544. サイバーセキュリティの脆弱性に関する競争
Sec. 1545. Strategy. Sec. 1545. 戦略
Sec. 1546. Cyber incident response plan. Sec. 1546. サイバーインシデント対応計画
Sec. 1547. National cyber exercise program. Sec. 1547. 国家サイバー演習プログラム
Sec. 1548. CyberSentry program of the Cybersecurity and Infrastructure Security Agency. Sec. 1548. サイバーセキュリティ・インフラセキュリティ庁のCyberSentryプログラム
Sec. 1549. Strategic assessment relating to innovation of information systems and cybersecurity threats. Sec. 1549. 情報システムの革新とサイバーセキュリティの脅威に関する戦略的評価
Sec. 1550. Pilot program on public-private partnerships with internet ecosystem companies to detect and disrupt adversary cyber operations. Sec. 1550. 敵国のサイバー活動を検知・妨害するためのインターネットエコシステム企業との官民パートナーシップに関するパイロットプログラム
Sec. 1551. United States-Israel cybersecurity cooperation. Sec. 1551. 米国とイスラエルのサイバーセキュリティ協力
Sec. 1552. Authority for National Cyber Director to accept details on nonreimbursable basis. Sec. 1552. 国家サイバー長官が、払い戻しのない詳細な情報を受け取る権限
   
