米国 国家サイバーセキュリティ戦略を発表
こんにちは、丸山満彦です。
米国が5年ぶり?に国家サイバーセキュリティ戦略を発表しましたね。。。
・5つの柱
| (1) Defend Critical Infrastructure | (1)重要インフラの防衛 |
| (2) Disrupt and Dismantle Threat Actors | (2)脅威アクターの破壊と解体 |
| (3) Shape Market Forces to Drive Security and Resilience | (3)セキュリティとレジリエンスを推進するための市場の力の形成 |
| (4) Invest in a Resilient Future | (4)レジリエンスな未来への投資 |
| (5) Forge International Partnerships to Pursue Shared Goals | (5)共通の目標を達成するための国際的パートナーシップの構築 |
大統領令14028の考え方がベースになっていて、それに最近のランサムグループ解体等の成功事例を踏まえて、国際連携、民間連携を強く打ち出しているように思いました。。。
米国政府は、自分だけでは犯罪者組織を倒せないし、競争国との競争も仲間と一緒にやらないと勝てないと感じているのかもしれません。。。欧州も日本もサイバーだけでなく、安全保障の観点で米国の考えに巻き込まれますよね。。。これからもっと。。。
戦略の目次的なもの...
| National Cybersecurity Strategy | 国家サイバーセキュリティ戦略 |
| PILLAR ONE | DEFEND CRITICAL INFRASTRUCTURE | 柱1:重要インフラの防御 |
| STRATEGIC OBJECTIVE 1.1: ESTABLISH CYBERSECURITY REQUIREMENTS TO SUPPORT NATIONAL SECURITY AND PUBLIC SAFETY | 戦略目標 1.1: 国家安全保障と公共安全を支援するためのサイバーセキュリティ要件の確立 |
| ESTABLISH CYBERSECURITY REGULATIONS TO SECURE CRITICAL INFRASTRUCTURE | 重要インフラを保護するためのサイバーセキュリティ規制の確立 |
| HARMONIZE AND STREAMLINE NEW AND EXISTING REGULATION | 新規および既存の規制の調和と合理化 |
| ENABLE REGULATED ENTITIES TO AFFORD SECURITY | 規制対象事業者のセキュリティ確保の推進 |
| STRATEGIC OBJECTIVE 1.2: SCALE PUBLIC-PRIVATE COLLABORATION | 戦略目標1.2: 官民協力の拡大 |
| STRATEGIC OBJECTIVE 1.3: INTEGRATE FEDERAL CYBERSECURITY CENTERS | 戦略目標1.3: 連邦政府のサイバーセキュリティセンターの統合 |
| STRATEGIC OBJECTIVE 1.4: UPDATE FEDERAL INCIDENT RESPONSE PLANS AND PROCESSES | 戦略目標 1.4: 連邦政府の事故対応計画及びプロセスの更新 |
| STRATEGIC OBJECTIVE 1.5: MODERNIZE FEDERAL DEFENSES | 戦略目標 1.5: 連邦防衛の近代化 |
| COLLECTIVELY DEFEND FEDERAL CIVILIAN AGENCIES | 連邦政府民間機関の一括防衛 |
| MODERNIZE FEDERAL SYSTEMS | 連邦システムの近代化 |
| DEFEND NATIONAL SECURITY SYSTEMS | 国家安全保障システムの保護 |
| PILLAR TWO | DISRUPT AND DISMANTLE THREAT ACTORS | 柱2:脅威アクターの破壊と解体 |
| STRATEGIC OBJECTIVE 2.1: INTEGRATE FEDERAL DISRUPTION ACTIVITIES | 戦略目標2.1: 連邦政府の破壊活動の統合 |
| STRATEGIC OBJECTIVE 2.2: ENHANCE PUBLIC-PRIVATE OPERATIONAL COLLABORATION TO DISRUPT ADVERSARIES | 戦略目標2.2: 敵対者をかく乱するための官民の作戦協力の強化 |
| STRATEGIC OBJECTIVE 2.3: INCREASE THE SPEED AND SCALE OF INTELLIGENCE SHARING AND VICTIM NOTIFICATION | 戦略目標 2.3: 情報共有と被害者通知の速度と規模の拡大 |
| STRATEGIC OBJECTIVE 2.4: PREVENT ABUSE OF U.S.-BASED INFRASTRUCTURE | 戦略目標2.4: 米国拠点のインフラ悪用の防止 |
| STRATEGIC OBJECTIVE 2.5: COUNTER CYBERCRIME, DEFEAT RANSOMWARE | 戦略目標2.5: サイバー犯罪への対抗とランサムウェアの撲滅 |
| PILLAR THREE | SHAPE MARKET FORCES TO DRIVE SECURITY AND RESILIENCE | 柱 3|セキュリティとレジリエンスを推進するための市場の力の形成 |
| STRATEGIC OBJECTIVE 3.1: HOLD THE STEWARDS OF OUR DATA ACCOUNTABLE | 戦略目標3.1: データの管理者に説明責任を持たせる |
| STRATEGIC OBJECTIVE 3.2: DRIVE THE DEVELOPMENT OF SECURE IOT DEVICES | 戦略目標3.2: 安全なIoTデバイスの開発の促進 |
| STRATEGIC OBJECTIVE 3.3: SHIFT LIABILITY FOR INSECURE SOFTWARE PRODUCTS AND SERVICES | 戦略目標 3.3: 安全でないソフトウェア製品とサービスに対する責任の転換 |
| STRATEGIC OBJECTIVE 3.4: USE FEDERAL GRANTS AND OTHER INCENTIVES TO BUILD IN SECURITY | 戦略目標 3.4: 連邦政府の補助金やその他のインセンティブを利用したセキュリティの構築 |
| STRATEGIC OBJECTIVE 3.5: LEVERAGE FEDERAL PROCUREMENT TO IMPROVE ACCOUNTABILITY | 戦略目標 3.5: 連邦調達の活用によるアカウンタビリティの向上 |
| STRATEGIC OBJECTIVE 3.6: EXPLORE A FEDERAL CYBER INSURANCE BACKSTOP | 戦略目標 3.6: 連邦政府によるサイバー保険のバックアップの検討 |
| PILLAR FOUR | INVEST IN A RESILIENT FUTURE | 柱4:レジリエンスな未来への投資 |
| STRATEGIC OBJECTIVE 4.1: SECURE THE TECHNICAL FOUNDATION OF THE INTERNET | 戦略目標 4.1: インターネットの技術的基盤の確保 |
| STRATEGIC OBJECTIVE 4.2: REINVIGORATE FEDERAL RESEARCH AND DEVELOPMENT FOR CYBERSECURITY | 戦略目標 4.2: サイバーセキュリティのための連邦政府研究開発の活性化 |
| STRATEGIC OBJECTIVE 4.3: PREPARE FOR OUR POST-QUANTUM FUTURE | 戦略目標 4.3: 量子時代後の未来への備え |
| STRATEGIC OBJECTIVE 4.4: SECURE OUR CLEAN ENERGY FUTURE | 戦略目標 4.4: クリーンエネルギーの未来の確保 |
| STRATEGIC OBJECTIVE 4.5: SUPPORT DEVELOPMENT OF A DIGITAL IDENTITY ECOSYSTEM | 戦略目標 4.5: デジタル ID エコシステムの開発支援 |
| STRATEGIC OBJECTIVE 4.6: DEVELOP A NATIONAL STRATEGY TO STRENGTHEN OUR CYBER WORKFORCE | 戦略目標4.6: サイバー人材強化のための国家戦略の策定 |
| PILLAR FIVE | FORGE INTERNATIONAL PARTNERSHIPS TO PURSUE SHARED GOALS | 第 5 の柱:共通の目標を追求するために国際的なパートナーシップの構築 |
| STRATEGIC OBJECTIVE 5.1: BUILD COALITIONS TO COUNTER THREATS TO OUR DIGITAL ECOSYSTEM | 戦略目標5.1: デジタル・エコシステムへの脅威に対抗するための連合を構築する |
| STRATEGIC OBJECTIVE 5.2: STRENGTHEN INTERNATIONAL PARTNER CAPACITY | 戦略目標5.2: 国際的なパートナーの能力の強化 |
| STRATEGIC OBJECTIVE 5.3: EXPAND U.S. ABILITY TO ASSIST ALLIES AND PARTNERS | 戦略目標 5.3: 同盟国やパートナーを支援する米国の能力の拡大 |
| STRATEGIC OBJECTIVE 5.4: BUILD COALITIONS TO REINFORCE GLOBAL NORMS OF RESPONSIBLE STATE BEHAVIOR | 戦略目標5.4: 責任ある国家行動の世界的規範を強化するための連合体構築 |
| STRATEGIC OBJECTIVE 5.5: SECURE GLOBAL SUPPLY CHAINS FOR INFORMATION, COMMUNICATIONS, AND OPERATIONAL TECHNOLOGY PRODUCTS AND SERVICES | 戦略目標5.5: 情報・通信・運用技術製品およびサービスのためのグローバル・サプライ・チェーンの安全確保 |
● U.S. Department of State
・2023.03.02 Announcing the Release of the Administration’s National Cybersecurity Strategy
● U.S. White House
・2023.03.02 FACT SHEET: Biden-Harris Administration Announces National Cybersecurity Strategy
| FACT SHEET: Biden-Harris Administration Announces National Cybersecurity Strategy | ファクトシート:バイデン=ハリス政権、国家サイバーセキュリティ戦略を発表 |
| Today, the Biden-Harris Administration released the National Cybersecurity Strategy to secure the full benefits of a safe and secure digital ecosystem for all Americans. In this decisive decade, the United States will reimagine cyberspace as a tool to achieve our goals in a way that reflects our values: economic security and prosperity; respect for human rights and fundamental freedoms; trust in our democracy and democratic institutions; and an equitable and diverse society. To realize this vision, we must make fundamental shifts in how the United States allocates roles, responsibilities, and resources in cyberspace. | 本日、バイデン-ハリス政権は、すべての米国人に安全でセキュアなデジタルエコシステムの恩恵を十分に確保するための「国家サイバーセキュリティ戦略」を発表した。この決定的な 10 年において、米国は、経済的安全性と繁栄、人権と基本的自由の尊重、民主主義と民主的制度への信頼、公平で多様な社会という我々の価値観を反映した形で、目標を達成するためのツールとしてサイバースペースを再構築することになるだろう。このビジョンを実現するためには、米国がサイバースペースにおける役割、責任、資源をどのように配分するかについて、根本的な転換を図る必要がある。 |
| 1. We must rebalance the responsibility to defend cyberspace by shifting the burden for cybersecurity away from individuals, small businesses, and local governments, and onto the organizations that are most capable and best-positioned to reduce risks for all of us. | 1. サイバーセキュリティの負担を個人、中小企業、地方自治体から、最も能力があり、我々全員のリスクを軽減できる立場にある組織に移すことで、サイバー空間を防衛する責任を再分配しなければならない。 |
| 2. We must realign incentives to favor long-term investments by striking a careful balance between defending ourselves against urgent threats today and simultaneously strategically planning for and investing in a resilient future. | 2. 今日の緊急の脅威から身を守ると同時に、レジリエンスの高い将来に向けて戦略的に計画を立て、投資することの間で慎重にバランスを取ることにより、長期的な投資を促進するようインセンティブを再編成しなければならない。 |
| The Strategy recognizes that government must use all tools of national power in a coordinated manner to protect our national security, public safety, and economic prosperity. | 本戦略は、政府が国家の安全保障、公共の安全、経済的繁栄を守るために、国力のあらゆる手段を協調して使用しなければならないことを認識する。 |
| VISION | ビジョン |
| Our rapidly evolving world demands a more intentional, more coordinated, and more well-resourced approach to cyber defense. We face a complex threat environment, with state and non-state actors developing and executing novel campaigns to threaten our interests. At the same time, next-generation technologies are reaching maturity at an accelerating pace, creating new pathways for innovation while increasing digital interdependencies. | 急速に進化する世界は、サイバー防衛に対して、より意図的で、より協調的で、より十分なリソースのあるアプローチを求めている。我々は複雑な脅威環境に直面しており、国家や非国家主体が我々の利益を脅かす斬新なキャンペーンを開発し実行している。同時に、次世代技術は加速度的に成熟し、デジタル相互依存を高めながら、イノベーションのための新たな道筋を作り出している。 |
| This Strategy sets out a path to address these threats and secure the promise of our digital future. Its implementation will protect our investments in rebuilding America’s infrastructure, developing our clean energy sector, and re-shoring America’s technology and manufacturing base. Together with our allies and partners, the United States will make our digital ecosystem: | 本戦略は、これらの脅威に対処し、デジタルの未来の約束を守るための道筋を示すものである。この戦略の実施により、米国のインフラの再建、クリーンエネルギー分野の開発、米国の技術・製造基盤の再構築への投資が守られる。同盟国やパートナーとともに、米国はデジタル・エコシステムを構築する。 |
| ・Defensible, where cyber defense is overwhelmingly easier, cheaper, and more effective; | ・防衛可能:サイバー防衛が圧倒的に容易で、安価で、効果的である。 |
| ・Resilient, where cyber incidents and errors have little widespread or lasting impact; and, | ・レジリエンス:サイバーインシデントやエラーが、広範囲に、あるいは永続的に影響を及ぼすことが少ない。 |
| ・Values-aligned, where our most cherished values shape—and are in turn reinforced by— our digital world. | ・価値観の一致:我々の最も大切な価値観がデジタル世界を形成し、それによって強化される。 |
| The Administration has already taken steps to secure cyberspace and our digital ecosystem, including the National Security Strategy, Executive Order 14028 (Improving the Nation’s Cybersecurity), National Security Memorandum 5 (Improving Cybersecurity for Critical Infrastructure Control Systems), M-22-09 (Moving the U.S. Government Toward Zero-Trust Cybersecurity Principles), and National Security Memorandum 10 (Promoting United States Leadership in Quantum Computing While Mitigating Risks to Vulnerable Cryptographic Systems). Expanding on these efforts, the Strategy recognizes that cyberspace does not exist for its own end but as a tool to pursue our highest aspirations. | 政権は、国家安全保障戦略、大統領令14028(国家のサイバーセキュリティの改善)、国家安全保障覚書5(重要インフラ制御システムのサイバーセキュリティの改善)、M-22-09(ゼロ信頼サイバーセキュリティ原則に向けた米国政府の動き)、国家安全保障覚書10(脆弱な暗号システムに対するリスクを軽減しつつ量子コンピュータにおける米国のリーダーシップを促進)を含むサイバー空間と我々のデジタルエコシステムを確保する措置をすでに講じている。これらの取り組みを発展させ、本戦略は、サイバースペースがそれ自体の目的のために存在するのではなく、我々の最高の願望を追求するためのツールとして存在することを認識する。 |
| APPROACH | アプローチ |
| This Strategy seeks to build and enhance collaboration around five pillars: | 本戦略では、5つの柱を軸に、協働を構築・強化することを目指す。 |
| 1. Defend Critical Infrastructure – We will give the American people confidence in the availability and resilience of our critical infrastructure and the essential services it provides, including by: | 1. 重要インフラの防御 - 我々は、以下のような方法で、重要インフラとそれが提供する重要なサービスの可用性とレジリエンスについて米国民に信頼感を与える。 |
| ・Expanding the use of minimum cybersecurity requirements in critical sectors to ensure national security and public safety and harmonizing regulations to reduce the burden of compliance; | ・国家の安全保障と公共の安全を確保するために、重要なセクターにおけるサイバーセキュリティの最低要件の利用を拡大し、規制を調和させてコンプライアンスの負担を軽減すること。 |
| ・Enabling public-private collaboration at the speed and scale necessary to defend critical infrastructure and essential services; and, | ・重要なインフラと重要なサービスを守るために必要なスピードと規模での官民協働を可能にすること。 |
| ・Defending and modernizing Federal networks and updating Federal incident response policy | ・連邦ネットワークの防御と近代化、連邦事故対応ポリシーの更新 |
| 2. Disrupt and Dismantle Threat Actors – Using all instruments of national power, we will make malicious cyber actors incapable of threatening the national security or public safety of the United States, including by: | 2. 脅威アクターの破壊と解体 - 国力のあらゆる手段を用いて、悪意のあるサイバー行為者を、以下のように、米国の国家安全保障や公共の安全を脅かすことができないようにする。 |
| ・Strategically employing all tools of national power to disrupt adversaries; | ・敵対者を混乱させるために、あらゆる国力の手段を戦略的に使用する。 |
| ・Engaging the private sector in disruption activities through scalable mechanisms; and, | ・スケーラブルなメカニズムを通じて、民間部門を破壊活動に参加させる。 |
| ・Addressing the ransomware threat through a comprehensive Federal approach and in lockstep with our international partners. | ・ランサムウェアの脅威に対して、連邦政府の包括的なアプローチと国際的なパートナーとの連携により対処する。 |
| 3. Shape Market Forces to Drive Security and Resilience – We will place responsibility on those within our digital ecosystem that are best positioned to reduce risk and shift the consequences of poor cybersecurity away from the most vulnerable in order to make our digital ecosystem more trustworthy, including by: | 3. セキュリティとレジリエンスを推進するための市場の力の形成 - 我々は、デジタルエコシステムをより信頼できるものにするために、リスクを低減し、サイバーセキュリティの不備がもたらす結果を最も脆弱な人々から遠ざけるために、デジタルエコシステム内の最も適した立場にある人々に責任を負わせえる。 |
| ・Promoting privacy and the security of personal data; | ・プライバシーと個人データの安全性を促進する。 |
| ・Shifting liability for software products and services to promote secure development practices; and, | ・ソフトウェア製品やサービスに対する責任を転換し、安全な開発慣行を促進する。 |
| ・Ensuring that Federal grant programs promote investments in new infrastructure that are secure and resilient. | ・連邦政府の補助金プログラムが、安全でレジリエンスに優れた新しいインフラへの投資を促進するようにする。 |
| 4. Invest in a Resilient Future – Through strategic investments and coordinated, collaborative action, the United States will continue to lead the world in the innovation of secure and resilient next-generation technologies and infrastructure, including by: | 4. レジリエンスな未来への投資 - 戦略的な投資と協調的な行動を通じて、米国は、安全でレジリエンスに優れた次世代技術やインフラの革新において、世界をリードし続ける。 |
| ・Reducing systemic technical vulnerabilities in the foundation of the Internet and across the digital ecosystem while making it more resilient against transnational digital repression; | ・インターネットの基盤やデジタルエコシステム全体におけるシステム的な技術的脆弱性を低減し、国境を越えたデジタル抑圧に対するレジリエンスを向上させる。 |
| ・Prioritizing cybersecurity R&D for next-generation technologies such as postquantum encryption, digital identity solutions, and clean energy infrastructure; and, | ・ポスト量子暗号、デジタルIDソリューション、クリーンエネルギーインフラなど、次世代技術に対するサイバーセキュリティ研究開発を優先する。 |
| ・Developing a diverse and robust national cyber workforce | ・ 多様で強固な国家サイバー人材の育成 |
| 5. Forge International Partnerships to Pursue Shared Goals – The United States seeks a world where responsible state behavior in cyberspace is expected and reinforced and where irresponsible behavior is isolating and costly, including by: | 5. 共通の目標を達成するための国際的パートナーシップの構築 - 米国は、サイバー空間における国家の責任ある行動が期待され、強化され、無責任な行動が孤立し、コストがかかるような世界を求めている。 |
| ・Leveraging international coalitions and partnerships among like-minded nations to counter threats to our digital ecosystem through joint preparedness, response, and cost imposition; | ・志を同じくする国同士の国際連合やパートナーシップを活用し、共同の準備、対応、コスト賦課を通じて、我々のデジタル・エコシステムへの脅威に対抗する。 |
| ・Increasing the capacity of our partners to defend themselves against cyber threats, both in peacetime and in crisis; and, | ・平時と危機時の両方で、サイバー脅威から自らを守るためのパートナーの能力を向上させる。 |
| ・Working with our allies and partners to make secure, reliable, and trustworthy global supply chains for information and communications technology and operational technology products and services. | ・情報通信技術や運用技術に関する製品・サービスのグローバルなサプライチェーンを安全、確実、信頼できるものにするために、同盟国やパートナーと協力する。 |