Subtitle A--Matters Related to Cyber Operations and Cyber Forces サブタイトルA:サイバー作戦とサイバー部隊に関連する事項
SEC. 1501. DEVELOPMENT OF TAXONOMY OF CYBER CAPABILITIES. Sec. 1501. サイバー能力の分類法の開発
(a) In General.--Not later than 180 days after the date of the enactment of this Act, the Secretary of Defense shall develop a taxonomy of cyber capabilities, including software, hardware, middleware, code, other information technology, and accesses, designed for use in cyber effects operations. (a) 一般的に...--この法律が制定された日から180日以内に、国防長官はソフトウェア、ハードウェア、ミドルウェア、コード、その他の情報技術、アクセスを含むサイバー能力の分類法を開発しなければならない。
(b) Report.-- (b) 報告。
(1) In general.--Not later than 30 days after the development of the taxonomy of cyber capabilities required under subsection (a), the Secretary of Defense shall submit to the congressional defense committees a report regarding such taxonomy. (1) 国防長官は、(a)項で要求されるサイバー能力の分類法の開発後30日以内に、議会の防衛委員会に当該分類法に関する報告書を提出しなければならない。
(2) Elements.--The report required under paragraph (1) shall include the following: (2) 第1項の報告書には、以下の項目が含まれる。
(A) The definitions associated with each category contained within the taxonomy of cyber capabilities developed pursuant to subsection (a). (A) (a)項に従って作成されたサイバー能力の分類法に含まれる各カテゴリーに関連する定義。
(B) Recommendations for improved reporting mechanisms to Congress regarding such taxonomy of cyber capabilities, using amounts from the Cyberspace Activities Budget of the Department of Defense. (B)国防総省のサイバースペース活動予算を利用して、当該サイバー能力分類法に関する議会への報告メカニズムを改善するための提言。
(C) Recommendations for modifications to the notification requirement under section 396 of title 10, United States Code, in order that such notifications would include information relating to such taxonomy of cyber capabilities, including with respect to both physical and nonphysical cyber effects. (C)物理的および非物理的なサイバー効果に関する情報を含む、サイバー能力の分類に関連する情報を通知するための、米国コード第10編第396条に基づく通知要件の修正に関する提言。
(D) Any other elements the Secretary determines appropriate. (D) 長官が適切と判断するその他の要素。
SEC. 1502. EXTENSION OF SUNSET FOR PILOT PROGRAM ON REGIONAL CYBERSECURITY TRAINING CENTER FOR THE ARMY NATIONAL GUARD. Sec. 1502. 陸軍州兵のための地域サイバーセキュリティトレーニングセンターのパイロットプログラムの終了を延長する
 Section 1651(e) of the John S. McCain National Defense Authorization Act for Fiscal Year 2019 (Public Law 115-232; 32 U.S.C. 501 note) is amended by striking ``2022'' and inserting ``2024''.  2019年度ジョン・S・マケイン国防権限法(Public Law 115-232; 32 U.S.C. 501 note)の第1651(e)項は、「2022年」を削除し、「2024年」を挿入することで修正される。
SEC. 1503. MODIFICATION OF THE PRINCIPAL CYBER ADVISOR. Sec. 1503. 主任サイバーアドバイザーの変更
(a) In General.--Paragraph (1) of section 932(c) of the National Defense Authorization Act for Fiscal Year 2014 (Public Law 113-66; 10 U.S.C. 2224 note) is amended to read as follows: (a) 2014年会計年度国防権限法(Public Law 113-66; 10 U.S.C. 2224 note)の第932条(c)のパラグラフ(1)を以下のように修正する。
``(1) Designation.--(A) The Secretary shall designate, from among the personnel of the Office of the Under Secretary of Defense for Policy, a Principal Cyber Advisor to act as the principal advisor to the Secretary on military cyber forces and activities. ''(1) 名称:(A) 長官は、政策担当国防次官室の職員の中から、軍のサイバー戦力と活動に関する長官の主要アドバイザーとして、主席サイバーアドバイザーを指名する。
``(B) The Secretary may only designate an official under this paragraph if such official was appointed to the position in which such official serves by and with the advice and consent of the Senate.''. ''(B) 長官は、当該職員が上院の助言と同意を得て任命された場合にのみ、このパラグラフの下で当該職員を指名することができる」と述べた。
(b) Designation of Deputy Principal Cyber Advisor.--Section 905(a)(1) of the National Defense Authorization Act for Fiscal Year 2020 (Public Law 116-92; 10 U.S.C. 391 note) is amended by striking ``Office of the Secretary of Defense'' and inserting ``Office of the Under Secretary of Defense for Policy''. (b) 2020年会計年度国防権限法(Public Law 116-92; 10 U.S.C. 391 note)の第905条(a)(1)は、「国防長官室」を削除し、「政策担当国防次官室」を挿入することで修正される。
(c) Briefing.--Not later than 90 days after the date of the enactment of this Act, the Deputy Secretary of Defense shall brief the Committee on Armed Services of the Senate and the Committee on Armed Services of the House of Representatives on such recommendations as the Deputy Secretary may have for alternate reporting structures for the Principal Cyber Advisor and the Deputy Principal Cyber Advisor within the Office of the Under Secretary for Policy. (c) 国防副長官は、上院軍事委員会と下院軍事委員会に対し、政策担当事務次官室の主席サイバー顧問と副主席サイバー顧問の別の報告体制について、副長官が提案する事項を説明する。
SEC. 1504. EVALUATION OF DEPARTMENT OF DEFENSE CYBER GOVERNANCE. Sec. 1504. 国防総省のサイバーガバナンスの評価
(a) In General.--Not later than 180 days after the date of the enactment of this Act, the Secretary of Defense shall complete an evaluation and review of the Department of Defense's current cyber governance construct. (a) 本法制定後180日以内に、国防長官は国防省の現在のサイバーガバナンス構造の評価と見直しを完了しなければならない。
(b) Scope.--The evaluation and review conducted pursuant to subsection (a) shall-- (b) 範囲 -- サブセクション(a)に従って実施される評価とレビューは、以下の通りである。
(1) assess the performance of the Department of Defense in carrying out the pillars of the cyber strategy and lines of efforts established in the most recent cyber posture review, including-- (1) 最新のサイバー態勢レビューで確立されたサイバー戦略の柱と努力のラインを実行する上での国防総省のパフォーマンスを評価すること、これには以下が含まれる。
(A) conducting military cyberspace operations of offensive, defensive, and protective natures; (A)攻撃的、防御的、保護的な性質の軍事サイバースペース作戦を実施すること。
(B) securely operating technologies associated with information networks, industrial control systems, operational technologies, weapon systems, and weapon platforms; and (B) 情報ネットワーク、産業制御システム、運用技術、兵器システム、兵器プラットフォームに関連する技術を安全に運用する。
(C) enabling, encouraging, and supporting the security of international, industrial, and academic partners; (C)国際的、産業的、学術的パートナーのセキュリティを可能にし、奨励し、支援する。
(2) analyze and assess the current institutional constructs across the Office of the Secretary of Defense, Joint Staff, military services, and combatant commands involved with and responsible for the execution of and civilian oversight for the responsibilities specified in paragraph (1); (2) 国防長官室、統合幕僚監部、軍部、戦闘司令部における、(1)で指定された責任の遂行と文民の監督に関わる現在の制度的構造を分析・評価する。
(3) analyze and assess the delineation of responsibilities within the current institutional construct within the Office of the Secretary of Defense for addressing the objectives of the 2018 Department of Defense Cyber Strategy and any superseding strategies, as well as identifying potential seams in responsibility; (3) 2018年国防総省サイバー戦略およびそれに代わる戦略の目的に取り組むための、国防総省長官室内の現在の組織構造における責任の明確化を分析・評価するとともに、責任の継ぎ目となる可能性を特定すること。
(4) examine the Department's policy, legislative, and regulatory regimes related to cyberspace and cybersecurity matters, including the 2018 Department of Defense Cyber Strategy and any superseding strategies, for sufficiency in carrying out the responsibilities specified in paragraph (1); (4) 2018年国防総省サイバー戦略およびそれに続く戦略を含む、サイバースペースおよびサイバーセキュリティ関連の国防総省の政策、立法、規制体制について、第1項で指定された責任を遂行する上で十分かどうかを検討すること。
(5) examine the Office of the Secretary of Defense's current alignment for the integration and coordination of cyberspace activities with other aspects of information operations, including information warfare and electromagnetic spectrum operations; (5) サイバースペース活動を、情報戦や電磁スペクトル作戦を含む情報作戦の他の側面と統合・調整するための、国防長官室の現在の体制を検証する。
(6) examine the current roles and responsibilities of each Principal Staff Assistant to the Secretary of Defense as such relate to the responsibilities specified in paragraph (1), and identify redundancy, duplication, or matters requiring deconfliction or clarification; (6) 第1項の責任に関連した、各国防長官主席補佐官の現在の役割と責任を調査し、重複している部分や、矛盾の解消や明確化が必要な事項を特定する。
(7) evaluate and, as appropriate, implement relevant managerial innovation from the private sector in the management of complex missions, including enhanced cross-functional teaming; (7) 機能横断的なチーム編成の強化を含め、複雑なミッションの管理に関連する民間企業の経営革新を評価し、必要に応じて実施すること。
(8) evaluate the state of collaboration among each Principal Staff Assistant in matters related to acquisition of cyber capabilities and other enabling technologies supporting the responsibilities specified in paragraph (1); (8) 第1項の責任を支えるサイバー能力やその他の実現技術の獲得に関連する事項について、各主席補佐官間の連携状況を評価する。
(9) analyze and assess the Department's performance in and posture for building and retaining the requisite workforce necessary to perform the responsibilities specified in paragraph (1); (9)第1項の責任を果たすために必要な人材の育成・確保に関する省庁の実績と態勢を分析・評価すること。
(10) determine optimal governance structures related to the management and advancement of the Department's cyber workforce, including those structures defined under and evaluated pursuant to section 1649 of the National Defense Authorization Act for Fiscal Year 2020 (Public Law 116-92) and section 1726 of the National Defense Authorization Act for Fiscal Year 2021 (Public Law 116-283); (10) 2020年会計年度国防権限法第1649条(公法116-92)および2021年会計年度国防権限法第1726条(公法116-283)の下で定義され、これらに基づいて評価された構造を含め、省のサイバー人材の管理および向上に関連する最適なガバナンス構造を決定する。)
(11) develop policy and legislative recommendations, as appropriate, to delineate and deconflict the roles and responsibilities of United States Cyber Command in defending and protecting the Department of Defense Information Network (DoDIN), with the responsibility of the Chief Information Officer, the Defense Information Systems Agency, and the military services to securely operate technologies described in paragraph (1)(B); (11) 国防総省情報ネットワーク(DoDIN)を防御・保護する米国サイバー司令部の役割・責任と、(1)(B)項に記載された技術を安全に運用する最高情報責任者、国防情報システム庁、軍部の責任とを明確にし、対立させないための政策・立法上の提言を適切に行う。
(12) develop policy and legislative recommendations to enhance the authority of the Chief Information Officers within the military services, specifically as such relates to executive and budgetary control over matters related to such services' information technology security, acquisition, and value; (12) 軍務内の最高情報責任者の権限を強化するための政策および立法上の提言を行う。
(13) develop policy and legislative recommendations, as appropriate, for optimizing the institutional constructs across the Office of the Secretary of Defense, Joint Staff, military services, and combatant commands involved with and responsible for the responsibilities specified in paragraph (1); and (13) 必要に応じて、国防長官室、統合幕僚監部、軍部、および第1項で指定された責任に関与し、責任を負う戦闘司令部全体の制度的構成を最適化するための政策および立法上の提言を行う。
(14) make recommendations for any legislation determined appropriate. (14) 適切と判断されるいかなる法律に対しても勧告を行うこと。
(c) Interim Briefings.--Not later than 90 days after the commencement of the evaluation and review conducted pursuant to subsection (a) and every 30 days thereafter, the Secretary of Defense shall brief the congressional defense committees on interim findings of such evaluation and review. (c) 国防長官は、(a)項に従って実施された評価・見直しの開始後90日以内に、またその後30日ごとに、議会の防衛委員会に対し、当該評価・見直しの中間的な結果について説明する。
(d) Report.--Not later than 30 days after the completion of the evaluation and review conducted pursuant to subsection (a), the Secretary of Defense shall submit to the congressional defense committees a report on such evaluation and review. (d) 国防長官は、(a)項に基づいて行われた評価・審査の終了後30日以内に、議会の防衛委員会に当該評価・審査に関する報告書を提出する。
SEC. 1505. OPERATIONAL TECHNOLOGY AND MISSION-RELEVANT TERRAIN IN CYBERSPACE. Sec. 1505. サイバースペースにおける作戦技術と任務関連領域
(a) Mission-relevant Terrain.--Not later than January 1, 2025, the Secretary of Defense shall complete mapping of mission-relevant terrain in cyberspace for Defense Critical Assets and Task Critical Assets at sufficient granularity to enable mission thread analysis and situational awareness, including required-- (a) ミッション関連地形--2025年1月1日までに、国防長官は、防衛重要資産および任務重要資産のサイバー空間におけるミッション関連地形のマッピングを、ミッション・スレッド分析および状況認識を可能にするのに十分な粒度で完了しなければならず、これには以下が含まれる。
(1) decomposition of missions reliant on such Assets; (1) 当該資産に依存するミッションの分解。
(2) identification of access vectors; (2) アクセス・ベクターの特定。
(3) internal and external dependencies; (3) 内部および外部への依存関係
(4) topology of networks and network segments; (4) ネットワークおよびネットワークセグメントのトポロジー。
(5) cybersecurity defenses across information and operational technology on such Assets; and (5) 当該資産上の情報及び運用技術に関するサイバーセキュリティの防御策。
(6) identification of associated or reliant weapon systems. (6) 関連または依存する兵器システムの特定。
(b) Combatant Command Responsibilities.--Not later than January 1, 2024, the Commanders of United States European Command, United States Indo-Pacific Command, United States Northern Command, United States Strategic Command, United States Space Command, United States Transportation Command, and other relevant Commands, in coordination with the Commander of United States Cyber Command, in order to enable effective mission thread analysis, cyber situational awareness, and effective cyber defense of Defense Critical Assets and Task Critical Assets under their control or in their areas of responsibility, shall develop, institute, and make necessary modifications to-- (b) 遅くとも2024年1月1日までに、米国欧州司令部、米国インド太平洋司令部、米国北部司令部、米国戦略司令部、米国宇宙司令部、米国輸送司令部、およびその他の関連司令部の司令官は、米国サイバー司令部の司令官と連携して、自己の管理下にある、または自己の責任範囲内にある国防重要資産および業務重要資産の効果的なミッション・スレッド分析、サイバー状況認識、および効果的なサイバー防御を可能にするために、以下のことを開発、導入、および必要な変更を行わなければならない。
(1) internal combatant command processes, responsibilities, and functions; (1) 戦闘部隊の内部プロセス、責任、機能。
(2) coordination with service components under their operational control, United States Cyber Command, Joint Forces Headquarters-Department of Defense Information Network, and the service cyber components; (2)作戦統制下にあるサービス・コンポーネント、米国サイバー・コマンド、統合部隊本部-国防省情報ネットワーク、およびサービス・サイバー・コンポーネントとの調整。
(3) combatant command headquarters' situational awareness posture to ensure an appropriate level of cyber situational awareness of the forces, facilities, installations, bases, critical infrastructure, and weapon systems under their control or in their areas of responsibility, including, in particular, Defense Critical Assets and Task Critical Assets; and (3) 特に防衛重要資産および任務重要資産を含む、その管理下にある、またはその責任領域にある部隊、施設、設備、基地、重要インフラ、および兵器システムの適切なレベルのサイバー状況認識を確保するための、戦闘指揮本部の状況認識態勢。
(4) documentation of their mission-relevant terrain in cyberspace. (4) サイバースペースにおける任務に関連する地形の文書化。
(c) Department of Defense Chief Information Officer Responsibilities.-- (c) 国防総省の最高情報責任者の責任--。
(1) In general.--Not later than November 1, 2023, the Chief Information Officer of the Department of Defense shall establish or make necessary changes to policy, control systems standards, risk management framework and authority to operate policies, and cybersecurity reference architectures to provide baseline cybersecurity requirements for operational technology in forces, facilities, installations, bases, critical infrastructure, and weapon systems across the Department of Defense Information Network. (1) 一般的に -- 遅くとも2023年11月1日までに、国防総省の最高情報責任者は、国防総省情報ネットワーク全体の部隊、施設、設備、基地、重要インフラ、兵器システムの運用技術に対する基本的なサイバーセキュリティ要件を提供するために、政策、制御システム標準、リスク管理フレームワーク、運用権限政策、サイバーセキュリティ参照アーキテクチャを確立し、または必要な変更を行う。
(2) Implementation of policies.--The Chief Information Officer of the Department of Defense shall leverage acquisition guidance, concerted assessment of the Department's operational technology enterprise, and coordination with the military department principal cyber advisors and chief information officers to drive necessary change and implementation of relevant policy across the Department's forces, facilities, installations, bases, critical infrastructure, and weapon systems. (2) 政策の実施 -- 国防総省の最高情報責任者は、取得ガイダンス、国防総省の運用技術企業の協調的評価、軍部の主要サイバーアドバイザーおよび最高情報責任者との調整を活用して、国防総省の部隊、施設、設置、基地、重要インフラ、兵器システム全体で必要な変更と関連政策の実施を推進する。
(3) Additional responsibilities.--The Chief Information Officer of the Department of Defense shall ensure that policies, control systems standards, and cybersecurity reference architectures-- (3) 国防総省の最高情報責任者(CIO)は、政策、制御システム標準、およびサイバーセキュリティ参照アーキテクチャが以下のようになるようにしなければならない。
(A) are implementable by components of the Department; (A) 国防総省の各部局が実施可能であること。
(B) limit adversaries' ability to reach or manipulate control systems through cyberspace; (B)サイバースペースを通じて制御システムに到達したり操作したりする敵対者の能力を制限する。
(C) appropriately balance non-connectivity and monitoring requirements; (C)非接続性と監視要件のバランスを適切にとる。
(D) include data collection and flow requirements; (D) データ収集とフローの要件を含む。
(E) interoperate with and are informed by the operational community's workflows for defense of information and operational technology in the forces, facilities, installations, bases, critical infrastructure, and weapon systems across the Department; (E) 省内の部隊、施設、設備、基地、重要インフラ、兵器システムにおける情報および運用技術の防御のための運用コミュニティのワークフローと相互運用し、その情報を得る。
(F) integrate and interoperate with Department mission assurance construct; and (F) 省庁のミッション保証体制と統合し、相互運用する。
(G) are implemented with respect to Defense Critical Assets and Task Critical Assets. (G) 防衛重要資産およびタスク重要資産に関して実施される。
(d) United States Cyber Command Operational Responsibilities.--Not later than January 1, 2025, the Commander of United States Cyber Command shall make necessary modifications to the mission, scope, and posture of Joint Forces Headquarters-Department of Defense Information Network to ensure that Joint Forces Headquarters-- (d) 遅くとも2025年1月1日までに、米国サイバーコマンドの司令官は、国防省情報ネットワーク統合本部の任務、範囲、態勢に必要な変更を加え、統合本部が以下のことを確実にしなければならない。
(1) has appropriate visibility of operational technology in the forces, facilities, installations, bases, critical infrastructure, and weapon systems across the Department of Defense Information Network, including, in particular, Defense Critical Assets and Task Critical Assets; (1) 国防省情報ネットワーク上の部隊、施設、設備、基地、重要インフラ、兵器システム(特に国防重要資産とタスク重要資産を含む)における運用技術の適切な可視性を有すること。
(2) can effectively command and control forces to defend such operational technology; and (2) そのような運用技術を守るために、部隊を効果的に指揮・統制できること。
(3) has established processes for-- (3) 以下のプロセスを確立していること。
(A) incident and compliance reporting; (A) インシデントおよびコンプライアンスの報告。
(B) ensuring compliance with Department of Defense cybersecurity policy; and (B)国防総省のサイバーセキュリティ政策の遵守を確保する。
(C) ensuring that cyber vulnerabilities, attack vectors, and security violations, including, in particular, those specific to Defense Critical Assets and Task Critical Assets, are appropriately managed. (C)サイバー脆弱性、攻撃ベクトル、セキュリティ違反(特に、国防重要資産とタスク重要資産に特有のものを含む)が適切に管理されていることを確認する。
(e) United States Cyber Command Functional Responsibilities.--Not later than January 1, 2025, the Commander of United States Cyber Command shall-- (e) 遅くとも2025年1月1日までには、米国サイバー司令部の司令官は以下を行う。
(1) ensure in its role of Joint Forces Trainer for the Cyberspace Operations Forces that operational technology cyber defense is appropriately incorporated into training for the Cyberspace Operations Forces; (1) サイバースペース作戦部隊の統合訓練官としての役割において、作戦技術によるサイバー防衛がサイバースペース作戦部隊の訓練に適切に組み込まれていることを確認する。
(2) delineate the specific force composition requirements within the Cyberspace Operations Forces for specialized cyber defense of operational technology, including the number, size, scale, and responsibilities of defined Cyber Operations Forces elements; (2) 運用技術のサイバー防衛に特化したサイバー作戦部隊内の具体的な部隊構成要件を、定義されたサイバー作戦部隊の要素の数、規模、規模、責任などを含めて明確にすること。
(3) develop and maintain, or support the development and maintenance of, a joint training curriculum for operational technology-focused Cyberspace Operations Forces; (3) 運用技術に特化したサイバー空間作戦部隊のための共同訓練カリキュラムを開発・維持、またはその開発・維持を支援すること。
(4) support the Chief Information Officer of the Department of Defense as the Department's senior official for the cybersecurity of operational technology under this section; (4) 本項に基づき、運用技術のサイバーセキュリティに関する国防総省の上級官僚として、国防総省の最高情報責任者を支援すること。
(5) develop and institutionalize, or support the development and institutionalization of, tradecraft for defense of operational technology across local defenders, cybersecurity service providers, cyber protection teams, and service-controlled forces; (5) 地域の防衛者、サイバーセキュリティサービスプロバイダー、サイバー防護チーム、および軍務管理下の部隊を横断して、運用技術の防衛のための技術を開発し、制度化すること、またはその開発と制度化を支援すること。
(6) develop and institutionalize integrated concepts of operation, operational workflows, and cybersecurity architectures for defense of information and operational technology in the forces, facilities, installations, bases, critical infrastructure, and weapon systems across the Department of Defense Information Network, including, in particular, Defense Critical Assets and Task Critical Assets, including-- (6) 特に防衛重要資産およびタスク重要資産を含む、国防総省情報ネットワーク全体の部隊、施設、設備、基地、重要インフラ、兵器システムにおける情報および運用技術の防衛のための、統合された運用コンセプト、運用ワークフロー、およびサイバーセキュリティ・アーキテクチャを開発し、制度化する。
(A) deliberate and strategic sensoring of such Network and Assets; (A) 当該ネットワークおよび資産の意図的かつ戦略的なセンサーリング。
(B) instituting policies governing connections across and between such Network and Assets; (B) このようなネットワークと資産の間の接続を管理するポリシーを制定すること。
(C) modelling of normal behavior across and between such Network and Assets; (C) 当該ネットワークおよび資産間の正常な動作のモデル化。
(D) engineering data flows across and between such Network and Assets; (D) 当該ネットワーク及び資産間のデータフローのエンジニアリング。
(E) developing local defenders, cybersecurity service providers, cyber protection teams, and service-controlled forces' operational workflows and tactics, techniques, and procedures optimized for the designs, data flows, and policies of such Network and Assets; (E) 当該ネットワーク及び資産の設計、データフロー及びポリシーに最適化された、現地の防衛者、サイバーセキュリティサービスプロバイダー、サイバー保護チーム及びサービス管理軍の運用ワークフロー及び戦術、技術及び手順の開発。
(F) instituting of model defensive cyber operations and Department of Defense Information Network operations tradecraft; and (F) 防御的なサイバー作戦と国防省の情報ネットワーク作戦のモデルを確立すること。
(G) integrating of such operations to ensure interoperability across echelons; and (G)階層を超えた相互運用性を確保するために、これらの作戦を統合すること。
(7) advance the integration of the Department of Defense's mission assurance, cybersecurity compliance, cybersecurity operations, risk management framework, and authority to operate programs and policies. (7) 国防総省のミッション保証、サイバーセキュリティ・コンプライアンス、サイバーセキュリティ運用、リスク管理フレームワーク、運用権限のプログラムとポリシーの統合を進める。
(f) Service Responsibilities.--Not later than January 1, 2025, the Secretaries of the military departments, through the service principal cyber advisors, chief information officers, the service cyber components, and relevant service commands, shall make necessary investments in operational technology in the forces, facilities, installations, bases, critical infrastructure, and weapon systems across the Department of Defense Information Network and the service-controlled forces responsible for defense of such operational technology to-- (f) 遅くとも2025年1月1日までには、軍部長官は、軍の主要サイバーアドバイザー、最高情報責任者、軍のサイバー部門、関連する軍司令部を通じて、国防総省情報ネットワーク全体の部隊、施設、設備、基地、重要インフラ、武器システムの運用技術に必要な投資を行い、当該運用技術の防御に責任を持つ軍が以下のことを行わなければならない。
(1) ensure that relevant local network and cybersecurity forces are responsible for defending operational technology across the forces, facilities, installations, bases, critical infrastructure, and weapon systems, including, in particular, Defense Critical Assets and Task Critical Assets; (1) 関連するローカルネットワークおよびサイバーセキュリティ部隊が、特に防衛重要資産およびタスク重要資産を含む、部隊、施設、設置、基地、重要インフラ、および兵器システム全体の運用技術の防御に責任を持つようにすること。
(2) ensure that relevant local operational technology-focused system operators, network and cybersecurity forces, mission defense teams and other service-retained forces, and cyber protection teams are appropriately trained, including through common training and use of cyber ranges, as appropriate, to execute the specific requirements of cybersecurity operations in operational technology; (2) 運用技術に特化した関連地域のシステム運用者、ネットワーク及びサイバーセキュリティ部隊、ミッション防衛チーム及びその他の軍維持部隊、並びにサイバー防護チームが、運用技術におけるサイバーセキュリティ運用の具体的な要件を実行するために、共通訓練や適宜サイバーレンジの使用を含め、適切な訓練を受けていることを確認する。
(3) ensure that all Defense Critical Assets and Task Critical Assets are monitored and defended by Cybersecurity Service Providers; (3) すべての国防重要資産およびタスク重要資産が、サイバーセキュリティ・サービス・プロバイダによって監視および防御されていることを確認すること。
(4) ensure that operational technology is appropriately sensored and appropriate cybersecurity defenses, including technologies associated with the More Situational Awareness for Industrial Control Systems Joint Capability Technology Demonstration, are employed to enable defense of Defense Critical Assets and Task Critical Assets; (4) 運用技術が適切に感知され、産業用制御システムのためのMore Situational Awareness Joint Capability Technology Demonstrationに関連する技術を含む適切なサイバーセキュリティ防御が、国防上の重要資産およびタスククリティカルな資産の防御を可能にするために採用されていることを確認する。
(5) implement Department of Defense Chief Information Officer policy germane to operational technology, including, in particular, with respect to Defense Critical Assets and Task Critical Assets; (5) 特に国防上重要な資産およびタスククリティカルな資産に関するものを含め、運用技術に関連する国防総省の最高情報責任者の方針を実施すること。
(6) plan for, designate, and train dedicated forces to be utilized in operational technology-centric roles across the military services and United States Cyber Command; and (6) 軍部および米国サイバー司令部において、運用技術を中心とした役割に活用される専用部隊を計画し、指定し、訓練すること。
(7) ensure that operational technology, as appropriate, is not easily accessible via the internet and that cybersecurity investments accord with mission risk to and relevant access vectors for Defense Critical Assets and Task Critical Assets. (7) 必要に応じて、運用技術がインターネット経由で容易にアクセスできないようにし、サイバーセキュリティへの投資が、国防上の重要な資産および作業上の重要な資産に対するミッションのリスクおよび関連するアクセスのベクトルに合致するようにする。
(g) Office of the Secretary of Defense Responsibilities.--Not later than January 1, 2023, the Secretary of Defense shall-- (g) 国防長官室の責任 --2023年1月1日までに、国防長官は以下を行う。
(1) assess and finalize Office of the Secretary of Defense components' roles and responsibilities for the cybersecurity of operational technology in the forces, facilities, installations, bases, critical infrastructure, and weapon systems across the Department of Defense Information Network; (1) 国防省情報ネットワーク全体の部隊、施設、設備、基地、重要インフラ、兵器システムにおける運用技術のサイバーセキュリティに関する国防長官室のコンポーネントの役割と責任を評価し、最終的に決定する。
(2) assess the need to establish centralized or dedicated funding for remediation of cybersecurity gaps in operational technology across the Department of Defense Information Network; (2) 国防総省情報ネットワーク全体の運用技術におけるサイバーセキュリティのギャップを是正するために、集中的または専用の資金を確立する必要性を評価すること。
(3) make relevant modifications to the Department of Defense's mission assurance construct, Mission Assurance Coordination Board, and other relevant bodies to drive-- (3) 国防総省のミッション・アシュアランス・コンストラクト、ミッション・アシュアランス・コーディネーション・ボード、およびその他の関連組織に関連する変更を加え、以下を推進する。
(A) prioritization of kinetic and non-kinetic threats to the Department's missions and minimization of mission risk in the Department's war plans; (A) 国防総省のミッションに対する運動的・非運動的脅威の優先順位付けと、国防総省の戦争計画におけるミッション・リスクの最小化。
(B) prioritization of relevant mitigations and investments to harden and assure the Department's missions and minimize mission risk in the Department's war plans; and (B) 部局の任務を強化・保証し、部局の戦争計画におけるミッション・リスクを最小化するための関連緩和策と投資の優先順位付け。
(C) completion of mission relevant terrain mapping of Defense Critical Assets and Task Critical Assets and population of associated assessment and mitigation data in authorized repositories; (C) 国防上重要な資産および作業上重要な資産のミッションに関連する地形マッピングを完了し、関連する評価と緩和のデータを認可されたリポジトリに登録する。
(4) make relevant modifications to the Strategic Cybersecurity Program; and (4) 戦略的サイバーセキュリティプログラムに関連する変更を加える。
(5) drive and provide oversight of the implementation of this section. (5) 本節の実施を推進し、監督する。
(h) Budget Rollout Briefings.-- (h) 予算説明会...
(1) In general.--Beginning not later than 30 days after the date of the enactment of this Act, each of the Secretaries of the military departments, the Commander of United States Cyber Command, and the Chief Information Officer of the Department of Defense shall provide annual updates to the Committee on Armed Services of the Senate and the Committee on Armed Services of the House of Representatives on activities undertaken and progress made to carry out this section. (1) 各軍部長官、米国サイバーコマンド司令官、国防総省最高情報責任者は、上院軍事委員会および下院軍事委員会に対し、本項を遂行するために行われた活動とその進捗状況について、年次報告を行わなければならない。
(2) Annual briefings.--Not later than one year after the date of the enactment of this Act and not less frequently than annually thereafter until January 1, 2024, the Under Secretary of Defense for Policy, the Under Secretary of Defense for Acquisition and Sustainment, the Chief Information Officer, and the Joint Staff J6, representing the combatant commands, shall individually or together provide briefings to the Committee on Armed Services of the Senate and the Committee on Armed Services of the House of Representatives on activities undertaken and progress made to carry out this section. (2) 本法制定日から1年以内に、またその後2024年1月1日までは年1回以上の頻度で、政策担当国防次官、調達・維持担当国防次官、最高情報責任者、および戦闘司令部を代表する統合幕僚監部J6は、個別に、または共同で、上院軍事委員会および下院軍事委員会に対し、本項を遂行するために行われた活動とその進捗状況について説明を行う。
(i) Implementation.-- (i)実施
(1) In general.--In implementing this section, the Secretary of Defense shall prioritize the cybersecurity and cyber defense of Defense Critical Assets and Task Critical Assets and shape cyber investments, policy, operations, and deployments to ensure cybersecurity and cyber defense. (1) 国防長官は、本項を実施するにあたり、国防上重要な資産および任務上重要な資産のサイバーセキュリティおよびサイバー防衛を優先し、サイバーセキュリティおよびサイバー防衛を確保するためのサイバー投資、政策、作戦および配備を策定する。
(2) Application.--This section shall apply to assets owned and operated by the Department of Defense, as well as to applicable non-Department assets essential to the projection, support, and sustainment of military forces and operations worldwide. (2) 本項は、国防総省が所有・運用する資産、および世界中の軍事力や作戦の投射・支援・維持に不可欠な国防総省以外の資産にも適用される。
(j) Definition.--In this section: (j)定義--本節では、以下のように定義する。
(1) Mission-relevant terrain in cyberspace.--``mission-relevant terrain in cyberspace'' has the meaning given such term as specified in Joint Publication 6-0. (1) サイバースペースにおけるミッション関連の地形--「サイバースペースにおけるミッション関連の地形」は、Joint Publication 6-0に明記されている意味を持つ。
(2) Operational technology.--The term ``operational technology'' means control systems or controllers, communication architectures, and user interfaces that monitor or control infrastructure and equipment operating in various environments, such as weapon systems, utility or energy production and distribution, or medical, logistics, nuclear, biological, chemical, or manufacturing facilities. (2) 運用技術 --運用技術とは、兵器システム、ユーティリティやエネルギーの生産・流通、医療・物流・核・生物・化学・製造施設など、様々な環境で稼働するインフラや機器を監視・制御する制御システムやコントローラ、通信アーキテクチャ、ユーザーインターフェースを意味する。
SEC. 1506. MATTERS CONCERNING CYBER PERSONNEL REQUIREMENTS. Sec. 1506. サイバー人材の要件に関する事項
(a) In General.--The Secretary of Defense, acting through the Under Secretary of Defense for Personnel and Readiness and the Chief Information Officer of the Department of Defense, in consultation with Secretaries of the military departments and the head of any other organization or element of the Department the Secretary determines appropriate, shall-- (a) 国防長官は、人事準備担当国防次官および国防総省の最高情報責任者を介して、各軍部の長官および長官が適切と判断する国防総省の他の組織または要素の長と協議しながら、以下を行うものとする。
(1) determine the overall workforce requirement of the Department for cyberspace and information warfare military personnel across the active and reserve components of the Armed Forces (other than the Coast Guard) and for civilian personnel, and in doing so shall-- (1) 軍(沿岸警備隊を除く)の現役・予備役部門全体のサイバー空間・情報戦の軍人と、文官のための、国防総省の全体的な労働力要件を決定し、その際、以下を行う。
(A) consider personnel in positions securing the Department of Defense Information Network and associated enterprise information technology, defense agencies and field activities, and combatant commands, including current billets primarily associated with the Department of Defense Cyber Workforce Framework; (A)主に国防省のサイバー人材フレームワークに関連する現在の職位を含め、国防省情報ネットワークおよび関連する企業情報技術、国防省の機関および現場活動、戦闘司令部を確保する職位の人員を考慮する。
(B) consider the mix between military and civilian personnel, active and reserve components, and the use of the National Guard; (B) 軍人と文官、現役と予備役の組み合わせ、州兵の活用などを検討する。
(C) develop a talent management strategy that covers accessions, training, and education; and (C) 入隊、訓練、教育をカバーする人材管理戦略を策定する。
(D) consider such other elements as the Secretary determines appropriate; (D) 長官が適切と判断するその他の要素を検討する。
(2) assess current and future cyber education curriculum and requirements for military and civilian personnel, including-- (2) 軍人および文官に対する現在および将来のサイバー教育カリキュラムと要求事項を評価する。
(A) acquisition personnel; (A) 購買要員。
(B) accessions and recruits to the military services; (B) 軍隊への加入者および新兵。
(C) cadets and midshipmen at the military service academies and enrolled in the Senior Reserve Officers' Training Corps; (C) 兵役アカデミーの士官候補生とミッドシップマン、および上級予備役訓練隊に登録されている者。
(D) information environment and cyberspace military and civilian personnel; and (D) 情報環境およびサイバースペースの軍人および文官
(E) non-information environment cyberspace military and civilian personnel; (E)非情報環境サイバースペースの軍人および文官。
(3) identify appropriate locations for information warfare and cyber education for military and civilian personnel, including-- (3) 軍人・文官向けの情報戦・サイバー教育の適切な場所を特定する。
(A) the military service academies; (A) 軍の士官学校。
(B) the senior level service schools and intermediate level service schools specified in section 2151(b) of title 10, United States Code; (B) アメリカ合衆国コード10のセクション2151(b)で指定されている上級士官学校と中級士官学校。
(C) the Air Force Institute of Technology; (C) 空軍技術研究所。
(D) the National Defense University; (D) 国防大学。
(E) the Joint Special Operations University; (E) 統合特殊作戦大学
(F) the Command and General Staff Colleges; (F) コマンド・アンド・ジェネラル・スタッフ・カレッジ
(G) the War Colleges; (G) 戦争大学
(H) any military education institution attached to or operating under any institution specified in this paragraph; (H) 本項で指定された機関に付属またはその下で運営されている軍事教育機関。
(I) any other military educational institution of the Department identified by the Secretary for purposes of this section; (I) 本項の目的のために長官が特定した、米軍のその他の軍事教育機関。
(J) the Cyber Centers of Academic Excellence; and (J) 学術的に優れたサイバーセンター。
(K) potential future educational institutions of the Federal Government in accordance with the assessment required under subsection (b); and (K) (b)項に基づき必要とされる評価に従って、将来的に連邦政府の教育機関となる可能性のある機関。
(4) determine-- (4) 以下を決定する。
(A) whether the cyberspace domain mission requires a graduate level professional military education college on par with and distinct from the war colleges for the Army, Navy, and Air Force as in existence on the day before the date of the enactment of this Act; (A) サイバースペース・ドメイン・ミッションが、この法律の制定日の前日に存在していた陸軍、海軍、空軍のウォー・カレッジと同等であり、それとは異なる大学院レベルの専門的軍事教育カレッジを必要とするかどうか。
(B) whether such a college should be joint; and (B) そのような大学を設立すべきかどうか。
(C) where such a college should be located. (C)そのようなカレッジをどこに設置すべきか。
(b) Assessment.--In identifying appropriate locations for information warfare and cyber education for military and civilian personnel at potential future educational institutions of the Federal Government pursuant to subsection (a)(3)(K), the Secretary of Defense, acting through the Under Secretary of Defense for Personnel and Readiness and the Chief Information Officer of the Department of Defense, in consultation with Secretaries of the military departments, the head of any other organization or element of the Department the Secretary determines appropriate, the Secretary of Homeland Security, and the National Cyber Director, shall assess the feasibility and advisability of establishing a National Cyber Academy or similar institute for the purpose of educating and training civilian and military personnel for service in cyber, information, and related fields throughout the Federal Government. (b) 評価... サブセクション(a)(3)(K)に従って、将来の連邦政府の教育機関の候補地で、軍人および文官のための情報戦およびサイバー教育の適切な場所を特定する際に、国防長官は、人事・準備担当国防次官および国防総省の最高情報責任者を通じて行動し、各軍部の長官と協議して、次のことを行う。国防長官は、人事準備担当国防次官および国防総省の最高情報責任者を通じて、各軍部の長官、長官が適切と判断した国防総省の他の組織または部門の長、国土安全保障長官、国家サイバー長官と協議し、連邦政府全体でサイバー、情報、および関連分野で働く文民および軍人を教育・訓練する目的で、国家サイバー・アカデミーまたは同様の機関を設立することの実現可能性と有益性を評価する。
(c) Reports Required.-- (c) 必要とされる報告--。
(1) Education.--Not later than November 1, 2022, the Secretary of Defense shall provide the Committee on Armed Services of the Senate and the Committee on Armed Services of the House of Representatives a briefing and, not later than January 1, 2023, the Secretary shall submit to such committees a report, on-- (1) 遅くとも2022年11月1日までに、国防長官は上院軍事委員会および下院軍事委員会に対し、以下の内容のブリーフィングを行い、遅くとも2023年1月1日までに、これらの委員会に報告書を提出しなければならない。
(A) talent strategy to satisfy future cyber education requirements at appropriate locations referred to in subsection (a)(3); and (A) (a)(3)で言及されている適切な場所で、将来のサイバー教育の必要性を満たすための人材戦略。
(B) the findings of the Secretary in assessing cyber education curricula and identifying such locations. (B) サイバー教育のカリキュラムを評価し、そのような場所を特定する際に、長官が得た知見。
(2) Workforce.--Not later than November 1, 2024, the Secretary of Defense shall provide the Committee on Armed Services of the Senate and the Committee on Armed Services of the House of Representatives a briefing and, not later than January 1, 2025, the Secretary shall submit to such committees a report, on-- (2) 遅くとも2024年11月1日までに、国防長官は上院軍事委員会および下院軍事委員会にブリーフィングを行い、遅くとも2025年1月1日までに、これらの委員会に報告書を提出する。
(A) the findings of the Secretary in determining pursuant to subsection (a)(1) the overall workforce requirement of the Department of Defense for cyberspace and information warfare military personnel across the active and reserve components of the Armed Forces (other than the Coast Guard) and for civilian personnel; (A)国防総省の現役・予備役部隊(沿岸警備隊を除く)のサイバー空間・情報戦要員および文民要員の全体的な労働力要件を(a)(1)に従って決定する際の長官の所見。
(B) such recommendations as the Secretary may have relating to such requirement; and (B) そのような要求に関連して、長官が持っている可能性のある提言。
(C) such legislative or administrative action as the Secretary identifies as necessary to effectively satisfy such requirement. (C)そのような要求を効果的に満たすために必要であると長官が認める立法上または行政上の措置。
(d) Education Described.--In this section, the term ``education'' includes formal education requirements, such as degrees and certification in targeted subject areas, as well as general training, including-- (d) 本項において「教育」とは、対象となる分野の学位や資格などの正式な教育要件に加え、以下のような一般的な訓練を含む。
(1) upskilling; (1) スキルアップ。
(2) knowledge, skills, and abilities; and (2) 知識、技能、能力
(3) nonacademic professional development. (3)学業以外の専門的能力の開発。
SEC. 1507. ASSIGNMENT OF CERTAIN BUDGET CONTROL RESPONSIBILITIES TO COMMANDER OF UNITED STATES CYBER COMMAND. SEC. 1507. 連邦サイバー司令部の司令官への予算管理責任の割り当て
(a) Assignment of Responsibilities.-- (a)責任の割り当て。
(1) In general.--The Commander of United States Cyber Command shall, subject to the authority, direction, and control of the Principal Cyber Advisor of the Department of Defense, be responsible for directly controlling and managing the planning, programming, budgeting, and execution of resources to train, equip, operate, and sustain the Cyber Mission Forces. (1) 米国サイバー司令部の司令官は、国防総省の主席サイバー顧問の権限、指示、管理のもと、サイバー作戦部隊の訓練、装備、運用、維持のための資源の計画、プログラミング、予算、実行を直接管理する責任を負う。
(2) Effective date and applicability.--Paragraph (1) shall take effect on the date of the enactment of this Act and apply-- (2) パラグラフ(1)は、本法令の制定日に発効し、以下の通り適用される。
(A) on January 1, 2022, for controlling and managing budget execution; and (A) 2022年1月1日から、予算執行を管理するために適用される。
(B) beginning with fiscal year 2024 and each fiscal year thereafter for directly controlling and managing the planning, programming, budgeting, and execution of resources. (B) 資源の計画、プログラミング、予算編成、実行を直接管理するために、2024年会計年度からそれ以降の各会計年度に適用される。
(b) Elements.-- (b) 要素。
(1) In general.--The responsibilities assigned to the Commander of United States Cyber Command pursuant to subsection (a)(1) shall include the following: (1) 第(a)項(1)に従って合衆国サイバー司令部の司令官に割り当てられた責任には、以下のものが含まれる。
(A) Preparation of a program objective memorandum and budget estimate submission for the resources required to train, equip, operate, and sustain the Cyber Mission Forces. (A) サイバー・ミッション・フォースを訓練、装備、運用、維持するために必要な資源について、プログラム目的覚書と予算見積もりの提出を準備する。
(B) Preparation of budget materials pertaining to United States Cyber Command for inclusion in the budget justification materials that are submitted to Congress in support of the Department of Defense budget for a fiscal year (as submitted with the budget of the President for a fiscal year under section 1105(a) of title 31, United States Code) that is separate from any other military service or component of the Department. (B) 他の軍部や国防総省の構成部とは別の会計年度の国防総省予算(アメリカ合衆国コード31条1105(a)項に基づく会計年度の大統領予算と一緒に提出されるもの)を支援するために議会に提出される予算正当化資料に含めるための、米国サイバー司令部に関連する予算資料の作成。
(2) Responsibilities not delegated.--The responsibilities assigned to the Commander of United States Cyber Command pursuant to subsection (a)(1) shall not include the following: (2) 委任されていない責任 --第(a)項(1)号に従って合衆国サイバー司令部の司令官に割り当てられた責任には、以下のものは含まれない。
(A) Military pay and allowances. (A) 軍人の給与と手当。
(B) Funding for facility support that is provided by the military services. (B) 軍部が提供する施設支援のための資金。
(c) Implementation Plan.-- (c) 実施計画。
(1) In general.--Not later than the date that is 30 days after the date of the enactment of this Act, the Comptroller General of the Department of Defense and the Commander of United States Cyber Command, in coordination with Chief Information Officer of the Department, the Principal Cyber Advisor, the Under Secretary of Defense for Acquisition and Sustainment, Cost Assessment and Program Evaluation, and the Secretaries of the military departments, shall jointly develop an implementation plan for the transition of responsibilities assigned to the Commander of United States Cyber Command pursuant to subsection (a)(1). (1) 国防総省の会計監査人と米国サイバー軍司令官は、国防総省の最高情報責任者、主席サイバー顧問、調達・維持・コスト評価・プログラム評価担当国防次官、各軍部長官と協力して、第(a)項(1)号に従って米国サイバー軍司令官に割り当てられた責任を移行するための実施計画を共同で作成しなければならない。)
(2) Elements.--The implementation plan developed under paragraph (1) shall include the following: (2) 要素・・・(1)項に基づいて作成された実施計画には、以下のものが含まれる。
(A) A budgetary review to identify appropriate resources for transfer to the Commander of United States Cyber Command for carrying out responsibilities assigned pursuant to subsection (a)(1). (A) サブセクション(a)(1)に従って割り当てられた責任を遂行するために、米国サイバー司令官に譲渡するための適切なリソースを特定するための予算の見直し。
(B) Definitions of appropriate roles and responsibilities. (B) 適切な役割と責任の定義。
(C) Specification of all program elements and sub-elements, and the training, equipment, Joint Cyber Warfighting Architecture capabilities, other enabling capabilities and infrastructure, intelligence support, operations, and sustainment investments in each such program element and sub-element for which the Commander of United States Cyber Command is responsible. (C) 米国サイバーコマンド司令官が責任を負うすべてのプログラム要素とサブ要素、およびそのようなプログラム要素とサブ要素ごとの訓練、装備、統合サイバー戦闘アーキテクチャ能力、その他の実現可能な能力とインフラ、情報支援、運用、および持続的投資の仕様。
(D) Specification of all program elements and sub-elements, and the training, equipment, Joint Cyber Warfighting Architecture capabilities, other enabling capabilities and infrastructure, intelligence support, operations, and sustainment investments in each such program element and sub-element relevant to or that support the Cyber Mission Force for which the Secretaries of the military departments are responsible. (D) 各軍部長官が責任を負うサイバー・ミッション・フォースに関連する、あるいはそれを支援する、すべてのプログラム要素とサブ要素、およびそのようなプログラム要素とサブ要素ごとの訓練、装備、統合サイバー戦構築能力、その他可能な能力とインフラ、情報支援、運用、および持続的投資の仕様。
(E) Required levels of civilian and military staffing within United States Cyber Command to carry out subsection (a)(1), and an estimate of when such levels of staffing will be achieved. (E) (a)(1)項を遂行するために必要な米国サイバー司令部内の文民および軍人の人員配置のレベル、およびそのような人員配置のレベルが達成される時期の見積もり。
(d) Briefing.-- (d) ブリーフィング
(1) In general.--Not later than the earlier of the date on which the implementation plan under subsection (c) is developed or the date that is 90 days after the date of the enactment of this Act, the Secretary of Defense shall provide the congressional defense committees a briefing on the implementation plan. (1) 国防長官は、議会防衛委員会に対し、(c)項の実施計画が策定された日と、本法の制定日から90日後の日のいずれか早い日までに、実施計画に関するブリーフィングを行わなければならない。
(2) Elements.--The briefing required by paragraph (1) shall address any recommendations for when and how the Secretary of Defense should delegate to the Commander of United States Cyber Command budget authority for the Cyber Operations Forces (as such term is defined in the memorandum issued by the Secretary of Defense on December 12, 2019, relating to the definition of ``Department of Defense Cyberspace Operations Forces (DoD COF)''), after successful implementation of the responsibilities described in subsection (a) relating to the Cyber Mission Forces. (2) 要素・・・(1)項で要求されるブリーフィングでは、サイバー任務部隊に関連する(a)項に記載された責任を成功裏に実施した後、国防長官がいつ、どのようにしてサイバー任務部隊(この用語は、2019年12月12日に国防長官が発行した「国防省サイバー空間作戦部隊(DoD COF)」の定義に関する覚書で定義されている)の予算権限を米国サイバーコマンド司令官に委譲すべきかについての提言を取り上げるものとする。
SEC. 1508. COORDINATION BETWEEN UNITED STATES CYBER COMMAND AND PRIVATE SECTOR. Sec. 1508. 米国サイバー司令部と民間企業との間の調整
(a) Voluntary Process.--Not later than January 1, 2023, the Commander of United States Cyber Command shall establish a voluntary process to engage with private sector information technology and cybersecurity entities to explore and develop methods and plans through which the capabilities, knowledge, and actions of-- (a) 遅くとも2023年1月1日までには、米国サイバー司令部の司令官は、民間の情報技術およびサイバーセキュリティ事業体と関与するための自主的なプロセスを確立し、以下のような能力、知識、行動を通じた方法および計画を検討、開発する。
(1) private sector entities operating inside the United States to defend against foreign malicious cyber actors could assist, or be coordinated with, the actions of United States Cyber Command operating outside the United States against such foreign malicious cyber actors; and (1) 米国内で外国の悪意のあるサイバーアクターを防御するために活動している民間団体が、米国外で外国の悪意のあるサイバーアクターに対抗するために活動している米国サイバー司令部の活動を支援したり、調整したりすることができる方法や計画を模索し、開発する。
(2) United States Cyber Command operating outside the United States against foreign malicious cyber actors could assist, or be coordinated with, the actions of private sector entities operating inside the United States against such foreign malicious cyber actors. (2) 外国の悪意のあるサイバーアクターに対して米国外で活動する米国サイバー司令部は、そのような外国の悪意のあるサイバーアクターに対して米国内で活動する民間団体の行動を支援したり、協調したりすることができる。
(b) Annual Briefing.-- (b) 年次ブリーフィング--。
(1) In general.--During the period beginning on March 1, 2022, and ending on March 1, 2026, the Commander of United States Cyber Command shall, not less frequently than once each year, provide to the Committee on Armed Services of the Senate and the Committee on Armed Services of the House of Representatives a briefing on the status of any activities conducted pursuant to subsection (a). (1) 米国サイバー司令官は、2022年3月1日から2026年3月1日までの間、毎年1回以上の頻度で、上院軍事委員会および下院軍事委員会に対し、(a)項に基づいて実施された活動の状況に関するブリーフィングを行わなければならない。)
(2) Elements.--Each briefing provided under paragraph (1) shall include the following: (2) 第1項に基づいて行われるブリーフィングには、以下の内容が含まれる。
(A) Such recommendations for legislative or administrative action as the Commander of United States Cyber Command considers appropriate to improve and facilitate the exploration and development of methods and plans under subsection (a). (A) 米国サイバー司令部の司令官が、(a)項に基づく方法や計画の検討・開発を改善・促進するために適切と考える、立法上または行政上の措置に関する提言。
(B) Such recommendations as the Commander may have for increasing private sector participation in such exploration and development. (B)そのような調査や開発への民間企業の参加を増やすために司令官が持つ提言。
(C) A description of the challenges encountered in carrying out subsection (a), including any concerns expressed to the Commander by private sector partners regarding participation in such exploration and development. (C) サブセクション(a)を実行する際に遭遇した課題の説明。これには、当該探査および開発への参加に関して民間セクターのパートナーが司令官に表明した懸念事項が含まれる。
(D) Information relating to how such exploration and development with the private sector could assist military planning by United States Cyber Command. (D) 民間企業とのこのような探査と開発が、米国サイバー司令部による軍事計画をどのように支援できるかに関する情報。
(E) Such other matters as the Commander considers appropriate. (E) 司令官が適切と考えるその他の事項。
(c) Consultation.--In developing the process described in subsection (a), the Commander of United States Cyber Command shall consult with the Director of the Cybersecurity and Infrastructure Security Agency of the Department of Homeland Security and the heads of any other Federal agencies the Commander considers appropriate. (c)  協議--(a)項に記載されたプロセスを開発するにあたり、米国サイバー司令部の司令官は、国土安全保障省のサイバーセキュリティ・インフラセキュリティ庁の長官および司令官が適切と考えるその他の連邦機関の長と協議するものとする。
(d) Integration With Other Efforts.--The Commander of United States Cyber Command shall ensure that the process described in subsection (a) makes use of, builds upon, and, as appropriate, integrates with and does not duplicate, other efforts of the Department of Homeland Security and the Department of Defense relating to cybersecurity, including the following: (d) 他の取り組みとの統合 -- 米国サイバー軍司令官は、第(a)項に記載されたプロセスが、以下を含むサイバーセキュリティに関連する国土安全保障省および国防総省の他の取り組みを利用し、それに基づいて構築され、必要に応じてそれらと統合し、重複しないようにしなければならない。
(1) The Joint Cyber Defense Collaborative of the Cybersecurity and Infrastructure Security Agency. (1) サイバーセキュリティ・インフラセキュリティ庁のJoint Cyber Defense Collaborative。
(2) The Cybersecurity Collaboration Center and Enduring Security Framework of the National Security Agency. (2) 国家安全保障局のCybersecurity Collaboration CenterとEnduring Security Framework。
(3) The office for joint cyber planning of the Department of Homeland Security. (3) 米国国土安全保障省の共同サイバー計画室。
(e) Protection of Trade Secrets and Proprietary Information.--The Commander of United States Cyber Command shall ensure that any trade secret or proprietary information of a private sector entity engaged with the Department of Defense through the process established under subsection (a) that is made known to the Department pursuant to such process remains private and protected unless otherwise explicitly authorized by such entity. (e) 企業秘密および専有情報の保護 -- 米国サイバーコマンド司令官は、第(a)項に基づいて設立されたプロセスを通じて国防総省と関わる民間企業の企業秘密または専有情報が、当該プロセスに従って国防総省に知らされた場合には、当該企業が明示的に許可しない限り、非公開で保護されることを保証しなければならない。
(f) Rule of Construction.--Nothing in this section may be construed to authorize United States Cyber Command to conduct operations inside the United States or for private sector entities to conduct offensive cyber activities outside the United States, except to the extent such operations or activities are permitted by a provision of law in effect on the day before the date of the enactment of this Act. (f) 本節のいかなる規定も、米国サイバーコマンドが米国内で作戦を行うことや、民間企業が米国外で攻撃的なサイバー活動を行うことを許可すると解釈してはならない。
SEC. 1509. ASSESSMENT OF CYBER POSTURE AND OPERATIONAL ASSUMPTIONS AND DEVELOPMENT OF TARGETING STRATEGIES AND SUPPORTING CAPABILITIES. Sec. 1509. サイバー攻撃態勢と作戦前提の評価、標的戦略と支援能力の開発
(a) Assessment of Cyber Posture of Adversaries and Operational Assumptions of United States Government.-- (a) 敵対者のサイバー態勢と米国政府の作戦想定の評価。
(1) In general.--Not later than one year after the date of the enactment of this Act, the Commander of United States Cyber Command, the Under Secretary of Defense for Policy, and the Under Secretary of Defense for Intelligence and Security, shall jointly sponsor or conduct an assessment, including, if appropriate, a war-game or tabletop exercise, of the current and emerging offensive and defensive cyber posture of adversaries of the United States and the current operational assumptions and plans of the Armed Forces for offensive cyber operations during potential crises or conflict. (1) 本法制定日から1年以内に、米国サイバー司令部司令官、政策担当国防次官、情報・安全保障担当国防次官が共同で、米国の敵対者の現在および今後の攻撃的・防御的サイバー態勢と、潜在的な危機や紛争時の攻撃的サイバー作戦のための軍の現在の作戦想定・計画について、必要に応じてウォーゲームや卓上演習を含む評価を主催・実施する。
(2) Elements.--The assessment required under paragraph (1) shall include consideration of the following: (2) 要素...第1項で要求される評価には、以下の検討が含まれなければならない。
(A) Changes to strategies, operational concepts, operational preparation of the environment, and rules of engagement. (A)  戦略、作戦コンセプト、環境に対する作戦準備、交戦規則の変更。
(B) Opportunities provided by armed forces in theaters of operations and other innovative alternatives. (B) 作戦地域の軍隊が提供する機会、およびその他の革新的な代替手段。
(C) Changes in intelligence community (as such term is defined in section 3 of the National Security Act of 1947 (50 U.S.C. 3003)) targeting and operations in support of the Department of Defense. (C) 国防省を支援するための情報コミュニティ(この用語は1947年国家安全保障法(50 U.S.C. 3003)の第3節で定義されている)の目標と作戦の変更。
(D) Adversary capabilities to deny or degrade United States activities in cyberspace. (D) サイバースペースにおける米国の活動を妨害または低下させる敵対者の能力。
(E) Adversaries' targeting of United States critical infrastructure and implications for United States policy. (E) 敵対者による米国の重要インフラの標的化と米国の政策への影響
(F) Potential effect of emerging technologies, such as fifth generation mobile networks, expanded use of cloud information technology services, and artificial intelligence. (F) 第5世代モバイルネットワーク、クラウド情報技術サービスの利用拡大、人工知能などの新興技術の潜在的な影響。
(G) Changes in Department of Defense organizational design. (G) 国防省の組織設計の変化。
(H) The effect of private sector cybersecurity research. (H) 民間企業のサイバーセキュリティ研究の効果。
(F) Adequacy of intelligence support to cyberspace operations by Combat Support Agencies and Service Intelligence Centers. (F) 戦闘支援機関およびサービス・インテリジェンス・センターによるサイバースペース作戦への情報支援の適切さ。
(b) Development of Targeting Strategies, Supporting Capabilities, and Operational Concepts.-- (b) ターゲット戦略、支援能力、作戦コンセプトの開発。
(1) In general.--Not later than one year after the date of the enactment of this Act, the Commander of United States Cyber Command shall-- (1) この法律の制定日から1年以内に、米国サイバー司令部の司令官は以下を行わなければならない。
(A) assess and establish the capabilities, capacities, tools, and tactics required to support targeting strategies for-- (A) 次のようなターゲット戦略を支援するために必要な能力、キャパシティ、ツール、戦術を評価し、確立する。
(i) day-to-day persistent engagement of adversaries, including support to information operations; (i) 情報作戦への支援を含む、敵対者への日々の持続的な関与。
(ii) support to geographic combatant commanders at the onset of hostilities and during sustained conflict; and (ii) 敵対行為の開始時および持続的な紛争中の地理的戦闘指揮官への支援。
(iii) deterrence of attacks on United States critical infrastructure, including the threat of counter value responses; (iii) カウンターバリューレスポンスの脅威を含む、米国の重要インフラへの攻撃の抑止。
(B) develop future cyber targeting strategies and capabilities across the categories of cyber missions and targets with respect to which-- (B) 将来のサイバー・ターゲティング戦略と能力を、以下のようなサイバー・ミッションとターゲットのカテゴリーにわたって開発する。
(i) time-consuming and human effort-intensive stealthy operations are required to acquire and maintain access to targets, and the mission is so important it is worthwhile to expend such efforts to hold such targets at risk; (i) ターゲットへのアクセスを獲得・維持するために、時間と人的労力を要するステルス作戦が必要であり、ミッションが非常に重要であるため、そのようなターゲットを危険にさらすためにそのような努力を費やす価値がある場合。
(ii) target prosecution requires unique access and exploitation tools and technologies, and the target importance justifies the efforts, time, and expense relating thereto; (ii) ターゲットの訴追には、独自のアクセスおよび利用ツールと技術が必要であり、ターゲットの重要性から、それに関連する努力、時間、費用が正当化される場合。
(iii) operational circumstances do not allow for and do not require spending the time and human effort required for stealthy, nonattributable, and continuous access to targets; (iii) 作戦上の事情により、ターゲットへのステルス性、非攻撃性、継続的なアクセスに必要な時間と人的努力を費やすことができず、またその必要もない。
(iv) capabilities are needed to rapidly prosecute targets that have not been previously planned and that can be accessed and exploited using known, available tools and techniques; and (iv) 事前に計画されておらず、既知の利用可能なツールや技術を用いてアクセスし、利用できるターゲットを迅速に起訴するための能力が必要であること。
(v) targets may be prosecuted with the aid of automated techniques to achieve speed, mass, and scale; (v) ターゲットは、スピード、マス、スケールを達成するために、自動化された技術の助けを借りて起訴される可能性がある。
(C) develop strategies for appropriate utilization of Cyber Mission Teams in support of combatant command objectives as-- (C) 戦闘部隊の目的を支援するために、サイバー・ミッション・チームを以下のように適切に活用するための戦略を策定する。
(i) adjuncts to or substitutes for kinetic operations; or (i) 動力作戦の補助または代替として。
(ii) independent means to achieve novel tactical, operational, and strategic objectives; and (ii) 新たな戦術的、作戦的、戦略的目標を達成するための独立した手段。
(D) develop collection and analytic support strategies for the service intelligence centers to assist operations by United States Cyber Command and the Service Cyber Components. (D) 米国サイバー司令部とサービス・サイバー・コンポーネントによる作戦を支援するために、サービス・インテリジェンス・センターのための収集および分析支援戦略を策定する。
(2) Briefing required.-- (2) ブリーフィングの必要性--。
(A) In general.--Not later than 30 days after the date on which all activities required under paragraph (1) have been completed, the Commander of United States Cyber Command shall provide the congressional defense committees a briefing on such activities. (A) 米国サイバー司令部の司令官は、第1項で要求されたすべての活動が完了した日から30日以内に、米国議会の防衛委員会に当該活動に関するブリーフィングを行わなければならない。
(B) Elements.--The briefing provided pursuant to subparagraph (A) shall include the following: (B) 構成要素--(A)号に従って提供されるブリーフィングには、以下の内容が含まれる。
(i) Recommendations for such legislative or administrative action as the Commander of United States Cyber Command considers necessary to address capability shortcomings. (i) 能力不足に対処するために米国サイバー軍司令官が必要と考える立法上または行政上の措置に関する提言。
(ii) Plans to address such capability shortcomings. (ii) そのような能力の不足に対処するための計画。
(c) Country-specific Access Strategies.-- (c) 国別アクセス戦略。
(1) In general.--Not later than one year after the date on which all activities required under subsection (b)(1) have been completed, the Commander of United States Cyber Command shall complete development of country-specific access strategies for the Russian Federation, the People's Republic of China, the Democratic People's Republic of Korea, and the Islamic Republic of Iran. (1) 米国サイバー軍司令官は、ロシア連邦、中華人民共和国、朝鮮民主主義人民共和国、イラン・イスラム共和国の国別アクセス戦略の策定を完了させなければならない(第(b)項(1)に基づくすべての活動が完了した日から1年以内)。
(2) Elements.--Each country-specific access strategy developed under paragraph (1) shall include the following: (2) 要素--第1項に基づいて策定された各国別アクセス戦略は、以下を含むものとする。
(A) Specification of desired and required-- (A) 望ましい結果と必要な結果の特定
(i) outcomes; (i) 成果。
(ii) cyber warfighting architecture, including-- (ii) サイバー戦のアーキテクチャ。
(I) tools and redirectors; (I) ツールおよびリダイレクタ。
(II) access platforms; and (II) アクセスプラットフォーム、および
(III) data analytics, modeling, and simulation capacity; (III) データ分析、モデリング、シミュレーション能力。
(iii) specific means to achieve and maintain persistent access and conduct command and control and exfiltration against hard targets and in operationally challenging environments across the continuum of conflict; (iii) 持続的なアクセスを達成・維持し、ハードターゲットや紛争の連続する作戦上困難な環境において、指揮・統制・脱出を行うための具体的な手段。
(iv) intelligence, surveillance, and reconnaissance support; (iv) 情報、監視、偵察の支援。
(v) operational partnerships with allies; (v) 同盟国との作戦上のパートナーシップ。
(vi) rules of engagement; (vi) 交戦規則
(vii) personnel, training, and equipment; and (vii)人員、訓練、及び装備
(viii) targeting strategies, including strategies that do not demand deliberate targeting and precise access to achieve effects; and (viii)ターゲティング戦略(効果を得るために意図的なターゲティングや正確なアクセスを必要としない戦略を含む)、および
(B) recommendations for such policy or resourcing changes as the Commander of United States Cyber Command considers appropriate to address access shortfalls. (B) アクセス不足に対処するために、米国サイバーコマンド司令官が適切と考える政策または資源の変更に関する提言。
(3) Consultation required.--The Commander of United States Cyber Command shall develop the country-specific access strategies under paragraph (1) independently but in consultation with the following: (3) 米国サイバー司令部の司令官は、第1項の国別アクセス戦略を独立して策定するものとするが、以下の者との協議が必要である。
(A) The Director of the National Security Agency. (A) 国家安全保障局の局長。
(B) The Director of the Central Intelligence Agency. (B) 中央情報局(CIA)長官。
(C) The Director of the Defense Advanced Research Projects Agency. (C) 国防高等研究計画局の局長。
(D) The Director of the Strategic Capabilities Office. (D) 戦略的能力開発局の局長
(E) The Under Secretary of Defense for Policy. (E) 国防省政策担当次官
(F) The Principal Cyber Advisor to the Secretary of Defense. (F) 国防長官の主席サイバー顧問
(G) The Commanders of all other combatant commands. (G) 他のすべての戦闘司令部の司令官
(4) Briefing.--Upon completion of the country-specific access strategies under paragraph (1), the Commander of United States Cyber Command shall provide the Deputy Secretary of Defense, the Vice Chairman of the Joint Chiefs of Staff, the Committee on Armed Services of the Senate, and the Committee on Armed Services of the House of Representatives a briefing on such strategies. (4) ブリーフィング --第1項の国別アクセス戦略が完成した時点で、米国サイバー司令部の司令官は、国防副長官、統合参謀本部副議長、上院軍事委員会、下院軍事委員会に対して、当該戦略に関するブリーフィングを行わなければならない。
(d) Definition.--In this section, the term ``critical infrastructure'' has the meaning given such term in section 1016(e) of Public Law 107-56 (42 U.S.C. 5195c(e)). (d) 定義--本項では、「重要インフラ」という用語は、公法107-56第1016(e)項(42 U.S.C. 5195c(e))で与えられた意味を持つ。
SEC. 1510. ASSESSING CAPABILITIES TO COUNTER ADVERSARY USE OF RANSOMWARE, CAPABILITIES, AND INFRASTRUCTURE. Sec. 1510. 敵のランサムウェア使用、能力、インフラに対抗する能力の評価
(a) Comprehensive Assessment and Recommendations Required.--Not later than 180 days after the date of enactment of this section, the Secretary of Defense shall-- (a) 包括的な評価と提言の必要性--本項の制定日から180日以内に、国防長官は以下を行う。
(1) conduct a comprehensive assessment of the policy, capacity, and capabilities of the Department of Defense to diminish and defend the United States from the threat of ransomware attacks, including-- (1) ランサムウェア攻撃の脅威から米国を守るための国防総省の政策、能力、能力の包括的な評価を行う。
(A) an assessment of the current and potential threats and risks to national and economic security posed by-- (A) 国家および経済の安全保障に対する現在および潜在的な脅威とリスクの評価。
(i) large-scale and sophisticated criminal cyber enterprises that provide large-scale and sophisticated cyber attack capabilities and infrastructure used to conduct ransomware attacks; and (i) ランサムウェア攻撃を行うための大規模かつ洗練されたサイバー攻撃能力とインフラを提供する大規模かつ洗練された犯罪サイバー企業。
(ii) organizations that conduct or could conduct ransomware attacks or other attacks that use the capabilities and infrastructure described in clause (i) on a large scale against important assets and systems in the United States, including critical infrastructure; (ii) 重要インフラを含む米国内の重要な資産やシステムに対して、(i)項に記載された能力やインフラを利用したランサムウェア攻撃やその他の攻撃を大規模に行う、あるいは行う可能性のある組織。
(B) an assessment of-- (B) 以下の評価を行う。
(i) the threat posed to the Department of Defense Information Network and the United States by the large-scale and sophisticated criminal cyber enterprises, capabilities, and infrastructure described in subparagraph (A); and (i) (A)項に記載された大規模かつ洗練された犯罪的サイバー企業、能力、インフラによって、国防省情報ネットワークおよび米国にもたらされる脅威。
(ii) the current and potential role of United States Cyber Command in addressing the threat referred to in clause (i) including-- (ii)(i)項で言及された脅威に対処する上での米国サイバー司令部の現在および潜在的な役割である。
(I) the threshold at which United States Cyber Command should respond to such a threat; and (I) 米国のサイバー司令部がそのような脅威に対応すべき閾値。
(II) the capacity for United States Cyber Command to respond to such a threat without harmful effects on other United States Cyber Command missions; (II) 米国サイバー司令部が他の米国サイバー司令部の任務に悪影響を与えることなく、そのような脅威に対応する能力。
(C) an identification of the current and potential Department efforts, processes, and capabilities to deter and counter the threat referred to in subparagraph (B)(i), including through offensive cyber effects operations; (C) 攻撃的なサイバー効果作戦を含む、第(B)項(i)号で言及された脅威を抑止し対抗するための、現在および潜在的な省庁の努力、プロセス、能力の特定。
(D) an assessment of the application of the defend forward and persistent engagement operational concepts and capabilities of the Department to deter and counter the threat of ransomware attacks against the United States; (D) 米国に対するランサムウェア攻撃の脅威を抑止し、対抗するための、省の前方防衛と持続的関与の作戦コンセプトと能力の適用に関する評価。
(E) a description of the efforts of the Department in interagency processes, and joint collaboration with allies and partners of the United States, to address the growing threat from large-scale and sophisticated criminal cyber enterprises that conduct ransomware attacks and could conduct attacks with other objectives; (E) ランサムウェア攻撃を行い、他の目的でも攻撃を行う可能性のある大規模で洗練された犯罪的サイバー企業からの脅威の増大に対処するための省庁間プロセス、米国の同盟国やパートナーとの共同協力における省庁の取り組みの説明。
(F) a determination of the extent to which the governments of countries in which large-scale and sophisticated criminal cyber enterprises are principally located are tolerating the activities of such enterprises, have interactions with such enterprises, could direct their operations, and could suppress such enterprises; (F) 大規模で洗練された犯罪的サイバー企業が主に存在する国の政府が、当該企業の活動をどの程度容認しているか、当該企業と交流しているか、当該企業の活動を指示できるか、当該企業を抑制できるかの判断。
(G) an assessment as to whether the large-scale and sophisticated criminal cyber enterprises described in subparagraph (F) are perfecting and practicing attack techniques and capabilities at scale that can be co-opted and placed in the service of the country in which such enterprises are principally located; and (G) (F)号に記載された大規模かつ洗練されたサイバー犯罪企業が、当該企業が主に所在する国に協力してサービスを提供できる規模の攻撃技術と能力を完成させ、実践しているかどうかについての評価。
(H) identification of such legislative or administrative action as may be necessary to more effectively counter the threat of ransomware attacks; and (H) ランサムウェア攻撃の脅威に、より効果的に対抗するために必要な立法上または行政上の措置を特定する。
(2) develop recommendations for the Department to build capabilities to develop and execute innovative methods to deter and counter the threat of ransomware attacks prior to and in response to the launching of such attacks. (2) ランサムウェア攻撃の脅威を抑止し、その脅威に対抗するための革新的な方法を、攻撃の開始前および攻撃に対応して開発・実行する能力を構築するために、省庁に対する提言を行う。
(b) Briefing.--Not later than 210 days after the date of the enactment of this Act, the Secretary of Defense shall brief the congressional defense committees on the comprehensive assessment completed under paragraph (1) of subsection (a) and the recommendations developed under paragraph (2) of such subsection. (b) ブリーフィング --本法の制定日から210日以内に、国防長官は議会の防衛委員会に対し、(a)項の(1)に基づいて完了した包括的評価と、同項の(2)に基づいて策定された勧告についてブリーフィングを行う。
(c) Definition.--In this section, the term ``critical infrastructure'' has the meaning given such term in section 1016(e) of Public Law 107-56 (42 U.S.C. 5195c(e)). (c) 定義--本項では、「重要インフラ」という用語は、公法107-56の第1016(e)項(42 U.S.C. 5195c(e))で与えられた意味を持つ。
SEC. 1511. COMPARATIVE ANALYSIS OF CYBERSECURITY CAPABILITIES. Sec. 1511. サイバーセキュリティ能力の比較分析
(a) Comparative Analysis Required.--Not later than 180 days after the date of the enactment of this Act, the Chief Information Officer and the Director of Cost Assessment and Program Evaluation (CAPE) of the Department of Defense, in consultation with the Principal Cyber Advisor to the Secretary of Defense and the Chief Information Officers of each of the military departments, shall jointly sponsor a comparative analysis, to be conducted by the Director of the National Security Agency and the Director of the Defense Information Systems Agency, of the following: (a) 比較分析の必要性--本法の制定日から180日以内に、国防総省の最高情報責任者およびコスト評価・プログラム評価(CAPE)部長は、国防長官の主席サイバー顧問および各軍部の最高情報責任者と協議の上、国家安全保障局長官および国防情報システム局長官が実施する以下の比較分析を共同で主催しなければならない。