| Coordinated by the Office of the National Cyber Director, the Administration’s implementation of this Strategy is already underway. | 国家サイバー長官室によって調整され、本戦略の行政実施は既に進行中である。 |
・[PDF]
| National Cybersecurity Strategy | 国家サイバーセキュリティ戦略 |
| 1-Mar-23 | 2023.03.01 |
| Digital technologies today touch nearly every aspect of American life. The openness and connection enabled by access to the Internet are game-changers for communities everywhere, as we have all experienced throughout the COVID-19 pandemic. That’s why, thanks to the Bipartisan Infrastructure Law, my Administration is investing $65 billion to make sure every American has access to reliable, high-speed Internet. And when we pick up our smart phones to keep in touch with loved ones, log on to social media to share our ideas with one another, or connect to the Internet to run a business or take care of any of our basic needs, we need to be able to trust that the underlying digital ecosystem is safe, reliable, and secure. This National Cybersecurity Strategy details the comprehensive approach my Administration is taking to better secure cyberspace and ensure the United States is in the strongest possible position to realize all the benefits and potential of our digital future. | デジタル技術は、今日、アメリカ人の生活のほぼすべての面に浸透している。 インターネットへのアクセスによって可能になる開放性とつながりは、COVID-19の大流行を通して我々全員が経験したように、あらゆる場所のコミュニティにとって大変革となる。 だからこそ、超党派インフラ法によって、私の政権はすべてのアメリカ人が信頼できる高速インターネットにアクセスできるようにするため、650億ドルを投資している。 そして、愛する人と連絡を取るためにスマートフォンを手に取り、互いにアイデアを共有するためにソーシャルメディアにログオンし、ビジネスを運営したり基本的なニーズを満たすためにインターネットに接続するとき、基盤となるデジタルエコシステムが安全で、信頼性があり、セキュアであることを信頼できるようにする必要がある。 この国家サイバーセキュリティ戦略は、サイバースペースの安全性を高め、米国がデジタルの未来から得られるあらゆる恩恵と可能性を実現するための最強のポジションを確保するために、私の政権が取っている包括的なアプローチについて詳しく説明している。 |
| Cybersecurity is essential to the basic functioning of our economy, the operation of our critical infrastructure, the strength of our democracy and democratic institutions, the privacy of our data and communications, and our national defense. From the very beginning of my Administration, we have moved decisively to strengthen cybersecurity. I appointed senior cybersecurity officials at the White House and issued an Executive Order on Improving the Nation’s Cybersecurity. Working in close cooperation with the private sector, my Administration has taken steps to protect the American people from hackers, hold bad actors and cybercriminals accountable, and defend against the increasingly malicious cyber campaigns targeting our security and privacy. And we’ve worked with our allies and partners around the world to improve our capacity to collectively defend against and respond to cyber threats from authoritarian states that go against our national interests. | サイバーセキュリティは、経済の基本的機能、重要インフラの運用、民主主義と民主主義的制度の強さ、データと通信のプライバシー、そして国防に不可欠なものである。 私の政権発足当初から、我々はサイバーセキュリティを強化するために断固とした姿勢で取り組んできた。 私は、ホワイトハウスにサイバーセキュリティ担当官を任命し、「国家のサイバーセキュリティの改善に関する大統領令」を発布した。 民間部門と緊密に協力しながら、私の政権は、ハッカーから米国民を守り、悪質業者やサイバー犯罪者に責任を取らせ、我々のセキュリティとプライバシーを標的とした悪質なサイバーキャンペーンから守るための措置をとってきた。 また、世界中の同盟国やパートナーと協力し、我々の国益に反する権威主義的な国家からのサイバー脅威を集団で防御し、それに対応する能力を向上させてきた。 |
| This strategy recognizes that robust collaboration, particularly between the public and private sectors, is essential to securing cyberspace. It also takes on the systemic challenge that too much of the responsibility for cybersecurity has fallen on individual users and small organizations. By working in partnership with industry; civil society; and State, local, Tribal, and territorial governments, we will rebalance the responsibility for cybersecurity to be more effective and more equitable. We will realign incentives to favor long-term investments in security, resilience, and promising new technologies. We will collaborate with our allies and partners to strengthen norms of responsible state behavior, hold countries accountable for irresponsible behavior in cyberspace, and disrupt the networks of criminals behind dangerous cyberattacks around the globe. And we will work with the Congress to provide the resources and tools necessary to ensure effective cybersecurity practices are implemented across our most critical infrastructure. | 本戦略は、特に官民間の強固な協力がサイバースペースの安全確保に不可欠であることを認識するものである。 また、サイバーセキュリティに対する責任のあまりの大きさが、個々のユーザーや小規模な組織に負わされてきたというシステム上の課題にも取り組んでいる。 産業界、市民社会、そして州、地方、部族、地域政府と協力することで、我々はサイバーセキュリティの責任をより効果的でより公平なものにするために、そのバランスを調整することになる。 我々は、セキュリティ、レジリエンス、および有望な新技術への長期的な投資を促進するために、インセンティブを再構築する。 我々は、同盟国やパートナーと協力して、責任ある国家の行動規範を強化し、サイバースペースにおける無責任な行動に対して各国の責任を追及し、世界中の危険なサイバー攻撃の背後にある犯罪者のネットワークを破壊する。 また、議会と協力して、最も重要なインフラ全体で効果的なサイバーセキュリティの実践を確保するために必要な資源とツールを提供する。 |
| As I have often said, our world is at an inflection point. That includes our digital world. The steps we take and choices we make today will determine the direction of our world for decades to come. This is particularly true as we develop and enforce rules and norms for conduct in cyberspace. We must ensure the Internet remains open, free, global, interoperable, reliable, and secure—anchored in universal values that respect human rights and fundamental freedoms. Digital connectivity should be a tool that uplifts and empowers people everywhere, not one used for repression and coercion. As this strategy details, the United States is prepared to meet this challenge from a position of strength, leading in lockstep with our closest allies and working with partners everywhere who share our vision for a brighter digital future. | これまで何度も言ってきたように、我々の世界は今、変曲点にある。 その中には、デジタルの世界も含まれる。 今日、我々が取る措置と選択は、今後数十年の世界の方向性を決定することになる。 特に、サイバースペースでの行動に関するルールや規範を策定し、実施する際には、そのことが顕著に表れる。 我々は、インターネットが人権と基本的自由を尊重する普遍的価値に支えられ、オープン、フリー、グローバル、相互運用性、信頼性、安全性を維持することを保証しなければならない。 デジタル接続は、抑圧や強制のために使われるものではなく、あらゆる場所で人々を高揚させ、力を与える道具であるべきだ。 本戦略で詳述しているように、米国は、最も緊密な同盟国と歩調を合わせ、明るいデジタル未来へのビジョンを共有する世界中のパートナーと協力しながら、強者の立場でこの課題に取り組む用意がある。 |
| TABLE OF CONTENTS | 目次 |
| INTRODUCTION | 序文 |
| PILLAR ONE | DEFEND CRITICAL INFRASTRUCTURE | 第1の柱:重要インフラの防衛 |
| PILLAR TWO | DISRUPT AND DISMANTLE THREAT ACTORS | 第2の柱:脅威の担い手を崩壊させ、解体する。 |
| PILLAR THREE | SHAPE MARKET FORCES TO DRIVE SECURITY AND RESILIENCE | 第3の柱:セキュリティとレジリエンスを推進するために市場原理を形成する。 |
| PILLAR FOUR | INVEST IN A RESILIENT FUTURE | 第4の柱:レジリエンスに富んだ未来への投資 |
| PILLAR FIVE | FORGE INTERNATIONAL PARTNERSHIPS TO PURSUE SHARED GOALS | 第5の柱:国際的なパートナーシップを構築し、共通の目標を達成する。 |
| IMPLEMENTATION | 実施 |
| INTRODUCTION | 序文 |
| The Internet has transformed our world. In a single generation, it has revolutionized the way we innovate, communicate, and share information on a global scale, catalyzing unprecedented advancements in human prosperity, equality, and connectivity. Upon this Internet backbone we have built a flourishing digital ecosystem, combining systems and technologies with our economies, our societies, and ourselves. | インターネットは我々の世界を一変させた。 一世代で、我々の技術革新、コミュニケーション、世界規模での情報共有の方法に革命を起こし、人類の繁栄、平等、接続性において前例のない進歩をもたらした。 このインターネットのバックボーンの上に、我々はシステムとテクノロジーを経済、社会、そして我々自身と結合させ、繁栄するデジタルエコシステムを構築してきた。 |
| In doing so, the digital ecosystem has come to reflect the values of its architects and its users. Technologies have promoted democracy, free speech, innovation, and equality. But they also have been misused to enable transnational repression and digital authoritarianism; steal data and intellectual property; distribute disinformation; disrupt critical infrastructure; proliferate online harassment, exploitation, and abuse; enable criminals and foster violent extremism; and threaten peace and stability. People and technology are increasingly linked, further enabling the very best, as well as the worst, of humanity. | そうすることで、デジタルエコシステムは、その設計者とユーザーの価値を反映するようになった。 テクノロジーは民主主義、言論の自由、革新、そして平等を促進してきた。 しかし、国境を越えた抑圧やデジタル権威主義を可能にし、データや知的財産を盗み、偽情報を配信し、重要インフラを破壊し、オンラインハラスメント、搾取、虐待を拡散し、犯罪を可能にし、暴力的過激主義を助長し、平和と安定を脅かすために悪用されてきたのもまた事実である。 人とテクノロジーの結びつきはますます強くなり、人間の持つ最高の能力だけでなく、最悪の能力をも可能にしている。 |
| In this decisive decade, we have grand ambitions for the further values-driven development of our digital ecosystem. We are building a smart grid, powered by distributed renewable electricity and balanced with intelligent systems, that promises a bright and resilient future of energy abundance. We envision a maturing “Internet of Things” (IoT), comprising everything from consumer goods to digitized industrial controls to constellations of satellites, that will increase efficiency and safety while providing game-changing insights into our environment and economy. We are laying the foundations for real-time global collaboration leveraging vast amounts of data and computing power that will unlock scientific discoveries and other public goods of which we cannot yet conceive. | この決定的な10年間で、我々はデジタル・エコシステムの価値主導のさらなる発展のために壮大な野望を抱いている。 我々は、再生可能な分散型電力とインテリジェントなシステムによって駆動されるスマートグリッドを構築し、エネルギーが豊富な明るくレジリエンスに富んだ未来を約束する。 我々は、消費財からデジタル化された産業用制御機器、人工衛星群までを含む成熟した「IoT」が、効率と安全性を高め、環境と経済に関する画期的な洞察を提供することを想定している。 我々は、大量のデータと膨大なコンピューティングパワーを活用したリアルタイムのグローバルなコラボレーションの基礎を築き、まだ想像もつかないような科学的発見やその他の公共財を解き放つことができる。 |
| Achieving this vision of a prosperous, connected future will depend upon the cybersecurity and resilience of its underlying technologies and systems. We have learned hard lessons and made significant progress in the collaborative defense of our digital ecosystem. Every day, cyber defenders foil state-backed attacks and prevent criminal plots around the world. But the underlying structural dynamics of the digital ecosystem frustrate their efforts. Its components remain prone to disruption, vulnerable to exploitation, and are often co-opted by malicious actors. | このような豊かでつながった未来のビジョンを達成できるかどうかは、その基盤となるテクノロジーとシステムのサイバーセキュリティとレジリエンスにかかっている。 我々は、デジタル・エコシステムの共同防衛において、困難から教訓を学び、大きな進歩を遂げた。 毎日、サイバーディフェンダーたちは、国家が支援する攻撃を阻止し、世界中で犯罪計画を防止している。 しかし、デジタル・エコシステムの根底にある構造的な力学は、彼らの努力を挫折させる。 その構成要素は依然として破壊されやすく、悪用されやすい上に、悪意のある行為者にしばしば利用されている。 |
| We must make fundamental changes to the underlying dynamics of the digital ecosystem, shifting the advantage to its defenders and perpetually frustrating the forces that would threaten it. Our goal is a defensible, resilient digital ecosystem where it is costlier to attack systems than defend them, where sensitive or private information is secure and protected, and where neither incidents nor errors cascade into catastrophic, systemic consequences. In creating these conditions, we can and must seize the opportunity to instill our most cherished values, as embodied by the Declaration for the Future of the Internet (DFI) and by the Freedom Online Coalition. | 我々は、デジタル・エコシステムの根底にある力学を根本的に変え、その優位性を守る側にシフトさせ、それを脅かす勢力を永久に挫折させる必要がある。 我々の目標は、システムを防御するよりも攻撃する方がコストが高く、機密情報や個人情報が安全に保護され、事故やエラーが連鎖して壊滅的なシステム的影響をもたらさない、防御力と回復力のあるデジタルエコシステムを実現することにある。 このような条件を整えることで、我々は、「インターネットの未来のための宣言」(DFI)や「自由オンライン連合」が体現するような、我々の最も大切な価値観を浸透させる機会をつかむことができる。そして、そうしなければならないのである。 |
| This strategy will position the United States and its allies and partners to build that digital ecosystem together, making it more easily and inherently defensible, resilient, and aligned with our values. By the end of this decisive decade, we will achieve these outcomes so we can confidently take bold leaps into a digitally-enabled future that benefits us all. | 本戦略により、米国とその同盟国およびパートナーは、デジタル・エコシステムを共に構築し、より容易に、本質的に防御可能で、レジリエンスに富み、我々の価値と一致するものにすることができる。 この決定的な 10 年の終わりまでに、我々はこれらの成果を達成し、我々全員に利益をもたらすデジタル対応の未来に向けて、自信を持って大胆な飛躍を遂げることができるようになる。 |
| THE STRATEGIC ENVIRONMENT | 戦略的環境 |
| The United States has made significant progress toward achieving the President’s affirmative vision for a digitally-enabled future, but emerging trends are creating both new opportunities for further advancement and new challenges to overcome. Malicious actors threaten our progress toward a digital ecosystem that is inclusive, equitable, promotes prosperity, and aligns with our democratic values. | 米国は、デジタル技術を駆使した未来に対する大統領の肯定的なビジョンの達成に向けて大きく前進してきたが、新たなトレンドによって、さらなる前進のための新たな機会と克服すべき新たな課題の両方が生み出されている。 悪意のある行為者は、包括的で公平、かつ繁栄を促進し、民主主義の価値と一致するデジタル・エコシステムへの前進を脅かしている。 |
| EMERGING TRENDS | 新たなトレンド |
| The world is entering a new phase of deepening digital dependencies. Driven by emerging technologies and ever more complex and interdependent systems, dramatic shifts in the coming decade will unlock new possibilities for human flourishing and prosperity while also multiplying the systemic risks posed by insecure systems. | 世界は、デジタル依存が深まる新たな局面を迎えている。 新興のテクノロジーと、これまで以上に複雑で相互依存的なシステムに牽引され、今後10年間の劇的な変化は、人間の繁栄と繁栄のための新たな可能性を引き出すと同時に、安全でないシステムがもたらすシステム上のリスクを増大させるだろう。 |
| Software and systems are growing more complex, providing value to companies and consumers but also increasing our collective insecurity. Too often, we are layering new functionality and technology onto already intricate and brittle systems at the expense of security and resilience. The widespread introduction of artificial intelligence systems—which can act in ways unexpected to even their own creators—is heightening the complexity and risk associated with many of our most important technological systems. | ソフトウェアとシステムはより複雑になり、企業や消費者に価値をもたらす一方で、我々の集団的な不安感を増大させている。 すでに複雑で脆いシステムに新しい機能や技術を重ね、セキュリティやレジリエンスを犠牲にしているケースがあまりにも多いのである。 人工知能システムの広範な導入は、その作成者でさえ予期しない方法で行動することができるため、最も重要な技術システムの多くに関連する複雑さとリスクを高めている。 |
| The Internet continues to connect individuals, businesses, communities, and countries on shared platforms that enable scaled business solutions and international exchange. But this accelerating global interconnectivity also introduces risks. An attack on one organization, sector, or state can rapidly spill over to other sectors and regions, as happened during Russia’s 2017 “NotPetya” cyberattack on Ukraine, which spread across Europe, Asia, and the Americas, causing billions of dollars in damage. The potential cost of attacks like this will only grow as interdependencies increase. | インターネットは、個人、ビジネス、コミュニティ、そして国を共有プラットフォームでつなぎ、大規模なビジネスソリューションと国際交流を可能にし続けている。 しかし、この加速するグローバルな相互接続は、同時にリスクも発生させる。 2017年にロシアがウクライナに対して行ったサイバー攻撃「NotPetya」の際に起きたように、ある組織、セクター、国家に対する攻撃が他のセクターや地域に急速に波及し、ヨーロッパ、アジア、アメリカ大陸に広がって数十億ドルの被害をもたらす可能性がある。 このような攻撃の潜在的なコストは、相互依存関係が高まるにつれて大きくなっていくだろう。 |