(1) The cybersecurity tools, applications, and capabilities offered as options on enterprise software agreements for cloud-based productivity and collaboration suites, such as is offered under the Defense Enterprise Office Solution and Enterprise Software Agreement contracts with Department of Defense components, relative to the cybersecurity tools, applications, and capabilities that are currently deployed in, or required by, the Department to conduct-- (1) クラウドベースの生産性およびコラボレーション・スイートのエンタープライズ・ソフトウェア契約のオプションとして提供されるサイバーセキュリティ・ツール、アプリケーション、能力(国防総省のコンポーネントとのDefense Enterprise Office SolutionおよびEnterprise Software Agreement契約の下で提供されているようなもの)。
(A) asset discovery; (A) 資産の発見。
(B) vulnerability scanning; (B) 脆弱性スキャン
(C) conditional access (also known as ``comply-to-connect''); (C) 条件付きアクセス(「comply-to-connect」としても知られる)。
(D) event correlation; (D) イベントの相関関係
(E) patch management and remediation; (E) パッチ管理と修復。
(F) endpoint query and control; (F) エンドポイントの照会と制御
(G) endpoint detection and response; (G) エンドポイントの検出と応答
(H) data rights management; (H) データ著作権管理
(I) data loss prevention; (I) データ損失防止
(J) data tagging; (J) データタギング
(K) data encryption; (K) データの暗号化
(L) security information and event management; and (L) セキュリティ情報およびイベント管理
(M) security orchestration, automation, and response. (M) セキュリティのオーケストレーション、自動化、および応答。
(2) The identity, credential, and access management (ICAM) system, and associated capabilities to enforce the principle of least privilege access, offered as an existing option on an enterprise software agreement described in paragraph (1), relative to-- (2) パラグラフ(1)に記載されたエンタープライズソフトウェア契約の既存オプションとして提供される、ID、クレデンシャル、およびアクセス管理(ICAM)システム、および最小特権アクセスの原則を実施するための関連機能は、以下と関連している。
(A) the requirements of such system described in the Zero Trust Reference Architecture of the Department; and (A) 省庁のゼロトラスト・リファレンス・アーキテクチャに記載されている当該システムの要求事項。
(B) the requirements of such system under development by the Defense Information Systems Agency. (B) 国防情報システム局が開発中の当該システムの要求事項。
(3) The artificial intelligence and machine-learning capabilities associated with the tools, applications, and capabilities described in paragraphs (1) and (2), and the ability to host Government or third-party artificial intelligence and machine-learning algorithms pursuant to contracts referred to in paragraph (1) for such tools, applications, and capabilities. (3) 第1項および第2項に記載されたツール、アプリケーション、能力に関連する人工知能および機械学習能力、ならびに第1項に記載されたツール、アプリケーション、能力に関する契約に従って政府または第三者の人工知能および機械学習アルゴリズムをホストする能力。
(4) The network consolidation and segmentation capabilities offered on the enterprise software agreements described in paragraph (1) relative to capabilities projected in the Zero Trust Reference Architecture. (4) ゼロトラストリファレンスアーキテクチャで予測される機能と比較して、第1項に記載されたエンタープライズソフトウェア契約で提供されるネットワーク統合およびセグメント化の機能。
(5) The automated orchestration and interoperability among the tools, applications, and capabilities described in paragraphs (1) through (4). (5) (1)~(4)項に記載されたツール、アプリケーション、および能力の間の自動化されたオーケストレーションおよび相互運用性。
(b) Elements of Comparative Analysis.--The comparative analysis conducted under subsection (a) shall include an assessment of the following: (b) 比較分析の要素 -- 第(a)項に基づいて実施される比較分析には、以下の評価が含まれるものとする。
(1) Costs. (1)コスト
(2) Performance. (2) 性能
(3) Sustainment. (3)持続性
(4) Scalability. (4) スケーラビリティ
(5) Training requirements. (5)トレーニング要件
(6) Maturity. (6)成熟度
(7) Human effort requirements. (7) 人的努力の必要性
(8) Speed of integrated operations. (8) 統合運用のスピード
(9) Ability to operate on multiple operating systems and in multiple cloud environments. (9) 複数のオペレーティングシステムや複数のクラウド環境で動作する能力。
(10) Such other matters as the Chief Information Officer and the Director of Cost Assessment and Program Evaluation consider appropriate. (10) 最高情報責任者およびコスト評価・プログラム評価担当ディレクターが適切と考えるその他の事項。
(c) Briefing Required.--Not later than 30 days after the date on which the comparative analysis required under subsection (a) is completed, the Chief Information Officer and the Director of Cost Assessment and Program Evaluation (CAPE) of the Department of Defense shall jointly provide the congressional defense committees with a briefing on the findings of the Chief Information Officer and the Director with respect to such analysis, together with such recommendations for legislative or administrative action as the Chief Information Officer and the Director may have with respect to the matters covered by such analysis. (c) ブリーフィングの必要性--(a)項に基づき要求される比較分析が完了した日から30日以内に、最高情報責任者と国防総省のコスト評価・プログラム評価ディレクター(CAPE)は、当該分析に関して最高情報責任者とディレクターが得た知見についてのブリーフィングを、当該分析が対象とする事項に関して最高情報責任者とディレクターが持つ可能性のある立法上または行政上の措置に関する提言とともに、議会の防衛委員会に共同で提供しなければならない。
SEC. 1512. ELIGIBILITY OF OWNERS AND OPERATORS OF CRITICAL INFRASTRUCTURE TO RECEIVE CERTAIN DEPARTMENT OF DEFENSE SUPPORT AND SERVICES. Sec. 1512. 重要インフラの所有者と運営者が国防総省の支援とサービスを受ける資格
Section 2012 of title 10, United States Code is amended-- 合衆国コード10のセクション2012を改正する。
(1) in subsection (e)-- (1)サブセクション(e)において--。
(A) by redesignating paragraph (3) as paragraph (4); and (A) パラグラフ(3)をパラグラフ(4)として再指定する。
(B) by inserting after paragraph (2) the following new paragraph: (B) パラグラフ(2)の後に以下の新しいパラグラフを挿入する。
``(3) Owners and operators of critical infrastructure (as such term is defined in section 1016(e) of Public Law 107-56 (42 U.S.C. 5195c(e))).''; and (3) 重要インフラの所有者および運営者(公法107-56の1016(e)項(42 U.S.C. 5195c(e))で定義されているもの)。
(2) in subsection (f), by adding at the end the following new paragraph: (2) サブセクション(f)の最後に以下の新しいパラグラフを追加する。
``(5) Procedures to ensure that assistance provided to an entity specified in subsection (e)(3) is provided in a manner that is consistent with similar assistance provided under authorities applicable to other Federal departments and agencies, including the authorities of the Cybersecurity and Infrastructure Security Agency of the Department of Homeland Security pursuant to title XXII of the Homeland Security Act of 2002 (6 U.S.C. 651 et seq.).''. (5) (e)(3)で指定された団体に提供される支援が、2002年国土安全保障法(6 U.S.C. 651 et seq.)のタイトルXXIIに基づく国土安全保障省のサイバーセキュリティ・インフラセキュリティ庁の権限を含む、他の連邦省庁に適用される権限に基づいて提供される同様の支援と整合性のある方法で提供されることを保証するための手順。
SEC. 1513. REPORT ON POTENTIAL DEPARTMENT OF DEFENSE SUPPORT AND ASSISTANCE FOR INCREASING THE AWARENESS OF THE CYBERSECURITY AND INFRASTRUCTURE SECURITY AGENCY OF CYBER THREATS AND VULNERABILITIES AFFECTING CRITICAL INFRASTRUCTURE. Sec. 1513. 重要インフラに影響を与えるサイバー脅威と脆弱性について、サイバーセキュリティ・インフラセキュリティ庁の認識を高めるための国防総省の支援の可能性についての報告
(a) Report Required.--Not later than 270 days after the date of the enactment of this Act, the Secretary of Defense, in consultation with the Secretary of Homeland Security and the National Cyber Director, shall submit to the Committee on Armed Services of the Senate and the Committee on Armed Services of the House of Representatives a report that provides recommendations on how the Department of Defense can improve support and assistance to the Cybersecurity and Infrastructure Security Agency of the Department of Homeland Security to increase awareness of cyber threats and vulnerabilities affecting information technology and networks supporting critical infrastructure within the United States, including critical infrastructure of the Department and critical infrastructure relating to the defense of the United States. (a) 必要な報告。 本法の制定日から270日以内に、国防長官は、国土安全保障長官および国家サイバー長官と協議した上で。国防総省は、国土安全保障省のサイバーセキュリティ・インフラセキュリティ庁に対する支援・援助をどのように改善し、国防総省の重要インフラおよび米国の防衛に関連する重要インフラを含む、米国内の重要インフラを支える情報技術およびネットワークに影響を与えるサイバー脅威および脆弱性に対する認識を高めることができるかについての提言を行う報告書を、上院の軍事委員会および下院の軍事委員会に提出しなければならない。
(b) Elements of Report.--The report required by subsection (a) shall-- (b) 報告書の構成要素 -- 第(a)項で求められる報告書は、以下の通りである。
(1) assess and identify areas in which the Department of Defense could provide support or assistance, including through information sharing and voluntary network monitoring programs, to the Cybersecurity and Infrastructure Security Agency to expand or increase technical understanding and awareness of cyber threats and vulnerabilities affecting critical infrastructure; (1) 重要インフラに影響を与えるサイバー脅威と脆弱性に関する技術的理解と認識を拡大・向上させるために、国防総省がサイバーセキュリティ・インフラセキュリティ庁に対して、情報共有や自主的なネットワーク監視プログラムを含めた支援・援助を提供できる分野を評価・特定すること。
(2) identify and assess any legal, policy, organizational, or technical barriers to carrying out paragraph (1); (2) パラグラフ(1)を実行するための法的、政策的、組織的、技術的な障害を特定し、評価する。
(3) assess and describe any legal or policy changes necessary to enable the Department to carry out paragraph (1) while preserving privacy and civil liberties; (3) プライバシーと市民的自由を守りつつ、第1項を実行するために必要な法律や政策の変更を評価し、説明すること。
(4) assess and describe the budgetary and other resource effects on the Department of carrying out paragraph (1); and (4) 第1項を実行することによる予算およびその他の資源の影響を評価し、説明する。
(5) provide a notional time-phased plan, including milestones, to enable the Department to carry out paragraph (1). (5) 部局が第1項を実行できるように、マイルストーンを含む想定される時間軸の計画を提供する。
(c) Critical Infrastructure Defined.--In this section, the term ``critical infrastructure'' has the meaning given such term in section 1016(e) of Public Law 107-56 (42 U.S.C. 5195c(e)). (c) 重要インフラの定義--このセクションでは、「重要インフラ」という用語はPublic Law 107-56の1016(e)項(42 U.S.C. 5195c(e))で与えられた意味を持つ。
Subtitle B--Matters Related to Department of Defense Cybersecurity and  Information Technology サブタイトルB:国防総省のサイバーセキュリティと情報技術に関連する事項
SEC. 1521. ENTERPRISE-WIDE PROCUREMENT OF CYBER DATA PRODUCTS AND SERVICES. Sec. 1521. サイバーデータ製品・サービスの全社的調達
(a) Program.--Not later than one year after the date of the enactment of this Act, the Secretary of Defense shall designate an executive agent for Department of Defense-wide procurement of cyber data products and services. The executive agent shall establish a program management office responsible for such procurement, and the program manager of such program office shall be responsible for the following: (a) プログラム...この法律が制定された日から1年以内に、国防長官は国防総省全体のサイバーデータ製品とサービスの調達のための執行機関を指定しなければならない。執行代理人は、当該調達を担当するプログラム管理事務所を設立し、当該プログラム事務所のプログラムマネージャーは、以下の事項に責任を負う。
(1) Surveying components of the Department for the cyber data products and services needs of such components. (1) 国防総省の各部局のサイバーデータ製品・サービスのニーズを調査すること。
(2) Conducting market research of cyber data products and services. (2) サイバーデータ製品・サービスの市場調査を行うこと。
(3) Developing or facilitating development of requirements, both independently and through consultation with components, for the acquisition of cyber data products and services. (3) サイバーデータ製品およびサービスの取得のために、独自に、または各構成部との協議を通じて、要求事項を策定し、または策定を促進すること。
(4) Developing and instituting model contract language for the acquisition of cyber data products and services, including contract language that facilitates components' requirements for ingesting, sharing, using and reusing, structuring, and analyzing data derived from such products and services. (4) サイバーデータ製品・サービスの取得のためのモデル契約言語を開発し、制定すること。これには、当該製品・サービスから得られるデータの取り込み、共有、使用、再利用、構造化、分析に関するコンポーネントの要件を促進する契約言語が含まれる。
(5) Conducting procurement of cyber data products and services on behalf of the Department of Defense, including negotiating contracts with a fixed number of licenses based on aggregate component demand and negotiation of extensible contracts. (5) 国防総省を代表して、サイバーデータ製品・サービスの調達を行うこと。これには、コンポーネントの総需要に基づいた固定数のライセンスを持つ契約の交渉や、拡張可能な契約の交渉が含まれる。
(6) Carrying out the responsibilities specified in paragraphs (1) through (5) with respect to the cyber data products and services needs of the Cyberspace Operations Forces, such as cyber data products and services germane to cyberspace topology and identification of adversary threat activity and infrastructure, including-- (6) サイバースペースのトポロジー、敵の脅威活動やインフラの特定に関連するサイバーデータ製品・サービスなど、サイバースペース作戦部隊のサイバーデータ製品・サービスのニーズに関して、(1)~(5)項で指定された責任を遂行すること(以下を含む)。
(A) facilitating the development of cyber data products and services requirements for the Cyberspace Operations Forces, conducting market research regarding the future cyber data products and services needs of the Cyberspace Operations Forces, and conducting acquisitions pursuant to such requirements and market research; (A) サイバー空間作戦部隊のためのサイバーデータ製品およびサービスの要件の開発を促進し、サイバー空間作戦部隊の将来のサイバーデータ製品およびサービスのニーズに関する市場調査を実施し、かかる要件および市場調査に従って買収を実施すること。
(B) coordinating cyber data products and services acquisition and management activities with Joint Cyber Warfighting Architecture acquisition and management activities, including activities germane to data storage, data management, and development of analytics; (B) データストレージ、データ管理、分析の開発に関連する活動を含め、サイバーデータ製品・サービスの取得・管理活動を統合サイバー戦闘アーキテクチャの取得・管理活動と調整すること。
(C) implementing relevant Department of Defense and United States Cyber Command policy germane to acquisition of cyber data products and services; (C) サイバーデータ製品・サービスの取得に関連する国防総省および米国サイバー司令部の政策を実施すること。
(D) leading or informing the integration of relevant datasets and services, including Government-produced threat data, commercial cyber threat information, collateral telemetry data, topology-relevant data, sensor data, and partner-provided data; and (D) 政府が作成した脅威データ、商業的なサイバー脅威情報、付随する遠隔測定データ、トポロジーに関連するデータ、センサーデータ、パートナーが提供するデータなど、関連するデータセットやサービスの統合を主導したり、情報を提供したりすること。
(E) facilitating the development of tradecraft and operational workflows based on relevant cyber data products and services. (E) 関連するサイバーデータ製品およびサービスに基づく、技術および運用ワークフローの開発を促進する。
(b) Coordination.--In implementing this section, each component of the Department of Defense shall coordinate its cyber data products and services requirements and potential procurement plans relating to such products and services with the program management office established pursuant to subsection (a) so as to enable such office to determine if satisfying such requirements or procurement of such products and services on an enterprise-wide basis would serve the best interests of the Department. (b) 本項を実施するにあたり、国防総省の各部局は、サイバーデータ製品・サービスの要求事項および当該製品・サービスに関連する潜在的な調達計画を、第(a)項に従って設立されたプログラム管理局と調整し、当該要求事項の充足または全社的な当該製品・サービスの調達が国防総省の最善の利益につながるかどうかを、当該局が判断できるようにする。
(c) Prohibition.--Beginning not later than 540 days after the date of the enactment of this Act, no component of the Department of Defense may independently procure a cyber data product or service that has been procured by the program management office established pursuant to subsection (a), unless-- (c) 本法制定日から540日以内に、国防総省のいかなる部門も、(a)項に従って設立されたプログラム管理事務所によって調達されたサイバーデータ製品またはサービスを独自に調達することはできないが、以下の場合はその限りではない。
(1) such component is able to procure such product or service at a lower per-unit price than that available through such office; or (1) 当該コンポーネントが、当該オフィスを通じて入手可能な価格よりも低い単価で当該製品またはサービスを調達することができる場合。
(2) such office has approved such independent purchase. (2) 当該事務所が、当該独立した購入を承認している場合。
(d) Exception.--United States Cyber Command and the National Security Agency may conduct joint procurements of products and services, including cyber data products and services, except that the requirements of subsections (b) and (c) shall not apply to the National Security Agency. (d) 例外-米国サイバーコマンドと国家安全保障局は、サイバーデータ製品およびサービスを含む製品およびサービスの共同調達を行うことができる。ただし、国家安全保障局には、サブセクション(b)および(c)の要件は適用されないものとする。
(e) Definition.--In this section, the term ``cyber data products and services'' means commercially-available datasets and analytic services germane to offensive cyber, defensive cyber, and DODIN operations, including products and services that provide technical data, indicators, and analytic services relating to the targets, infrastructure, tools, and tactics, techniques, and procedures of cyber threats. (e) 本項において、「サイバーデータ製品・サービス」とは、攻撃的サイバー、防御的サイバー、DODIN作戦に関連する商業的に入手可能なデータセットおよび分析サービスを意味し、サイバー脅威の標的、インフラ、ツール、戦術・技術・手順に関する技術データ、指標、分析サービスを提供する製品・サービスを含む。
SEC. 1522. LEGACY INFORMATION TECHNOLOGIES AND SYSTEMS ACCOUNTABILITY. Sec. 1522. レガシー情報技術とシステムの説明責任
(a) In General.--Not later than 270 days after the date of the enactment of this Act, the Secretaries of the Army, Navy, and Air Force shall each initiate efforts to identify legacy applications, software, and information technology within their respective Departments and eliminate any such application, software, or information technology that is no longer required. (a) 陸軍、海軍、空軍の各長官は、本法令の制定日から270日以内に、それぞれの省内のレガシーアプリケーション、ソフトウェア、情報技術を特定し、不要となったアプリケーション、ソフトウェア、情報技術を排除するための取り組みを開始する。
(b) Specifications.--To carry out subsection (a), that Secretaries of the Army, Navy, and Air Force shall each document the following: (b) 仕様--(a)項を実行するために、陸軍、海軍、空軍の各長官は、以下の内容を文書化するものとする。
(1) An identification of the applications, software, and information technologies that are considered active or operational, but which are judged to no longer be required by the respective Department. (1)各省庁が必要としなくなったと判断された、稼働中または運用中のアプリケーション、ソフトウェア、情報技術の識別情報。
(2) Information relating to the sources of funding for the applications, software, and information technologies identified pursuant to paragraph (1). (2) (1)により特定されたアプリケーション、ソフトウェア、情報技術の資金源に関する情報。
(3) An identification of the senior official responsible for each such application, software, or information technology. (3) 各アプリケーション、ソフトウェア、情報技術の責任者である上級職員の身分証明書。
(4) A plan to discontinue use and funding for each such application, software, or information technology. (4) そのようなアプリケーション、ソフトウェア、情報技術の使用と資金提供を中止する計画。
(c) Exemption.--Any effort substantially similar to that described in subsections (a) and (b) that is being carried out by the Secretary of the Army, Navy, or Air Force as of the date of the enactment of this Act and completed not later 180 days after such date shall be treated as satisfying the requirements under such subsections. (c) 免除--本法の制定日時点で陸軍、海軍、空軍の長官によって実施されている、(a)および(b)項に記載されたものと実質的に類似した取り組みで、その日から180日以内に完了するものは、これらの項の要件を満たしているものとして扱われる。
(d) Report.--Not later than 270 days after the date of the enactment of this Act, the Secretaries of the Army, Navy, and Air Force shall each submit to the congressional defense committees the documentation required under subsection (b). (d) 報告--本法の制定日から270日以内に、陸軍、海軍、空軍の各長官は、それぞれ議会の防衛委員会に、(b)項に基づいて要求される文書を提出しなければならない。
SEC. 1523. UPDATE RELATING TO RESPONSIBILITIES OF CHIEF INFORMATION OFFICER. Sec. 1523. 最高情報責任者(CIO)の責任についての更新
 Paragraph (1) of section 142(b) of title 10, United States Code, is amended--  アメリカ合衆国コード10のタイトル142(b)セクションのパラグラフ(1)は、以下のように修正される。
(1) in subparagraphs (A), (B), and (C), by striking ``(other than with respect to business management)'' each place it appears; and (1)サブパラグラフ(A)、(B)および(C)において、「(経営管理に関するもの以外)」を各所で削除する。
(2) by amending subparagraph (D) to read as follows: (2) (D)項を次のように修正する。
``(D) exercises authority, direction, and control over the Activities of the Cybersecurity Directorate, or any successor organization, of the National Security Agency, funded through the Information Systems Security Program;''. ''(D)情報システム・セキュリティ・プログラムを通じて資金提供を受けている国家安全保障局のサイバーセキュリティ部門、またはその後継組織の活動に対する権限、指揮、管理を行う。
SEC. 1524. PROTECTIVE DOMAIN NAME SYSTEM WITHIN THE DEPARTMENT OF DEFENSE. Sec. 1524. 国防総省内の保護ドメイン名システム
(a) In General.--Not later than 120 days after the date of the enactment of this Act, the Secretary of Defense shall ensure each component of the Department of Defense uses a Protective Domain Name System (PDNS) instantiation offered by the Department. (a) 国防長官は、国防省の各部局が、国防省が提供する保護ドメイン名システム(PDNS)のインスタンスを使用することを保証しなければならない。
(b) Exemptions.--The Secretary of Defense may exempt a component of the Department from using a PDNS instantiation for any reason except with respect to cost or technical application. (b) 免除--国防長官は、コストや技術的応用に関する場合を除き、いかなる理由であれ、国防総省のコンポーネントがPDNSインスタンスを使用することを免除することができる。
(c) Report to Congress.--Not later than 150 days after the date of the enactment of this Act, the Secretary of Defense shall submit to the congressional defense committees a report that includes information relating to-- (c) 議会への報告 --本法の制定日から150日以内に、国防長官は以下に関する情報を含む報告書を議会の防衛委員会に提出しなければならない。
(1) each component of the Department of Defense that uses a PDNS instantiation offered by the Department; (1) 国防総省が提供するPDNSインスタンスを使用する国防総省の各コンポーネント。
(2) each component exempt from using a PDNS instantiation pursuant to subsection (b); and (2) (b)項に従ってPDNSインスタンスの使用を免除されている各コンポーネント。
(3) efforts to ensure that each PDNS instantiation offered by the Department connects and shares relevant and timely data. (3) 国防総省が提供する各PDNSインスタンスが、関連性のあるタイムリーなデータを接続し、共有することを保証するための努力。
SEC. 1525. CYBERSECURITY OF WEAPON SYSTEMS. Sec. 1525. 兵器システムのサイバーセキュリティ
 Section 1640 of the National Defense Authorization Act for Fiscal Year 2018 (Public Law 115-91; 10 U.S.C. 2224 note), is amended by adding at the end the following new subsection:  2018年度国防権限法(Public Law 115-91; 10 U.S.C. 2224 note)のセクション1640は、最後に以下の新しいサブセクションを追加することで修正される。
``(f) Annual Reports.--Not later than August 30, 2022, and annually thereafter through 2024, the Secretary of Defense shall provide to the congressional defense committees a report on the work of the Program, including information relating to staffing and accomplishments.''. ''(f) 遅くとも2022年8月30日までに、その後2024年まで毎年、国防長官は議会の防衛委員会に対し、人員配置や成果に関する情報を含むプログラムの業務に関する報告書を提出しなければならない」。
SEC. 1526. ASSESSMENT OF CONTROLLED UNCLASSIFIED INFORMATION PROGRAM. SEC. 1526. 管理された未分類情報プログラムの評価。
 Section 1648 of the National Defense Authorization Act for Fiscal Year 2020 (Public Law 116-92; 10 U.S.C. 2224 note), is amended--  2020年度国防権限法(Public Law 116-92; 10 U.S.C. 2224 note)の第1648条を改正する。
(1) in subsection (a), by striking ``February 1, 2020'' and inserting ``180 days after the date of the enactment of the National Defense Authorization Act for Fiscal Year 2022''; and (1) サブセクション(a)において、「2020年2月1日」を削除し、「2022年度の国防権限法の制定日から180日後」を挿入する。
(2) in subsection (b), by amending paragraph (4) to read as follows: (2) サブセクション(b)において、パラグラフ(4)を以下のように修正する。
``(4) Definitions for `Controlled Unclassified Information' (CUI) and `For Official Use Only' (FOUO), policies regarding protecting information designated as either of such, and an explanation of the `DoD CUI Program' and Department of Defense compliance with the responsibilities specified in Department of Defense Instruction (DoDI) 5200.48, `Controlled Unclassified Information (CUI),' including the following: ''(4) 「CUI(Controlled Unclassified Information)」および「FOUO(For Official Use Only)」の定義、いずれかに指定された情報の保護に関する方針、「国防総省CUIプログラム」および国防総省命令(DoDI)5200.48「CUI(Controlled Unclassified Information)」に規定されている責任に対する国防総省のコンプライアンスについての説明(以下を含む)。
``(A) The extent to which the Department of Defense is identifying whether information is CUI via a contracting vehicle and marking documents, material, and media containing such information in a clear and consistent manner. ''(A)国防総省が契約車両を通じて情報がCUIであるかどうかを識別し、そのような情報を含む文書、資料、メディアを明確かつ一貫した方法でマーキングしている程度。
``(B) Recommended regulatory or policy changes to ensure consistency and clarity in CUI identification and marking requirements. ''(B)CUI識別およびマーキング要件の一貫性と明確性を確保するために推奨される規制または政策の変更。
``(C) Circumstances under which commercial information is considered CUI, and any impacts to the commercial supply chain associated with security and marking requirements pursuant to this paragraph. ''(C)商業情報がCUIとみなされる状況、および本項に基づくセキュリティおよびマーキング要件に関連する商業サプライチェーンへの影響。
``(D) Benefits and drawbacks of requiring all CUI to be marked with a unique CUI legend, versus requiring that all data marked with an appropriate restricted legend be handled as CUI. ''(D)すべてのCUIに固有のCUI表示を要求することと、適切な制限表示を施したすべてのデータをCUIとして取り扱うことを要求することの利点と欠点。
``(E) The extent to which the Department of Defense clearly delineates Federal Contract Information (FCI) from CUI. ''(E)国防総省が連邦契約情報(FCI)とCUIをどの程度明確に区別しているか。
``(F) Examples or scenarios to illustrate information that is and is not CUI.''. ''(F)CUIである情報とそうでない情報を説明するための例やシナリオ。
SEC. 1527. CYBER DATA MANAGEMENT. Sec. 1527. サイバーデータ管理
(a) In General.--The Commander of United States Cyber Command and the Secretaries of the military departments, in coordination with the Principal Cyber Advisor to the Secretary, the Chief Information Officer and the Chief Data Officer of the Department of Defense, and the Chairman of the Joint Chiefs of Staff, shall-- (a) 米国サイバー司令部の司令官および各軍部の長官は、長官の主席サイバー顧問、国防総省の最高情報責任者および最高データ責任者、および統合参謀本部議長と連携して、以下を行う。
(1) access, acquire, and use mission-relevant data to support offensive cyber, defensive cyber, and DODIN operations from the intelligence community, other elements of the Department of Defense, and the private sector; (1) 攻撃的サイバー、防御的サイバー、DODIN作戦を支援するためのミッション関連データを、情報コミュニティ、国防総省の他の部門、および民間部門から入手し、取得し、使用すること。
(2) develop policy, processes, and operating procedures governing the access, ingest, structure, storage, analysis, and combination of mission-relevant data, including-- (2) ミッション関連データ(以下を含む)へのアクセス、取り込み、構造、保存、分析、組み合わせを管理する方針、プロセス、作業手順を策定する。
(A) intelligence data; (A) 情報データ。
(B) internet traffic, topology, and activity data; (B) インターネットのトラフィック、トポロジー、およびアクティビティ・データ。
(C) cyber threat information; (C) サイバー脅威情報。
(D) Department of Defense Information Network sensor, tool, routing infrastructure, and endpoint data; and (D) 国防省情報ネットワークのセンサー、ツール、ルーティング・インフラ、およびエンドポイント・データ、および
(E) other data management and analytic platforms pertinent to United States Cyber Command missions that align with the principles of Joint All Domain Command and Control; (E) 米国サイバー司令部の任務に関連するその他のデータ管理・分析プラットフォームで、Joint All Domain Command and Controlの原則に沿ったもの。
(3) pilot efforts to develop operational workflows and tactics, techniques, and procedures for the operational use of mission-relevant data by the Cyberspace Operations Forces; and (3) サイバースペース作戦部隊がミッションに関連するデータを運用で使用するための運用ワークフロー、戦術、技術、手順を開発するための試験的な取り組み。
(4) evaluate data management platforms used to carry out paragraphs (1), (2), and (3) to ensure such platforms operate consistently with the Deputy Secretary of Defense's Data Decrees signed on May 5, 2021. (4) パラグラフ(1)、(2)、(3)を遂行するために使用されるデータ管理プラットフォームを評価し、当該プラットフォームが2021年5月5日に署名された国防副長官のデータ同意書と一貫して動作することを確認する。
(b) Roles and Responsibilities.-- (b) 役割と責任--。
(1) In general.--Not later than 270 days after the date of the enactment of this Act, the Commander of United States Cyber Command and the Secretaries of the military departments, in coordination with the Principal Cyber Advisor to the Secretary, the Chief Information Officer and Chief Data Officer of the Department of Defense, and the Chairman of the Joint Chiefs of Staff, shall establish the specific roles and responsibilities of the following in implementing each of the tasks required under subsection (a): (1) 一般的に--本法の制定日から270日以内に、米国サイバー司令部の司令官および各軍部の長官は、長官の主席サイバー顧問、国防総省の最高情報責任者および最高データ責任者、統合参謀本部議長と連携して、(a)項で要求される各タスクの実施における以下の者の具体的な役割と責任を確立しなければならない。
(A) United States Cyber Command. (A) 米国のサイバー司令部。
(B) Program offices responsible for the components of the Joint Cyber Warfighting Architecture. (B) 統合サイバー戦力アーキテクチャの構成要素を担当するプログラムオフィス。
(C) The military services. (C) 各軍部。
(D) Entities in the Office of the Secretary of Defense. (D) 国防省長官室の組織。
(E) Any other program office, headquarters element, or operational component newly instantiated or determined relevant by the Secretary. (E) 長官が新たに設置した、あるいは関連性があると判断したその他のプログラムオフィス、本部要素、作戦構成要素。
(2) Briefing.--Not later than 300 days after the date of the enactment of this Act, the Secretary of Defense shall provide to the congressional defense committees a briefing on the roles and responsibilities established under paragraph (1). (2) 本法制定後300日以内に、国防長官は議会の防衛委員会に対し、第1項で設定された役割と責任に関するブリーフィングを行わなければならない。
SEC. 1528. ZERO TRUST STRATEGY, PRINCIPLES, MODEL ARCHITECTURE, AND IMPLEMENTATION PLANS. Sec. 1528. ゼロトラスト戦略、原則、モデルアーキテクチャ、および実施計画
(a) In General.--Not later than 270 days after the date of the enactment of this Act, the Chief Information Officer of the Department of Defense and the Commander of United States Cyber Command shall jointly develop a zero trust strategy, principles, and a model architecture to be implemented across the Department of Defense Information Network, including classified networks, operational technology, and weapon systems. (a) 一般的に--本法の制定日から270日以内に、国防総省の最高情報責任者と米国サイバー司令部の司令官は、機密ネットワーク、運用技術、兵器システムを含む国防総省の情報ネットワーク全体に導入するゼロトラスト戦略、原則、モデル・アーキテクチャを共同で開発する。
(b) Strategy, Principles, and Model Architecture Elements.--The zero trust strategy, principles, and model architecture required under subsection (a) shall include, at a minimum, the following elements: (b) 戦略、原則、モデル・アーキテクチャの要素--(a)項で要求されるゼロトラスト戦略、原則、モデル・アーキテクチャは、少なくとも以下の要素を含むものとする。
(1) Prioritized policies and procedures for establishing implementations of mature zero trust enabling capabilities within on-premises, hybrid, and pure cloud environments, including access control policies that determine which persona or device shall have access to which resources and the following: (1) オンプレミス、ハイブリッド、およびピュアクラウド環境内で成熟したゼロトラスト実現機能の実装を確立するための優先順位付けされたポリシーと手順。
(A) Identity, credential, and access management. (A) アイデンティティ、クレデンシャル、およびアクセス管理。
(B) Macro and micro network segmentation, whether in virtual, logical, or physical environments. (B) 仮想、論理、物理のいずれの環境であっても、マクロおよびミクロのネットワークのセグメンテーション。
(C) Traffic inspection. (C) トラフィック検査。
(D) Application security and containment. (D) アプリケーションのセキュリティと封じ込め
(E) Transmission, ingest, storage, and real-time analysis of cybersecurity metadata endpoints, networks, and storage devices. (E) サイバーセキュリティメタデータのエンドポイント、ネットワーク、ストレージデバイスの送信、取り込み、保存、リアルタイム分析
(F) Data management, data rights management, and access controls. (F) データ管理、データ権限管理、及びアクセス制御
(G) End-to-end encryption. (G) エンドツーエンドの暗号化
(H) User access and behavioral monitoring, logging, and analysis. (H) ユーザのアクセス及び行動の監視、記録、分析
(I) Data loss detection and prevention methodologies. (I) データ損失の検出と防止の方法論。
(J) Least privilege, including system or network administrator privileges. (J) システムまたはネットワーク管理者の特権を含む最小の特権
(K) Endpoint cybersecurity, including secure host, endpoint detection and response, and comply-to-connect requirements. (K) セキュアホスト、エンドポイント検出と応答、およびコンプライアント・トゥ・コネクトの要件を含むエンドポイントのサイバーセキュリティ。
(L) Automation and orchestration. (L) 自動化とオーケストレーション
(M) Configuration management of virtual machines, devices, servers, routers, and similar to be maintained on a single virtual device approved list (VDL). (M) 単一の仮想デバイス承認リスト(VDL)で維持される仮想マシン、デバイス、サーバ、ルータなどの構成管理。
(2) Policies specific to operational technology, critical data, infrastructures, weapon systems, and classified networks. (2) 運用技術、重要データ、インフラ、兵器システム、および機密ネットワークに特化したポリシー。
(3) Specification of enterprise-wide acquisitions of capabilities conducted or to be conducted pursuant to the policies referred to in paragraph (2). (3) (2)で言及されたポリシーに基づいて実施された、または実施される予定の能力の企業全体の取得の仕様。
(4) Specification of standard zero trust principles supporting reference architectures and metrics-based assessment plan. (4) 参照アーキテクチャを支える標準的なゼロトラスト原則の仕様と、評価指標に基づく評価計画。
(5) Roles, responsibilities, functions, and operational workflows of zero trust cybersecurity architecture and information technology personnel-- (5) ゼロトラスト・サイバーセキュリティ・アーキテクチャと情報技術者の役割、責任、機能、運用ワークフロー
(A) at combatant commands, military services, and defense agencies; and (A) 戦闘機司令部、軍事サービス、および防衛機関。
(B) Joint Forces Headquarters-Department of Defense Information Network. (B) 統合軍本部-国防省情報ネットワーク。
(c) Architecture Development and Implementation.--In developing and implementing the zero trust strategy, principles, and model architecture required under subsection (a), the Chief Information Officer of the Department of Defense and the Commander of United States Cyber Command shall-- (c) アーキテクチャの開発と実施--第(a)項で要求されたゼロトラスト戦略、原則、モデル・アーキテクチャを開発し実施するにあたり、国防総省の最高情報責任者と米国サイバー司令部の司令官は--。
(1) coordinate with-- (1)以下と調整する。
(A) the Principal Cyber Advisor to the Secretary of Defense; (A) 国防長官の主席サイバー顧問。
(B) the Director of the National Security Agency Cybersecurity Directorate; (B) 国家安全保障局のサイバーセキュリティ局長。
(C) the Director of the Defense Advanced Research Projects Agency; (C) 国防高等研究計画局の局長。
(D) the Chief Information Officer of each military service; (D) 各軍の最高情報責任者。
(E) the Commanders of the cyber components of the military services; (E) 各軍のサイバー部門の司令官
(F) the Principal Cyber Advisor of each military service; (F) 各軍部の主席サイバー顧問
(G) the Chairman of the Joints Chiefs of Staff; and (G) 合同参謀本部議長、および
(H) any other component of the Department of Defense as determined by the Chief Information Officer and the Commander; (H) 最高情報責任者と司令官が決定した国防省のその他の構成要素。
(2) assess the utility of the Joint Regional Security Stacks, automated continuous endpoint monitoring program, assured compliance assessment solution, and each of the defenses at the Internet Access Points for their relevance and applicability to the zero trust architecture and opportunities for integration or divestment; (2) 合同地域セキュリティスタック、自動化された継続的エンドポイント監視プログラム、確実なコンプライアンス評価ソリューション、インターネットアクセスポイントにおける各防御策の有用性を評価し、ゼロトラストアーキテクチャとの関連性と適用性、統合または切り離しの機会を検討する。
(3) employ all available resources, including online training, leveraging commercially available zero trust training material, and other Federal agency training, where feasible, to implement cybersecurity training on zero trust at the-- (3) オンライン・トレーニング、商業的に入手可能なゼロ・トラスト・トレーニング教材の活用、および実行可能な場合には他の連邦機関のトレーニングを含む、利用可能なすべてのリソースを用いて、ゼロ・トラストに関するサイバーセキュリティ・トレーニングを以下のレベルで実施する。
(A) executive level; (A) 上級管理職レベル。
(B) cybersecurity professional or implementer level; and (B) サイバーセキュリティの専門家または実施者レベル。
(C) general knowledge levels for Department of Defense users; (C) 国防総省のユーザのための一般的な知識レベル。
(4) facilitate cyber protection team and cybersecurity service provider threat hunting and discovery of novel adversary activity; (4) サイバー・プロテクション・チームとサイバー・セキュリティ・サービス・プロバイダーによる脅威の探索と新規敵対者の活動の発見を促進すること。