| Digital technologies increasingly touch the most sensitive aspects of our lives, providing convenience, but also creating new, often unforeseen risks. The COVID-19 pandemic has pushed us to live ever more deeply in a digital world. As our lives become intertwined with video and audio streaming, wearable devices, and biometric technologies, the quantity and intimacy of personal data collection is growing exponentially. Theft of that data is also growing rapidly, and opening up novel vectors for malicious actors to surveil, manipulate, and blackmail individuals. | デジタル技術は、我々の生活の最も繊細な部分に触れることが多くなり、利便性をもたらす一方で、新たな、しばしば予期せぬリスクも生み出している。 COVID-19の大流行により、我々はこれまで以上にデジタルな世界で生活することを余儀なくされている。 我々の生活は、ビデオや音声ストリーミング、ウェアラブルデバイス、生体認証技術などと絡み合うようになり、個人情報の収集の量と親密さは飛躍的に増大している。 また、そのようなデータの盗難も急増しており、悪意のある行為者が個人を監視、操作、脅迫するための新たなベクトルを開いている。 |
| Next-generation interconnectivity is collapsing the boundary between the digital and physical worlds, and exposing some of our most essential systems to disruption. Our factories, power grids, and water treatment facilities, among other essential infrastructure, are increasingly shedding old analog control systems and rapidly bringing online digital operational technology (OT). Advanced wireless technologies, IoT, and space-based assets—including those enabling positioning, navigation, and timing for civilian and military uses, environmental and weather monitoring, and everyday Internet-based activities from banking to telemedicine—will accelerate this trend, moving many of our essential systems online and making cyberattacks inherently more destructive and impactful to our daily lives. | 次世代の相互接続性は、デジタル世界と物理世界の境界を崩壊させ、我々の最も重要なシステムのいくつかを破壊の危機にさらしている。 工場、電力網、水処理施設などの基幹インフラでは、旧来のアナログ制御システムの撤去とデジタル運用技術(OT)のオンライン化が急速に進んでいる。 高度な無線技術、IoT、および宇宙ベースの資産(民間および軍事用途の測位・航法・計時、環境・気象モニタリング、銀行から遠隔医療に至る日常のインターネットベースの活動を可能にするものを含む)は、この傾向を加速させ、我々の重要なシステムの多くをオンライン化し、サイバー攻撃の破壊力と我々の日常生活への影響を本質的に増加させることになるだろう。 |
| MALICIOUS ACTORS | 悪意のある行為者 |
| Malicious cyber activity has evolved from nuisance defacement, to espionage and intellectual property theft, to damaging attacks against critical infrastructure, to ransomware attacks and cyberenabled influence campaigns designed to undermine public trust in the foundation of our democracy. Once available only to a small number of well-resourced countries, offensive hacking tools and services, including foreign commercial spyware, are now widely accessible. These tools and services empower countries that previously lacked the ability to harm U.S. interests in cyberspace and enable a growing threat from organized criminal syndicates. | 悪意のあるサイバー攻撃は、迷惑な改ざんから、スパイ活動や知的財産の窃盗、重要インフラへの有害な攻撃、ランサムウェア攻撃、民主主義の基盤に対する国民の信頼を損ねることを目的としたサイバー攻撃による影響力の行使に発展してきた。 かつては、十分な資金を持つ少数の国だけが利用できた攻撃的なハッキングツールやサービスが、今では外国の商用スパイウェアを含め、広くアクセス可能になっている。 これらのツールやサービスは、以前はサイバースペースで米国の利益を害する能力を持たなかった国に力を与え、組織的犯罪シンジケートからの脅威を増大させることを可能にしている。 |
| The governments of China, Russia, Iran, North Korea, and other autocratic states with revisionist intent are aggressively using advanced cyber capabilities to pursue objectives that run counter to our interests and broadly accepted international norms. Their reckless disregard for the rule of law and human rights in cyberspace is threatening U.S. national security and economic prosperity. | 中国、ロシア、イラン、北朝鮮、および修正主義的な意図を持つ他の独裁国家の政府は、我々の利益や広く認められた国際規範に反する目的を追求するために、高度なサイバー能力を積極的に使用している。 サイバー空間における法の支配と人権を無視した彼らの無謀な行動は、米国の国家安全保障と経済的繁栄を脅かしている。 |
| The People’s Republic of China (PRC) now presents the broadest, most active, and most persistent threat to both government and private sector networks and is the only country with both the intent to reshape the international order and, increasingly, the economic, diplomatic, military, and technological power to do so. Over the last ten years, it has expanded cyber operations beyond intellectual property theft to become our most advanced strategic competitor with the capacity to threaten U.S. interests and dominate emerging technologies critical to global development. Having successfully harnessed the Internet as the backbone of its surveillance state and influence capabilities, the PRC is exporting its vision of digital authoritarianism, striving to shape the global Internet in its image and imperiling human rights beyond its borders. | 中華人民共和国(PRC)は現在、政府機関と民間企業の両方のネットワークに対して、最も広範で、最も活発で、最も持続的な脅威を示しており、国際秩序を再構築する意図を持ち、ますますそのための経済、外交、軍事、技術力を持つ唯一の国となっている。 過去10年間で、知的財産の窃盗を超えてサイバー作戦を拡大し、米国の利益を脅かし、世界の発展に不可欠な新興技術を支配する能力を持つ、最も高度な戦略的競合相手となった。 インターネットを監視国家と影響力のバックボーンとしてうまく利用した中国は、デジタル権威主義のビジョンを輸出し、グローバル・インターネットを自らのイメージ通りに形成しようと努め、国境を越えて人権を脅かしている。 |
| For more than two decades, the Russian government has used its cyber capabilities to destabilize its neighbors and interfere in the domestic politics of democracies around the world. Russia remains a persistent cyber threat as it refines its cyber espionage, attack, influence, and disinformation capabilities to coerce sovereign countries, harbor transnational criminal actors, weaken U.S. alliances and partnerships, and subvert the rules-based international system. Like its 2017 “NotPetya” attack, Russia’s cyberattacks in support of its 2022 brutal and unprovoked invasion of Ukraine have resulted in irresponsible spillover impacts onto civilian critical infrastructure in other European countries. | ロシア政府は20年以上にわたって、そのサイバー能力を使って近隣諸国を不安定にし、世界中の民主主義国家の国内政治に干渉してきた。 ロシアは、主権国家を威圧し、多国籍犯罪者を匿い、米国の同盟とパートナーシップを弱め、ルールに基づく国際システムを破壊するために、サイバースパイ、攻撃、影響、偽情報の能力を磨いており、依然として根強いサイバー上の脅威であることに変わりはない。 2017年の「NotPetya」攻撃と同様に、2022年の残忍でいわれのないウクライナ侵攻を支援するロシアのサイバー攻撃は、他の欧州諸国の民間の重要インフラに無責任な波及効果をもたらす結果となった。 |
| The governments of Iran and the Democratic People’s Republic of Korea (DPRK) are similarly growing in their sophistication and willingness to conduct malicious activity in cyberspace. Iran has used cyber capabilities to threaten U.S. allies in the Middle East and elsewhere, while the DPRK conducts cyber activities to generate revenue through criminal enterprises, such as through the theft of cryptocurrency, ransomware, and the deployment of surreptitious information technology (IT) workers for the purposes of fueling its nuclear ambitions. Further maturation of these capabilities could have significant impacts on U.S., allied, and partner interests. | イランと朝鮮民主主義人民共和国(DPRK)の政府も同様に、サイバースペースで悪質な活動を行うための洗練さと意欲を高めている。 イランは、中東やその他の地域における米国の同盟国を脅かすためにサイバー能力を使用し、北朝鮮は、暗号通貨の窃盗、ランサムウェア、核開発を促進するための密かな情報技術(IT)従事者の配置など、犯罪事業を通じて収益を上げるためにサイバー活動を実施している。 これらの能力がさらに成熟すれば、米国、同盟国、パートナーの利益に重大な影響を与える可能性がある。 |
| The cyber operations of criminal syndicates now represent a threat to the national security, public safety, and economic prosperity of the United States and its allies and partners. Ransomware incidents have disrupted critical services and businesses across the country and around the world, from energy pipelines and food companies, to schools and hospitals. Total economic losses from ransomware attacks continue to climb, reaching billions of U.S. dollars annually. Criminal syndicates often operate out of states that do not cooperate with U.S. law enforcement and frequently encourage, harbor, or tolerate such activities. These and other malicious cyber activities continue to threaten Americans across society, including disproportionately affecting those without the resources necessary to protect themselves, recover, or seek recourse. | 犯罪組織のサイバー作戦は、今や米国とその同盟国およびパートナーの国家安全保障、公共の安全、経済的繁栄に対する脅威となっている。 ランサムウェアの事件は、エネルギーパイプラインや食品会社、学校や病院に至るまで、国内および世界各地の重要なサービスやビジネスに支障をきたしている。 ランサムウェア攻撃による経済的損失の総額は上昇を続けており、年間数十億ドルに達している。 犯罪組織は、米国の法執行機関に協力しない国々で活動することが多く、このような活動を奨励、匿い、容認することがよくある。 このようなサイバー犯罪やその他の悪質な活動は、社会全体で米国人を脅かし続けており、自らを守り、回復し、救済を求めるために必要なリソースを持たない人々に不釣り合いな影響を及ぼしている。 |
| OUR APPROACH: A PATH TO RESILIENCE IN CYBERSPACE | 我々のアプローチ: サイバースペースにおけるレジリエンスへの道 |
| Deep and enduring collaboration between stakeholders across our digital ecosystem will be the foundation upon which we make it more inherently defensible, resilient, and aligned with U.S. values. This strategy seeks to build and enhance collaboration around five pillars: (1) Defend Critical Infrastructure, (2) Disrupt and Dismantle Threat Actors, (3) Shape Market Forces to Drive Security and Resilience, (4) Invest in a Resilient Future, and (5) Forge International Partnerships to Pursue Shared Goals. Each effort requires unprecedented levels of collaboration across its respective stakeholder communities, including the public sector, private industry, civil society, and international allies and partners. The pillars organizing this strategy articulate a vision of shared purpose and priorities for these communities, highlight challenges they face in achieving this vision, and identify strategic objectives around which to organize their efforts. | デジタルエコシステム全体のステークホルダー間の深く永続的なコラボレーションは、それをより本質的な防御力、レジリエンス、そして米国の価値観に沿ったものにするための土台となる。 この戦略は、(1)重要インフラの防衛、(2)脅威アクターの破壊と解体、(3)セキュリティとレジリエンスを推進するための市場の力の形成、(4)レジリエンスな未来への投資、(5)共通の目標を達成するための国際的パートナーシップの構築という5つの柱を中心に、協力体制の構築と強化を目指す。 それぞれの取り組みには、公共部門、民間企業、市民社会、国際的な同盟国やパートナーなど、それぞれのステークホルダーのコミュニティを横断する前例のないレベルの協力が必要である。 この戦略を構成する柱は、これらのコミュニティが共有する目的と優先事項のビジョンを明確にし、このビジョンを達成するために直面する課題を明らかにし、その努力を組織化するための戦略目標を特定するものである。 |
| To realize the vision these pillars lay out, we will make two fundamental shifts in how the United States allocates roles, responsibilities, and resources in cyberspace. In realizing these shifts, we aspire not just to improve our defenses, but to change those underlying dynamics that currently contravene our interests. | これらの柱が示すビジョンを実現するために、米国がサイバースペースにおける役割、責任、および資源をどのように配分するかについて、2つの根本的なシフトを行うことになる。 これらのシフトを実現することで、単に防衛力を向上させるだけでなく、現在、わが国の利益に反している根本的な力学を変えることを目的としている。 |
| REBALANCE THE RESPONSIBILITY TO DEFEND CYBERSPACE | サイバースペース防衛の責任の再構築 |
| The most capable and best-positioned actors in cyberspace must be better stewards of the digital ecosystem. Today, end users bear too great a burden for mitigating cyber risks. Individuals, small businesses, state and local governments, and infrastructure operators have limited resources and competing priorities, yet these actors’ choices can have a significant impact on our national cybersecurity. A single person’s momentary lapse in judgment, use of an outdated password, or errant click on a suspicious link should not have national security consequences. Our collective cyber resilience cannot rely on the constant vigilance of our smallest organizations and individual citizens. | サイバースペースにおいて最も有能で最も有利な立場にある主体は、デジタル・エコシステムのより良い管理者にならなければならない。 今日、サイバー・リスクを軽減するためにエンド・ユーザーが負うべき負担は大きすぎる。 個人、中小企業、州政府や地方自治体、インフラ事業者は、限られたリソースと競合する優先事項を持っているが、これらの関係者の選択は、国家のサイバーセキュリティに大きな影響を与える可能性がある。 一人の人間の一瞬の判断ミス、古いパスワードの使用、疑わしいリンクの誤クリックが、国家安全保障に影響を及ぼすべきではないのである。 我々の集団的なサイバーレジリエンスは、最も小さな組織や個々の市民の絶え間ない警戒に依存することはできない。 |
| Instead, across both the public and private sectors, we must ask more of the most capable and bestpositioned actors to make our digital ecosystem secure and resilient. In a free and interconnected society, protecting data and assuring the reliability of critical systems must be the responsibility of the owners and operators of the systems that hold our data and make our society function, as well as of the technology providers that build and service these systems. Government’s role is to protect its own systems; to ensure private entities, particularly critical infrastructure, are protecting their systems; and to carry out core governmental functions such as engaging in diplomacy, collecting intelligence, imposing economic costs, enforcing the law, and, conducting disruptive actions to counter cyber threats. Together, industry and government must drive effective and equitable collaboration to correct market failures, minimize the harms from cyber incidents to society’s most vulnerable, and defend our shared digital ecosystem. | むしろ、官民両部門にわたって、最も有能で立場の良い関係者に、デジタル・エコシステムを安全でレジリエンスに富んだものにするよう求めなければならない。 自由で相互接続された社会では、データの保護と重要なシステムの信頼性の確保は、データを保有し社会を機能させているシステムの所有者と運営者、およびこれらのシステムを構築しサービスを提供する技術プロバイダーの責任でなければならない。 政府の役割は、自国のシステムを保護すること、民間企業、特に重要なインフラストラクチャのシステムを確実に保護すること、そして外交活動、情報収集、経済的コストの賦課、法の執行、サイバー脅威に対抗する破壊的行動の実施などの政府の中核機能を実行することである。 産業界と政府は、市場の失敗を是正し、社会の最も脆弱な人々がサイバー犯罪から受ける損害を最小限に抑え、我々が共有するデジタルエコシステムを守るために、効果的かつ公平な協力を推進する必要がある。 |
| REALIGN INCENTIVES TO FAVOR LONG-TERM INVESTMENTS | 長期的な投資を促進するためのインセンティブの再構築 |
| Our economy and society must incentivize decision-making to make cyberspace more resilient and defensible over the long term. Balancing short-term imperatives against a long-term vision will be no easy task. We must defend the systems we have now, while investing in and building toward a future digital ecosystem that is more inherently defensible and resilient. | 我々の経済と社会は、サイバースペースのレジリエンスと防衛力を長期的に向上させるための意思決定を促す必要がある。 長期的なビジョンに対して短期的な要請のバランスをとることは、簡単なことではないだろう。 我々は、現在あるシステムを守ると同時に、より本質的に防御力と回復力のある将来のデジタル・エコシステムに向けて投資し、構築しなければならない。 |
| This strategy outlines how the Federal Government will use all tools available to reshape incentives and achieve unity of effort in a collaborative, equitable, and mutually beneficial manner. We must ensure that market forces and public programs alike reward security and resilience, build a robust and diverse cyber workforce, embrace security and resilience by design, strategically coordinate research and development investments in cybersecurity, and promote the collaborative stewardship of our digital ecosystem. To achieve these goals, the Federal Government will focus on points of leverage, where minimally invasive actions will produce the greatest gains in defensibility and systemic resilience. | 本戦略は、連邦政府が利用可能なあらゆる手段を用いて、インセンティブを再構築し、協力的で公平、かつ互恵的な方法で努力の統一を達成する方法を概説するものである。 我々は、市場原理と公的プログラムが同様にセキュリティとレジリエンスに報いるようにし、強固で多様なサイバー人材を育成し、セキュリティとレジリエンスをデザインによって受け入れ、サイバーセキュリティの研究開発投資を戦略的に調整し、デジタルエコシステムの共同スチュワードシップを推進しなければならない。 これらの目標を達成するために、連邦政府は、最小限の侵襲的行動によって防御力とシステム上のレジリエンスに最大の利益をもたらす、レバレッジポイントに焦点を当てる。 |
| The Federal Government is making generational investments in renewing our infrastructure, digitizing and decarbonizing our energy systems, securing our semiconductor supply chains, modernizing our cryptographic technologies, and rejuvenating our foreign and domestic policy priorities. The United States has an opportunity to rebalance the incentives necessary to lay a stronger, more resilient foundation on which to build the future of our digital ecosystem. | 連邦政府は、インフラの更新、エネルギーシステムのデジタル化と脱炭素化、半導体サプライチェーンの確保、暗号技術の近代化、外交・国内政策の優先順位の若返りなど、世代を超えた投資を行っている。 米国は、デジタル・エコシステムの未来を築くために、より強固でレジリエンスに富んだ基盤を構築するために必要なインセンティブをバランスよく調整する機会を得ている。 |
| BUILDING ON EXISTING POLICY | 既存の方針の上に構築する |
| This strategy, while laying out a new approach to our cybersecurity, builds on significant achievements already shaping our strategic environment and digital ecosystem. In its first days, the Biden-Harris Administration assumed responsibility for managing the fallout from Russia’s compromise of the SolarWinds Orion platform and the PRC’s compromise of servers running Microsoft Exchange. The President elevated White House leadership on cybersecurity, appointing experienced, senior leaders in new positions at the National Security Council (NSC) and the Office of National Cyber Director (ONCD), and moved quickly to fold lessons learned from these and other incidents into executive actions. | 本戦略は、サイバーセキュリティに対する新たなアプローチを示す一方で、すでに戦略的環境とデジタル・エコシステムを形成している重要な成果の上に構築されている。 バイデン-ハリス政権は、その最初の数日間で、ロシアによる SolarWinds Orion プラットフォームの侵害と、PRC による Microsoft Exchange を実行するサーバーの侵害からの影響に対処する責任を負った。 大統領は、ホワイトハウスのサイバーセキュリティに関するリーダーシップを強化し、国家安全保障会議(NSC)と国家サイバーディレクター室(ONCD)の新しい役職に経験豊富なシニアリーダーを任命し、これらやその他の事件から学んだ教訓を行政措置に反映させるために迅速に動き出した。 |
| These forward-leaning efforts have laid the foundation upon which this strategy is built. It was developed alongside the National Security Strategy and National Defense Strategy by a broad interagency team and through a months-long consultation process with the private sector and civil society. It is informed by and implements the values of the DFI, the Freedom Online Coalition, and other long-standing efforts to realize a democratic vision for our digital ecosystem. It carries forward the foundational direction of Executive Order (EO) 14028, “Improving the Nation’s Cybersecurity,” National Security Memorandum (NSM) 5, “Improving Cybersecurity for Critical Infrastructure Control Systems,” NSM 8, “Improving the Cybersecurity of National Security, Department of Defense (DoD), and Intelligence Community Systems,” and other executive actions. It integrates cybersecurity into the once-in-a-generation new investments made by the Bipartisan Infrastructure Law, the Inflation Reduction Act, the Creating Helpful Incentives to Produce Semiconductors (CHIPS) and Science Act, and EO 14017, “America’s Supply Chains.” | このような前向きな取り組みが、本戦略の土台となった。 本戦略は、国家安全保障戦略や国家防衛戦略とともに、幅広い省庁間チームによって、また民間企業や市民社会との数カ月にわたる協議プロセスを通じて策定されたものである。 本戦略は、DFI、自由オンライン連合、およびその他のデジタル・エコシステムのための民主的ビジョンを実現するための長年の取り組みから情報を得て、その価値を実行に移すものである。 これは、大統領令14028「国家のサイバーセキュリティを改善する」、国家安全保障メモランダム(NSM)5「重要インフラ制御システムのサイバーセキュリティを改善する」、NSM8「国家安全保障、国防省(DoD)、および情報コミュニティシステムのサイバーセキュリティを改善する」、およびその他の行政措置の基本方針を継承しているものである。 また、超党派インフラ法、インフレ抑制法、CHIPS(Creating Helpful Incentives to Produce Semiconductors)および科学法、大統領令 14017「米国のサプライチェーン」によって行われた一世一代の新規投資にサイバーセキュリティを統合している。 |
| This strategy also builds on the work of prior administrations. It replaces the 2018 National Cyber Strategy but continues momentum on many of its priorities, including the collaborative defense of the digital ecosystem. The Administration remains committed to enhancing the security and resilience of U.S. space systems, including by implementing Space Policy Directive 5, “Cybersecurity Principles for Space Systems.” The Administration also continues to implement critical efforts to secure next-generation technologies, including through the National Artificial Intelligence Initiative and the National Strategy to Secure 5G, among other existing policies and initiatives. | 本戦略はまた、以前の政権の仕事をベースにしている。 本戦略は、2018年の国家サイバー戦略を置き換えるものであるが、デジタル・エコシステムの協調的な防衛など、その優先事項の多くについて勢いを維持している。 政権は、宇宙政策指令5「宇宙システムのサイバーセキュリティ原則」の実施を含め、米国の宇宙システムのセキュリティとレジリエンスを強化することに引き続き尽力している。また、政権は、既存の政策やイニシアティブの中でも、国家人工知能イニシアティブや5G確保のための国家戦略など、次世代技術の安全確保に向けた重要な取り組みを引き続き実施している。 |
| This strategy’s goals for securing Federal systems and collaborating with the private sector build on EO 13800, “Strengthening the Cybersecurity of Federal Networks and Critical Infrastructure,” EO 13691, “Promoting Private Sector Cybersecurity Information Sharing,” and EO 13636, “Improving Critical Infrastructure Cybersecurity,” and fit within the frameworks established by Presidential Policy Directive 21, “Critical Infrastructure Security and Resilience,” and Presidential Policy Directive 41, “United States Cyber Incident Coordination.” It carries forward and evolves many of the strategic efforts originally initiated by the 2008 Comprehensive National Cybersecurity Initiative. | 連邦システムの安全確保と民間企業との協力に関する本戦略の目標は、大統領令 13800「連邦ネットワークと重要インフラのサイバーセキュリティ強化」、大統領令 13691「民間企業のサイバーセキュリティ情報共有促進」、大統領令 13636「重要インフラのサイバーセキュリティ改善」に基づき、大統領政策指令 21「重要インフラのセキュリティとレジリエンス」および大統領政策指令 41「米国サイバー事件の調整」が定めた枠組みに適合するものである。 これは、2008年の包括的な国家サイバーセキュリティ・イニシアチブによって開始された戦略的取り組みの多くを継承し、発展させるものである。 |
| PILLAR ONE | DEFEND CRITICAL INFRASTRUCTURE | 柱1:重要インフラの防御 |
| Defending the systems and assets that constitute our critical infrastructure is vital to our national security, public safety, and economic prosperity. The American people must have confidence in the availability and resilience of this infrastructure and the essential services it provides. We aim to operationalize an enduring and effective model of collaborative defense that equitably distributes risk and responsibility, and delivers a foundational level of security and resilience for our digital ecosystem. | 重要インフラを構成するシステムと資産を守ることは、国家の安全保障、公共の安全、そして経済の繁栄に不可欠である。 米国民は、このインフラとそれが提供する重要なサービスの可用性と回復力に信頼を置かなければならない。 我々は、リスクと責任を公平に分配し、デジタル・エコシステムの基盤となるレベルのセキュリティとレジリエンスを実現する、永続的かつ効果的な協調防衛モデルを運用することを目指する。 |
| Collaboration to address advanced threats will only be effective if owners and operators of critical infrastructure have cybersecurity protections in place to make it harder for adversaries to disrupt them. The Administration has established new cybersecurity requirements in certain critical sectors. In other sectors, new authorities will be required to set regulations that can drive better cybersecurity practices at scale. This Administration has conducted sector-specific engagement with industry to construct consistent, predictable regulatory frameworks for cybersecurity that focus on achieving security outcomes and enabling continuity of operations and functions, while promoting collaboration and innovation. | 高度な脅威に対処するための協力は、重要インフラの所有者と運営者が、敵対者がそれらを妨害することを困難にするサイバーセキュリティ保護を備えている場合にのみ、効果的となる。 政権は、特定の重要セクターにおいて、新たなサイバーセキュリティ要件を定めた。 その他の分野では、より優れたサイバーセキュリティの実践を大規模に推進できるような規制を設定するために、新たな当局が必要となる。 本政権は、サイバーセキュリティに関する一貫した予測可能な規制の枠組みを構築するために、産業界と分野別の協議を行い、協力とイノベーションを促進しながら、セキュリティ成果の達成と業務・機能の継続性の実現に焦点を当てた。 |
| Private sector entities have made significant commitments to engage in collaborative defense efforts. The “Shields Up” campaign preceding Russia’s 2022 brutal and unprovoked war on Ukraine, to proactively increase preparedness and promote effective measures to combat malicious activity, is an example of public-private collaboration that must be scaled and repeated. | 民間企業は、協調的な防衛努力に従事することに大きなコミットメントをした。 ロシアによる2022年の残忍でいわれのないウクライナ戦争に先立ち、積極的に備えを強化し、悪意のある活動に対抗する効果的な対策を推進する「シールドアップ」キャンペーンは、規模を拡大して繰り返さなければならない官民協力の一例である。 |
| We must build new and innovative capabilities that allow owners and operators of critical infrastructure, Federal agencies, product vendors and service providers, and other stakeholders to effectively collaborate with each other at speed and scale. Federal agencies that support critical infrastructure providers must enhance their own capabilities and their ability to collaborate with other Federal entities. When incidents occur, Federal response efforts must be coordinated and tightly integrated with private sector and State, local, Tribal, and territorial (SLTT) partners. | 重要インフラの所有者や運営者、連邦政府機関、製品ベンダーやサービスプロバイダー、その他の関係者が、スピードとスケールで効果的に協力し合えるような、新しく革新的な機能を構築しなければならない。 重要インフラ提供者を支援する連邦機関は、自らの能力および他の連邦機関との協力能力を強化しなければならない。 インシデントが発生した場合、連邦政府の対応努力は、民間部門および州、地方、部族、準州(SLTT)のパートナーと協調し、緊密に統合される必要がある。 |
| Finally, the Federal Government can better support the defense of critical infrastructure by making its own systems more defensible and resilient. This Administration is committed to improving Federal cybersecurity through long-term efforts to implement a zero trust architecture strategy and modernize IT and OT infrastructure. In doing so, Federal cybersecurity can be a model for critical infrastructure across the United States for how to successfully build and operate secure and resilient systems. | 最後に、連邦政府は、自らのシステムをより防御的でレジリエンスに優れたものにすることで、重要インフラの防衛をよりよく支援することができる。 本政権は、ゼロ・トラスト・アーキテクチャー戦略を実施し、IT および OT インフラを近代化する長期的な取り組みを通じて、連邦政府のサイバーセキュリティを改善することを確約する。 そうすることで、連邦政府のサイバーセキュリティは、安全でレジリエンスに優れたシステムの構築と運用を成功させる方法について、米国全体の重要インフラのモデルとなることができる。 |
| STRATEGIC OBJECTIVE 1.1: ESTABLISH CYBERSECURITY REQUIREMENTS TO SUPPORT NATIONAL SECURITY AND PUBLIC SAFETY | 戦略目標 1.1: 国家安全保障と公共安全を支援するためのサイバーセキュリティ要件の確立 |
| The American people must have confidence in the critical services underpinning their lives and the nation’s economy. While voluntary approaches to critical infrastructure cybersecurity have produced meaningful improvements, the lack of mandatory requirements has resulted in inadequate and inconsistent outcomes. Today’s marketplace insufficiently rewards—and often disadvantages—the owners and operators of critical infrastructure who invest in proactive measures to prevent or mitigate the effects of cyber incidents. | 米国民は、自分たちの生活と国家経済を支える重要なサービスに対して信頼感を持たなければならない。 重要インフラのサイバーセキュリティに対する自主的なアプローチは有意義な改善をもたらしてきたが、強制的な要件がないため、不十分で一貫性のない結果になっている。 今日の市場では、サイバーインシデントの影響を防止または軽減するために事前対策に投資する重要インフラの所有者と運営者に十分な報酬が与えられず、しばしば不利益を被っている。 |
| Regulation can level the playing field, enabling healthy competition without sacrificing cybersecurity or operational resilience. Our strategic environment requires modern and nimble regulatory frameworks for cybersecurity tailored for each sector’s risk profile, harmonized to reduce duplication, complementary to public-private collaboration, and cognizant of the cost of implementation. New and updated cybersecurity regulations must be calibrated to meet the needs of national security and public safety, in addition to the security and safety of individuals, regulated entities, and their employees, customers, operations, and data. | 規制は、サイバーセキュリティや運用のレジリエンスを犠牲にすることなく、健全な競争を可能にし、競争の場を平準化することができる。 我々の戦略的環境には、各セクターのリスクプロファイルに合わせたサイバーセキュリティのための近代的で軽快な規制の枠組みが必要であり、重複を減らすために調和がとれ、官民の協力を補完し、実施コストを認識することが必要である。 新規および更新されるサイバーセキュリティ規制は、個人、規制対象企業、その従業員、顧客、業務、データのセキュリティと安全性に加え、国家安全保障と公共安全のニーズを満たすように調整されなければならない。 |
| The Administration has made progress in this area, establishing cybersecurity requirements in key sectors such as oil and natural gas pipelines, aviation, and rail, led by the Transportation Security Administration and water systems, led by the Environmental Protection Agency. A collaborative process between industry and regulators will produce regulatory requirements that are operationally and commercially viable and will ensure the safe and resilient operation of critical infrastructure. The most effective and efficient regulatory frameworks will be those put in place well before a crisis, rather than through the imposition of emergency regulations after a crisis occurs. | 政権はこの分野で進展を見せ、石油・天然ガスパイプライン、航空、鉄道などの主要分野で、運輸保安庁が主導し、環境保護庁が主導する水道システムでサイバーセキュリティの要件を確立している。 産業界と規制当局の協力プロセスにより、運用・商業的に実現可能な規制要件が生まれ、重要インフラの安全かつレジリエンスな運用を確保することができる。 最も効果的かつ効率的な規制の枠組みは、危機が発生した後に緊急規制を課すのではなく、危機のかなり前に導入されるものであろう。 |
| ESTABLISH CYBERSECURITY REGULATIONS TO SECURE CRITICAL INFRASTRUCTURE | 重要インフラを保護するためのサイバーセキュリティ規制の確立 |
| The Federal Government will use existing authorities to set necessary cybersecurity requirements in critical sectors. Where Federal departments and agencies have gaps in statutory authorities to implement minimum cybersecurity requirements or mitigate related market failures, the Administration will work with Congress to close them. Where states or independent regulators have authorities that can be used to set cybersecurity requirements, the Administration will encourage them to use those authorities in a deliberate and coordinated manner. | 連邦政府は、重要なセクターにおいて必要なサイバーセキュリティ要件を設定するために、既存の権限を活用する。 連邦省庁が、サイバーセキュリティの最低要件の実施や関連する市場の失敗を緩和するための法的権限に隙間がある場合、政権は議会と協力してそれを解消する。 州または独立した規制当局がサイバーセキュリティ要件を設定するために使用できる権限を有している場合、政権は、これらの当局が意図的かつ協調的な方法でこれらの権限を使用することを奨励する。 |
| Regulations should be performance-based, leverage existing cybersecurity frameworks, voluntary consensus standards, and guidance—including the Cybersecurity and Infrastructure Security Agency (CISA)’s Cybersecurity Performance Goals and the National Institute of Standards and Technology (NIST) Framework for Improving Critical Infrastructure Cybersecurity— and be agile enough to adapt as adversaries increase their capabilities and change their tactics. In setting cybersecurity regulations for critical infrastructure, regulators are encouraged to drive the adoption of secure-bydesign principles, prioritize the availability of essential services, and ensure that systems are designed to fail safely and recover quickly. Regulations will define minimum expected cybersecurity practices or outcomes, but the Administration encourages and will support further efforts by entities to exceed these requirements. | 規制はパフォーマンス・ベースであるべきで、CISA (Cybersecurity and Infrastructure Security Agency) の Cybersecurity Performance Goals や NIST (National Institute of Standards and Technology) Framework for Improving Critical Infrastructure Cybersecurity など、既存のサイバーセキュリティの枠組み、任意の合意基準、指針を活用し、敵が能力を高めて戦略を変えても適応できるだけの俊敏性があることが必要である。 重要インフラのサイバーセキュリティ規制を設定する際、規制当局は、セキュアデザイン原則の採用を推進し、必須サービスの可用性を優先し、システムが安全に故障し迅速に回復するように設計されていることを確認することが推奨される。 規制は、最低限期待されるサイバーセキュリティの実践や成果を定義するが、行政は、これらの要件を上回るような事業者のさらなる努力を奨励し、支援する。 |