(5) assess and implement means to effect Joint Force Headquarters-Department of Defense Information Network's automated command and control of the entire Department of Defense Information Network; (5) 国防省情報ネットワーク全体に対する統合軍本部-国防省情報ネットワークの自動化された指揮統制を実現するための手段を評価し、実施すること。
(6) assess the potential of and, as appropriate, encourage, use of third-party cybersecurity-as-a-service models; (6) 第三者によるサイバーセキュリティ・アズ・ア・サービスモデルの可能性を評価し、必要に応じてその利用を奨励する。
(7) engage with and conduct outreach to industry, academia, international partners, and other departments and agencies of the Federal Government on issues relating to deployment of zero trust architectures; (7) ゼロトラスト・アーキテクチャーの展開に関連する問題について、産業界、学界、国際的なパートナー、および連邦政府の他の省庁と連携し、アウトリーチを行う。
(8) assess the current Comply-to-Connect Plan; and (8) 現在のComply-to-Connect計画を評価する。
(9) review past and conduct additional pilots to guide development, including-- (9) 以下を含め、開発の指針となる過去のパイロットを検討し、追加で実施する。
(A) utilization of networks designated for testing and accreditation under section 1658 of the National Defense Authorization Act for Fiscal Year 2020 (Public Law 116-92; 10 U.S.C. 2224 note); (A)2020年度国防権限法(Public Law 116-92; 10 U.S.C. 2224 note)の第1658条に基づく試験および認定に指定されたネットワークの活用。
(B) use of automated red team products for assessment of pilot architectures; and (B)試験的なアーキテクチャを評価するための自動レッドチーム製品の使用。
(C) accreditation of piloted cybersecurity products for enterprise use in accordance with the findings on enterprise accreditation standards conducted pursuant to section 1654 of such Act (Public Law 116-92). (C)同法第1654条(公法第116-92条)に従って実施された企業認定基準に関する調査結果に基づき、試験的に開発されたサイバーセキュリティ製品を企業向けに認定すること。
(d) Implementation Plans.-- (d) 実施計画--。
(1) In general.--Not later than one year after the finalization of the zero trust strategy, principles, and model architecture required under subsection (a), the head of each military department and the head of each component of the Department of Defense shall transmit to the Chief Information Officer of the Department and the Commander of Joint Forces Headquarters-Department of Defense Information Network a draft plan to implement such zero trust strategy, principles, and model architecture across the networks of their respective components and military departments. (1)一般的に--(a)項で要求されたゼロトラスト戦略、原則、モデル・アーキテクチャーの最終化から1年以内に、各軍部の長と国防総省の各構成部の長は、国防総省の最高情報責任者と国防総省情報ネットワーク統合本部の司令官に、それぞれの構成部と軍部のネットワーク全体で当該ゼロトラスト戦略、原則、モデル・アーキテクチャーを実施するための計画案を提出しなければならない。
(2) Elements.--Each implementation plan transmitted pursuant to paragraph (1) shall include, at a minimum, the following: (2) 第1項に従って提出された各実施計画には、少なくとも以下の内容が含まれていなければならない。
(A) Specific acquisitions, implementations, instrumentations, and operational workflows to be implemented across unclassified and classified networks, operational technology, and weapon systems. (A) 非分類および分類されたネットワーク、運用技術、兵器システムに渡って実装される具体的な取得、実装、装置、および運用ワークフロー。
(B) A detailed schedule with target milestones and required expenditures. (B) 目標マイルストーンと必要な支出を含む詳細なスケジュール。
(C) Interim and final metrics, including a phase migration plan. (C) フェーズ移行計画を含む、中間および最終評価指標。
(D) Identification of additional funding, authorities, and policies, as may be required. (D) 必要となる可能性のある、追加資金、権限、ポリシーの特定。
(E) Requested waivers, exceptions to Department of Defense policy, and expected delays. (E) 要求された免除、国防総省の方針に対する例外、及び予想される遅延。
(e) Implementation Oversight.-- (e) 実施監督
(1) In general.--The Chief Information Officer of the Department of Defense shall-- (1) 国防総省の最高情報責任者(CIO)は、以下を行う。
(A) assess the implementation plans transmitted pursuant to subsection (d)(1) for-- (A) サブセクション(d)(1)に従って送信された実施計画を以下のように評価する。
(i) adequacy and responsiveness to the zero trust strategy, principles, and model architecture required under subsection (a); and (i) サブセクション(a)で要求されたゼロ・トラスト戦略、原則、およびモデル・アーキテクチャーに対する適切性と対応性。
(ii) appropriate use of enterprise-wide acquisitions; (ii) 企業規模の買収の適切な使用。
(B) ensure, at a high level, the interoperability and compatibility of individual components' Solutions Architectures, including the leveraging of enterprise capabilities where appropriate through standards derivation, policy, and reviews; (B) 標準化、ポリシー、レビューを通じて、必要に応じて企業の能力を活用することを含め、各コンポーネントのソリューション・アーキテクチャーの相互運用性と互換性を高いレベルで確保する。
(C) use the annual investment guidance of the Chief to ensure appropriate implementation of such plans, including appropriate use of enterprise-wide acquisitions; (C) チーフの年次投資ガイダンスを利用して、全社的な買収の適切な利用を含む、当該計画の適切な実施を確保する。
(D) track use of waivers and exceptions to policy; (D) ポリシーに対する放棄と例外の使用を追跡する。
(E) use the Cybersecurity Scorecard to track and drive implementation of Department components; and (E) サイバーセキュリティ・スコアカードを使用して、省庁のコンポーネントの実施状況を追跡し、推進する。
(F) leverage the authorities of the Commander of Joint Forces Headquarters-Department of Defense Information Network and the Director of the Defense Information Systems Agency to begin implementation of such zero trust strategy, principles, and model architecture. (F) ゼロトラスト戦略、原則、モデルアーキテクチャの実施を開始するために、統合軍本部-国防省情報ネットワーク司令官と国防情報システム庁長官の権限を活用する。
(2) Assessments of funding.--Not later than March 31, 2024, and annually thereafter, each Principal Cyber Advisor of a military service shall include in the annual budget certification of such military service, as required by section 1657(d) of the National Defense Authorization Act for Fiscal Year 2020 (Public Law 116-92; 10 U.S.C. 391 note), an assessment of the adequacy of funding requested for each proposed budget for the purposes of carrying out the implementation plan for such military service under subsection (d)(1). (2) 資金の評価 --2024年3月31日までに、その後は毎年、軍部の各主席サイバー顧問は、2020年度国防権限法(Public Law 116-92; 10 U.S.C. 391 note)の1657(d)項で要求されるように、当該軍部の年次予算証明書に、(d)(1)項に基づく当該軍部の実施計画を遂行する目的で、各予算案に要求された資金の妥当性についての評価を含めなければならない。
(f) Initial Briefings.-- (f) 最初の説明会
(1) On model architecture.--Not later than 90 days after finalizing the zero trust strategy, principles, and model architecture required under subsection (a), the Chief Information Officer of the Department of Defense and the Commander of Joint Forces Headquarters-Department of Defense Information Network shall provide to the congressional defense committees a briefing on such zero trust strategy, principles, and model architecture. (1) 国防総省の最高情報責任者と国防総省情報ネットワーク統合本部長は、(a)項で要求されたゼロトラスト戦略、原則、モデル・アーキテクチャーを確定してから90日以内に、議会の防衛委員会に対し、当該ゼロトラスト戦略、原則、モデル・アーキテクチャーに関するブリーフィングを行わなければならない。
(2) On implementation plans.--Not later than 90 days after the receipt by the Chief Information Officer of the Department of Defense of an implementation plan transmitted pursuant to subsection (d)(1), the secretary of a military department, in the case of an implementation plan pertaining to a military department or a military service, or the Chief Information Officer of the Department, in the case of an implementation plan pertaining to a remaining component of the Department, as the case may be, shall provide to the congressional defense committees a briefing on such implementation plan. (2) 実施計画について--国防総省の最高情報責任者が、第(d)項(1)に従って送信された実施計画を受領してから90日以内に、軍部または軍務に関連する実施計画の場合は軍部の長官が、国防総省の残りの構成要素に関連する実施計画の場合は国防総省の最高情報責任者が、場合によっては議会の防衛委員会に当該実施計画に関するブリーフィングを提供しなければならない。
(g) Annual Briefings.--Effective February 1, 2022, at each of the annual cybersecurity budget review briefings of the Chief Information Officer of the Department of Defense and the military services for congressional staff, until January 1, 2030, the Chief Information Officer and the head of each of the military services shall provide updates on the implementation in their respective networks of the zero trust strategy, principles, and model architecture. (g) 年次ブリーフィング--2022年2月1日より、2030年1月1日までの間、国防総省と軍部の最高情報責任者が議会スタッフに対して行う年次サイバーセキュリティ予算検討ブリーフィングの各回において、最高情報責任者と各軍部の長は、ゼロトラスト戦略、原則、モデル・アーキテクチャのそれぞれのネットワークにおける実施状況について最新情報を提供する。
SEC. 1529. DEMONSTRATION PROGRAM FOR AUTOMATED SECURITY VALIDATION TOOLS. Sec. 1529. 自動セキュリティ検証ツールの実証プログラム
(a) Demonstration Program Required.--Not later than October 1, 2024, the Chief Information Officer of the Department of Defense, acting through the Director of the Defense Information Systems Agency of the Department, shall complete a demonstration program to demonstrate and assess an automated security validation capability to assist the Department by-- (a) 遅くとも2024年10月1日までに、国防総省の最高情報責任者は、国防総省の国防情報システム庁長官を介して、以下の点で国防総省を支援する自動化されたセキュリティ検証能力を実証・評価するための実証プログラムを完成させなければならない。
(1) mitigating cyber hygiene challenges; (1) サイバー・ハイジーンの課題を軽減する。
(2) supporting ongoing efforts of the Department to assess weapon systems resiliency; (2) 兵器システムの回復力を評価するための省庁の継続的な取り組みを支援する。
(3) quantifying enterprise security effectiveness of enterprise security controls, to inform future acquisition decisions of the Department; (3) 企業のセキュリティ管理の有効性を定量化し、省庁の将来の取得決定に役立てる。
(4) assisting portfolio managers with balancing capability costs and capability coverage of the threat landscape; and (4) ポートフォリオマネージャーが、能力コストと脅威の範囲のバランスをとるのを支援する。
(5) supporting the Department's Cybersecurity Analysis and Review threat framework. (5) 省庁のサイバーセキュリティ分析とレビューの脅威フレームワークを支援する。
(b) Considerations.--In developing capabilities for the demonstration program required under subsection (a), the Chief Information Officer shall consider-- (b) 検討事項--(a)項で要求される実証プログラムのための能力を開発するにあたり、最高情報責任者は以下を検討しなければならない。
(1) integration into automated security validation tools of advanced commercially available threat intelligence; (1) 自動化されたセキュリティ検証ツールに、商業的に入手可能な高度な脅威インテリジェンスを統合すること。
(2) metrics and scoring of security controls; (2) セキュリティコントロールの評価基準とスコアリング。
(3) cyber analysis, cyber campaign tracking, and cybersecurity information sharing; (3) サイバー分析、サイバーキャンペーンの追跡、サイバーセキュリティ情報の共有。
(4) integration into cybersecurity enclaves and existing cybersecurity controls of security instrumentation and testing capability; (4) サイバーセキュリティ・エンクレーブや既存のサイバーセキュリティ・コントロールに統合された、セキュリティ機器やテスト機能。
(5) endpoint sandboxing; and (5) エンドポイントのサンドボックス化
(6) use of actual adversary attack methodologies. (6) 実際の敵対者の攻撃方法の使用。
(c) Coordination With Military Services.--In carrying out the demonstration program required under subsection (a), the Chief Information Officer, acting through the Director of the Defense Information Systems Agency, shall coordinate demonstration program activities with complementary efforts on-going within the military services, defense agencies, and field agencies. (c) 軍需産業との調整...第(a)項で要求された実証プログラムを実施するにあたり、最高情報責任者は、国防情報システム庁長官を通じて、実証プログラムの活動を、軍需産業、国防機関、現場機関の中で行われている補完的な取り組みと調整するものとする。
(d) Independent Capability Assessment.--In carrying out the demonstration program required under subsection (a), the Chief Information Officer, acting through the Director of the Defense Information Systems Agency and in coordination with the Director, Operational Test and Evaluation, shall perform operational testing to evaluate the operational effectiveness, suitability, and cybersecurity of the capabilities developed under the demonstration program. (d) 独立した能力評価 --(a)項で要求された実証プログラムを実施するにあたり、最高情報責任者は、国防情報システム庁長官を通じて行動し、運用試験評価担当長官と連携して、実証プログラムの下で開発された能力の運用効果、適合性、サイバーセキュリティを評価するための運用試験を実施する。
(e) Briefing.-- (e) ブリーフィング...
(1) Initial briefing.--Not later than April 1, 2022, the Chief Information Officer shall brief the Committee on Armed Services of the Senate and the Committee on Armed Services of the House of Representatives on the plans and status of the Chief Information Officer with respect to the demonstration program required under subsection (a). (1) 最高情報責任者は、2022年4月1日までに、上院軍事委員会および下院軍事委員会に対し、(a)項で要求される実証プログラムに関する最高情報責任者の計画と状況を説明する。)
(2) Final briefing.--Not later than October 31, 2024, the Chief Information Officer shall brief the Committee on Armed Services of the Senate and the Committee on Armed Services of the House of Representatives on the results and findings of the Chief Information Officer with respect to the demonstration program required under subsection (a). (2) 最終報告会--2024年10月31日までに、最高情報責任者は、上院軍事委員会および下院軍事委員会に対し、(a)項に基づいて要求される実証プログラムに関する最高情報責任者の結果および調査結果を報告する。
SEC. 1530. IMPROVEMENTS TO CONSORTIUM OF UNIVERSITIES TO ADVISE SECRETARY OF DEFENSE ON CYBERSECURITY MATTERS. Sec. 1530. 国防長官にサイバーセキュリティに関する助言を行う大学コンソーシアムの改善
Section 1659 of the National Defense Authorization Act for Fiscal Year 2020 (Public Law 116-92; 10 U.S.C. 391 note) is amended-- 2020年度国防権限法(Public Law 116-92; 10 U.S.C. 391 note)の第1659条を改正する。
(1) in subsection (a)-- (1) サブセクション(a)において--。
(A) in the matter preceding paragraph (1), by striking ``one or more consortia'' and inserting ``a consortium''; and (A) パラグラフ(1)の前の部分で、「1つ以上のコンソーシアム」を削除し、「1つのコンソーシアム」を挿入する。
(B) in paragraph (1), by striking ``or consortia''; (B) (1)の項では、「またはコンソーシアム」を削除する。
(2) in subsection (b), by striking ``or consortia''; (2) 第(b)項では、「またはコンソーシアム」を削除する。
(3) in subsection (c)-- (3) サブセクション(c)においては
(A) by amending paragraph (1) to read as follows: (A) パラグラフ(1)を以下のように修正します。
``(1) Designation of administrative chair.--The Secretary of Defense shall designate the National Defense University College of Information and Cyberspace to function as the administrative chair of the consortium established pursuant to subsection (a).''; ''(1) 国防長官は、国防大学情報サイバースペース学部を、(a)項に基づいて設立されたコンソーシアムの運営委員長として指定する。
(B) by striking paragraph (2); (B)段落(2)を削除する。
(C) by redesignating paragraphs (3) and (4) as paragraphs (2) and (3), respectively; (C)パラグラフ(3)および(4)をそれぞれパラグラフ(2)および(3)と再指定すること。
(D) in paragraph (2), as so redesignated-- (D) 再指定された第2パラグラフのうち
(i) in the matter preceding subparagraph (A)-- (i) (A)項の前の部分では
(I) by striking ``Each administrative'' and inserting ``The administrative''; and (I) 「各行政機関」を削除し、「その行政機関」を挿入すること。
(II) by striking ``a consortium'' and inserting ``the consortium''; and (II) 「あるコンソーシアム」を削除し、「そのコンソーシアム」を挿入する。
(ii) in subparagraph (A), by striking ``for the term specified by the Secretary under paragraph (1)''; and (ii) (A)項では、「(1)項に基づいて長官が指定した期間」を削除し、(iii)項では、「(1)項に基づいて長官が指定した期間」を削除する。
(E) by amending paragraph (3), as so redesignated, to read as follows: (E) 改訂されたパラグラフ(3)を以下のように修正する。
``(3) Executive committee.--The Secretary, in consultation with the administrative chair, may form an executive committee for the consortium that is comprised of representatives of the Federal Government to assist the chair with the management and functions of the consortium.''; and ''(3) 長官は、議長と協議の上、連邦政府の代表者で構成される執行委員会を設置し、議長のコンソーシアムの運営と機能を支援することができる。
(4) by amending subsection (d) to read as follows: (4) 第(d)項を次のように修正する。
``(d) Consultation.--The Secretary shall meet with such members of the consortium as the Secretary considers appropriate, not less frequently than twice each year or at such periodicity as is agreed to by the Secretary and the consortium.''. ''(d) 長官は、毎年2回以上の頻度で、または長官とコンソーシアムが合意した頻度で、長官が適切と考えるコンソーシアムのメンバーと会合を持つものとする。
SEC. 1531. DIGITAL DEVELOPMENT INFRASTRUCTURE PLAN AND WORKING GROUP. Sec. 1531. デジタル開発インフラ計画および作業部会
(a) Plan Required.--Not later than one year after the date of the enactment of this Act, the Secretary of Defense, acting through the working group established under subsection (d)(1), shall develop a plan for the establishment of a modern information technology infrastructure that supports state of the art tools and modern processes to enable effective and efficient development, testing, fielding, and continuous updating of artificial intelligence-capabilities. (a) 本法制定後1年以内に、国防長官は、(d)(1)に基づいて設立されたワーキンググループを通じて、人工知能能力の効果的かつ効率的な開発、試験、実戦、および継続的な更新を可能にする最先端のツールと近代的なプロセスをサポートする近代的な情報技術基盤の確立のための計画を策定しなければならない。
(b) Contents of Plan.--The plan developed pursuant to subsection (a) shall include at a minimum the following: (b) 計画の内容 -- 第(a)項に従って作成された計画には、少なくとも以下のものが含まれなければならない。
(1) A technical plan and guidance for necessary technical investments in the infrastructure described in subsection (a) that address critical technical issues, including issues relating to common interfaces, authentication, applications, platforms, software, hardware, and data infrastructure. (1) 共通のインターフェイス、認証、アプリケーション、プラットフォーム、ソフトウェア、ハードウェア、データインフラに関する問題を含む、重要な技術的問題に対処する、(a)項に記載されたインフラへの必要な技術的投資のための技術計画およびガイダンス。
(2) A governance structure, together with associated policies and guidance, to support the implementation throughout the Department of such plan. (2) このような計画の省全体での実施を支援するための、関連するポリシーやガイダンスを含むガバナンス構造。
(3) Identification and minimum viable instantiations of prototypical development and platform environments with such infrastructure, including enterprise data sets assembled under subsection (e). (3) (e)項に基づいて収集された企業データセットを含む、このようなインフラを備えたプロトタイプの開発環境およびプラットフォーム環境の特定および最小実行可能なインスタンス。
(c) Harmonization With Departmental Efforts.--The plan developed pursuant to subsection (a) shall include a description of the aggregated and consolidated financial and personnel requirements necessary to implement each of the following Department of Defense documents: (c) 省庁の取り組みとの調和 -- 第(a)項に従って作成された計画には、以下の国防省の各文書を実施するために必要な集計および統合された財務および人員の要件の説明が含まれなければならない。
(1) The Department of Defense Digital Modernization Strategy. (1)国防総省のデジタル近代化戦略。
(2) The Department of Defense Data Strategy. (2) 国防総省のデータ戦略
(3) The Department of Defense Cloud Strategy. (3) 国防省クラウド戦略
(4) The Department of Defense Software Modernization Strategy. (4) 国防総省ソフトウェア近代化戦略
(5) The Department-wide software science and technology strategy required under section 255 of the National Defense Authorization Act for Fiscal Year 2020 (10 U.S.C. 2223a note). (5) 2020年度国防権限法第255条(10 U.S.C. 2223a注)に基づいて要求される、省全体のソフトウェア科学技術戦略。
(6) The Department of Defense Artificial Intelligence Data Initiative. (6) 国防総省の人工知能データ・イニシアティブ。
(7) The Joint All-Domain Command and Control Strategy. (7) Joint All-Domain Command and Control Strategy(統合全領域指揮統制戦略)。
(8) Such other documents as the Secretary determines appropriate. (8) 長官が適切と判断するその他の文書。
(d) Working Group.-- (d) ワーキンググループ...
(1) Establishment.--Not later than 60 days after the date of the enactment of this Act, the Secretary of Defense shall establish a working group on digital development infrastructure implementation to develop the plan required under subsection (a). (1) 国防長官は、本法の制定日から60日以内に、デジタル開発基盤の導入に関する作業部会を設置し、(a)項で求められる計画を策定する。)
(2) Membership.--The working group established under paragraph (1) shall be composed of individuals selected by the Secretary of Defense to represent each of the following: (2) 第1項で設立された作業部会は、以下の各代表者から国防長官が選出した人物で構成される。
(A) The Office of Chief Data Officer (CDO). (A) 最高データ責任者(CDO)のオフィス。
(B) The Component Offices of Chief Information Officer and Chief Digital Officer. (B) コンポーネントの最高情報責任者および最高デジタル責任者のオフィス。
(C) The Joint Artificial Intelligence Center (JAIC). (C) 統合人工知能センター(JAIC)。
(D) The Office of the Under Secretary of Defense for Research & Engineering (OUSD (R&E)). (D) 研究・エンジニアリング担当国防次官室(OUSD (R&E))。
(E) The Office of the Under Secretary of Defense for Acquisition & Sustainment (OUSD (A&S)). (E) 取得・維持担当国防次官室(OUSD (A&S))。
(F) The Office of the Under Secretary of Defense for Intelligence & Security (OUSD (I&S)). (F) 情報・安全保障担当国防次官室(OUSD (I&S))。
(G) Service Acquisition Executives. (G) サービス調達担当幹部
(H) The Office of the Director of Operational Test and Evaluation (DOT&E). (H) 運用試験評価部長室(DOT&E)。
(I) The office of the Director of the Defense Advanced Research Projects Agency (DARPA). (I) 国防総省高等研究計画局(DARPA)局長室。
(J) Digital development infrastructure programs, including the appropriate activities of the military services and defense agencies. (J) 軍部および防衛機関の適切な活動を含む、デジタル開発基盤プログラム。
(K) Such other officials of the Department of Defense as the Secretary determines appropriate. (K) 長官が適切と判断した国防総省のその他の職員。
(3) Chairperson.--The chairperson of the working group established under paragraph (1) shall be the Chief Information Officer of the Department of Defense, or such other official as the Secretary of Defense considers appropriate. (3) 第1項に基づいて設置された作業部会の議長は、国防総省の最高情報責任者、または国防長官が適切と考えるその他の職員とする。
(4) Consultation.--The working group shall consult with such experts outside of the Department of Defense as the working group considers necessary to develop the plan required under subsection (a). (4) ワーキンググループは、(a)項で要求される計画を策定するために、ワーキンググループが必要と考える国防総省外の専門家と協議する。)
(e) Strategic Data Node.--To enable efficient access to enterprise data sets referred to in subsection (b)(3) for users with authorized access, the Secretary of Defense shall assemble such enterprise data sets in the following areas: (e) Strategic Data Node.--アクセスを許可されたユーザーが(b)(3)で言及された企業データセットに効率的にアクセスできるようにするために、国防長官は以下の分野でそのような企業データセットを組み立てるものとする。
(1) Human resources. (1)人的資源。
(2) Budget and finance. (2)予算と財務
(3) Acquisition. (3) 取得
(4) Logistics. (4) 兵站
(5) Real estate. (5)不動産
(6) Health care. (6) 健康管理
(7) Such other areas as the Secretary considers appropriate. (7) 長官が適切と考えるその他の分野。
(f) Report.--Not later than 180 days after the date of the enactment of this Act, the Secretary of Defense shall submit to the congressional defense committees a report on the status of the development of the plan required under subsection (a). (f) 国防長官は、本法の制定日から180日以内に、連邦議会の国防委員会に対し、(a)項で求められる計画の策定状況に関する報告書を提出しなければならない。)
SEC. 1532. STUDY REGARDING ESTABLISHMENT WITHIN THE DEPARTMENT OF DEFENSE OF A DESIGNATED CENTRAL PROGRAM OFFICE TO OVERSEE ACADEMIC ENGAGEMENT PROGRAMS RELATING TO ESTABLISHING CYBER TALENT ACROSS THE DEPARTMENT. Sec. 1532. 国防総省内にサイバー人材の育成に関する学術的なプログラムを統括する中央プログラムオフィスを設置することに関する研究
(a) In General.--Not later than 270 days after the date of the enactment of this Act, the Secretary of Defense shall submit to the congressional defense committees a study regarding the need, feasibility, and advisability of establishing within the Department of Defense a designated central program office responsible for overseeing covered academic engagement programs across the Department. Such study shall examine the following: (a) 国防長官は、本法令の制定日から270日以内に、国防省内に、省内の対象となる学術的関与プログラムを監督する指定中央プログラム局を設置する必要性、実現可能性、および助言に関する調査を、議会の防衛委員会に提出しなければならない。この調査では以下のことを検討する。
(1) Whether the Department's cyber-focused academic engagement needs more coherence, additional coordination, or improved management, and whether a designated central program office would provide such benefits. (1) 国防総省のサイバー関連の学術活動は、より一貫性があり、調整が必要であり、管理が改善される必要があるかどうか、また、指定された中央プログラム事務所がそのような利点をもたらすかどうか。
(2) How such a designated central program office would coordinate and harmonize Department programs relating to covered academic engagement programs. (2) そのような指定された中央プログラム事務所が、対象となる学術的関与プログラムに関連する省のプログラムをどのように調整し、調和させるか。
(3) Metrics such office would use to measure the effectiveness of covered academic engagement programs. (3) 当該事務局が対象となる学術的関与プログラムの効果を測定するために使用する評価基準
(4) Whether such an office is necessary to serve as an identifiable entry point to the Department by the academic community. (4) このような事務局は、学術界が省に対して識別可能な入口として機能するために必要であるかどうか。
(5) Whether the cyber discipline with respect to academic engagement should be treated separately from other STEM fields. (5) 学術的関与に関するサイバー分野は、他のSTEM分野とは別に扱うべきかどうか。
(6) How such an office would interact with the consortium universities (established pursuant to section 1659 of the National Defense Authorization Act for Fiscal Year 2020 (10 U.S.C. 391 note)) to assist the Secretary on cybersecurity matters. (6) このような事務局は、サイバーセキュリティに関する事項で長官を支援するためのコンソーシアム大学(2020年度国防権限法第1659条(10 U.S.C. 391注)に基づいて設立される)とどのように相互作用するか。
(7) Whether the establishment of such an office would have an estimated net savings for the Department. (7) そのような事務所の設立が、省庁にとって推定正味の節約になるかどうか。
(b) Consultation.--In conducting the study required under subsection (a), the Secretary of Defense shall consult with and solicit recommendations from academic institutions and stakeholders, including primary, secondary, and post-secondary educational institutions. (b) 協議...国防長官は、(a)項で要求される調査を実施するにあたり、初等・中等・高等教育機関を含む学術機関や利害関係者と協議し、提言を求めなければならない。
(c) Determination.-- (c) 決定。
(1) In general.--Upon completion of the study required under subsection (a), the Secretary of Defense shall make a determination regarding the establishment within the Department of Defense of a designated central program office responsible for overseeing covered academic engagement programs across the Department. (1) 国防長官は、(a)項に基づく調査が完了した時点で、国防総省内に対象となる学術活動プログラムを監督する責任を負う指定された中央プログラム事務所を設置するかどうかについて決定を下す。
(2) Implementation.--If the Secretary of Defense makes an affirmative determination in accordance with paragraph (1), the Secretary shall establish within the Department of Defense a designated central program office responsible for overseeing covered academic programs across the Department. Not later than 180 days after such a determination, the Secretary shall promulgate such rules and regulations as are necessary to so establish such an office. (2) 国防長官が(1)項に従って肯定的な判断を下した場合、国防長官は国防省内に対象となる学術プログラムを監督する責任を負う指定中央プログラム局を設置する。そのような決定から180日以内に、長官はそのような事務所を設立するために必要な規則を公布しなければならない。
(3) Negative determination.--If the Secretary of Defense makes a negative determination in accordance with paragraph (1), the Secretary shall submit to the congressional defense committees notice of such determination, together with a justification for such determination. Such justification shall include-- (3) 国防長官が(1)項に従って否定的な決定を下した場合、長官はその決定を正当化する理由とともに、議会の防衛委員会に通知を提出する。正当化には以下が含まれる。
(A) how the Secretary intends to coordinate and harmonize covered academic engagement programs; and (A) 対象となる学術的関与プログラムをどのように調整し、調和させようとしているのか。
(B) measures to determine effectiveness of covered academic engagement programs absent a designated central program office responsible for overseeing covered academic programs across the Department. (B) 対象となる学術的関与プログラムの有効性を判断するための手段で、省庁全体の対象となる学術的プログラムを監督する責任を負う指定された中央プログラム事務所が存在しないこと。
(d) Report.--Not later than 270 days after the date of the enactment of this Act, the Secretary of Defense shall submit to the congressional defense committees a report that updates the matters required for inclusion in the reports required pursuant to section 1649 of the National Defense Authorization Act for Fiscal Year 2020 (Public Law 116-92) and section 1726(c) of the William M. (Mac) Thornberry National Defense Authorization Act for Fiscal Year 2021 (Public Law 116-283). (d) 報告書 --本法制定日から270日以内に、国防長官は、2020会計年度国防権限法第1649条(公法116-92)および2021会計年度ウィリアム・M・(マック)ソーンベリー国防権限法第1726条(c)に従って求められる報告書に記載すべき事項を更新した報告書を、議会の国防委員会に提出しなければならない。
(e) Definition.--In this section, the term ``covered academic engagement program'' means each of the following: (e) 定義--本項において、「対象となる学術的関与プログラム」とは、以下の各項目を意味する。
(1) Primary, secondary, or post-secondary education programs with a cyber focus. (1) サイバーに焦点を当てた初等教育、中等教育、または中等後教育プログラム。
(2) Recruitment or retention programs for Department of Defense cyberspace personnel, including scholarship programs. (2) 奨学金制度を含む、国防省のサイバースペース要員の採用または保持のためのプログラム。
(3) Academic partnerships focused on establishing cyber talent. (3) サイバー人材の確保に焦点を当てた学術的パートナーシップ。
(4) Cyber enrichment programs. (4) サイバーに関する充実したプログラム
SEC. 1533. REPORT ON THE CYBERSECURITY MATURITY MODEL CERTIFICATION PROGRAM. Sec. 1533. サイバーセキュリティーマチュリティモデル認証プログラムに関する報告書
(a) Report Required.--Not later than 90 days after the date of the enactment of this Act, the Secretary of Defense shall submit to the Committee on Armed Services of the Senate and the Committee on Armed Services of the House of Representatives a report on the plans and recommendations of the Secretary for the Cyber Maturity Model Certification program. (a) 国防長官は、上院の軍事委員会と下院の軍事委員会に、サイバーセキュリティ成熟度モデル認証プログラムに関する長官の計画と提案についての報告書を提出しなければならない。
(b) Contents.--The report submitted under subsection (a) shall include the following: (b) 内容 --(a)項に基づいて提出される報告書には、以下の内容が含まれなければならない。
(1) The programmatic changes required in the Cyber Maturity Model Certification program to address the plans and recommendations of the Secretary of Defense referred to in such subsection. (1) 当該サブセクションで言及された国防長官の計画と提言に対応するために、サイバー成熟度モデル認証プログラムに必要なプログラム上の変更。
(2) The strategy of the Secretary for rulemaking for such program and the process for the Cybersecurity Maturity Model Certification rule. (2) 当該プログラムの規則制定に関する長官の戦略と、サイバーセキュリティ成熟度モデル認証規則のプロセス。
(3) The budget and resources required to support such program. (3) 当該プログラムを支援するために必要な予算とリソース。
(4) A plan for communication and coordination with the defense industrial base regarding such program. (4) 当該プログラムに関する防衛産業基盤とのコミュニケーションと調整のための計画。
(5) The coordination needed within the Department of Defense and between Federal agencies for such program. (5) 当該プログラムのために必要な国防省内及び連邦政府機関間の調整。
(6) The applicability of such program requirements to universities and academic partners of the Department. (6)国防省の大学や学術パートナーに対する当該プログラム要件の適用性
(7) A plan for communication and coordination with such universities and academic partners regarding such program. (7) 当該プログラムに関する当該大学や学術パートナーとの連絡・調整の計画。
(8) Plans and explicit public announcement of processes for reimbursement of cybersecurity compliance expenses for small and non-traditional businesses in the defense industrial base. (8) 防衛産業基盤における小規模・非伝統的企業のサイバーセキュリティ対応費用の償還に関する計画とそのプロセスの明示的な公表。
(9) Plans for ensuring that persons seeking a Department contract for the first time are not required to expend funds to acquire cybersecurity capabilities and a certification required to perform under a contract as a precondition for bidding on such a contract without reimbursement in the event that such persons do not receive a contract award. (9) 防衛省の契約を初めて締結しようとする者が、当該契約への入札の前提として、契約に基づいて履行するために必要なサイバーセキュリティ能力および認証を取得するために資金を支出する必要がないことを保証するための計画で、当該者が契約の受注を得られなかった場合には、償還されない。
(10) Clarification of roles and responsibilities of prime contractors for assisting and managing cybersecurity performance of subcontractors. (10) 下請業者のサイバーセキュリティ性能を支援・管理するための元請業者の役割・責任の明確化。
(11) Such additional matters as the Secretary considers appropriate. (11) 長官が適切と考える追加事項。
SEC. 1534. DEADLINE FOR REPORTS ON ASSESSMENT OF CYBER RESILIENCY OF NUCLEAR COMMAND AND CONTROL SYSTEM. Sec. 1534. 核指揮統制システムのサイバー復元力の評価に関する報告書の期限
 Subsection (c) of section 499 of title 10, United States Code, is amended--  アメリカ合衆国コード10のセクション499のサブセクション(c)は、以下のように修正される。
(1) in the heading, by striking ``Report'' and inserting ``Reports''; (1) 見出しにおいて、「報告書」を削除し、「報告書」を挿入する。
(2) in paragraph (1), in the matter preceding subparagraph (A)-- (2) パラグラフ(1)の(A)号の前の部分。
(A) by striking ``The Commanders'' and inserting ``For each assessment conducted under subsection (a), the Commanders''; and (A) 「司令官」を削除し、「サブセクション(a)に基づいて実施された各評価について、司令官」と挿入すること。
(B) by striking ``the assessment required by subsection (a)'' and inserting ``the assessment''; (B) 「(a)項で要求される評価」を削除し、「評価」を挿入する。
(3) in paragraph (2), by striking ``the report'' and inserting ``each report''; and (3) パラグラフ(2)では、「報告書」を削除し、「各報告書」を挿入した。
(4) in paragraph (3)-- (4) パラグラフ(3)では
(A) by striking ``The Secretary'' and inserting ``Not later than 90 days after the date of the submission of a report under paragraph (1), the Secretary''; and (A) 「長官」を削除し、「(1)項の報告書が提出された日から90日以内に、長官」と挿入すること。
(B) by striking ``required by paragraph (1)''. (B) 「パラグラフ(1)で求められている」を削除する。
Subtitle C--Matters Related to Federal Cybersecurity サブタイトルC:連邦政府のサイバーセキュリティに関する事項
SEC. 1541. CAPABILITIES OF THE CYBERSECURITY AND INFRASTRUCTURE SECURITY AGENCY TO IDENTIFY THREATS TO INDUSTRIAL CONTROL SYSTEMS. Sec. 1541. 産業用制御システムへの脅威を特定するためのサイバーセキュリティ・インフラセキュリティ庁の能力
(a) In General.--Section 2209 of the Homeland Security Act of 2002 (6 U.S.C. 659) is amended-- (a) 2002年国土安全保障法2209条(6 U.S.C. 659)は以下のように修正される。
(1) in subsection (e)(1)-- (1)サブセクション(e)(1)において
(A) in subparagraph (G), by striking ``and;'' after the semicolon; (A)サブパラグラフ(G)のセミコロンの後に「および」を削除する。
(B) in subparagraph (H), by inserting ``and'' after the semicolon; and (B) (H)号のセミコロンの後に「および」を挿入する。
(C) by adding at the end the following new subparagraph: (C) 最後に次の新しいサブパラグラフを追加する。
``(I) activities of the Center address the security of both information technology and operational technology, including industrial control systems;''; and (C) 最後に、次の新しいサブパラグラフを追加する。「(I) センターの活動は、情報技術と、産業制御システムを含む運用技術の両方のセキュリティに取り組むものである。
(2) by adding at the end the following new subsection: (2) 末尾に以下のサブセクションを追加する。
``(q) Industrial Control Systems.--The Director shall maintain capabilities to identify and address threats and vulnerabilities to products and technologies intended for use in the automated control of critical infrastructure processes. In carrying out this subsection, the Director shall-- ''(q)  局長は、重要インフラのプロセスを自動制御するための製品や技術に対する脅威や脆弱性を特定し、対処する能力を維持しなければならない。このサブセクションを実行するために、長官は以下を行う。
``(1) lead Federal Government efforts, in consultation with Sector Risk Management Agencies, as appropriate, to identify and mitigate cybersecurity threats to industrial control systems, including supervisory control and data acquisition systems; '(1) 必要に応じてセクター・リスク管理機関と協議しながら、産業用制御システム(監視制御およびデータ取得システムを含む)に対するサイバーセキュリティの脅威を特定し、緩和するための連邦政府の取り組みを主導する。
``(2) maintain threat hunting and incident response capabilities to respond to industrial control system cybersecurity risks and incidents; ''(2) 産業用制御システムのサイバーセキュリティ上のリスクやインシデントに対応するため、脅威の探索やインシデント対応能力を維持すること。