| Further, these and other critical sectors rely upon the cybersecurity and resilience of their third-party service providers. Cloud-based services enable better and more economical cybersecurity practices at scale, but they are also essential to operational resilience across many critical infrastructure sectors. The Administration will identify gaps in authorities to drive better cybersecurity practices in the cloud computing industry and for other essential third-party services, and work with industry, Congress, and regulators to close them. | さらに、これらのセクターやその他の重要なセクターは、サードパーティサービスプロバイダーのサイバーセキュリティとレジリエンスに依存している。 クラウドベースのサービスは、より優れた、より経済的なサイバーセキュリティの実践を大規模に可能にするだけでなく、多くの重要インフラ部門における運用のレジリエンスにも不可欠なものである。 政府は、クラウドコンピューティング業界やその他の重要なサードパーティ・サービスにおいて、より優れたサイバーセキュリティの実践を推進するための当局のギャップを特定し、業界、議会、規制当局と協力して、そのギャップを解消していく予定である。 |
| HARMONIZE AND STREAMLINE NEW AND EXISTING REGULATION | 新規および既存の規制の調和と合理化 |
| Effective regulations minimize the cost and burden of compliance, enabling organizations to invest resources in building resilience and defending their systems and assets. By leveraging existing international standards in a manner consistent with current policy and law, regulatory agencies can minimize the burden of unique requirements and reduce the need for regulatory harmonization. | 効果的な規制は、コンプライアンスにかかるコストと負担を最小限に抑え、組織がレジリエンスの構築とシステムおよび資産の防御にリソースを投入できるようにする。 現行の政策や法律と整合性のある形で既存の国際標準を活用することで、規制当局は、独自 の要件の負担を最小限に抑え、規制の調和の必要性を低減することができる。 |
| Where Federal regulations are in conflict, duplicative, or overly burdensome, regulators must work together to minimize these harms. When necessary, the United States will pursue cross-border regulatory harmonization to prevent cybersecurity requirements from impeding digital trade flows. Where feasible, regulators should work to harmonize not only regulations and rules, but also assessments and audits of regulated entities. ONCD, in coordination with the Office of Management and Budget (OMB), will lead the Administration’s efforts on cybersecurity regulatory harmonization. The Cyber Incident Reporting Council will coordinate, deconflict, and harmonize Federal incident reporting requirements. | 連邦政府の規制が矛盾していたり、重複していたり、過度に負担が大きい場合、規制当局はこれらの害を最小化するために協力する必要がある。 必要な場合、米国はサイバーセキュリティ要件がデジタル貿易の流れを阻害するのを防ぐため、国境を越えた規制の調和を追求する。 実行可能であれば、規制当局は、規制や規則だけでなく、規制対象事業者の評価や監査も調和させるよう努力すべきである。 ONCD は、行政管理予算局(OMB)と連携して、サイバーセキュリティ規制の調和に関する行政の取り組みを主導する。サイバーインシデント報告評議会は、連邦政府のインシデント報告要件を調整し、矛盾を解消し、調和を図る。 |
| ENABLE REGULATED ENTITIES TO AFFORD SECURITY | 規制対象事業者のセキュリティ確保の推進 |
| Different critical infrastructure sectors have varying capacities to absorb the costs of cybersecurity, ranging from low-margin sectors that cannot easily increase investment without intervention, to those where the marginal costs of improving cybersecurity can be absorbed. In some sectors, regulation may be necessary to create a level playing field so that companies are not trapped in a competition to underspend their peers on cybersecurity. In other sectors, regulators are encouraged to ensure that necessary investments in cybersecurity are incentivized through the rate-making process, tax structures, or other mechanisms. In setting new cybersecurity requirements, regulators are encouraged to consult with regulated entities to understand how those requirements will be resourced. In seeking new regulatory authority, the Administration will work with Congress to develop regulatory frameworks that take into account the resources necessary to implement them. | 重要インフラ・セクターによって、サイバーセキュリティのコストを吸収する能力は様々であり、介入しなければ容易に投資を増やすことができない低利益セクターから、サイバーセキュリティを改善するための限界コストが吸収可能なセクターまで様々である。 一部のセクターでは、企業がサイバーセキュリティに対する同業他社の支出を過小評価する競争に陥らないよう、公平な競争環境を整えるための規制が必要かもしれない。 他の分野では、規制当局は、料金決定プロセス、税制、または他のメカニズムを通じて、サイバーセキュリティへの必要な投資がインセンティブとして働くようにすることが推奨される。 新たなサイバーセキュリティの要件を設定する場合、規制当局は規制対象事業者と協議し、これらの要件がどのようにリソースとして確保されるかを理解することが奨励される。 新たな規制権限を求める場合、行政は議会と協力して、その実施に必要なリソースを考慮した規制の枠組みを策定する。 |
| STRATEGIC OBJECTIVE 1.2: SCALE PUBLIC-PRIVATE COLLABORATION | 戦略目標1.2:官民協力の拡大 |
| Defending critical infrastructure against adversarial activity and other threats requires a model of cyber defense that emulates the distributed structure of the Internet. We will realize this distributed, networked model by developing and strengthening collaboration between defenders through structured roles and responsibilities and increased connectivity enabled by the automated exchange of data, information, and knowledge. Combining organizational collaboration and technologyenabled connectivity will create a trust-based “network of networks” that builds situational awareness and drives collective and synchronized action among the cyber defenders that protect our critical infrastructure. | 重要インフラを敵対的活動やその他の脅威から防衛するには、インターネットの分散構造を模倣したサイバー防衛のモデルが必要である。 我々は、役割と責任の明確化、およびデータ、情報、知識の自動交換によって可能になる接続性の向上を通じて、防衛者間の協力を開発・強化することにより、この分散型ネットワーク化モデルを実現する。 組織的なコラボレーションとテクノロジーを駆使した接続性を組み合わせることで、信頼に基づく「ネットワークのネットワーク」を構築し、重要インフラを守るサイバー防衛者の間で状況認識を高め、集団的かつ同期した行動を促進することができる。 |
| CISA is the national coordinator for critical infrastructure security and resilience. In this role, CISA coordinates with Sector Risk Management Agencies (SRMAs) to enable the Federal Government to scale its coordination with critical infrastructure owners and operators across the United States. SRMAs have day-to-day responsibility and sector-specific expertise to improve security and resilience within their sectors. In turn, SRMAs support individual owners and operators in their respective sectors who are responsible for protecting the systems and assets they operate. Information sharing and analysis organizations (ISAOs), sector-focused information sharing and analysis centers (ISACs), and similar organizations facilitate cyber defense operations across vast and complex sectors. | CISAは、重要インフラのセキュリティとレジリエンスのための国家コーディネーターである。 この役割において、CISAはセクター・リスクマネジメント機関(SRMA)と連携し、連邦政府が全米の重要インフラの所有者および運用者との連携を拡大できるようにする。 SRMAは、セクター内のセキュリティとレジリエンスを向上させるための日々の責任とセクター固有の専門知識を有している。 また、SRMAは、各分野の所有者や運用者が運用するシステムや資産の保護に責任を持つよう支援する。 情報共有・分析組織(ISAO)、セクターに特化した情報共有・分析センター(ISAC)、および同様の組織は、広大で複雑なセクターにわたるサイバー防衛業務を促進する。 |
| The Federal Government will continue to enhance coordination between CISA and other SRMAs, invest in the development of SRMA capabilities, and otherwise enable SRMAs to proactively respond to the needs of critical infrastructure owners and operators in their sectors. The Federal Government will collaborate with industry to define sector-by-sector needs and assess gaps in current SRMA capabilities. Investment by the Federal Government in building out the capabilities of SRMAs will enable security and resilience improvements across critical infrastructure. SRMAs will coordinate with CISA to improve their ability to be proactive and responsive to the needs of their sectors. SRMAs must also continue to support the maturation of third-party collaboration mechanisms. Building on decades of experience collaborating with ISACs and ISAOs, the Federal Government will work with these and other groups to develop a shared vision of how this model should evolve. | 連邦政府は、CISA と他の SRMA との間の調整を引き続き強化し、SRMA の能力開発 に投資し、その他 SRMA が各セクターの重要インフラ所有者および運用者のニーズに積極 的に対応できるようにする。 連邦政府は、セクター毎のニーズを定義し、現在のSRMA能力のギャップを評価するために、産業界と協働する。 連邦政府がSRMAの能力強化に投資することで、重要インフラ全体のセキュリティとレジリエンスの向上が可能になる。 SRMAはCISAと連携し、各セクターのニーズに対してプロアクティブに対応する能力を向上させることができる。 SRMAはまた、第三者による協力メカニズムの成熟を引き続き支援しなければならない。 連邦政府は、ISAC や ISAO との十年以上にわたる協力の経験に基づき、これらのグループや他のグループと協 力して、このモデルがどのように進化すべきかという共有ビジョンを策定する。 |
| Accelerating operational collaboration will require the use of technology solutions to share information and coordinate defensive efforts. We must complement human-to-human collaboration efforts with machine-to-machine data sharing and security orchestration. Realizing this model will enable real-time, actionable, and multi-directional sharing to drive threat response at machine speed. In partnership with the private sector, CISA and SRMAs will explore technical and organizational mechanisms to enhance and evolve machine-to-machine sharing of data. The Federal Government will also deepen operational and strategic collaboration with software, hardware, and managed service providers with the capability to reshape the cyber landscape in favor of greater security and resilience. | 作戦上の協力を加速するには、情報を共有し、防御の努力を調整するためのテクノロジー・ソリューションを使用する必要がある。 我々は、人間対人間のコラボレーション活動を、マシン対マシンのデータ共有とセキュリティ・オーケストレーションで補完しなければならない。 このモデルを実現することで、リアルタイムで実用的な多方向の共有が可能になり、脅威への対応をマシンスピードで推進することができる。 CISAとSRMAは、民間企業との連携により、マシン間のデータ共有を強化・進化させるための技術的・組織的なメカニズムを検討する。 また、連邦政府は、より高いセキュリティとレジリエンスを実現するために、サイバーランドスケープを再構築する能力を持つソフトウェア、ハードウェア、およびマネージドサービスプロバイダとの運用上および戦略上の協働を深める。 |
| STRATEGIC OBJECTIVE 1.3: INTEGRATE FEDERAL CYBERSECURITY CENTERS | 戦略目標1.3:連邦政府のサイバーセキュリティセンターの統合 |
| The Federal Government must coordinate the authorities and capabilities of the departments and agencies that are collectively responsible for supporting the defense of critical infrastructure. Federal Cybersecurity Centers serve as collaborative nodes that fuse together whole-of-government capabilities across the homeland defense, law enforcement, intelligence, diplomatic, economic, and military missions. Once fully integrated, they will drive intragovernmental coordination and enable the Federal Government to effectively and decisively support non-Federal partners. | 連邦政府は、重要インフラの防衛を支援する総体的な責任を負う省庁の権限と能力を調整する必要がある。 連邦サイバーセキュリティ・センターは、国土防衛、法執行、情報、外交、経済、軍事などの任務にわたって、政府全体の能力を融合させる共同ノードとして機能する。 完全に統合されれば、政府内の調整を促進し、連邦政府が連邦政府以外のパートナーを効果的かつ決定的に支援することを可能にする。 |
| The Administration has made progress toward this goal, establishing the Joint Cyber Defense Collaborative (JCDC) at CISA to integrate cyber defense planning and operations across the Federal Government and with the private sector and international partners; strengthening the capabilities of the National Cyber Investigative Joint Task Force (NCIJTF) to coordinate law enforcement and other disruption actions; and revitalizing the Cyber Threat Intelligence Integration Center’s (CTIIC) role in coordinating intelligence collection, analysis, and partnerships. | 政府はこの目標に向けて前進しており、連邦政府全体および民間企業や国際パートナーとのサイバー防衛計画と運用を統合するために、CISA に統合サイバー防衛協力(JCDC)を設立し、法執行やその他の破壊活動を調整する国家サイバー捜査統合任務部隊(NCIJTF)の能力を強化し、情報収集、分析、パートナーシップを調整するサイバー脅威情報統合センター(CTIIC)の役割を活性化させている。 |
| Operational collaboration models at SRMAs, such as the Department of Energy (DOE)’s Energy Threat Analysis Center (ETAC) pilot, DoD’s Defense Industrial Base Collaborative Information Sharing Environment (DCISE), and the National Security Agency (NSA)’s Cybersecurity Collaboration Center provide opportunities to enable timely, actionable, and relevant information sharing directly with private sector partners in their respective sectors. | エネルギー省(DOE)のエネルギー脅威分析センター(ETAC)パイロット、国防総省の国防産業基盤共同情報共有環境(DCISE)、国家安全保障局(NSA)のサイバーセキュリティ共同センターなどのSRMAにおける運用協力モデルは、それぞれの分野における民間部門のパートナーと直接、タイムリーで実行可能、かつ適切な情報共有を可能にする機会を提供するものである。 |
| Further efforts will be required to strengthen and integrate the Federal Government’s operational capabilities and improve integration of the Federal Cybersecurity Centers. ONCD will lead the Administration’s efforts to enhance the integration of centers such as these, identify gaps in capabilities, and develop an implementation plan to enable collaboration at speed and scale. | 連邦政府の運用能力を強化・統合し、連邦サイバーセキュリティ・センターの統合を改善するためには、さらなる努力が必要であろう。 ONCD は、このようなセンターの統合を強化するための行政の取り組みを主導し、能力のギャップを特定し、スピードと規模での協力を可能にするための実施計画を策定する。 |
| STRATEGIC OBJECTIVE 1.4: UPDATE FEDERAL INCIDENT RESPONSE PLANS AND PROCESSES | 戦略目標 1.4: 連邦政府の事故対応計画及びプロセスの更新 |
| The private sector is capable of mitigating most cyber incidents without direct Federal assistance. When Federal assistance is required, the Federal Government must present a unified, coordinated, whole-of-government response. Organizations targeted by cyber threats must know which government agencies to contact for what purposes. The Federal Government must provide clear guidance on how private sector partners can reach Federal agencies for support during cyber incidents and what forms of support the Federal Government may provide. | 民間部門は、連邦政府の直接的な支援を受けることなく、ほとんどのサイバーインシデントを軽減することが可能である。 連邦政府の支援が必要な場合、連邦政府は統一的、協調的、かつ政府全体としての対応を示さなければならない。 サイバー脅威の標的となった組織は、どの政府機関にどのような目的で連絡すればよいかを知らなければならない。 連邦政府は、サイバーインシデント発生時に民間セクターのパートナーがどのように連邦機関に支援を求めることができるのか、また連邦政府がどのような形で支援を行うことができるのかについて、明確なガイダンスを提供する必要がある。 |
| Consistent with Presidential Policy Directive 41, “United States Cyber Incident Coordination,”— which defines lead roles for the Department of Justice (DOJ), Department of Homeland Security (DHS), and the Office of the Director of National Intelligence in threat, asset, and intelligence response efforts, respectively—CISA will lead a process to update the subordinate National Cyber Incident Response Plan (NCIRP) to strengthen processes, procedures, and systems to more fully realize the policy that “a call to one is a call to all.” When any Federal agency receives a request for assistance, the agency will know what support the wider Federal Government can provide, how to contact the right Federal agencies that can provide such support, and have access to effective information sharing mechanisms. Because most Federal responses take place through field offices, the NCIRP will bolster coordination at the local level, taking lessons from the successes of the Joint Terrorism Task Forces. | 大統領政策指令41号「米国サイバー事件の調整」(脅威、資産、情報対応作業における司法省(DOJ)、国土安全保障省(DHS)、国家情報長官室の主導的役割をそれぞれ定義)に沿って、CISAは下位の国家サイバー事件対応計画(NCIRP)を更新するプロセスを主導し、プロセス、手順、システムを強化して「一人の通報はすべての通報」という方針をより完全に実現させる。 どの連邦機関も支援要請を受けたとき、より広い連邦政府がどのような支援を提供できるか、そのような支援を提供できる適切な連邦機関にどのように連絡すればよいか、効果的な情報共有メカニズムにアクセスできるかを知っているはずである。 連邦政府の対応のほとんどは現地事務所を通じて行われるため、NCIRP はテロ対策共同隊の成功例から教訓を得て、現地レベルでの連携を強化する。 |
| When incidents do occur, the Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA) will enhance our awareness and ability to respond effectively. CIRCIA will require covered entities in critical infrastructure sectors to report covered cyber incidents to CISA within hours. These timely notifications and CISA’s rapid sharing of relevant information with DOJ and other incident response stakeholders will strengthen our collective defense, improve efforts to identify the root causes of incidents, and inform decision-making within government on how to respond. CISA will consult with SRMAs, DOJ, and other Federal agencies during the CIRCIA rulemaking and implementation process to integrate incident reporting systems and ensure real-time sharing and actioning of all relevant incident information. | インシデントが発生した場合、2022年の重要インフラ・インシデント報告法(Cyber Incident Reporting for Critical Infrastructure Act: CIRCIA)は、我々の意識と効果的に対応する能力を強化する。 重要インフラ・インシデント報告法は、重要インフラ部門の対象事業者に、対象となるサイバーインシデントを数時間以内にCISAに報告することを義務付ける。 こうしたタイムリーな通知とCISAによる関連情報の司法省および他のインシデント対応関係者との迅速な共有は、集団的な防衛を強化し、インシデントの根本原因を特定する取り組みを改善し、対応方法に関する政府内の意思決定に情報を提供することになる。 CISAは、重要インフラ・インシデント報告法の規則策定と実施の過程でSRMA、DOJ、および他の連邦機関と協議し、インシデント報告システムを統合し、すべての関連インシデント情報のリアルタイムの共有と対処を確保する予定である。 |
| Following major incidents, we will ensure that the cybersecurity community benefits from lessons learned through the Cyber Safety Review Board (CSRB). Established by EO 14028, “Improving the Nation’s Cybersecurity,” the CSRB brings together public and private sector cybersecurity leaders to review major cyber incidents, conduct authoritative fact-finding, generate insights that will inform and guide industry remediations, and provide recommendations for improving the nation’s cybersecurity posture going forward. The Administration will work with Congress to pass legislation to codify the CSRB within DHS and provide it the authorities it needs to carry out comprehensive reviews of significant incidents. | 大規模インシデントの後、サイバーセキュリティ・コミュニティがサイバー・セーフティ・レビュー委員会(CSRB)を通じて学んだ教訓から利益を得られるようにする。 大統領令 14028「国家のサイバーセキュリティの改善」によって設立されたCSRBは、官民のサイバーセキュリティのリーダーを集め、主要なサイバー事件を検討し、権威ある事実調査を行い、業界の是正に情報を与え導くような洞察を生み出し、今後国家のサイバーセキュリティ体制を改善するための提言を提供するものである。政府は議会と協力して、DHS 内に CSRB を成文化し、重要インシデントの包括的なレビューを実施するために必要な権限を与えるための法案を可決する予定である。 |
| STRATEGIC OBJECTIVE 1.5: MODERNIZE FEDERAL DEFENSES | 戦略目標 1.5: 連邦防衛の近代化 |
| The Federal Government requires secure and resilient information, communications, and operational technology and services to perform its duties. In its first months, this Administration set a new strategic direction for Federal cybersecurity, publishing EO 14028, “Improving the Nation’s Cybersecurity,” which led to the release of NSM 8, “Improving the Cybersecurity of National Security, the Defense Department, and Intelligence Community Systems,” and the OMB Federal zero trust architecture strategy. | 連邦政府は、その職務を遂行するために、安全で弾力性のある情報、通信、運用技術およびサービスを必要とする。 この政権は、最初の数カ月で、大統領令 14028「国家のサイバーセキュリティの改善」を発表し、連邦政府のサイバーセキュリティのための新しい戦略的方向を定め、NSM 8「国家安全保障、防衛省、情報コミュニティシステムのサイバーセキュリティの改善」とOMB連邦ゼロ信頼アーキテクチャ戦略の発表につながりました。 |
| Building on this momentum, the Administration will drive long-term efforts to defend the Federal enterprise and modernize Federal systems in accordance with zero trust principles that acknowledge threats must be countered both inside and outside traditional network boundaries. By making its own networks more defensible and resilient, the Federal Government will be a model for private sector emulation. | この勢いに乗って、政権は、脅威は従来のネットワーク境界の内側と外側の両方で対抗しなければならないことを認識するゼロトラスト原則に従って、連邦エンタープライズを守り、連邦システムを近代化する長期的な取り組みを推進する予定である。 自国のネットワークの防御力とレジリエンスを高めることで、連邦政府は民間企業が模範とする存在となる。 |
| COLLECTIVELY DEFEND FEDERAL CIVILIAN AGENCIES | 連邦政府民間機関の一括防衛 |
| Federal civilian executive branch (FCEB) agencies are responsible for managing and securing their own IT and OT systems. With different agency structures, missions, capabilities, and resourcing, FCEB cybersecurity outcomes vary. We must continue to build a model for Federal cybersecurity that balances the individual authorities and capabilities of agencies with the security benefits achieved through a collective approach to defense. | 連邦文民行政機関(FCEB)は、自らの IT および OT システムを管理し、保護する責任を負っている。 機関の構造、任務、能力、リソースが異なるため、FCEB のサイバーセキュリティの成果はさまざまである。 我々は、各機関の個別の権限と能力と、防衛への集団的アプローチによって達成されるセキュリティ上の利点のバランスをとる連邦サイバーセキュリティのモデルを構築し続けなければならない。 |
| We will continue to build Federal cohesion through focused action across the Federal Government. OMB, in coordination with CISA, will develop a plan of action to secure FCEB systems through collective operational defense, expanded availability of centralized shared services, and software supply chain risk mitigation. These efforts will build on prior programs and prioritize actions that advance a whole-of-government approach to defending FCEB information systems. The software supply chain risk mitigation objective, developed in coordination with NIST, will build on the implementation of EO 14028, “Improving the Nation’s Cybersecurity,” including the Software Bills of Material (SBOM) efforts, NIST’s Secure Software Development Framework, and related efforts to improve open-source software security. | 我々は、連邦政府全体の集中的な行動を通じて、連邦の結束力を引き続き構築していく。 OMB は CISA と連携して、集団的な運用防御、集中型共有サービスの利用拡大、ソフトウェア・サプライ チェーンのリスク軽減を通じて、FCEB システムを安全にするための行動計画を策定する予定である。 これらの取り組みは、先行プログラムを基に、FCEB情報システムの防御に向けた政府全体のアプローチを促進する行動に優先順位をつけるものである。 NISTと連携して開発されたソフトウェア・サプライ・チェーンのリスク軽減目標は、ソフトウェア部品表(SBOM)の取り組み、NISTの安全なソフトウェア開発フレームワーク、オープンソース・ソフトウェアのセキュリティを改善する関連取り組みなど、大統領令 14028「国家のサイバーセキュリティの改善」の実施に基づいて策定される予定だ。 |
| MODERNIZE FEDERAL SYSTEMS | 連邦システムの近代化 |
| The Federal Government must replace or update IT and OT systems that are not defensible against sophisticated cyber threats. The OMB zero trust architecture strategy directs FCEB agencies to implement multi-factor authentication, encrypt their data, gain visibility into their entire attack surface, manage authorization and access, and adopt cloud security tools. These and other cybersecurity goals cannot be achieved unless Federal IT and OT systems are modernized so they are capable of leveraging critical security technologies. OMB will lead development of a multi-year lifecycle plan to accelerate FCEB technology modernization, prioritizing Federal efforts on eliminating legacy systems which are costly to maintain and difficult to defend. The plan will identify milestones to remove all legacy systems incapable of implementing our zero trust architecture strategy within a decade, or otherwise mitigate risks to those that cannot be replaced in that timeframe. Replacing legacy systems with more secure technology, including through accelerating migration to cloud-based services, will elevate the cybersecurity posture across the Federal Government and, in turn, improve the security and resilience of the digital services it provides to the American people. | 連邦政府は、高度なサイバー脅威に対して防御できない IT および OT システムを交換または更新する必要がある。 OMB のゼロ・トラスト・アーキテクチャー戦略は、FCEB 機関に対し、多要素認証の導入、データの暗号化、攻撃対象領域全体の可視化、権限とアクセスの管理、クラウド・セキュリティ・ツールの採用を指示している。 連邦政府の IT および OT システムを近代化し、重要なセキュリティ技術を活用できるようにしなければ、これらの目標やその他のサイバーセキュリティの目標を達成することはできない。 OMB は、FCEB 技術の近代化を加速するための複数年のライフサイクル計画の策定を主導し、維持費が高く防衛が困難なレガシーシステムの排除に連邦政府の努力を優先させる。 この計画では、10年以内にゼロ・トラスト・アーキテクチャー戦略を実施できないレガシーシステムをすべて撤去する、あるいはその期間内に置き換えられないシステムのリスクを軽減するためのマイルストーンを特定する予定である。 レガシーシステムをより安全な技術で置き換えることは、クラウドベースサービスへの移行を加速することを含め、連邦政府全体のサイバーセキュリティ体制を向上させ、ひいては米国民に提供するデジタルサービスのセキュリティと耐障害性を改善することにつながる。 |
| DEFEND NATIONAL SECURITY SYSTEMS | 国家安全保障システムの保護 |
| National security systems (NSS) store and process some of the Federal Government’s most sensitive data and must be secured against a wide range of cyber and physical threats, including insider threats, cyber criminals, and the most sophisticated nation-state adversaries. The Director of the NSA, as the National Manager for NSS, will coordinate with OMB to develop a plan for NSS at FCEB agencies that ensures implementation of the enhanced cybersecurity requirements of NSM-8. | 国家安全保障システム(NSS)は、連邦政府の最も機密性の高いデータを保存、処理するものであり、内部脅威、サイバー犯罪者、最も巧妙な国家敵対者を含む幅広いサイバーおよび物理的脅威から保護する必要がある。 NSA長官はNSSのナショナル・マネージャーとして、OMBと連携し、NSM-8の強化されたサイバーセキュリティ要件の実施を保証するFCEB機関のNSSのための計画を策定することになる。 |
| PILLAR TWO | DISRUPT AND DISMANTLE THREAT ACTORS | 柱2:脅威アクターの破壊と解体 |
| The United States will use all instruments of national power to disrupt and dismantle threat actors whose actions threaten our interests. These efforts may integrate diplomatic, information, military (both kinetic and cyber), financial, intelligence, and law enforcement capabilities. Our goal is to make malicious actors incapable of mounting sustained cyber-enabled campaigns that would threaten the national security or public safety of the United States. | 米国は、国力のあらゆる手段を用いて、わが国の国益を脅かす脅威となる勢力を崩壊させ、解体していく。 これらの取り組みは、外交、情報、軍事(動力学的とサイバーの両方)、金融、情報、法執行の能力を統合することができる。 我々の目標は、米国の国家安全保障や治安を脅かすような持続的なサイバーキャンペーンを、悪意ある行為者が行えないようにすることである。 |
| Coordinated efforts by Federal and non-Federal entities have proven effective in frustrating the malicious cyber activity of foreign government, criminal, and other threat actors. The Federal Government has increased its capacity to respond to cyber incidents; arrested and successfully prosecuted transnational cybercriminals and state-sponsored actors; imposed sanctions on malicious cyber actors, including bans on travel and denying access to money service providers; and deprived threat actors of access to digital infrastructure and victim networks. The Federal Government has also targeted financial infrastructure used for illicit activity; established new diplomatic initiatives attributing disruptive, destructive, or otherwise destabilizing cyber activities to hold actors accountable for their malicious behavior; and recovered billions of dollars’ worth of ill-gotten assets. | 連邦政府と連邦政府以外の組織が連携した取り組みは、外国政府や犯罪者、その他の脅威者の悪質なサイバー活動を挫くのに有効であることが証明されている。連邦政府は、サイバーインシデントへの対応能力を高め、国際的なサイバー犯罪者や国家が支援する行為者を逮捕し起訴することに成功し、渡航禁止やマネーサービスプロバイダーへのアクセス拒否などの制裁措置を悪質なサイバー行為者に課し、デジタルインフラや被害者ネットワークへのアクセスを脅威行為者から奪ってきた。 また、連邦政府は、不正な活動に利用される金融インフラを標的にし、破壊的、不安定なサイバー活動に起因する新たな外交イニシアチブを確立して、悪質な行為に対する責任を負わせ、数十億ドル相当の不正な資産を回収してきた。 |
| We will build upon these successes to enable more sustained and effective disruption of adversaries. Our efforts will require greater collaboration by public and private sector partners to improve intelligence sharing, execute disruption campaigns at scale, deny adversaries use of U.S.-based infrastructure, and thwart global ransomware campaigns. | 我々は、これらの成功に基づき、より持続的かつ効果的に敵対者を混乱させることができるようにする。 そのためには、情報共有の改善、大規模な破壊作戦の実行、敵対者による米国を拠点とするインフラの使用拒否、世界的なランサムウェア・キャンペーンの阻止など、官民のパートナーによるさらなる協力が必要となる。 |
| STRATEGIC OBJECTIVE 2.1: INTEGRATE FEDERAL DISRUPTION ACTIVITIES | 戦略目標2.1: 連邦政府の破壊活動の統合 |
| Disruption campaigns must become so sustained and targeted that criminal cyber activity is rendered unprofitable and foreign government actors engaging in malicious cyber activity no longer see it as an effective means of achieving their goals. DOJ and other Federal law enforcement agencies have pioneered the integrated deployment of domestic legal authorities with private industry and international allies and partners to disrupt online criminal infrastructure and resources, from taking down notorious botnets to seizing cryptocurrency gleaned from ransomware and fraud campaigns. Information generated from these investigations enables other efforts, such as victim notification, issuance of cybersecurity advisories, private-sector actions, sanctions designations, diplomatic actions, and intelligence operations. | 破壊工作は、犯罪的なサイバー活動が採算に合わなくなり、悪意のあるサイバー活動を行う外国政府関係者が、もはやそれが目的を達成する効果的な手段であるとは考えないように、持続的かつ標的を定めたものにならなければならない。 司法省と他の連邦法執行機関は、悪名高いボットネットの破壊からランサムウェアや詐欺キャンペーンから得た暗号通貨の押収まで、オンライン犯罪インフラとリソースを破壊するために、民間企業や国際的な同盟国およびパートナーとともに国内の法的権限を統合的に展開するパイオニア的存在となっている。 これらの調査から得られた情報は、被害者への通知、サイバーセキュリティ勧告の発行、民間部門の活動、制裁指定、外交活動、諜報活動など、他の活動を可能にする。 |
| The Department of Defense’s strategic approach of defending forward has helped generate insights on threat actors, identify and expose malware, and disrupt malicious activity before it could affect its intended targets. Informed by lessons learned and the rapidly-evolving threat environment, DoD will develop an updated departmental cyber strategy aligned with the National Security Strategy, National Defense Strategy, and this National Cybersecurity Strategy. DoD’s new strategy will clarify how U.S. Cyber Command and other DoD components will integrate cyberspace operations into their efforts to defend against state and non-state actors capable of posing strategic-level threats to U.S. interests, while continuing to strengthen their integration and coordination of operations with civilian, law enforcement, and intelligence partners to disrupt malicious activity at scale. | 一歩踏み込んだ防衛の戦略的アプローチにより、脅威の主体に関する洞察を生み出し、マルウェアを特定して公開し、悪意のある活動が意図したターゲットに影響を与える前に破壊することができた。 国防総省は、学んだ教訓と急速に進化する脅威環境から情報を得て、国家安全保障戦略、国家防衛戦略、およびこの国家サイバーセキュリティ戦略に沿った最新の部門サイバー戦略を策定する予定である。 国防総省の新戦略は、米サイバー司令部とその他の国防総省部門が、米国の利益に対して戦略レベルの脅威を与えることができる国家および非国家主体から防衛するための努力にサイバー空間作戦を統合する方法を明確にし、同時に、大規模な悪意ある活動を破壊するために文民、法執行、諜報のパートナーとの作戦統合と調整を引き続き強化するものである。 |
| To increase the volume and speed of these integrated disruption campaigns, the Federal Government must further develop technological and organizational platforms that enable continuous, coordinated operations. The NCIJTF, as a multi-agency focal point for coordinating whole-of-government disruption campaigns, will expand its capacity to coordinate takedown and disruption campaigns with greater speed, scale, and frequency. Similarly, DoD and the Intelligence Community are committed to bringing to bear their full range of complementary authorities to disruption campaigns. | こうした統合的破壊作戦の量と速度を高めるために、連邦政府は継続的で協調的な作戦を可能にする技術的・組織的プラットフォームをさらに開発する必要がある。 NCIJTFは、政府全体の破壊活動を調整するための複数省庁の中心的存在として、より迅速、大規模、かつ頻繁にテイクダウンと破壊活動を調整する能力を拡大する。 同様に、国防総省と情報機関も、破壊活動に対して補完的な権限をフルに活用することを約束する。 |