``(3) provide cybersecurity technical assistance to industry end-users, product manufacturers, Sector Risk Management Agencies, other Federal agencies, and other industrial control system stakeholders to identify, evaluate, assess, and mitigate vulnerabilities; ''(3) 産業界のエンドユーザー、製品メーカー、セクターリスク管理機関、他の連邦機関、その他の産業用制御システムの利害関係者に対し、脆弱性を特定、評価、査定、緩和するためのサイバーセキュリティ技術支援を提供すること。
``(4) collect, coordinate, and provide vulnerability information to the industrial control systems community by, as appropriate, working closely with security researchers, industry end-users, product manufacturers, Sector Risk Management Agencies, other Federal agencies, and other industrial control systems stakeholders; and ''(4)必要に応じて、セキュリティ研究者、産業界のエンドユーザー、製品メーカー、セクター・リスク管理機関、他の連邦機関、およびその他の産業用制御システムの利害関係者と緊密に協力して、脆弱性情報を収集、調整、および産業用制御システムのコミュニティに提供すること。
``(5) conduct such other efforts and assistance as the Secretary determines appropriate.''. ''(5) 長官が適切と判断するその他の努力と支援を行うこと。
(b) Report to Congress.--Not later than 180 days after the date of the enactment of this Act and every six months thereafter during the subsequent 4-year period, the Director of the Cybersecurity and Infrastructure Security Agency of the Department of Homeland Security shall provide to the Committee on Homeland Security of the House of Representatives and the Committee on Homeland Security and Governmental Affairs of the Senate a briefing on the industrial control systems capabilities of the Agency under section 2209 of the Homeland Security Act of 2002 (6 U.S.C. 659), as amended by subsection (a). (b) 議会への報告--本法制定日から180日以内に、またその後の4年間は6ヶ月ごとに、国土安全保障省サイバーセキュリティ・インフラセキュリティ庁長官は、下院の国土安全保障委員会および上院の国土安全保障・政府問題委員会に対し、(a)項で改正された2002年国土安全保障法第2209項(6 U.S.C. 659)に基づく同庁の産業制御システム能力に関するブリーフィングを行う。
(c) GAO Review.--Not later than two years after the date of the enactment of this Act, the Comptroller General of the United States shall review implementation of the requirements of subsections (e)(1)(I) and (p) of section 2209 of the Homeland Security Act of 2002 (6 U.S.C. 659), as amended by subsection (a), and submit to the Committee on Homeland Security of the House of Representatives and the Committee on Homeland Security and Governmental Affairs of the Senate a report that includes findings and recommendations relating to such implementation. Such report shall include information on the following: (c) GAOレビュー。 本法制定日から2年以内に、米国会計検査院は、2002年国土安全保障法第2209条(6 U.S.C. 659)の第(e)(1)(I)項および第(p)項の要件の実施状況をレビューし、下院の国土安全保障委員会および上院の国土安全保障・政府問題委員会に、当該実施状況に関する所見および勧告を含む報告書を提出する。当該報告書には、以下の事項に関する情報が含まれるものとする。
(1) Any interagency coordination challenges to the ability of the Director of the Cybersecurity and Infrastructure Security Agency of the Department of Homeland Security to lead Federal efforts to identify and mitigate cybersecurity threats to industrial control systems pursuant to subsection (p)(1) of such section. (1) 当該セクションのサブセクション(p)(1)に従い、産業用制御システムに対するサイバーセキュリティの脅威を特定し、軽減するための連邦の取り組みを国土安全保障省のサイバーセキュリティ・インフラストラクチャセキュリティ庁長官が主導する能力に対する省庁間の調整上の課題。
(2) The degree to which the Agency has adequate capacity, expertise, and resources to carry out threat hunting and incident response capabilities to mitigate cybersecurity threats to industrial control systems pursuant to subsection (p)(2) of such section, as well as additional resources that would be needed to close any operational gaps in such capabilities. (2)同セクションのサブセクション(p)(2)に従い、産業用制御システムに対するサイバーセキュリティの脅威を軽減するための脅威探索およびインシデント対応能力を実行するために、同庁が十分な能力、専門知識、資源を有している度合い、およびそのような能力における運用上のギャップを解消するために必要となる追加資源について。
(3) The extent to which industrial control system stakeholders sought cybersecurity technical assistance from the Agency pursuant to subsection (p)(3) of such section, and the utility and effectiveness of such technical assistance. (3) 産業用制御システムの利害関係者が、同項(p)(3)に従い、サイバーセキュリティの技術支援を庁に求めた程度と、当該技術支援の有用性・有効性について。
(4) The degree to which the Agency works with security researchers and other industrial control systems stakeholders, pursuant to subsection (p)(4) of such section, to provide vulnerability information to the industrial control systems community. (4) 産業用制御システムコミュニティに脆弱性情報を提供するために、同項(p)(4)に基づき、セキュリティ研究者や他の産業用制御システムの利害関係者とAgencyがどの程度協力しているか。
SEC. 1542. CYBERSECURITY VULNERABILITIES. Sec. 1542. サイバーセキュリティの脆弱性
Section 2209 of the Homeland Security Act of 2002 (6 U.S.C. 659) is amended-- 2002年国土安全保障法(6 U.S.C. 659)の第2209条を改正します。
(1) in subsection (a)-- (1)サブセクション(a)において--。
(A) by redesignating paragraphs (4) through (8) as paragraphs (5) through (9), respectively; and (A) パラグラフ(4)から(8)をそれぞれパラグラフ(5)から(9)と改称する。
(B) by inserting after paragraph (3) the following new paragraph: (B) パラグラフ(3)の後に次の新しいパラグラフを挿入すること。
``(4) the term `cybersecurity vulnerability' has the meaning given the term `security vulnerability' in section 102 of the Cybersecurity Information Sharing Act of 2015 (6 U.S.C. 1501);''. (4) 「サイバーセキュリティの脆弱性」という用語は、2015年サイバーセキュリティ情報共有法(6 U.S.C. 1501)の第102条にある「セキュリティの脆弱性」という用語に与えられた意味を持つ。
(2) in subsection (c)-- (2)サブセクション(c)において--。
(A) in paragraph (5)-- (A) パラグラフ(5)において--。
(i) in subparagraph (A), by striking ``and'' after the semicolon at the end; (i) サブパラグラフ(A)において、最後のセミコロンの後に「および」を削除すること。
(ii) by redesignating subparagraph (B) as subparagraph (C); (ii) (B)号を(C)号に改称する。
(iii) by inserting after subparagraph (A) the following new subparagraph: (iii) サブパラグラフ(A)の後に、以下の新しいサブパラグラフを挿入する。
``(B) sharing mitigation protocols to counter cybersecurity vulnerabilities pursuant to subsection (n), as appropriate; and''; and (iii) サブパラグラフ(A)の後に、次の新しいサブパラグラフを挿入する。「(B) 必要に応じて、サブセクション(n)に従って、サイバーセキュリティの脆弱性に対抗するための緩和プロトコルを共有すること。
(iv) in subparagraph (C), as so redesignated, by inserting ``and mitigation protocols to counter cybersecurity vulnerabilities in accordance with subparagraph (B), as appropriate,'' before ``with Federal''; (iv) 再指定された(C)項では、「連邦政府と」の前に、「適切な場合には、(B)項に従ってサイバーセキュリティの脆弱性に対抗するための緩和プロトコルも」を挿入する。
(B) in paragraph (7)(C), by striking ``sharing'' and inserting ``share''; and (B) パラグラフ(7)(C)では、「共有」を削除し、「シェア」を挿入する。
(C) in paragraph (9), by inserting ``mitigation protocols to counter cybersecurity vulnerabilities, as appropriate,'' after ``measures,''; (C)(9)項では、「対策」の後に「サイバーセキュリティの脆弱性に対抗するための緩和策」を適宜挿入する。
(3) by redesignating subsection (o) as subsection (p); and (3) サブセクション(o)をサブセクション(p)と再指定する。
(4) by inserting after subsection (n) following new subsection: (4) サブセクション(n)の後に以下の新しいサブセクションを挿入する。
``(o) Protocols to Counter Certain Cybersecurity Vulnerabilities.-- (o) 特定のサイバーセキュリティの脆弱性に対抗するためのプロトコル」。
The Director may, as appropriate, identify, develop, and disseminate actionable protocols to mitigate cybersecurity vulnerabilities to information systems and industrial control systems, including in circumstances in which such vulnerabilities exist because software or hardware is no longer supported by a vendor.''. 局長は、必要に応じて、情報システムや産業用制御システムのサイバーセキュリティ上の脆弱性を軽減するための実行可能なプロトコルを特定、開発、普及させることができる(ソフトウェアやハードウェアがベンダーによってサポートされなくなったためにそのような脆弱性が存在する場合を含む)。
SEC. 1543. REPORT ON CYBERSECURITY VULNERABILITIES. Sec. 1543. サイバーセキュリティの脆弱性に関する報告
(a) Report.--Not later than one year after the date of the enactment of this Act, the Director of the Cybersecurity and Infrastructure Security Agency of the Department of Homeland Security shall submit to the Committee on Homeland Security of the House of Representatives and the Committee on Homeland Security and Governmental Affairs of the Senate a report on how the Agency carries out subsection (n) of section 2209 of the Homeland Security Act of 2002 to coordinate vulnerability disclosures, including disclosures of cybersecurity vulnerabilities (as such term is defined in such section), and subsection (o) of such section to disseminate actionable protocols to mitigate cybersecurity vulnerabilities to information systems and industrial control systems, that include the following: (a) 報告書... 本法の制定日から1年以内に、国土安全保障省のサイバーセキュリティ・インフラセキュリティ庁長官は、下院の国土安全保障委員会および上院の国土安全保障・政府問題委員会に、脆弱性の開示を調整するために2002年国土安全保障法第2209条の(n)項を同庁がどのように実行しているかについての報告書を提出しなければならない。サイバーセキュリティの脆弱性(この用語は同項で定義されている)の開示を含む脆弱性の開示を調整するための2002年国土安全保障法第2209条の第(n)項と、情報システムおよび産業用制御システムに対するサイバーセキュリティの脆弱性を緩和するための実行可能なプロトコルを普及させるための同項の第(o)項を、Agencyがどのように実行するかについての報告書で、以下を含みます。
(1) A description of the policies and procedures relating to the coordination of vulnerability disclosures. (1) 脆弱性の開示の調整に関する方針と手順の説明。
(2) A description of the levels of activity in furtherance of such subsections (n) and (o) of such section 2209. (2) 当該第2209条の(n)項および(o)項を推進するための活動レベルの説明。
(3) Any plans to make further improvements to how information provided pursuant to such subsections can be shared (as such term is defined in such section 2209) between the Department and industry and other stakeholders. (3) 第2209条の(n)および(o)に従って提供された情報を、省庁と産業界およびその他の関係者との間で共有する方法をさらに改善するための計画。
(4) Any available information on the degree to which such information was acted upon by industry and other stakeholders. (4) 当該情報が業界およびその他の関係者によってどの程度行動されたかに関する利用可能な情報。
(5) A description of how privacy and civil liberties are preserved in the collection, retention, use, and sharing of vulnerability disclosures. (5) 脆弱性情報の収集、保持、使用、共有において、プライバシーと市民的自由がどのように守られているかの説明。
(b) Form.--The report required under subsection (b) shall be submitted in unclassified form but may contain a classified annex. (b) 形式 -- 第(b)項に基づいて要求される報告書は、非分類の形式で提出されなければならないが、分類された付属書を含むことができる。
SEC. 1544. COMPETITION RELATING TO CYBERSECURITY VULNERABILITIES. Sec. 1544. サイバーセキュリティの脆弱性に関する競争
The Under Secretary for Science and Technology of the Department of Homeland Security, in consultation with the Director of the Cybersecurity and Infrastructure Security Agency of the Department, may establish an incentive-based program that allows industry, individuals, academia, and others to compete in identifying remediation solutions for cybersecurity vulnerabilities (as such term is defined in section 2209 of the Homeland Security Act of 2002) to information systems (as such term is defined in such section 2209) and industrial control systems, including supervisory control and data acquisition systems. 国土安全保障省科学技術次官は、同省サイバーセキュリティ・インフラセキュリティ庁長官と協議の上、産業界、個人、学界などが、情報システム(2002年国土安全保障法第2209条に定義される)および産業制御システム(監視制御・データ取得システムを含む)に対するサイバーセキュリティの脆弱性(同条に定義される)の改善策の特定を競うことができる、インセンティブベースのプログラムを設立することができる。
SEC. 1545. STRATEGY. Sec. 1545. 戦略
Section 2210 of the Homeland Security Act of 2002 (6 U.S.C. 660) is amended by adding at the end the following new subsection: 2002年国土安全保障法(6 U.S.C. 660)のセクション2210は、最後に以下のサブセクションを追加することで改正される。
``(e) Homeland Security Strategy to Improve the Cybersecurity of State, Local, Tribal, and Territorial Governments.-- ''(e) 州政府、地方政府、部族政府、準州政府のサイバーセキュリティを向上させるための国土安全保障戦略。
``(1) In general.-- ''(1) 一般的に...
``(A) Requirement.--Not later than one year after the date of the enactment of this subsection, the Secretary, acting through the Director, shall, in coordination with the heads of appropriate Federal agencies, State, local, Tribal, and territorial governments, and other stakeholders, as appropriate, develop and make publicly available a Homeland Security Strategy to Improve the Cybersecurity of State, Local, Tribal, and Territorial Governments. ''(A)要求事項 -- 本款が制定された日から1年以内に、長官は必要に応じて、適切な連邦機関の長、州、地方、部族、領土政府、およびその他の利害関係者と協力して、州、地方、部族、領土政府のサイバーセキュリティを向上させるための国土安全保障戦略を策定し、公開しなければならない。
``(B) Recommendations and requirements.--The strategy required under subparagraph (A) shall provide recommendations relating to the ways in which the Federal Government should support and promote the ability of State, local, Tribal, and territorial governments to identify, mitigate against, protect against, detect, respond to, and recover from cybersecurity risks (as such term is defined in section 2209), cybersecurity threats, and incidents (as such term is defined in section 2209). ''(B) 推奨事項と要求事項 --(A)項で求められる戦略は、州・地方・部族・準州政府がサイバーセキュリティ・リスク(2209項で定義)、サイバーセキュリティ脅威、インシデント(2209項で定義)を特定し、緩和し、防御し、検知し、対応し、回復する能力を、連邦政府がどのように支援し、促進すべきかについての提言を提供する。
``(2) Contents.--The strategy required under paragraph (1) shall-- ''(2) 内容:第1項で求められる戦略は以下の通りである。
``(A) identify capability gaps in the ability of State, local, Tribal, and territorial governments to identify, protect against, detect, respond to, and recover from cybersecurity risks, cybersecurity threats, incidents, and ransomware incidents; ''(A)サイバーセキュリティリスク、サイバーセキュリティ脅威、インシデント、ランサムウェアのインシデントを特定し、防御し、検出し、対応し、回復するための州政府、地方政府、部族政府、領土政府の能力のギャップを特定する。
``(B) identify Federal resources and capabilities that are available or could be made available to State, local, Tribal, and territorial governments to help those governments identify, protect against, detect, respond to, and recover from cybersecurity risks, cybersecurity threats, incidents, and ransomware incidents; ''(B)州政府、地方政府、部族政府、準州政府がサイバーセキュリティリスク、サイバーセキュリティ脅威、インシデント、ランサムウェアインシデントを特定し、防御し、検知し、対応し、回復するのを助けるために、州政府、地方政府、部族政府、準州政府が利用できる、または利用できる可能性のある連邦のリソースと能力を特定する。
``(C) identify and assess the limitations of Federal resources and capabilities available to State, local, Tribal, and territorial governments to help those governments identify, protect against, detect, respond to, and recover from cybersecurity risks, cybersecurity threats, incidents, and ransomware incidents and make recommendations to address such limitations; ''(C)州政府、地方政府、部族政府、準州政府がサイバーセキュリティリスク、サイバーセキュリティ脅威、インシデント、ランサムウェアインシデントを特定し、それらから保護し、検知し、対応し、回復するために利用できる連邦政府のリソースと能力の限界を特定し、評価し、その限界に対処するための提言を行う。
``(D) identify opportunities to improve the coordination of the Agency with Federal and non-Federal entities, such as the Multi-State Information Sharing and Analysis Center, to improve-- ''(D)マルチステート情報共有分析センターなどの連邦および非連邦組織との連携を改善する機会を特定し、以下を改善する。
``(i) incident exercises, information sharing and incident notification procedures; ''(i) インシデント演習、情報共有、インシデント通知の手順。
``(ii) the ability for State, local, Tribal, and territorial governments to voluntarily adapt and implement guidance in Federal binding operational directives; and ''(ii) 州、地方、部族、地域の政府が、連邦政府の作戦指令書に記載されているガイダンスを自主的に適応させ、実施する能力。
``(iii) opportunities to leverage Federal schedules for cybersecurity investments under section 502 of title 40, United States Code; ''(iii) 合衆国法典第40条第502項に基づくサイバーセキュリティ投資のための連邦政府のスケジュールを活用する機会。
``(E) recommend new initiatives the Federal Government should undertake to improve the ability of State, local, Tribal, and territorial governments to identify, protect against, detect, respond to, and recover from cybersecurity risks, cybersecurity threats, incidents, and ransomware incidents; ''(E) 州、地方、部族、地域政府がサイバーセキュリティのリスク、サイバーセキュリティの脅威、インシデント、ランサムウェアのインシデントを特定し、防御し、検出し、対応し、回復する能力を向上させるために、連邦政府が実施すべき新たな取り組みを提言する。
``(F) set short-term and long-term goals that will improve the ability of State, local, Tribal, and territorial governments to identify, protect against, detect, respond to, and recover from cybersecurity risks, cybersecurity threats, incidents, and ransomware incidents; and ''(F) サイバーセキュリティリスク、サイバーセキュリティの脅威、インシデント、ランサムウェアのインシデントを特定、防御、検知、対応、回復する州政府、地方政府、部族政府の能力を向上させるための短期および長期の目標を設定する。
``(G) set dates, including interim benchmarks, as appropriate for State, local, Tribal, and territorial governments to establish baseline capabilities to identify, protect against, detect, respond to, and recover from cybersecurity risks, cybersecurity threats, incidents, and ransomware incidents. ''(G) 州政府、地方政府、部族政府、準州政府が、サイバーセキュリティリスク、サイバーセキュリティの脅威、インシデント、ランサムウェアのインシデントを特定し、防御し、検知し、対応し、回復するための基本的な能力を確立するために、適宜、暫定的なベンチマークを含む期日を設定すること。
``(3) Considerations.--In developing the strategy required under paragraph (1), the Director, in coordination with the heads of appropriate Federal agencies, State, local, Tribal, and territorial governments, and other stakeholders, as appropriate, shall consider-- ''(3) パラグラフ(1)で要求される戦略を策定するにあたり、長官は、適切な連邦機関の長、州、地方、部族、領土の政府、およびその他の利害関係者と連携し、必要に応じて以下を考慮しなければならない。
``(A) lessons learned from incidents that have affected State, local, Tribal, and territorial governments, and exercises with Federal and non-Federal entities; ''(A) 州、地方、部族、領土政府に影響を与えた事件から得られた教訓、および連邦政府および非連邦政府の組織との演習。
``(B) the impact of incidents that have affected State, local, Tribal, and territorial governments, including the resulting costs to such governments; '(B) 州政府、地方政府、部族政府、領土政府に影響を与えた事件の影響(これらの政府にかかるコストを含む)。
``(C) the information related to the interest and ability of state and non-state threat actors to compromise information systems (as such term is defined in section 102 of the Cybersecurity Act of 2015 (6 U.S.C. 1501)) owned or operated by State, local, Tribal, and territorial governments; and ''(C) 州政府、地方政府、部族政府、領土政府が所有または運営する情報システム(2015年サイバーセキュリティ法(6 U.S.C. 1501)の第102条で定義されている)を危険にさらす国家および非国家の脅威行為者の関心と能力に関する情報
``(D) emerging cybersecurity risks and cybersecurity threats to State, local, Tribal, and territorial governments resulting from the deployment of new technologies. ''(D) 新技術の導入によって生じる、新たなサイバーセキュリティリスクと、州・地方・部族・準州政府に対するサイバーセキュリティ上の脅威。
``(4) Exemption.--Chapter 35 of title 44, United States Code (commonly known as the `Paperwork Reduction Act'), shall not apply to any action to implement this subsection.''. ''(4) このサブセクションを実施するためのいかなる行為にも、米国コード44の35章(通称:Paperwork Reduction Act)は適用されないものとする。
SEC. 1546. CYBER INCIDENT RESPONSE PLAN. Sec. 1546. サイバーインシデント対応計画
Subsection (c) of section 2210 of the Homeland Security Act of 2002 (6 U.S.C. 660) is amended-- 2002年国土安全保障法第2210条(6 U.S.C. 660)の(c)項は以下のように修正される。
(1) by striking ``regularly update'' and inserting ``update not less often than biennially''; and (1) 「定期的に更新する」を削除し、「隔年以上の頻度で更新する」を挿入する。
(2) by adding at the end the following new sentence: ``The Director, in consultation with relevant Sector Risk Management Agencies and the National Cyber Director, shall develop mechanisms to engage with stakeholders to educate such stakeholders regarding Federal Government cybersecurity roles and responsibilities for cyber incident response.''. (2) 最後に以下の新しい文を追加する。局長は、関連するセクター・リスク管理機関およびナショナル・サイバー・ディレクターと協議の上、連邦政府のサイバーセキュリティの役割とサイバー・インシデント対応の責任について、利害関係者を教育するための仕組みを構築するものとする。
SEC. 1547. NATIONAL CYBER EXERCISE PROGRAM. Sec. 1547. 国家サイバー演習プログラム
(a) In General.--Subtitle A of title XXII of the Homeland Security Act of 2002 (6 U.S.C. 651 et seq.) is amended by adding at the end the following new section: (a) 2002年国土安全保障法タイトルXXIIのサブタイトルA(6 U.S.C. 651 et seq.)は、最後に以下のセクションを追加することで改正される。
``SEC. 2220B. NATIONAL CYBER EXERCISE PROGRAM. ''SEC. 2220B. ナショナル・サイバー・エクササイズ・プログラム
``(a) Establishment of Program.-- ''(a) プログラムの設立
``(1) In general.--There is established in the Agency the National Cyber Exercise Program (referred to in this section as the `Exercise Program') to evaluate the National Cyber Incident Response Plan, and other related plans and strategies. ''(1) 国家サイバーインシデント対応計画およびその他の関連する計画や戦略を評価するために、国家サイバー演習プログラム(このセクションでは「演習プログラム」と呼ぶ)を庁内に設置する。
``(2) Requirements.-- ''(2)要件
``(A) In general.--The Exercise Program shall be-- ''(A) 演習プログラムは以下の通りとする。
``(i) based on current risk assessments, including credible threats, vulnerabilities, and consequences; ''(i) 信頼できる脅威、脆弱性、結果を含む最新のリスク評価に基づいていること。
``(ii) designed, to the extent practicable, to simulate the partial or complete incapacitation of a government or critical infrastructure network resulting from a cyber incident; ''(ii) 実用可能な範囲で、サイバー事件によって政府や重要インフラのネットワークが部分的または完全に機能しなくなった状態をシミュレートするように設計されていること。
``(iii) designed to provide for the systematic evaluation of cyber readiness and enhance operational understanding of the cyber incident response system and relevant information sharing agreements; and ''(iii) サイバーインシデントに対する準備状況を体系的に評価し、サイバーインシデント対応システムおよび関連する情報共有協定に関する運用上の理解を深めることができるよう設計されていること。
``(iv) designed to promptly develop after-action reports and plans that can quickly incorporate lessons learned into future operations. ''(iv) サイバーインシデントに対する準備状況を体系的に評価し、サイバーインシデント対応システムおよび関連する情報共有協定に関する運用上の理解を深めることができるように設計されていること。
``(B) Model exercise selection.--The Exercise Program shall-- ''(B) モデル演習の選択 -- 演習プログラムは以下の通りである。
``(i) include a selection of model exercises that government and private entities can readily adapt for use; and ''(i) 演習プログラムは、政府や民間団体が容易に利用できるモデル演習を選択する。
``(ii) aid such governments and private entities with the design, implementation, and evaluation of exercises that-- ''(ii) また、政府や民間団体が以下のような演習を設計、実施、評価することを支援する。
``(I) conform to the requirements described in subparagraph (A); ''(I) (A)項に記載された要件に適合していること。
``(II) are consistent with any applicable national, State, local, or Tribal strategy or plan; and ''(II) 国家、州、地域、部族の戦略や計画に合致していること。
``(III) provide for systematic evaluation of readiness. ''(III) 準備状況を体系的に評価することができる。
``(3) Consultation.--In carrying out the Exercise Program, the Director may consult with appropriate representatives from Sector Risk Management Agencies, the Office of the National Cyber Director, cybersecurity research stakeholders, and Sector Coordinating Councils. ''(3) 演習プログラムを実施するにあたり、長官は、セクターリスク管理機関、国家サイバー長官室、サイバーセキュリティ研究関係者、セクター調整協議会の適切な代表者と協議することができる。
``(b) Definitions.--In this section: ''(b) このセクションでは次のように定義している。
``(1) State.--The term `State' means any State of the United States, the District of Columbia, the Commonwealth of Puerto Rico, the Northern Mariana Islands, the United States Virgin Islands, Guam, American Samoa, and any other territory or possession of the United States. ''(1) 「州」とは、アメリカ合衆国の州、コロンビア特別区、プエルトリコ連邦、北マリアナ諸島、米領バージン諸島、グアム、米領サモア、およびその他のアメリカ合衆国の領土・領有権を指す。
``(2) Private entity.--The term `private entity' has the meaning given such term in section 102 of the Cybersecurity Information Sharing Act of 2015 (6 U.S.C. 1501). ’’(2)「民間企業」とは、Cybersecurity Information Sharing Act of 2015 (6 U.S.C. 1501)の第102条に規定された意味を持つものとします。
``(c) Rule of Construction.--Nothing in this section shall be construed to affect the authorities or responsibilities of the Administrator of the Federal Emergency Management Agency pursuant to section 648 of the Post-Katrina Emergency Management Reform Act of 2006 (6 U.S.C. 748).''. ''(c) Rule of Construction.--本項のいかなる規定も、2006年ポストカトリーナ緊急事態管理改革法(6 U.S.C. 748)第648項に基づく連邦緊急事態管理庁長官の権限や責任に影響を与えると解釈してはならない。
(b) Title XXII Technical and Clerical Amendments.-- (b) タイトルXXIIの技術的および事務的な修正。
(1) Technical amendments.-- (1) 技術的な修正。
(A) Homeland security act of 2002.--Subtitle A of title XXII of the Homeland Security Act of 2002 (6 U.S.C. 651 et seq.) is amended-- (A) 2002年国土安全保障法(6 U.S.C. 651 et seq.)のタイトルXXIIのサブタイトルAは以下のように修正される。
(i) in section 2202(c) (6 U.S.C. 652(c))-- (i) 2202(c)項(6 U.S.C. 652(c))において--。
(I) in paragraph (11), by striking ``and'' after the semicolon; (I) パラグラフ(11)において、セミコロンの後の「および」を削除します。
(II) in the first paragraph (12) (relating to appointment of a Cybersecurity State Coordinator) by striking ``as described in section 2215; and'' and inserting ``as described in section 2217;''; (II)最初の段落(12)(サイバーセキュリティ国家コーディネーターの任命)において、「セクション2215に記載されているように」を削除し、「セクション2217に記載されているように」を挿入する。
(III) by redesignating the second paragraph (12) (relating to the .gov internet domain) as paragraph (13); and (III)第2段落(12)(.govインターネットドメインに関する)を第13段落として再指定すること。
(IV) by redesignating the third paragraph (12) (relating to carrying out such other duties and responsibilities) as paragraph (14); (IV) 第3段落(12)(その他の任務と責任の遂行に関する)を第14段落とする。
(ii) in the first section 2215 (6 U.S.C. 665; relating to the duties and authorities relating to .gov internet domain), by amending the section enumerator and heading to read as follows: (ii) 最初のセクション2215(6 U.S.C. 665;.govインターネットドメインに関連する義務と権限に関する)において、セクションの列挙と見出しを以下のように修正する。
``SEC. 2215. DUTIES AND AUTHORITIES RELATING TO .GOV INTERNET DOMAIN.''; ''SEC. 2215. SEC.2215. .govインターネットドメインに関連する義務と権限」と修正する。
(iii) in the second section 2215 (6 U.S.C. 665b; relating to the joint cyber planning office), by amending the section enumerator and heading to read as follows: (iii) 第2節2215(6 U.S.C.665b;合同サイバー計画事務所に関する)において、セクションの列挙と見出しを以下のように修正する。
``SEC. 2216. JOINT CYBER PLANNING OFFICE.''; ''SEC. 2216. 共同サイバー計画事務所」とする。
(iv) in the third section 2215 (6 U.S.C. 665c; relating to the Cybersecurity State Coordinator), by amending the section enumerator and heading to read as follows: (iv) 第3節2215(6 U.S.C. 665c;サイバーセキュリティ・ステート・コーディネーターに関する)において、セクションの列挙と見出しを以下のように修正する。
``SEC. 2217. CYBERSECURITY STATE COORDINATOR.''; ''SEC. 2217. サイバーセキュリティ・ステート・コーディネーター」。
(v) in the fourth section 2215 (6 U.S.C. 665d; relating to Sector Risk Management Agencies), by amending the section enumerator and heading to read as follows: (v) 第4セクション2215(6 U.S.C. 665d;セクター・リスク・マネジメント・エージェンシーに関する)のセクションの列挙と見出しを以下のように修正することによって。
``SEC. 2218. SECTOR RISK MANAGEMENT AGENCIES.''; ''SEC. 2218. セクター・リスク・マネージメント・エージェンシー」。
(vi) in section 2216 (6 U.S.C. 665e; relating to the Cybersecurity Advisory Committee), by amending the section enumerator and heading to read as follows: (vi) セクション2216(6 U.S.C. 665e; Cybersecurity Advisory Committee関連)において、セクションの列挙と見出しを以下のように修正する。
``SEC. 2219. CYBERSECURITY ADVISORY COMMITTEE.''; ''SEC. 2219. サイバーセキュリティ諮問委員会」。
(vii) in section 2217 (6 U.S.C. 665f; relating to Cybersecurity Education and Training Programs), by amending the section enumerator and heading to read as follows: (vii) セクション2217(6 U.S.C. 665f; Cybersecurity Education and Training Programs関連)において、セクションの列挙と見出しを以下のように修正する。
``SEC. 2220. CYBERSECURITY EDUCATION AND TRAINING PROGRAMS.''; and ''SEC. 2220. SEC.2220.サイバーセキュリティ教育・訓練プログラム」と改める。
(viii) in section 2218 (6 U.S.C. 665g; relating to the State and Local Cybersecurity Grant Program), by amending the section enumerator and heading to read as follows: (viii) セクション2218(6 U.S.C. 665g; State and Local Cybersecurity Grant Program関連)において、セクションの列挙と見出しを以下のように修正する。
``SEC. 2220A. STATE AND LOCAL CYBERSECURITY GRANT PROGRAM.''. ''SEC. 2220A. 州と地方のサイバーセキュリティ補助金プログラム」。
(B) Consolidated appropriations act, 2021.--Paragraph (1) of section 904(b) of division U of the Consolidated Appropriations Act, 2021 (Public Law 116-260) is amended, in the matter preceding subparagraph (A), by inserting ``of 2002'' after ``Homeland Security Act''. (B) Consolidated appropriations act, 2021.--Consolidated Appropriations Act, 2021 (Public Law 116-260)のDivision Uのセクション904(b)のパラグラフ(1)は、サブパラグラフ(A)の前の問題で、 ``Homeland Security Act''の後に ``of 2002''を挿入することで修正される。
(2) Clerical amendment.--The table of contents in section 1(b) of the Homeland Security Act of 2002 is further amended by striking the items relating to sections 2214 through 2218 and inserting the following new items: (2) 2002年国土安全保障法第1条(b)の目次は、第2214条から第2218条までの項目を削除し、次の新しい項目を挿入することにより、さらに修正される。
``Sec. 2214. National Asset Database. ''第2214条。ナショナル・アセット・データベース
``Sec. 2215. Duties and authorities relating to .gov internet domain. ''第2215条. .govインターネットドメインに関する義務と権限。
``Sec. 2216. Joint cyber planning office. ''第2216条. 合同サイバー計画事務所(Joint cyber planning office)。
``Sec. 2217. Cybersecurity State Coordinator. ''第2217条。サイバーセキュリティ・ステート・コーディネーター
``Sec. 2218. Sector Risk Management Agencies. ''第2218条 セクターリスク管理機関
``Sec. 2219. Cybersecurity Advisory Committee. ''第2219条 サイバーセキュリティ諮問委員会(Sec.
``Sec. 2220. Cybersecurity Education and Training Programs. ''第2220条 サイバーセキュリティ教育・訓練プログラム
``Sec. 2220A. State and Local Cybersecurity Grant Program. ''第2220条A. 州および地方のサイバーセキュリティ助成プログラム
``Sec. 2220B. National cyber exercise program.''. ''第2220条B. 国家サイバー演習プログラム」。
SEC. 1548. CYBERSENTRY PROGRAM OF THE CYBERSECURITY AND INFRASTRUCTURE SECURITY AGENCY. Sec. 1548. サイバーセキュリティ・インフラセキュリティ庁のCyberSentryプログラム
(a) In General.--Title XXII of the Homeland Security Act of 2002 (6 U.S.C. 651 et seq.) is further amended by adding at the end the following new section: (a) 2002年国土安全保障法タイトルXXII(6 U.S.C. 651 et seq.)は、最後に以下の新しいセクションを追加することで改正される。
``SEC. 2220C. CYBERSENTRY PROGRAM. ''SEC. 2220C. CyberSentryプログラム
``(a) Establishment.--There is established in the Agency a program, to be known as `CyberSentry', to provide continuous monitoring and detection of cybersecurity risks to critical infrastructure entities that own or operate industrial control systems that support national critical functions, upon request and subject to the consent of such owner or operator. ''(a) このプログラムは、国家の重要な機能を支える産業用制御システムを所有または運営している重要インフラ事業体に対して、その所有者または運営者の要求および同意に基づき、サイバーセキュリティのリスクを継続的に監視および検出するためのものである。
``(b) Activities.--The Director, through CyberSentry, shall-- ''(b) 局長は、CyberSentryを通じて、以下の活動を行う。
``(1) enter into strategic partnerships with critical infrastructure owners and operators that, in the determination of the Director and subject to the availability of resources, own or operate regionally or nationally significant industrial control systems that support national critical functions, in order to provide technical assistance in the form of continuous monitoring of industrial control systems and the information systems that support such systems and detection of cybersecurity risks to such industrial control systems and other cybersecurity services, as appropriate, based on and subject to the agreement and consent of such owner or operator; ''(1) 産業用制御システムおよびそのシステムをサポートする情報システムの継続的な監視、産業用制御システムに対するサイバーセキュリティリスクの検出、およびその他のサイバーセキュリティサービスという形での技術支援を提供するために、局長が判断し、資源の利用可能性を条件として、国家的に重要な機能をサポートする地域的または国家的に重要な産業用制御システムを所有または運営している重要なインフラの所有者および運営者と戦略的パートナーシップを締結する。
``(2) leverage sensitive or classified intelligence about cybersecurity risks regarding particular sectors, particular adversaries, and trends in tactics, techniques, and procedures to advise critical infrastructure owners and operators regarding mitigation measures and share information as appropriate; ''(2) 特定のセクター、特定の敵対者に関するサイバーセキュリティリスク、および戦術、技術、手順の傾向に関する機密情報を活用し、重要インフラの所有者および運営者に緩和策を助言し、必要に応じて情報を共有すること。
``(3) identify cybersecurity risks in the information technology and information systems that support industrial control systems which could be exploited by adversaries attempting to gain access to such industrial control systems, and work with owners and operators to remediate such vulnerabilities; 産業用制御システムにアクセスしようとする敵対者が利用できる、産業用制御システムを支える情報技術および情報システムにおけるサイバーセキュリティリスクを特定し、そのような脆弱性を修正するために所有者および運営者と協力すること。
``(4) produce aggregated, anonymized analytic products, based on threat hunting and continuous monitoring and detection activities and partnerships, with findings and recommendations that can be disseminated to critical infrastructure owners and operators; and ''(4) スレットハンティング、継続的な監視・検知活動、パートナーシップに基づいて、匿名で集計した分析結果を作成し、重要インフラの所有者や運営者に知見や提言を提供すること。
``(5) support activities authorized in accordance with section 1501 of the National Defense Authorization Act for Fiscal Year 2022. ''(5) 2022年会計年度の国防権限法第1501条に基づいて認可された活動を支援する。
``(c) Privacy Review.--Not later than 180 days after the date of enactment of this section, the Privacy Officer of the Agency under section 2202(h) shall-- ''(c) このセクションが制定された日から180日以内に、第2202(h)項に基づく機関のプライバシーオフィサーは以下を行う。
``(1) review the policies, guidelines, and activities of CyberSentry for compliance with all applicable privacy laws, including such laws governing the acquisition, interception, retention, use, and disclosure of communities; and ''(1) CyberSentryのポリシー、ガイドライン、活動が、コミュニティの取得、傍受、保持、使用、開示を規定する法律を含む、すべての適用可能なプライバシー法に準拠しているかどうかを審査する。
``(2) submit to the Committee on Homeland Security of the House of Representatives and the Committee on Homeland Security and Governmental Affairs of the Senate a report certifying compliance with all applicable privacy laws as referred to in paragraph (1), or identifying any instances of noncompliance with such privacy laws. ''(2) 下院の国土安全保障委員会および上院の国土安全保障政府問題委員会に、(1)で言及された適用されるすべての個人情報保護法を遵守していることを証明する報告書、またはそのような個人情報保護法を遵守していない事例を示す報告書を提出すること。
``(d) Report to Congress.--Not later than one year after the date of the enactment of this section, the Director shall provide to the Committee on Homeland Security of the House of Representatives and the Committee on Homeland Security and Governmental Affairs of the Senate a briefing and written report on implementation of this section. ''(d) 下院の国土安全保障委員会および上院の国土安全保障・政府問題委員会に対し、このセクションの実施状況を説明し、書面による報告を行う。
``(e) Savings.--Nothing in this section may be construed to permit the Federal Government to gain access to information of a remote computing service provider to the public or an electronic service provider to the public, the disclosure of which is not permitted under section 2702 of title 18, United States Code. ''(e) このセクションは、連邦政府がリモート・コンピューティング・サービス・プロバイダーや電子サービス・プロバイダーの情報にアクセスすることを許可すると解釈されてはならない。
``(f) Definitions.--In this section: ''(f) このセクションでは、以下の定義を用いる。
``(1) Cybersecurity risk.--The term `cybersecurity risk' has the meaning given such term in section 2209(a). ''(1) 「サイバーセキュリティ・リスク」という用語は、第2209条(a)で与えられた意味を持つ。
``(2) Industrial control system.--The term `industrial control system' means an information system used to monitor and/or control industrial processes such as manufacturing, product handling, production, and distribution, including supervisory control and data acquisition (SCADA) systems used to monitor and/or control geographically dispersed assets, distributed control systems (DCSs), Human-Machine Interfaces (HMIs), and programmable logic controllers that control localized processes. ''(2) 「産業用制御システム」とは、製造、製品の取り扱い、生産、流通などの産業プロセスを監視・制御するための情報システムであり、地理的に分散した資産を監視・制御するためのSCADA(Supervisory Control and Data Acquisition)システム、分散型制御システム(DCS)、HMI(Human-Machine Interfaces)、局所的なプロセスを制御するプログラマブル・ロジック・コントローラなどを含む。