| STRATEGIC OBJECTIVE 2.2: ENHANCE PUBLIC-PRIVATE OPERATIONAL COLLABORATION TO DISRUPT ADVERSARIES | 戦略目標2.2: 敵対者をかく乱するための官民の作戦協力の強化 |
| The private sector has growing visibility into adversary activity. This body of insight is often broader and more detailed than that of the Federal Government, due in part to the sheer scale of the private sector and its threat hunting operations, but also due to the rapid pace of innovation in tooling and capabilities. Effective disruption of malicious cyber activity requires more routine collaboration between the private sector entities that have unique insights and capabilities and the Federal agencies that have the means and authorities to act. The 2021 takedown of the Emotet botnet showed the potential of this collaborative approach, with Federal agencies, international allies and partners, and private industry cooperating to disrupt the botnet’s operations. Given the interest of the cybersecurity community and digital infrastructure owners and operators in continuing this approach, we must sustain and expand upon this model so that collaborative disruption operations can be carried out on a continuous basis. | 民間部門は、敵対勢力の活動に対する可視性を高めている。 この洞察力は、連邦政府の洞察力よりも広範かつ詳細であることが多い。これは、民間企業やその脅威探求活動の規模が大きいことに加え、ツールや能力における技術革新のスピードが速いことが一因である。 悪意のあるサイバー活動を効果的に阻止するには、独自の洞察力と能力を持つ民間部門と、行動する手段と権限を持つ連邦機関の間で、より日常的な協力が必要である。 2021年のEmotetボットネットの破壊は、連邦政府機関、国際的な同盟国やパートナー、民間企業が協力してボットネットの活動を妨害し、この協力アプローチの可能性を示した。 サイバーセキュリティ業界とデジタルインフラ所有者・運営者がこのアプローチを継続することに関心を持っていることを考えると、我々はこのモデルを維持・拡大し、共同破壊作戦を継続的に実施できるようにしなければならない。 |
| Private sector partners are encouraged to come together and organize their efforts through one or more nonprofit organizations that can serve as hubs for operational collaboration with the Federal Government, such as the National Cyber-Forensics and Training Alliance (NCFTA). Threatspecific collaboration should take the form of nimble, temporary cells, comprised of a small number of trusted operators, hosted and supported by a relevant hub. Using virtual collaboration platforms, members of the cell would share information bidirectionally and work rapidly to disrupt adversaries. The Federal Government will rapidly overcome barriers to supporting and leveraging this collaboration model, such as security requirements and records management policy. | 民間セクターのパートナーは、全米サイバー犯罪捜査・訓練連合(NCFTA)のような、連邦政府との作戦協力のハブとなりうる一つまたは複数の非営利組織を通じて、その努力を結集し組織化することが推奨される。 脅威別のコラボレーションは、少数の信頼できるオペレータで構成され、関連するハブによってホストされサポートされる、迅速で一時的なセルの形態を取るべきである。 仮想コラボレーション・プラットフォームを使って、セルのメンバーは情報を双方向に共有し、敵対者を混乱させるために迅速に作業することになる。連邦政府は、セキュリティ要件や記録管理方針など、このコラボレーション・モデルの支援と活用を阻む障壁を迅速に克服する。 |
| STRATEGIC OBJECTIVE 2.3: INCREASE THE SPEED AND SCALE OF INTELLIGENCE SHARING AND VICTIM NOTIFICATION | 戦略目標 2.3: 情報共有と被害者通知の速度と規模の拡大 |
| The timely sharing of threat intelligence between Federal and non-Federal partners enhances collaborative efforts to disrupt and dismantle adversaries. Open-source cybersecurity intelligence and private sector intelligence providers have greatly increased collective awareness of cyber threats, but national intelligence that only the government can collect remains invaluable. For instance, the NSA Cybersecurity Collaboration Center’s national intelligence-driven engagement with industry has been highly effective at disrupting adversary activity targeting the Defense Industrial Base. Similarly, CISA enables persistent, multi-directional threat information sharing with the private sector through the JCDC and, in coordination with the FBI, uses that information to accelerate victim notification and to reduce the impact of identified intrusions. | 連邦政府と連邦政府以外のパートナーとの間で脅威の情報をタイムリーに共有することで、敵対者を混乱させ、解体するための協力的な取り組みが強化される。 オープンソースのサイバーセキュリティ情報と民間の情報プロバイダーによって、サイバー脅威に対する認識が大幅に向上したが、政府のみが収集できる国家情報は依然として非常に貴重である。 例えば、NSAサイバーセキュリティ・コラボレーション・センターの国家情報主導型の産業界との連携は、防衛産業基盤を標的とする敵対者の活動を妨害する上で非常に効果的であった。 同様に、CISA は JCDC を通じて民間企業との持続的かつ多方向の脅威情報共有を可能にし、FBI と連携してその情報を利用して被害者通知を迅速化し、特定した侵入の影響を軽減している。 |
| The Federal Government will increase the speed and scale of cyber threat intelligence sharing to proactively warn cyber defenders and notify victims when the government has information that an organization is being actively targeted or may already be compromised. SRMAs, in coordination with CISA, law enforcement agencies, and the CTIIC, will identify intelligence needs and priorities within their sector and develop processes to share warnings, technical indicators, threat context, and other relevant information with both government and non-government partners. These processes must provide mechanisms for the private sector to provide timely feedback and their own threat intelligence to the Federal Government to improve targeting of cyber threats for disruption and further intelligence collection. The Federal Government will also review declassification policies and processes to determine the conditions under which extending additional classified access and expanding clearances is necessary to provide actionable intelligence to owners and operators of critical infrastructure. | 連邦政府は、組織が積極的に狙われている、または既に侵害されている可能性があるという情報を政府が得た場合、サイバー防御者に警告し、被害者に通知するために、サイバー脅威情報の共有のスピードと規模を向上させる。 SRMA は、CISA、法執行機関、および CTIIC と連携して、その部門における情報のニーズと優先順位を特定し、警告、技術的指標、脅威の状況、およびその他の関連情報を政府および非政府組織の両方のパートナーと共有するためのプロセスを開発することになる。 これらのプロセスは、民間部門がタイムリーなフィードバックと独自の脅威情報を連邦政府に提供し、サイバー脅威の破壊とさらなる情報収集のターゲットを改善するための仕組みを提供する必要がある。 連邦政府はまた、機密解除の方針とプロセスを見直し、重要インフラの所有者と運営者に実用的な情報を提供するために、追加の機密アクセス権とクリアランスを拡大することが必要な条件を判断することになる。 |
| STRATEGIC OBJECTIVE 2.4: PREVENT ABUSE OF U.S.-BASED INFRASTRUCTURE | 戦略目標2.4:米国拠点のインフラ悪用の防止 |
| Malicious cyber actors exploit U.S.-based cloud infrastructure, domain registrars, hosting and email providers, and other digital services to carry out criminal activity, malign influence operations, and espionage against individual victims, businesses, governments, and other organizations in the United States and abroad. Often, these services are leased through foreign resellers who have multiple degrees of separation from their U.S.-based providers, hindering the ability of those providers to address abuse complaints or respond to legal process from U.S. authorities. The Federal Government will work with cloud and other internet infrastructure providers to quickly identify malicious use of U.S.-based infrastructure, share reports of malicious use with the government, make it easier for victims to report abuse of these systems, and make it more difficult for malicious actors to gain access to these resources in the first place. | 悪意のあるサイバー行為者は、米国を拠点とするクラウドインフラ、ドメイン登録業者、ホスティングおよび電子メールプロバイダー、その他のデジタルサービスを悪用して、米国内外の被害者個人、企業、政府、その他の組織に対して犯罪行為、悪意ある影響力の行使、スパイ活動を実施している。 多くの場合、これらのサービスは、米国を拠点とするプロバイダーから何段階も離れた海外の再販業者を通じてリースされているため、プロバイダーが不正利用の苦情に対処したり、米国当局からの法的手続きに対応したりする能力に支障をきたしている。 連邦政府は、クラウドおよびその他のインターネット・インフラ・プロバイダーと協力して、米国を拠点とするインフラの悪意ある利用を迅速に特定し、悪意ある利用の報告を政府と共有し、被害者がこれらのシステムの悪用を報告しやすくし、悪意ある行為者がそもそもこれらのリソースにアクセスすることをより困難にするよう努める。 |
| All service providers must make reasonable attempts to secure the use of their infrastructure against abuse or other criminal behavior. The Administration will prioritize adoption and enforcement of a risk-based approach to cybersecurity across Infrastructure-as-a-Service providers that addresses known methods and indicators of malicious activity including through implementation of EO 13984, “Taking Additional Steps to Address the National Emergency with Respect to Significant Malicious Cyber-Enabled Activities.” Implementation of this order will make it more difficult for adversaries to abuse U.S.-based infrastructure while safeguarding individual privacy. | すべてのサービス・プロバイダーは、そのインフラの利用を悪用やその他の犯罪行為から保護するために合理的な試みをしなければならない。 行政は、EO 13984「重大な悪意のあるサイバー対応活動に関する国家緊急事態に対処するための追加措置」の実施などを通じて、悪意のある活動の既知の手法や指標に対処するInfrastructure-as-a-Serviceプロバイダー全体のサイバーセキュリティに対するリスクベースのアプローチの採用と実施を優先させるだろう。 この命令を実施することで、個人のプライバシーを保護しながら、敵対者が米国を拠点とするインフラを悪用することをより困難にすることができる。 |
| STRATEGIC OBJECTIVE 2.5: COUNTER CYBERCRIME, DEFEAT RANSOMWARE | 戦略目標2.5:サイバー犯罪への対抗とランサムウェアの撲滅 |
| Ransomware is a threat to national security, public safety, and economic prosperity. Ransomware operators have disrupted hospitals, schools, pipeline operations, government services, and other critical infrastructure and essential services. Operating from safe havens like Russia, Iran, and North Korea, ransomware actors exploit poor cybersecurity practices to take control of victim networks and rely on cryptocurrencies to receive extortion payments and launder their proceeds. | ランサムウェアは、国家の安全保障、公共の安全、および経済の繁栄に対する脅威である。 ランサムウェアの運営者は、病院、学校、パイプラインの運用、政府サービス、その他の重要なインフラや重要なサービスに支障をきたしている。 ロシア、イラン、北朝鮮などの安全な避難所から活動するランサムウェアの実行者は、サイバーセキュリティの不備を突いて被害者のネットワークを制御し、暗号通貨に依存して恐喝の支払いを受け、その収益を洗浄する。 |
| Given ransomware’s impact on key critical infrastructure services, the United States will employ all elements of national power to counter the threat along four lines of effort: (1) leveraging international cooperation to disrupt the ransomware ecosystem and isolate those countries that provide safe havens for criminals; (2) investigating ransomware crimes and using law enforcement and other authorities to disrupt ransomware infrastructure and actors; (3) bolstering critical infrastructure resilience to withstand ransomware attacks; and (4) addressing the abuse of virtual currency to launder ransom payments. | ランサムウェアが重要なインフラサービスに影響を及ぼすことを踏まえ、米国はこの脅威に対抗するため、国力のあらゆる要素を用いて、次の4つの取り組みを行っていく。(1)国際協力を活用してランサムウェアのエコシステムを破壊し、犯罪者のセーフヘイブンを提供している国を孤立させる、(2)ランサムウェア犯罪を捜査し、法執行機関やその他の権限を活用してランサムウェアのインフラと行為者を破壊する、(3)ランサムウェア攻撃に耐える重要インフラの回復力を高める、(4)身代金支払いを洗浄する仮想通貨の不正使用に対処する、ということである。 |
| As ransomware is a borderless challenge requiring international cooperation, the White House has convened the Counter-Ransomware Initiative (CRI) with participation from more than thirty countries. The CRI has conducted global exercises to build resilience and, as of January 2023, launched an international counter ransomware task force, led by Australia, to share information regarding the actors and infrastructure conducting ransomware attacks that will support and further accelerate CRI member countries’ existing, often coordinated disruption efforts. The CRI will also drive synchronization of policy and diplomatic efforts across its members. | ランサムウェアは国境を越えた問題であり、国際的な協力が必要であるため、ホワイトハウスは30カ国以上が参加するランサムウェア対策イニシアチブ(CRI)を開催している。 CRIは、レジリエンスを高めるためのグローバルな演習を実施し、2023年1月には、オーストラリアが主導する国際的なランサムウェア対策タスクフォースを立ち上げ、ランサムウェア攻撃を行う主体とインフラに関する情報を共有し、CRIメンバー国の既存の、しばしば連携した破壊活動を支援、さらに加速させることにしている。 CRIはまた、加盟国間の政策および外交努力の同期化を推進する。 |
| The Administration is committed to mounting disruption campaigns and other efforts that are so sustained, coordinated, and targeted that they render ransomware no longer profitable. The Joint Ransomware Task Force (JRTF), co-chaired by CISA and the Federal Bureau of Investigation (FBI), will coordinate, deconflict, and synchronize existing interagency efforts to disrupt ransomware operations and provide support to private sector and SLTT efforts to increase their protections against ransomware. | CRIは、ランサムウェアがもはや利益を生まないようにするために、持続的、協調的、かつ的を絞った破壊キャンペーンやその他の取り組みを実施することを約束する。 CISAと連邦捜査局(FBI)が共同議長を務めるランサムウェア合同対策チーム(JRTF)は、ランサムウェアの活動を妨害するための既存の省庁間の取り組みを調整、混乱、同期化し、ランサムウェアに対する保護を強化する民間部門とSLTTの取り組みに支援を提供する。 |
| Our approach will also include targeting the illicit cryptocurrency exchanges on which ransomware operators rely and improving international implementation of standards for combatting virtual asset illicit finance. The United States subjects financial institutions offering covered services in cryptocurrencies to Anti-Money Laundering and Countering the Financing of Terrorism (AML/CFT) controls, and the Department of the Treasury, the Secret Service, DOJ, the FBI, and private sector partners are collaborating to trace and interdict ransomware payments. The CRI has gained the commitment of members to implement international AML/CFT standards, including know-your-customer (KYC) rules, to make it harder for ransomware actors to launder cryptocurrency proceeds from attacks. Over the long term, the United States will support implementation of international AML/CFT standards globally to mitigate the use of cryptocurrencies for illicit activities that undermine our national interest as part of our efforts to implement EO 14067, “Ensuring Responsible Development of Digital Assets.” | また、ランサムウェアの運営者が依存する不正な暗号通貨取引所を標的とし、仮想資産の不正金融に対抗するための基準の国際的な実施を改善することも、我々のアプローチに含まれるだろう。 米国では、暗号通貨で対象サービスを提供する金融機関をマネーロンダリング防止およびテロ資金調達対策(AML/CFT)規制の対象としており、財務省、シークレットサービス、司法省、FBI、民間部門のパートナーが連携してランサムウェアによる支払いの追跡と阻止を進めている。 CRIは、ランサムウェアの実行者が攻撃から得た暗号通貨の収益を洗浄することを困難にするために、顧客に関する知識(KYC)ルールを含む国際的なAML/CFT基準を実施するようメンバーのコミットメントを獲得してきた。 長期的には、米国は大統領令 14067 「デジタルアセットの責任ある開発の確保」を実施する取り組みの一環として、国益を損なう不正行為への暗号通貨の使用を軽減するために、国際的なAML/CFT基準の実施をグローバルに支援していく。 |
| Ultimately, the most effective way to undermine the motivation of these criminal groups is to reduce the potential for profit. For this reason, the Administration strongly discourages the payment of ransoms. At the same time, victims of ransomware – whether or not they choose to pay a ransom - should report the incident to law enforcement and other appropriate agencies. These reports enhance the Federal Government’s ability to provide victim support, to prevent further use of cryptocurrencies to evade AML/CFT controls, and to reduce the likelihood that future ransomware attacks will be successful. | 最終的に、これらの犯罪集団の動機を弱める最も効果的な方法は、利益を得る可能性を減らすことである。 このため、行政は身代金の支払いを強く推奨している。 同時に、ランサムウェアの被害者は、身代金の支払いを選択するかどうかにかかわらず、法執行機関やその他の適切な機関に事件を報告する必要がある。 これらの報告により、連邦政府は被害者支援を提供する能力を高め、AML/CFT規制を回避するための暗号通貨のさらなる使用を防止し、将来のランサムウェア攻撃が成功する可能性を低減させることができる。 |
| PILLAR THREE | SHAPE MARKET FORCES TO DRIVE SECURITY AND RESILIENCE | 柱 3|セキュリティとレジリエンスを推進するための市場の力の形成 |