``(3) Information system.--The term `information system' has the meaning given such term in section 102 of the Cybersecurity Act of 2015 (enacted as division N of the Consolidated Appropriations Act, 2016 (Public Law 114-113; 6 U.S.C. 1501(9)). ''(3) 「情報システム」とは、2015年サイバーセキュリティ法(Public Law 114-113; 6 U.S.C. 1501(9))の第102条に規定されている意味を持つ。
``(g) Termination.--The authority to carry out a program under this section shall terminate on the date that is seven years after the date of the enactment of this section.''. ''(g) Termination.--本項のプログラムを実施する権限は、本項の制定日から7年後の日に終了する。
(b) Clerical Amendment.--The table of contents in section 1(b) of the Homeland Security Act of 2002 is further amended by adding after the item relating to section 2220B the following new item: (b) Clerical Amendment...2002年国土安全保障法第1条(b)の目次は、第2220B条に関する項目の後に、以下の項目を追加することで修正される。
``Sec. 2220C. CyberSentry program.''. ''Sec. 2220C. 「CyberSentryプログラム」。
(c) Continuous Monitoring and Detection.--Section 2209(c)(6) of the Homeland Security Act of 2002 (6 U.S.C. 659) is amended by inserting ``, which may take the form of continuous monitoring and detection of cybersecurity risks to critical infrastructure entities that own or operate industrial control systems that support national critical functions'' after ``mitigation, and remediation''. (c) 2002年国土安全保障法(6 U.S.C. 659)のセクション2209(c)(6)は、「mitigation, and remediation」の後に、「国家の重要な機能をサポートする産業用制御システムを所有または運営する重要インフラ事業体に対するサイバーセキュリティリスクを継続的に監視・検知するという形をとることができる」と挿入することで修正される。
SEC. 1549. STRATEGIC ASSESSMENT RELATING TO INNOVATION OF INFORMATION SYSTEMS AND CYBERSECURITY THREATS. Sec. 1549. 情報システムの革新とサイバーセキュリティの脅威に関する戦略的評価
(a) Responsibilities of Director.--Section 2202(c)(3) of the Homeland Security Act of 2002 (6 U.S.C. 652) is amended by striking the semicolon at the end and adding the following: ``, including by carrying out a periodic strategic assessment of the related programs and activities of the Agency to ensure such programs and activities contemplate the innovation of information systems and changes in cybersecurity risks and cybersecurity threats;'' (a) 2002年国土安全保障法(6 U.S.C. 652)の2202(c)(3)項は、末尾のセミコロンを削除し、次のように加えることで修正される。これには、情報システムの革新、サイバーセキュリティリスクおよびサイバーセキュリティ脅威の変化を考慮したプログラムや活動を確実にするために、Agencyの関連プログラムおよび活動の定期的な戦略的評価を実施することが含まれる。
(b) Report.-- (b) 報告書--。
(1) In general.--Not later than 240 days after the date of the enactment of this Act and not fewer than once every three years thereafter, the Director of the Cybersecurity and Infrastructure Security Agency shall submit to the Committee on Homeland Security of the House of Representatives and the Committee on Homeland Security and Governmental Affairs of the Senate a strategic assessment for the purposes described in paragraph (2). (1) サイバーセキュリティ・インフラセキュリティ庁長官は、下院の国土安全保障委員会および上院の国土安全保障・政府問題委員会に、(2)に記載された目的のための戦略的評価を提出しなければならない。)
(2) Purposes.--The purposes described in this paragraph are the following: (2) 目的--本項に記載された目的は以下の通りである。
(A) A description of the existing programs and activities administered in furtherance of section 2202(c)(3) of the Homeland Security Act of 2002 (6 U.S.C. 652). (A) 2002年国土安全保障法(6 U.S.C. 652)の2202(c)(3)項を推進するために管理されている既存のプログラムおよび活動の説明。
(B) An assessment of the capability of existing programs and activities administered by the Agency in furtherance of such section to monitor for, manage, mitigate, and defend against cybersecurity risks and cybersecurity threats. (B) サイバーセキュリティリスクとサイバーセキュリティ脅威を監視、管理、緩和、防御するために、同セクションを推進するために政府機関が管理する既存のプログラムと活動の能力の評価。
(C) An assessment of past or anticipated technological trends or innovation of information systems or information technology that have the potential to affect the efficacy of the programs and activities administered by the Agency in furtherance of such section. (C) 当該セクションを推進するためにAgencyが管理するプログラムおよび活動の有効性に影響を与える可能性のある、情報システムまたは情報技術の過去または予想される技術動向または革新の評価。
(D) A description of any changes in the practices of the Federal workforce, such as increased telework, affect the efficacy of the programs and activities administered by the Agency in furtherance of section 2202(c)(3). (D) テレワークの増加など、連邦労働力の慣行の変化が、第2202条(c)(3)を推進するためにAgencyが管理するプログラムおよび活動の効果に影響を与える場合の記述。
(E) A plan to integrate innovative security tools, technologies, protocols, activities, or programs to improve the programs and activities administered by the Agency in furtherance of such section. (E) 革新的なセキュリティツール、技術、プロトコル、活動、プログラムを統合して、当該セクションを推進するためにAgencyが管理するプログラムと活動を改善する計画。
(F) A description of any research and development activities necessary to enhance the programs and activities administered by the Agency in furtherance of such section. (F) 同項を推進するためにAgencyが管理するプログラムおよび活動を強化するために必要な研究開発活動の記述。
(G) A description of proposed changes to existing programs and activities administered by the Agency in furtherance of such section, including corresponding milestones for implementation. (G) 本項の目的のためにAgencyが管理する既存のプログラムおよび活動に対する変更案の説明(実施のためのマイルストーンを含む)。
(H) Information relating to any new resources or authorities necessary to improve the programs and activities administered by the Agency in furtherance of such section. (H) 本項を推進するためにAgencyが管理するプログラムおよび活動を改善するために必要な、新たな資源または権限に関する情報。
(c) Definitions.--In this section: (c) 本項では以下のように定義する。
(1) The term ``Agency'' means the Cybersecurity and Infrastructure Security Agency. (1) 「Agency」とは、Cybersecurity and Infrastructure Security Agencyをいう。
(2) The term ``cybersecurity purpose'' has the meaning given such term in section 102(4) of the Cybersecurity Information Sharing Act of 2015 (6 U.S.C. 1501(4)). (2)「サイバーセキュリティ目的」という用語は、2015年サイバーセキュリティ情報共有法(6 U.S.C. 1501(4))の第102(4)項で与えられた意味を持つ。
(3) The term ``cybersecurity risk'' has the meaning given such term in section 2209(a)(2) of the Homeland Security Act of 2002 (U.S.C. 659(a)(2)). (3) 「サイバーセキュリティリスク」という用語は、2002年国土安全保障法第2209条(a)(2)で与えられた意味を持つ。
(4) The term ``information system'' has the meaning given such term in section 3502(8) of title 44, United States Code. (4) 「情報システム」という用語は、合衆国法典第44編第3502(8)項に記載されている意味を持つ。
(5) The term ``information technology'' has the meaning given such term in 3502(9) of title 44, United States Code. (5) 「情報技術」という用語は、合衆国法典第44編第3502(9)項に記載されている意味を持つ。
(6) The term ``telework'' has the meaning given the term in section 6501(3) of title 5, United States Code. (6) 「テレワーク」という用語は、合衆国コードのタイトル5のセクション6501(3)にある意味を持つ。
SEC. 1550. PILOT PROGRAM ON PUBLIC-PRIVATE PARTNERSHIPS WITH INTERNET ECOSYSTEM COMPANIES TO DETECT AND DISRUPT ADVERSARY CYBER OPERATIONS. Sec. 1550. 敵国のサイバー活動を検知・妨害するためのインターネットエコシステム企業との官民パートナーシップに関するパイロットプログラム
(a) Pilot Required.--Not later than one year after the date of the enactment of this Act, the Secretary, acting through the Director of the Cybersecurity and Infrastructure Security Agency of the Department of Homeland Security and in coordination with the Secretary of Defense and the National Cyber Director, shall commence a pilot program to assess the feasibility and advisability of entering into public-private partnerships with internet ecosystem companies to facilitate, within the bounds of applicable provisions of law and such companies' terms of service, policies, procedures, contracts, and other agreements, actions by such companies to discover and disrupt use by malicious cyber actors of the platforms, systems, services, and infrastructure of such companies. (a) 必要とされるパイロット。 長官は、国土安全保障省のサイバーセキュリティ・インフラセキュリティ庁長官を通じ、国防長官および国家サイバー長官と連携して、以下を目的としたインターネットエコシステム企業との官民パートナーシップ締結の可能性と助言を評価するためのパイロットプログラムを開始しなければならない。インターネットエコシステム企業と官民パートナーシップを結び、適用される法律の規定および当該企業の利用規約、ポリシー、手続き、契約、その他の合意の範囲内で、当該企業のプラットフォーム、システム、サービス、インフラを悪意のあるサイバーアクターが利用していることを発見し、混乱させるための行動を促進するためのパイロットプログラムを開始する。
(b) Public-private Partnerships.-- (b) 官民パートナーシップ
(1) In general.--In carrying out the pilot program under subsection (a), the Secretary shall seek to enter into one or more public-private partnerships with internet ecosystem companies. (1) 長官は、(a)項のパイロットプログラムを実施するにあたり、インターネットエコシステム企業と1つまたは複数の官民パートナーシップを結ぶことを模索する。
(2) Voluntary participation.-- (2) 自発的な参加--。
(A) In general.--Participation by an internet ecosystem company in a public-private partnership under the pilot program, including in any activity described in subsection (c), shall be voluntary. (A) 一般的に、インターネット・エコシステム企業によるパイロット・プログラムの官民パートナーシップへの参加は、(c)項に記載されている活動も含め、任意であること。
(B) Prohibition.--No funds appropriated by any Act may be used to direct, pressure, coerce, or otherwise require that any internet ecosystem company take any action on their platforms, systems, services, or infrastructure as part of the pilot program. (B) 禁止事項 --インターネット・エコシステム企業が、パイロット・プログラムの一環として、自社のプラットフォーム、システム、サービス、インフラに対して何らかの行動をとるよう、指示、圧力、強要、その他の方法で要求するために、いかなる法律で充当された資金も使用することはできない。
(c) Authorized Activities.--In carrying out the pilot program under subsection (a), the Secretary may-- (c) 承認された活動--第(a)項のパイロットプログラムを実施するにあたり、長官は以下を行うことができる。
(1) provide assistance to a participating internet ecosystem company to develop effective know-your-customer processes and requirements; (1) 参加するインターネット・エコシステム企業に対し、効果的な顧客の顔が見えるプロセスおよび要件を策定するための支援を提供する。
(2) provide information, analytics, and technical assistance to improve the ability of participating companies to detect and prevent illicit or suspicious procurement, payment, and account creation on their own platforms, systems, services, or infrastructure; (2) 参加企業が自社のプラットフォーム、システム、サービス、またはインフラ上で不正または疑わしい調達、支払い、アカウント作成を検出し、防止する能力を向上させるために、情報、分析、技術支援を提供する。
(3) develop and socialize best practices for the collection, retention, and sharing of data by participating internet ecosystem companies to support discovery of malicious cyber activity, investigations, and attribution on the platforms, systems, services, or infrastructure of such companies; (3) 参加インターネット・エコシステム企業のプラットフォーム、システム、サービス、またはインフラにおける悪意のあるサイバー活動の発見、調査、帰属を支援するために、参加インターネット・エコシステム企業によるデータの収集、保持、共有のためのベストプラクティスを開発し、社会化する。
(4) provide to participating internet ecosystem companies actionable, timely, and relevant information, such as information about ongoing operations and infrastructure, threats, tactics, and procedures, and indicators of compromise, to enable such companies to detect and disrupt the use by malicious cyber actors of the platforms, systems, services, or infrastructure of such companies; (4) 参加しているインターネット・エコシステム企業に、現在進行中の業務やインフラ、脅威、戦術、手順、侵害の指標など、実行可能でタイムリーな関連情報を提供し、悪意のあるサイバー行為者による当該企業のプラットフォーム、システム、サービス、インフラの利用を検知し、阻止できるようにする。
(5) provide recommendations for (but not design, develop, install, operate, or maintain) operational workflows, assessment and compliance practices, and training that participating internet ecosystem companies can implement to reliably detect and disrupt the use by malicious cyber actors of the platforms, systems, services, or infrastructure of such companies; (5) 参加するインターネットエコシステム企業が、悪意のあるサイバーアクターによる当該企業のプラットフォーム、システム、サービス、インフラの利用を確実に検知・遮断するために実施可能な、運用ワークフロー、評価・コンプライアンス慣行、トレーニングに関する推奨事項を提供する(ただし、設計、開発、設置、運用、保守は行わない)。
(6) provide recommendations for accelerating, to the greatest extent practicable, the automation of existing or implemented operational workflows to operate at line-rate in order to enable real-time mitigation without the need for manual review or action; (6) 手動でのレビューやアクションを必要とせず、リアルタイムでのミティゲーションを可能にするために、既存または実装されている運用ワークフローをラインレートで運用するための自動化を、実践可能な範囲で加速させるための提言を行うこと。
(7) provide recommendations for (but not design, develop, install, operate, or maintain) technical capabilities to enable participating internet ecosystem companies to collect and analyze data on malicious activities occurring on the platforms, systems, services, or infrastructure of such companies to detect and disrupt operations of malicious cyber actors; and (7) 参加しているインターネットエコシステム企業が、悪意のあるサイバーアクターの活動を検知・妨害するために、当該企業のプラットフォーム、システム、サービス、インフラ上で発生した悪意のある活動に関するデータを収集・分析できるようにするための技術的機能に関する提言を行う(ただし、設計、開発、設置、運用、保守は行わない)。
(8) provide recommendations regarding relevant mitigations for suspected or discovered malicious cyber activity and thresholds for action. (8) 悪意のあるサイバー活動が疑われたり、発見されたりした場合に、関連する緩和策や行動の閾値に関する提言を行う。
(d) Competition Concerns.--Consistent with section 1905 of title 18, United States Code, the Secretary shall ensure that any trade secret or proprietary information of a participating internet ecosystem company made known to the Federal Government pursuant to a public-private partnership under the pilot program remains private and protected unless explicitly authorized by such company. (d) 競争への懸念:競争への懸念--米国法典第18編第1905条に基づき、長官は、パイロットプログラムに基づく官民パートナーシップに基づいて連邦政府に知らされた参加インターネットエコシステム企業の企業秘密または専有情報が、当該企業によって明示的に許可されない限り、非公開で保護されることを保証するものとします。
(e) Impartiality.--In carrying out the pilot program under subsection (a), the Secretary may not take any action that is intended primarily to advance the particular business interests of an internet ecosystem company but is authorized to take actions that advance the interests of the United States, notwithstanding differential impact or benefit to a given company's or given companies' business interests. (e) 公平性--(a)項に基づくパイロット・プログラムを実施するにあたり、長官は、インターネット・エコシステム企業の特定の事業利益を促進することを主な目的としたいかなる行動もとることはできないが、特定の企業または特定の企業の事業利益への影響や利益の差にかかわらず、米国の利益を促進する行動をとる権限を有するものとする。
(f) Responsibilities.-- (f) 責任
(1) Secretary of homeland security.--The Secretary shall exercise primary responsibility for the pilot program under subsection (a), including organizing and directing authorized activities with participating Federal Government organizations and internet ecosystem companies to achieve the objectives of the pilot program. (1) 長官は、パイロット・プログラムの目的を達成するために、参加する連邦政府組織およびインターネット・エコシステム企業との間で許可された活動を組織し、指揮することを含め、第(a)項に基づくパイロット・プログラムに対して主要な責任を負う。
(2) National cyber director.--The National Cyber Director shall support prioritization and cross-agency coordination for the pilot program, including ensuring appropriate participation by participating agencies and the identification and prioritization of key private sector entities and initiatives for the pilot program. (2) 国家サイバー長官 -- 国家サイバー長官は、パイロットプログラムの優先順位付けと省庁間の調整を支援する。これには、参加省庁の適切な参加を確保すること、パイロットプログラムの主要な民間団体とイニシアチブを特定して優先順位付けすることが含まれる。
(3) Secretary of defense.--The Secretary of Defense shall provide support and resources to the pilot program, including the provision of technical and operational expertise drawn from appropriate and relevant officials and components of the Department of Defense, including the National Security Agency, United States Cyber Command, the Chief Information Officer, the Office of the Secretary of Defense, military department Principal Cyber Advisors, and the Defense Advanced Research Projects Agency. (3) 国防長官 -- 国防長官は、国家安全保障局、米国サイバー司令部、最高情報責任者、国防長官室、軍部の主席サイバー顧問、国防高等研究計画局など、国防省の適切かつ関連性の高い官僚や部門から集められた技術的・運用的専門知識の提供を含め、パイロットプログラムへの支援と資源の提供を行う。
(g) Participation of Other Federal Government Components.--The Secretary may invite to participate in the pilot program required under subsection (a) the heads of such departments or agencies as the Secretary considers appropriate. (g) 他の連邦政府機関の参加 -- 長官は、(a)項に基づいて要求されるパイロットプログラムへの参加を、長官が適切と考える省庁の長に呼びかけることができる。
(h) Integration With Other Efforts.--The Secretary shall ensure that the pilot program required under subsection (a) makes use of, builds upon, and, as appropriate, integrates with and does not duplicate other efforts of the Department of Homeland Security and the Department of Defense relating to cybersecurity, including the following: (h) 他の取り組みとの統合 -- 長官は、(a)項に基づいて要求されるパイロットプログラムが、以下を含むサイバーセキュリティに関連する国土安全保障省および国防総省の他の取り組みを利用し、それに基づいて構築され、必要に応じてそれらと統合され、重複しないことを保証しなければならない。
(1) The Joint Cyber Defense Collaborative of the Cybersecurity and Infrastructure Security Agency of the Department of Homeland Security. (1) 国土安全保障省のサイバーセキュリティ・インフラセキュリティ庁の共同サイバー防衛共同体。
(2) The Cybersecurity Collaboration Center and Enduring Security Framework of the National Security Agency. (2) 国家安全保障局のCybersecurity Collaboration CenterとEnduring Security Framework。
(i) Rules of Construction.-- (i) 構築のルール。
(1) Limitation on government access to data.--Nothing in this section authorizes sharing of information, including information relating to customers of internet ecosystem companies or private individuals, from an internet ecosystem company to an agency, officer, or employee of the Federal Government unless otherwise authorized by another provision of law. (1) 政府によるデータへのアクセスの制限--本項は、他の法律で認められていない限り、インターネット・エコシステム企業の顧客や個人に関連する情報を含む情報を、インターネット・エコシステム企業から連邦政府の機関、役員、従業員に共有することを認めるものではない。
(2) Stored communications act.--Nothing in this section may be construed to permit or require disclosure by a provider of a remote computing service or a provider of an electronic communication service to the public of information not otherwise permitted or required to be disclosed under chapter 121 of title 18, United States Code (commonly known as the ``Stored Communications Act''). (2) 本項のいかなる規定も、リモートコンピューティングサービスの提供者または電子通信サービスの提供者が、合衆国法典第18編第121章(一般に「Stored Communications Act」と呼ばれる)に基づいて開示することが許可または要求されていない情報を一般に開示することを許可または要求するものとは解釈されません。
(3) Third party customers.--Nothing in this section may be construed to require a third party, such as a customer or managed service provider of an internet ecosystem company, to participate in the pilot program under subsection (a). (3) 第三者の顧客 -- 本項のいかなる規定も、インターネット・エコシステム会社の顧客やマネージド・サービス・プロバイダなどの第三者に、(a)項に基づくパイロット・プログラムへの参加を求めるものではない。
(j) Briefings.-- (j) ブリーフィング--。
(1) Initial.-- (1) 初回。
(A) In general.--Not later than one year after the date of the enactment of this Act, the Secretary, in coordination with the Secretary of Defense and the National Cyber Director, shall brief the appropriate committees of Congress on the pilot program required under subsection (a). (A) 長官は、国防長官および国家サイバー長官と協力して、(a)項に基づくパイロットプログラムについて、連邦議会の該当委員会に説明する。)
(B) Elements.--The briefing required under subparagraph (A) shall include the following: (B) 構成要素 --(A)号で求められる説明会には、以下の内容が含まれる。
(i) The plans of the Secretary for the implementation of the pilot program. (i) パイロット・プログラムの実施に関する長官の計画。
(ii) Identification of key priorities for the pilot program. (ii) パイロット・プログラムの主要な優先事項の確認。
(iii) Identification of any potential challenges in standing up the pilot program or impediments, such as a lack of liability protection, to private sector participation in the pilot program. (iii) パイロット・プログラムを立ち上げる上での潜在的な課題、又はパイロット・プログラムへの民間企業の参加に対する責任保護の欠如等の障害の特定。
(iv) A description of the roles and responsibilities in the pilot program of each participating Federal entity. (iv) パイロット・プログラムに参加する各連邦機関の役割と責任の説明。
(2) Annual.-- (2) 年次。
(A) In general.--Not later than two years after the date of the enactment of this Act and annually thereafter for three years, the Secretary, in coordination with the Secretary of Defense and the National Cyber Director, shall brief the appropriate committees of Congress on the progress of the pilot program required under subsection (a). (A) 長官は、国防長官および国家サイバー長官と協力して、本法令の制定日から2年以内に、その後3年間は毎年、(a)項に基づいて要求されるパイロット・プログラムの進捗状況を議会の適切な委員会に報告しなければならない。)
(B) Elements.--Each briefing required under subparagraph (A) shall include the following: (B) 構成要素 --(A)号で要求される各説明会には、以下の内容が含まれなければならない。
(i) Recommendations for addressing relevant policy, budgetary, and legislative gaps to increase the effectiveness of the pilot program. (i) パイロット・プログラムの有効性を高めるために、関連する政策、予算、立法上のギャップに対処するための提言。
(ii) Recommendations, such as providing liability protection, for increasing private sector participation in the pilot program. (ii) パイロット・プログラムへの民間企業の参加を促進するための、責任保護などの提言。
(iii) A description of the challenges encountered in carrying out the pilot program, including any concerns expressed by internet ecosystem companies regarding participation in the pilot program. (iii) パイロット・プログラムへの参加に関してインターネット・エコシステム企業が表明した懸念を含む、パイロット・プログラムを実施する上で遭遇した課題の記述。
(iv) The findings of the Secretary with respect to the feasibility and advisability of extending or expanding the pilot program. (iv) パイロット・プログラムを延長または拡大することの実現可能性とお勧め度に関する長官の所見。
(v) Such other matters as the Secretary considers appropriate. (v) 長官が適切と考えるその他の事項。
(k) Termination.--The pilot program required under subsection (a) shall terminate on the date that is five years after the date of the enactment of this Act. (k) 終了 --(a)項に基づいて求められるパイロットプログラムは、本法の制定日から5年後の日に終了する。
(l) Definitions.--In this section: (l) 定義 --本項では、以下のように定義する。
(1) Appropriate committees of congress.--The term ``appropriate committees of Congress'' means-- (1) 議会の適切な委員会」とは、以下を意味する。
(A) the Committee on Homeland Security and Governmental Affairs and the Committee on Armed Services of the Senate; and (A) 上院の国土安全保障・政府問題委員会および軍事委員会。
(B) the Committee on Homeland Security and the Committee on Armed Services of the House of Representatives. (B) 下院の国土安全保障委員会および軍事委員会(Committee on Homeland Security and Governmental Affairs)
(2) Internet ecosystem company.--The term ``internet ecosystem company'' means a business incorporated in the United States that provides cybersecurity services, internet service, content delivery services, Domain Name Service, cloud services, mobile telecommunications services, email and messaging services, internet browser services, or such other services as the Secretary determines appropriate for the purposes of the pilot program under subsection (a). (2) インターネット・エコシステム企業 --「インターネット・エコシステム企業」とは、サイバーセキュリティ・サービス、インターネット・サービス、コンテンツ配信サービス、ドメイン・ネーム・サービス、クラウド・サービス、モバイル通信サービス、電子メール・メッセージング・サービス、インターネット・ブラウザ・サービス、または(a)項に基づくパイロット・プログラムの目的のために長官が適切と判断するその他のサービスを提供する、米国で法人化された企業をいう。
(3) Secretary.--The term ``Secretary'' means the Secretary of Homeland Security. (3) 「長官」とは、国土安全保障省長官をいう。
SEC. 1551. UNITED STATES-ISRAEL CYBERSECURITY COOPERATION. Sec. 1551. 米国とイスラエルのサイバーセキュリティ協力
(a) Grant Program.-- (a) 補助金プログラム...
(1) Establishment.--The Secretary, in accordance with the agreement entitled the ``Agreement between the Government of the United States of America and the Government of the State of Israel on Cooperation in Science and Technology for Homeland Security Matters'', dated May 29, 2008 (or successor agreement), and the requirements specified in paragraph (2), shall establish a grant program at the Department to support-- (1) 長官は、2008年5月29日付の「国土安全保障に関する科学技術協力に関する米国政府とイスラエル政府との間の合意」と題された協定(またはその後継協定)および第2項に規定された要件に基づき、省内に助成プログラムを設置し、以下の支援を行う。
(A) cybersecurity research and development; and (A) サイバーセキュリティの研究開発、および
(B) demonstration and commercialization of cybersecurity technology. (B) サイバーセキュリティ技術の実証と商業化。
(2) Requirements.-- (2) 要件
(A) Applicability.--Notwithstanding section 317 of the Homeland Security Act of 2002 (6 U.S.C. 195c), in carrying out a research, development, demonstration, or commercial application program or activity that is authorized under this section, the Secretary shall require cost sharing in accordance with this paragraph. (A) 2002年国土安全保障法第317条(6 U.S.C. 195c)にかかわらず、本項で認可された研究、開発、実証、商業利用のプログラムや活動を実施する際、長官は本項に従って費用負担を求める。
(B) Research and development.-- (B) 研究および開発
(i) In general.--Except as provided in clause (ii), the Secretary shall require not less than 50 percent of the cost of a research, development, demonstration, or commercial application program or activity described in subparagraph (A) to be provided by a non-Federal source. (i) 一般的に--(ii)項で規定されている場合を除き、長官は、(A)項に記載された研究、開発、実証、または商業的応用のプログラムまたは活動の費用の50%以上を、連邦以外の資金源から提供するよう要求する。
(ii) Reduction.--The Secretary may reduce or eliminate, on a case-by-case basis, the percentage requirement specified in clause (i) if the Secretary determines that such reduction or elimination is necessary and appropriate. (ii) 長官が必要かつ適切であると判断した場合には、(i)項で指定された割合の要件をケースバイケースで削減または排除することができる。
(C) Merit review.--In carrying out a research, development, demonstration, or commercial application program or activity that is authorized under this section, awards shall be made only after an impartial review of the scientific and technical merit of the proposals for such awards has been carried out by or for the Department. (C)メリット・レビュー--本項に基づいて認可された研究、開発、実証、商業利用のプログラムや活動を実施する際には、賞の提案の科学的・技術的メリットを公平にレビューした後にのみ、賞を授与するものとする。
(D) Review processes.--In carrying out a review under subparagraph (C), the Secretary may use merit review processes developed under section 302(14) of the Homeland Security Act of 2002 (6 U.S.C. 182(14)). (D) 審査プロセス --(C)号の審査を行うにあたり、長官は2002年国土安全保障法(6 U.S.C. 182(14))の第302(14)項に基づいて開発されたメリット審査プロセスを使用することができる。
(3) Eligible applicants.--An applicant is eligible to receive a grant under this subsection if-- (3) 申請者は、以下の場合に本項の助成金を受け取る資格がある。
(A) the project of such applicant-- (A) 当該申請者のプロジェクトが
(i) addresses a requirement in the area of cybersecurity research or cybersecurity technology, as determined by the Secretary; and (i) 長官が決定した、サイバーセキュリティ研究またはサイバーセキュリティ技術の分野における要求に対応している。
(ii) is a joint venture between-- (ii) 次の2つの間の共同事業である。
(I)(aa) a for-profit business entity, academic institution, National Laboratory, or nonprofit entity in the United States; and (I)(aa)米国内の営利事業体、学術機関、国立研究所、または非営利団体。
(bb) a for-profit business entity, academic institution, or nonprofit entity in Israel; or (bb) イスラエルの営利事業体、学術機関、または非営利事業体。
(II)(aa) the Federal Government; and (II)(aa)連邦政府、および
(bb) the Government of Israel; and (bb) イスラエル政府、および
(B) neither such applicant nor the project of such applicant pose a counterintelligence threat, as determined by the Director of National Intelligence. (B) 当該申請者および当該申請者のプロジェクトが、国家情報長官の判断により、防諜上の脅威となっていないこと。
(4) Applications.--To be eligible to receive a grant under this subsection, an applicant shall submit to the Secretary an application for such grant in accordance with procedures established by the Secretary, in consultation with the advisory board established under paragraph (5). (4) 申請者は、このサブセクションの下で助成金を受け取る資格を得るために、第5項に基づいて設立された諮問委員会と協議の上、長官が定めた手順に従って、助成金の申請書を長官に提出しなければならない。
(5) Advisory board.-- (5) 諮問委員会...
(A) Establishment.--The Secretary shall establish an advisory board to-- (A) 長官は、以下の目的で諮問委員会を設立する。
(i) monitor the method by which grants are awarded under this subsection; and (i) 本サブセクションの下で補助金が授与される方法を監視する。
(ii) provide to the Secretary periodic performance reviews of actions taken to carry out this subsection. (ii) 本項を遂行するために取られた行動について、定期的にパフォーマンス・レビューを長官に提供する。
(B) Composition.--The advisory board established under subparagraph (A) shall be composed of three members, to be appointed by the Secretary, of whom-- (B) 構成 (A)号に基づいて設立された諮問委員会は、長官によって任命された3人のメンバーで構成される。
(i) one shall be a representative of the Federal Government; (i) 1名は連邦政府の代表者とする。
(ii) one shall be selected from a list of nominees provided by the United States-Israel Binational Science Foundation; and (ii) 米国・イスラエル二国間科学財団から提供された候補者のリストから1名を選出する。
(iii) one shall be selected from a list of nominees provided by the United States-Israel Binational Industrial Research and Development Foundation. (iii) 米国・イスラエル二国間産業研究開発財団が提供する推薦人のリストから1名を選出する。
(6) Contributed funds.--Notwithstanding section 3302 of title 31, United States Code, the Secretary may, only to the extent provided in advance in appropriations Acts, accept or retain funds contributed by any person, government entity, or organization for purposes of carrying out this subsection. Such funds shall be available, subject to appropriation, without fiscal year limitation. (6) アメリカ合衆国法典第31編第3302項にかかわらず、長官は、予算制定法で事前に定められた範囲内でのみ、本款を実行する目的で、個人、政府機関、または組織から拠出された資金を受け入れ、または保持することができる。このような資金は、充当されることを条件に、会計年度の制限なく利用できるものとする。
(7) Reports.-- (7) 報告。
(A) Grant recipients.--Not later than 180 days after the date of completion of a project for which a grant is provided under this subsection, the grant recipient shall submit to the Secretary a report that contains-- (A) 助成金受領者:本款の下で助成金が提供されたプロジェクトの完了日から180日以内に、助成金受領者は次の内容を含む報告書を長官に提出しなければならない。
(i) a description of how the grant funds were used by the recipient; and (i) 補助金受領者が補助金をどのように使用したかの説明。
(ii) an evaluation of the level of success of each project funded by the grant. (ii) 補助金を受けた各プロジェクトの成功度の評価。
(B) Secretary.--Not later than one year after the date of the enactment of this Act and annually thereafter until the grant program established under this subsection terminates, the Secretary shall submit to the Committees on Homeland Security and Governmental Affairs and Foreign Relations of the Senate and the Committees on Homeland Security and Foreign Affairs of the House of Representatives a report on grants awarded and projects completed under such program. (B) 長官...本法の制定日から1年以内に、その後本項に基づいて設立された助成プログラムが終了するまで毎年、長官は上院の国土安全保障・政府問題・外交委員会と下院の国土安全保障・外交委員会に、当該プログラムの下で授与された助成金と完了したプロジェクトに関する報告書を提出しなければならない。
(8) Classification.--Grants shall be awarded under this subsection only for projects that are considered to be unclassified by both the United States and Israel. (8) 分類:本款では、米国とイスラエルの双方で分類されていないと考えられるプロジェクトに対してのみ、助成金を授与するものとする。
(b) Authorization of Appropriations.--There is authorized to be appropriated to carry out this section not less than $6,000,000 for each of fiscal years 2022 through 2026. (b) 2022年から2026年までの各会計年度において、本項を実施するために600万ドル以上の予算を計上することが認められている。
(c) Definitions.--In this section-- (c) 定義: 本項では
(1) the term ``cybersecurity research'' means research, including social science research, into ways to identify, protect against, detect, respond to, and recover from cybersecurity threats; (1) 「サイバーセキュリティ研究」とは、サイバーセキュリティの脅威を特定し、それを防御し、検出し、対応し、回復する方法についての社会科学的研究を含む研究をいう。
(2) the term ``cybersecurity technology'' means technology intended to identify, protect against, detect, respond to, and recover from cybersecurity threats; (2) 「サイバーセキュリティ技術」とは、サイバーセキュリティの脅威を特定し、防御し、検知し、対応し、回復することを目的とした技術をいう。
(3) the term ``cybersecurity threat'' has the meaning given such term in section 102 of the Cybersecurity Information Sharing Act of 2015 (6 U.S.C. 1501; enacted as title I of the Cybersecurity Act of 2015 (division N of the Consolidated Appropriations Act, 2016 (Public Law 114-113))); (3) 「サイバーセキュリティの脅威」という用語は、2015年サイバーセキュリティ情報共有法(6 U.S.C. 1501;2015年サイバーセキュリティ法のタイトルIとして制定(2016年連結歳出法(Public Law 114-113)のN部門)の第102節で与えられた意味を持つ。)
(4) the term ``Department'' means the Department of Homeland Security; (4) 「Department」とは、国土安全保障省をいう。
(5) the term ``National Laboratory'' has the meaning given such term in section 2 of the Energy Policy Act of 2005 (42 U.S.C. 15801); and (5) 「国立研究所」とは、2005年エネルギー政策法第2条(42 U.S.C. 15801)で与えられた意味を持つ。
(6) the term ``Secretary'' means the Secretary of Homeland Security. (6) 「長官」とは、国土安全保障省の長官をいう。
SEC. 1552. AUTHORITY FOR NATIONAL CYBER DIRECTOR TO ACCEPT DETAILS ON NONREIMBURSABLE BASIS. Sec. 1552. 国家サイバー長官が、払い戻しのない詳細な情報を受け取る権限
Section 1752(e) of the William M. (Mac) Thornberry National Defense Authorization Act for Fiscal Year 2021 (Public Law 116-283) is amended-- 2021年度ウィリアム・M・ソーンベリー国防権限法(公法116-283)の第1752(e)項を改正する。
(1) by redesignating paragraphs (1) through (8) as subparagraphs (A) through (H), respectively, and indenting such subparagraphs two ems to the right; (1)段落(1)から(8)をそれぞれ(A)から(H)までの段落とし、当該段落を2エーム右にインデントする。
(2) in the matter preceding subparagraph (A), as redesignated by paragraph (1), by striking ``The Director may'' and inserting the following: (2) パラグラフ(1)で再指定されたパラグラフ(A)の前の部分では、「The Director may」の部分を削除し、以下のように挿入する。
``(1) In general.--The Director may''; ''(2) パラグラフ(1)の前の部分は、パラグラフ(1)で指定されたとおり、「The Director may」を削除し、次のように挿入する。
(3) in paragraph (1)-- (3) パラグラフ(1)において
(A) as redesignated by paragraph (2), by redesignating subparagraphs (C) through (H) as subparagraphs (D) through (I), respectively; and (A) パラグラフ(2)で指定を変更した場合、(C)から(H)までをそれぞれ(D)から(I)までとする。
(B) by inserting after subparagraph (B) the following new subparagraph: (B) サブパラグラフ(B)の後に以下の新しいサブパラグラフを挿入する。
``(C) accept officers or employees of the United States or members of the Armed Forces on a detail from an element of the intelligence community (as such term is defined in section 3(4) of the National Security Act of 1947 (50 U.S.C. 3003(4))) or from another element of the Federal Government on a nonreimbursable basis, as jointly agreed to by the heads of the receiving and detailing elements, for a period not to exceed three years;''; and ''(C) 情報機関の構成員(1947年国家安全保障法(50 U.S.C. 3003(4))のセクション3(4)で定義されている)または連邦政府の他の構成員から、受領側と詳細側の責任者が共同で合意したとおり、償還不要で3年を超えない期間、米国の役員または従業員、軍隊の構成員を詳細に受け入れること。
(4) by adding at the end the following new paragraph: (4) 最後に次の新しいパラグラフを追加する。
``(2) Rules of construction regarding details.--Nothing in paragraph (1)(C) may be construed as imposing any limitation on any other authority for reimbursable or nonreimbursable details. A nonreimbursable detail made pursuant to such paragraph shall not be considered an augmentation of the appropriations of the receiving element of the Office of the National Cyber Director.''. ''(2) 第1項(C)の規定は、償還可能または償還不可能な細部に関する他の権限に制限を加えるものと解釈してはならない。本項に基づいて行われた払い戻しのない詳細情報は、国家サイバー長官室の受け入れ部門の予算を増大させるものとはみなされない。

Continue reading "米国 バイデン大統領が2022年国防授権法にサインをしましたね。。。"

| | Comments (0)

2021.12.22

米国 司法省監察官室 2015年サイバーセキュリティ情報共有法の実施に関する共同報告

こんにちは、丸山満彦です。

米国司法省監察官室が「2015年サイバーセキュリティ情報共有法の実施に関する共同報告」を公表していますね。。。これは、情報コミュニティーが適切に2015年サイバーセキュリティ情報共有法に基づいて情報共有が行われているかについての内部監査を共同しているもので、法で要求されています。。。

共同報告書の宛先は情報コミュニティー (Intelligence Community) に含まれている省庁の長官ですね。。。

  1. 国家情報長官
  2. 商務省長官
  3. 国防総省長官
  4. エネルギー省長官
  5. 国土安全保障省長官
  6. 司法省検事総長
  7. 財務省長官

機械で処理できるサイバー脅威情報を共有する仕組みAIS (AUTOMATED INDICATOR SHARING) があるのですが、日本はどうなんでしょうね。。。

U.S. Department of Justice Office of the Inspector General

・2021.12.20 Joint Report on the Implementation of the Cybersecurity Information Sharing Act of 2015

・[PDF] AUD-2021-002-U.pdf

20211222-61103

・[DOCX] 仮訳

 

CISA

法律

・[PDF] The Cybersecurity Information Sharing Act of 2015

・[DOCX] 仮対訳

 

手順書とガイダンス

CYBERSECURITY INFORMATION SHARING ACT OF 2015 PROCEDURES AND GUIDANCE

 ・[PDF] Non-Federal Entity Sharing Guidance under the Cybersecurity Information Sharing Act of 2015

 ・[PDF] Privacy and Civil Liberties Final Guidelines: Cybersecurity Information Sharing Act of 2015

 ・[PDF] Federal Government Sharing Guidance under the Cybersecurity Information Sharing Act of 2015

 ・[PDF] Final Procedures Related to the Receipt of Cyber Threat Indicators and Defensive Measures by the Federal Government

 

AIS

AUTOMATED INDICATOR SHARING

 


 

Fig1_20211222063701

| | Comments (0)

2021.12.11

米国 GAO 国防省の委託事業者のサイバーセキュリティについての認証フレームワークの改善

こんにちは、丸山満彦です。

GAOが国防省の委託事業者のサイバーセキュリティ認証の認証フレームワーク (CMMC) の改善についての監査報告をしていますね。。。

推奨事項としては、

  • サイバーセキュリティ成熟度モデル認証について、追加情報の提供時期を含め、産業界に十分かつタイムリーな情報提供を行うことを保証すべき
  • サイバーセキュリティ成熟度モデル認証のパイロットの効果を評価するための計画を策定することを保証すべき
  • 成果指向のパフォーマンス指標を開発することを、取得・維持担当国防次官に保証すべき

というかんじでしょうか。。。

● U.S. Government Accountability Office

・2021.12.08 Defense Contractor Cybersecurity:Stakeholder Communication and Performance Goals Could Improve Certification Framework

 

Defense Contractor Cybersecurity: Stakeholder Communication and Performance Goals Could Improve Certification Framework 防衛省の委託先のサイバーセキュリティ:関係者間のコミュニケーションとパフォーマンス目標により、認証フレームワークを改善できる可能性がある。
Fast Facts 概要
Defense contractors are targets for hackers who are trying to access sensitive data. The Department of Defense is working on a framework to certify that contractors have proper cybersecurity practices in place to protect data. 防衛省の請負業者は、機密データにアクセスしようとするハッカーの標的となっている。国防総省は、請負業者がデータを保護するために適切なサイバーセキュリティを実践していることを認証するフレームワークを作成している。
DOD worked with industry and experts on the framework. However, its plans to start certifying contractors are delayed, and DOD hasn't communicated key details for defense contractors, such as reciprocity between its certification and others. In addition, DOD won't know how effective the certification is until it sets performance goals. 国防総省は、業界や専門家と協力してフレームワークを作成しました。しかし、コントラクターの認証を開始する計画は遅れており、DODは、自社の認証と他社の認証との相互関係など、防衛コントラクターにとって重要な詳細を伝えていません。さらに、DODはパフォーマンス目標を設定するまで、認証の効果を知ることができない。
We recommended that DOD develop outcome-oriented performance measures, and more. 私たちは、DODが成果重視のパフォーマンス指標を策定するよう提言しました。
Highlights ハイライト
What GAO Found GAOの調査結果
For years, malicious cyber actors have targeted defense contractors to access sensitive unclassified data. In response, since 2019, the Department of Defense (DOD) has engaged with a range of stakeholders to develop and refine a set of cybersecurity practices and processes for contractors to use to help assure security of the data. For relevant contracts, this Cybersecurity Maturity Model Certification (CMMC) requires that defense contractors implement these practices and processes on their information systems and networks. 長年にわたり、悪意のあるサイバーアクターは、機密の未分類データにアクセスするために防衛請負業者を標的にしてきました。これを受けて、2019年以降、国防総省(DOD)はさまざまな関係者と協力して、契約者がデータのセキュリティを保証するために使用する一連のサイバーセキュリティの実践とプロセスを開発し、改良してきました。関連する契約について、このサイバーセキュリティ成熟度モデル認証(CMMC)は、防衛省の請負業者がこれらのプラクティスとプロセスを情報システムとネットワークに実装することを求めています。
Rid16_image2
Key Steps in CMMC Verification Process CMMC検証プロセスの主要ステップ
DOD began CMMC implementation with an interim rule that took effect in November 2020, but the rollout of the 5-year pilot phase is delayed. For example, DOD planned to pilot the CMMC requirement on up to 15 acquisitions in fiscal year 2021 but has not yet included the requirement in any acquisitions, in part due to delays in certifying assessors. Industry—in particular, small businesses—has expressed a range of concerns about CMMC implementation, such as costs and assessment consistency. DOD engaged with industry in refining early versions of CMMC, but it has not provided sufficient details and timely communication on implementation. Until DOD improves this communication, industry will be challenged to implement protections for DOD's sensitive data. DOD has identified plans to assess aspects of its CMMC pilot, including high-level objectives and data collection activities, but these plans do not fully reflect GAO's leading practices for effective pilot design. For example, DOD has not defined when and how it will analyze its data to measure performance. Further, GAO found that DOD has not developed outcome-oriented measures, such as reduced risk to sensitive information, to gauge the effectiveness of CMMC. Without such measures, the department will be hindered in evaluating the extent to which CMMC is increasing the cybersecurity of the defense industrial base. In November 2021, DOD announced CMMC 2.0, which includes a number of significant changes, including eliminating some certification levels, DOD-specific cybersecurity practices, and assessment requirements. DOD also announced that it intended to suspend the current CMMC pilot and initiate a new rulemaking period to implement the revised framework. DODは、2020年11月に発効した暫定規則でCMMCの実施を開始しましたが、5年間のパイロットフェーズの展開が遅れています。例えば、DODは2021会計年度に最大15件の買収案件でCMMC要件を試験的に導入することを計画したが、評価者の認証の遅れもあり、まだどの買収案件にも要件を盛り込んでいない。産業界(特に中小企業)からは、CMMCの導入について、コストや評価の一貫性など、さまざまな懸念が寄せられています。DODは、CMMCの初期バージョンを改良するために産業界と協力しましたが、CMMCの導入に関して十分な詳細とタイムリーな情報を提供していません。DODがこのコミュニケーションを改善するまでは、産業界はDODの機密データの保護を実施することが困難になるでしょう。DODは、ハイレベルな目標やデータ収集活動など、CMMCパイロットの側面を評価する計画を明らかにしていますが、これらの計画は、効果的なパイロット設計のためのGAOのリーディング・プラクティスを完全には反映していません。例えば、DODはパフォーマンスを測定するためにいつ、どのようにデータを分析するかを定義していません。さらにGAOは、DODがCMMCの効果を測るために、機密情報のリスク軽減などの成果重視の指標を開発していないことを明らかにした。このような測定法がなければ、DODはCMMCが防衛産業基盤のサイバーセキュリティをどの程度向上させているかを評価するのに支障をきたすだろう。2021年11月、DODはCMMC 2.0を発表しましたが、このCMMC 2.0には、一部の認証レベル、DOD固有のサイバーセキュリティプラクティス、評価要件の廃止など、多くの重要な変更点が含まれています。また、DODは、現行のCMMCパイロットを中断し、改訂されたフレームワークを導入するための新たなルールメイキング期間を開始する意向を発表しました。
Why GAO Did This Study GAOがこの調査を行った理由
DOD relies on thousands of defense contractors for goods and services ranging from weapon systems to analysis to maintenance. In doing business with DOD, these companies access and use sensitive unclassified data. Accordingly, the department has taken steps intended to improve the cybersecurity of this defense industrial base. DODは、兵器システムから分析、保守に至るまでの商品やサービスを、何千もの防衛請負業者に依存しています。DODとのビジネスにおいて、これらの企業は機密性の高い未分類データにアクセスし、使用しています。そのため、DODは、この防衛産業基盤のサイバーセキュリティを向上させることを目的とした措置を講じています。
A Senate report included a provision for GAO to review DOD's implementation of CMMC. This report addresses (1) what steps DOD took to develop CMMC, (2) the extent to which DOD made progress in implementing CMMC, including communication with industry, and (3) the extent to which DOD has developed plans to assess the effectiveness of CMMC. 上院の報告書には、GAOがDODのCMMCの実施状況をレビューするという条項が含まれていました。本報告書では、(1)DODがCMMCを開発するためにどのようなステップを踏んだか、(2)DODが産業界とのコミュニケーションを含めてCMMCの実施をどの程度まで進めたか、(3)DODがCMMCの有効性を評価するための計画をどの程度まで策定したか、を取り上げています。
GAO reviewed DOD documents related to the design and implementation of CMMC and interviewed DOD officials involved in designing and managing it. GAO also interviewed representatives from defense contractors, industry trade groups, and research centers. GAOは、CMMCの設計と実施に関連するDODの文書をレビューし、CMMCの設計と管理に携わるDODの職員にインタビューを行った。GAOはまた、防衛請負業者、業界団体、研究センターの代表者にもインタビューを行った。
Recommendations 推奨事項
GAO is making three recommendations to DOD to improve communication to industry, develop a plan to evaluate the pilot, and develop outcome-oriented performance measures. DOD concurred with the recommendations and outlined plans to address them in CMMC 2.0. GAOはDODに対し、産業界とのコミュニケーションの改善、パイロットの評価計画の策定、成果重視のパフォーマンス指標の策定という3つの提言を行っている。DODは提言に同意し、CMMC2.0でそれらに対処する計画を概説した。
Recommendations for Executive Action 長官が取るべき行動に関する推奨事項
The Secretary of Defense should ensure the Under Secretary of Defense for Acquisition and Sustainment provides sufficient and timely communication to industry on Cybersecurity Maturity Model Certification, including when additional information will be forthcoming. (Recommendation 1) 国防長官は、取得・維持担当国防次官が、サイバーセキュリティ成熟度モデル認証について、追加情報の提供時期を含め、産業界に十分かつタイムリーな情報提供を行うことを保証すべきである。(推奨事項1)
The Secretary of Defense should ensure the Under Secretary of Defense for Acquisition and Sustainment develops a plan to evaluate the effectiveness of Cybersecurity Maturity Model Certification's pilot, including establishing measurable objectives, collecting relevant data, and identifying lessons and plans to use that information to inform future decisions about the Cybersecurity Maturity Model Certification. (Recommendation 2) 国防長官は、取得・維持担当国防次官が、測定可能な目標の確立、関連データの収集、教訓の特定、およびサイバーセキュリティ成熟度モデル認証に関する将来の決定に情報を提供するためにその情報を使用する計画を含む、サイバーセキュリティ成熟度モデル認証のパイロットの効果を評価するための計画を策定することを保証すべきである。(推奨事項2)
The Secretary of Defense should ensure the Under Secretary of Defense for Acquisition and Sustainment develop outcome-oriented performance measures to evaluate the effectiveness of Cybersecurity Maturity Model Certification as a component of the department's efforts to enhance cybersecurity for the defense industrial base. (Recommendation 3) 国防長官は、国防産業基盤のサイバーセキュリティを強化するための国防省の取り組みの一環として、サイバーセキュリティ・モデル認証の有効性を評価するために、成果指向のパフォーマンス指標を開発することを、取得・維持担当国防次官に保証すべきである。(推奨事項3)

 

・[PDF] Highlights Page

20211211-82819

・[PDF] Full Report

20211211-82831

・[PDF] Accessible PDF

 


CMMC関連...

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.11.07 米国 DoD サイバーセキュリティ成熟度モデル認証(CMMC)プログラムの戦略的方向性 - CMMC2.0

・2021.04.28 NIST SP 800-172A 管理対象非機密情報 (CUI) に対する強化版セキュリティ要件の評価

・2021.02.04 NIST SP 800-172 Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171

・2020.10.02 米国国防省がCMMCの暫定規則(DFARS Case 2019-D041)を公表し、意見募集を行っています

・2020.05.01 Cybersecurity成熟度モデル認証制度は普及するか、しないか・・・

・2020.03.31 CMMC概要 An Introduction to the Cybersecurity Maturity Model Certification (CMMC)

 

| | Comments (0)

2021.12.10

Cloud Security Alliance クラウドコントロールマトリックス4.0 監査ガイド

こんにちは、丸山満彦です。

Cloud Security Alliance (CSA) がクラウドコントロールマトリックス4.0 監査ガイドに関する文書を公表していますね。。。

このガイドは、Certificate of Cloud Auditing Knowledge ガイドの第 7 章 CCM 監査ガイドライン(特に7.5: CCM 監査ワークブック)を拡張したもので

  1. クラウドサービスプロバイダ(CSP)に対して CCM 監査を実施することを計画している監査人
  2. CCMフレームワークを利用してクラウドサービスのポートフォリオを評価するクラウドサービスカスタマ(CSC)
  3. CCMフレームワークを利用してクラウドのセキュリティ対策を設計、開発、実施しようとしているCSPまたはCSC

に向けて作成されたようですね。。。

Cloud Security Alliance (CSA)

・2021.12.08 (press) Cloud Security Alliance Releases New Cloud Controls Matrix Auditing Guidelines

・2021.12.08 CCMv4.0 Auditing Guidelines

 

・[PDF] 簡単な質問に答えるとダウンロードできます

20211210-55749

Executive Summary エグゼクティブサマリー
1. Introduction 1. はじめに
1.1 Purpose and Scope 1.1 目的と範囲
1.2 CCM Compliance Audit Documentation 1.2 CCMコンプライアンス監査文書
1.3 Key Assumptions 1.3 主な前提条件
1.4 Target Audience 1.4 対象となる聴衆
1.5 Versioning 1.5 バージョニング
2. Auditing Guidelines 2. 監査ガイドライン
2.1 Audit and Assurance (A&A) 2.1 監査・保証(A&A)
2.2 Application and Interface Security (AIS) 2.2 アプリケーション及びインターフェースのセキュリティ(AIS)
2.3 Business Continuity Management and Operational Resilience (BCR) 2.3 事業継続管理と運用維持(BCR)
2.4 Change Control and Configuration Management (CCC) 2.4 変更管理と構成管理(CCC)
2.5 Cryptography, Encryption and Key Management (CEK) 2.5 暗号、暗号化、鍵管理(CEK)
2.6 Datacenter Security (DCS) 2.6 データセンターセキュリティ(DCS)
2.7 Data Security and Privacy Lifecycle Management (DSP) 2.7 データセキュリティとプライバシーライフサイクル管理(DSP)
2.8 Governance, Risk Management and Compliance (GRC) 2.8 ガバナンス、リスクマネジメントとコンプライアンス(GRC)
2.9 Human Resources (HRS) 2.9 人事(HRS)
2.10 Identity and Access Management (IAM) 2.10 アイデンティティとアクセスの管理(IAM)
2.11 Interoperability and Portability (IPY) 2.11 相互運用性・移植容易性(IPY)
2.12 Infrastructure and Virtualization Security (IVS) 2.12 インフラと仮想化のセキュリティ(IVS)
2.13 Logging and Monitoring (LOG) 2.13 記録と監視(LOG)
2.14 Security Incident Management, E-Discovery, and Cloud Forensics (SEF) 2.14 セキュリティインシデント管理、Eディスカバリ、クラウドフォレンジック(SEF)
2.15 Supply Chain Management, Transparency, and Accountability (STA) 2.15 サプライチェーンの管理、透明性と説明責任(STA)
2.16 Threat and Vulnerability Management (TVM) 2.16 脅威と脆弱性の管理(TVM)
2.17 Universal Endpoint Management (UEM) 2.17 統合エンドポイント管理(UEM)
Acronyms 頭字語
Glossary 用語集

 


 

まるちゃんの情報セッキュリティ気まぐれ日記

・2021.10.26 Cloud Security Alliance 継続的監査メトリクスカタログ at 2021.10.19

・2021.09.15 Cloud Security Alliance クラウド・コントロール・マトリクス v4.0 実装ガイダンス

・2021.05.30 Cloud Security Alliance CSA STAR Attestation v2 を提供する米国公認会計士へのガイドライン

・2021.01.23 Cloud Security Alliance - Cloud Controls Matrix v4を公表しましたね。。。

| | Comments (0)

より以前の記事一覧