| To build the secure and resilient future we want, we must shape market forces to place responsibility on those within our digital ecosystem that are best positioned to reduce risk. We will shift the consequences of poor cybersecurity away from the most vulnerable, making our digital ecosystem more worthy of trust. In this effort, we will not replace or diminish the role of the market, but channel market forces productively toward keeping our country resilient and secure. Our goal is a modern digital economy that promotes practices that enhance the security and resilience of our digital ecosystem while preserving innovation and competition. | 我々が望む安全でレジリエンスに優れた未来を築くためには、デジタル・エコシステムの中でリスクを低減するために最も適した立場にある人々に責任を負わせるよう、市場の力を形成する必要がある。 我々は、サイバーセキュリティの不備がもたらす結果を最も脆弱な人々から遠ざけ、デジタルエコシステムがより信頼に値するものになるようにする。 この取り組みにおいて、我々は市場の役割に取って代わることも減らすこともしませんが、市場の力を我が国のレジリエンスと安全性の維持に向け、生産的に働かせていく。 我々の目標は、イノベーションと競争を維持しながら、デジタルエコシステムのセキュリティとレジリエンスを強化する手法を推進する近代的なデジタル経済である。 |
| Continued disruptions of critical infrastructure and thefts of personal data make clear that market forces alone have not been enough to drive broad adoption of best practices in cybersecurity and resilience. In too many cases, organizations that choose not to invest in cybersecurity negatively and unfairly impact those that do, often disproportionately impacting small businesses and our most vulnerable communities. While market forces remain the first, best route to agile and effective innovation, they have not adequately mobilized industry to prioritize our core economic and national security interests. | 重要インフラの破壊や個人情報の盗難が続いていることから、サイバーセキュリティとレジリエンスのベストプラクティスを広く普及させるには、市場の力だけでは十分でないことが明らかになった。 サイバーセキュリティに投資しないことを選択した組織が、投資している組織に悪影響を与え、不公平になるケースがあまりにも多く、中小企業や最も脆弱なコミュニティに不釣り合いな影響を与えることも少なくない。 市場原理は、機敏で効果的なイノベーションを実現するための最初で最善の方法であることに変わりはないが、経済と国家安全保障の中核的利益を優先させるために産業を十分に動員しているとは言えない。 |
| To address these challenges, the Administration will shape the long-term security and resilience of the digital ecosystem, against both today’s threats and tomorrow’s challenges. We must hold the stewards of our data accountable for the protection of personal data; drive the development of more secure connected devices; and reshape laws that govern liability for data losses and harm caused by cybersecurity errors, software vulnerabilities, and other risks created by software and digital technologies. We will use Federal purchasing power and grant-making to incentivize security. And we will explore how the government can stabilize insurance markets against catastrophic risk to drive better cybersecurity practices and to provide market certainty when catastrophic events do occur. | これらの課題に対処するため、政権は、今日の脅威と明日の課題の両方に対して、デジタル・エコシステムの長期的なセキュリティとレジリエンスを形成していく。 我々は、データの管理者に個人情報保護の責任を負わせ、より安全な接続機器の開発を促進し、サイバーセキュリティのエラーやソフトウェアの脆弱性、ソフトウェアやデジタル技術によって生じるその他のリスクによるデータ損失や損害に対する責任を規定する法律を再構築しなければならない。 我々は、連邦政府の購買力と助成金制度を利用して、セキュリティを奨励する。 また、より優れたサイバーセキュリティの実践を促進し、壊滅的な事象が発生した場合に市場の確実性を高めるために、政府が壊滅的なリスクに対する保険市場を安定化させる方法を検討する。 |
| STRATEGIC OBJECTIVE 3.1: HOLD THE STEWARDS OF OUR DATA ACCOUNTABLE | 戦略目標3.1:データの管理者に説明責任を持たせる |
| Securing personal data is a foundational aspect to protecting consumer privacy in a digital future. Data-driven technologies have transformed our economy and offer convenience for consumers. But the dramatic proliferation of personal information expands the threat environment and increases the impact of data breaches on consumers. When organizations that have data on individuals fail to act as responsible stewards for this data, they externalize the costs onto everyday Americans. Often, the greatest harm falls upon the vulnerable populations for whom risks to their personal data can produce disproportionate harms. | 個人データの保護は、デジタルの未来において消費者のプライバシーを保護するための基礎となる側面である。 データ駆動型テクノロジーは、経済を変革し、消費者に利便性を提供してきた。 しかし、個人情報の激増は、脅威の環境を拡大し、データ侵害が消費者に与える影響を増大させる。 個人に関するデータを保有する組織が、このデータの責任ある管理者として行動できない場合、そのコストは一般消費者に外部に漏れることになる。 多くの場合、最大の被害は、個人データへのリスクが不均衡な被害をもたらす可能性のある社会的弱者に降りかかる。 |
| The Administration supports legislative efforts to impose robust, clear limits on the ability to collect, use, transfer, and maintain personal data and provide strong protections for sensitive data like geolocation and health information. This legislation should also set national requirements to secure personal data consistent with standards and guidelines developed by NIST. By providing privacy requirements that evolve with threats, the United States can pave the way for a more secure future. | 行政は、個人データの収集、利用、移転、維持に強固で明確な制限を課し、地理位置情報や健康情報などの機密データに強力な保護を提供する立法措置を支持する。 また、この法律は、NISTが開発した標準とガイドラインに一致する個人データを保護するための国家要件を設定する必要がある。 脅威に応じて進化するプライバシー要件を提供することで、米国はより安全な未来への道を開くことができる。 |
| STRATEGIC OBJECTIVE 3.2: DRIVE THE DEVELOPMENT OF SECURE IOT DEVICES | 戦略目標3.2:安全なIoTデバイスの開発の促進 |
| Internet of Things (IoT) devices, including both consumer goods like fitness trackers and baby monitors, as well as industrial control systems and sensors, introduce new sources of connectivity in our homes and businesses. However, many of the IoT devices deployed today are not sufficiently protected against cybersecurity threats. Too often they have been deployed with inadequate default settings, can be difficult or impossible to patch or upgrade, or come equipped with advanced—and sometimes unnecessary—capabilities that enable malicious cyber activities on critical physical and digital systems. Recent IoT vulnerabilities have shown just how easily bad actors can exploit these devices to construct botnets and conduct surveillance. | フィットネストラッカーやベビーモニターなどの消費財や、産業用制御システム、センサーなどのIoT機器は、家庭やビジネスに新しいコネクティビティの源を導入している。 しかし、今日展開されているIoT機器の多くは、サイバーセキュリティの脅威から十分に保護されていない。 不適切な初期設定のまま導入されたり、パッチやアップグレードが困難または不可能であったり、重要な物理システムやデジタルシステムに対する悪意のあるサイバー活動を可能にする高度な、時には不必要な機能を備えていることが非常に多くなっている。 最近のIoTの脆弱性により、悪意ある行為者がいかに簡単にこれらの機器を悪用してボットネットを構築し、監視を行うことができるかが明らかになっている。 |
| The Administration will continue to improve IoT cybersecurity through Federal research and development (R&D), procurement, and risk management efforts, as directed in the IoT Cybersecurity Improvement Act of 2020. In addition, the Administration will continue to advance the development of IoT security labeling programs, as directed under EO 14028, “Improving the Nation’s Cybersecurity.” Through the expansion of IoT security labels, consumers will be able to compare the cybersecurity protections offered by different IoT products, thus creating a market incentive for greater security across the entire IoT ecosystem. | 政権は、2020年IoTサイバーセキュリティ改善法の指示に従い、連邦政府の研究開発(R&D)、調達、リスクマネジメントの取り組みを通じて、IoTサイバーセキュリティを引き続き改善する。 また、大統領令 14028 「国家のサイバーセキュリティの改善」の指示に従い、政権はIoTセキュリティ・ラベリング・プログラムの開発を引き続き推進する予定である。 IoTセキュリティラベルの拡大を通じて、消費者はさまざまなIoT製品が提供するサイバーセキュリティ保護を比較できるようになり、IoTエコシステム全体でセキュリティを強化するための市場インセンティブが生まれる。 |
| STRATEGIC OBJECTIVE 3.3: SHIFT LIABILITY FOR INSECURE SOFTWARE PRODUCTS AND SERVICES | 戦略目標 3.3: 安全でないソフトウェア製品とサービスに対する責任の転換 |
| Markets impose inadequate costs on—and often reward—those entities that introduce vulnerable products or services into our digital ecosystem. Too many vendors ignore best practices for secure development, ship products with insecure default configurations or known vulnerabilities, and integrate third-party software of unvetted or unknown provenance. Software makers are able to leverage their market position to fully disclaim liability by contract, further reducing their incentive to follow secure-by-design principles or perform pre-release testing. Poor software security greatly increases systemic risk across the digital ecosystem and leave American citizens bearing the ultimate cost. | 市場は、デジタル・エコシステムに脆弱な製品やサービスを導入する主体に対して不適切なコストを課しており、多くの場合、それに見合う報酬を得ている。 多くのベンダーが、安全な開発のためのベストプラクティスを無視し、安全でないデフォルト設定や既知の脆弱性を持つ製品を出荷し、検証されていない、または出所が不明なサードパーティソフトウェアを統合している。 ソフトウェアメーカーは、市場での地位を利用して契約による責任を完全に放棄することができるため、セキュアバイデザインの原則に従ったり、リリース前のテストを実施したりするインセンティブがさらに低下している。 ソフトウェア・セキュリティの不備は、デジタル・エコシステム全体のシステミック・リスクを大幅に増大させ、最終的なコストは米国市民が負担することになる。 |
| We must begin to shift liability onto those entities that fail to take reasonable precautions to secure their software while recognizing that even the most advanced software security programs cannot prevent all vulnerabilities. Companies that make software must have the freedom to innovate, but they must also be held liable when they fail to live up to the duty of care they owe consumers, businesses, or critical infrastructure providers. Responsibility must be placed on the stakeholders most capable of taking action to prevent bad outcomes, not on the end-users that often bear the consequences of insecure software nor on the open-source developer of a component that is integrated into a commercial product. Doing so will drive the market to produce safer products and services while preserving innovation and the ability of startups and other small- and medium-sized businesses to compete against market leaders. | 我々は、最も高度なソフトウェアセキュリティプログラムでもすべての脆弱性を防ぐことはできないことを認識しつつ、ソフトウェアを保護するための合理的な予防措置を講じなかった事業者に責任を負わせることを開始しなければならない。 ソフトウェアを製造する企業には技術革新の自由がなければならないが、消費者、企業、重要インフラ提供者が負うべき注意義務を果たせなかった場合には、責任を負わなければならないことも確かである。 責任は、安全でないソフトウェアの結果をしばしば負担するエンドユーザーや、商用製品に統合されるコンポーネントのオープンソース開発者ではなく、悪い結果を防ぐために行動を起こすことが最も可能な利害関係者に負わせる必要がある。 そうすることで、より安全な製品やサービスを生み出す市場を促進する一方、イノベーションと、新興企業やその他の中小企業が市場のリーダーと競争する能力を維持することができる。 |
| The Administration will work with Congress and the private sector to develop legislation establishing liability for software products and services. Any such legislation should prevent manufacturers and software publishers with market power from fully disclaiming liability by contract, and establish higher standards of care for software in specific high-risk scenarios. To begin to shape standards of care for secure software development, the Administration will drive the development of an adaptable safe harbor framework to shield from liability companies that securely develop and maintain their software products and services. This safe harbor will draw from current best practices for secure software development, such as the NIST Secure Software Development Framework. It also must evolve over time, incorporating new tools for secure software development, software transparency, and vulnerability discovery. | 政権は、議会や民間部門と協力して、ソフトウェア製品とサービスの責任を確立する法律を策定する。 そのような法律は、市場支配力のあるメーカーやソフトウェア出版社が契約によって責任を完全に放棄することを防ぎ、特定の高リスクのシナリオにおけるソフトウェアのためのより高いケア基準を確立する必要がある。 安全なソフトウェア開発のためのケア基準を策定し始めるために、行政は、ソフトウェア製品とサービスを安全に開発・維持する企業を責任から保護する、適応可能なセーフハーバーの枠組みの開発を推進する予定である。 このセーフハーバーは、NISTの「セキュアソフトウェア開発フレームワーク」 など、安全なソフトウェア開発のための現在のベストプラクティスを参考にする予定である。 また、安全なソフトウェア開発、ソフトウェアの透明性、脆弱性の発見のための新しいツールを取り入れ、時とともに進化させなければならない。 |
| To further incentivize the adoption of secure software development practices, the Administration will encourage coordinated vulnerability disclosure across all technology types and sectors; promote the further development of SBOMs; and develop a process for identifying and mitigating the risk presented by unsupported software that is widely used or supports critical infrastructure. In partnership with the private sector and the open-source software community, the Federal Government will also continue to invest in the development of secure software, including memorysafe languages and software development techniques, frameworks, and testing tools. | 安全なソフトウェア開発手法の採用をさらに奨励するため、行政は、すべての技術タイプおよびセクターにわたる協調的な脆弱性開示を奨励し、SBOM のさらなる開発を促進し、広く使用されているか重要インフラを支えているサポートされていないソフトウェアが示すリスクを特定および軽減するプロセスを開発する予定である。 また、民間企業やオープンソースソフトウェアコミュニティと連携して、連邦政府は、メモリセーフ言語やソフトウェア開発技術、フレームワーク、テストツールなど、安全なソフトウェアの開発への投資を継続する。 |
| STRATEGIC OBJECTIVE 3.4: USE FEDERAL GRANTS AND OTHER INCENTIVES TO BUILD IN SECURITY | 戦略目標 3.4: 連邦政府の補助金やその他のインセンティブを利用したセキュリティの構築 |
| Federal grant programs offer strategic opportunities to make investments in critical infrastructure that are designed, developed, fielded, and maintained with cybersecurity and all-hazards resilience in mind. Through programs funded by the Bipartisan Infrastructure Law, the Inflation Reduction Act, and the CHIPS and Science Act, the United States is making once-in-a-generation investments in our infrastructure and the digital ecosystem that supports it. This Administration is committed to making investments in a manner that increases our collective systemic resilience. | 連邦政府の助成金制度は、サイバーセキュリティとオールハザードのレジリエンスを念頭に置いて設計、開発、実戦、保守された重要インフラへの投資を行う戦略的機会を提供する。 超党派インフラ法、インフレ抑制法、CHIPS および科学法から資金提供を受けたプログラムを通じて、米国はインフラとそれを支えるデジタル・エコシステムに一世一代の投資を行っている。 本政権は、我々の集合的なシステムのレジリエンスを高めるような形で投資を行うことを確約している。 |
| The Federal Government will collaborate with SLTT entities, the private sector, and other partners to balance cybersecurity requirements for applicants with technical assistance and other forms of support. Together, we can drive investment in critical products and services that are secure- and resilient-by-design, and sustain and incentivize security and resilience throughout the lifecycle of critical infrastructure. The Federal Government will also prioritize funding for cybersecurity research, development, and demonstration (RD&D) programs aimed at strengthening critical infrastructure cybersecurity and resilience. And, the Administration will work with Congress to develop other incentive mechanisms to drive better cybersecurity practices at scale. | 連邦政府は、SLTT、民間企業、その他のパートナーと協力し、申請者に対するサイバーセキュリティの要件と技術支援やその他の形態の支援のバランスを取っていく予定である。 我々は、設計段階から安全とレジリエンスを確保した重要な製品とサービスへの投資を促進し、重要インフラのライフサイクル全体を通じてセキュリティとレジリエンスを維持し、奨励することができる。 連邦政府は、重要インフラのサイバーセキュリティとレジリエンスの強化を目的としたサイバーセキュリティ研究・開発・実証(RD&D)プログラムへの資金提供も優先させる予定である。 さらに、政府は議会と協力して、より優れたサイバーセキュリティの実践を大規模に推進するための他のインセンティブメカニズムを開発する。 |
| STRATEGIC OBJECTIVE 3.5: LEVERAGE FEDERAL PROCUREMENT TO IMPROVE ACCOUNTABILITY | 戦略目標 3.5: 連邦調達の活用によるアカウンタビリティの向上 |
| Contracting requirements for vendors that sell to the Federal Government have been an effective tool for improving cybersecurity. EO 14028, “Improving the Nation’s Cybersecurity,” expands upon this approach, ensuring that contract requirements for cybersecurity are strengthened and standardized across Federal agencies. Continuing to pilot new concepts for setting, enforcing, and testing cybersecurity requirements through procurement can lead to novel and scalable approaches. | 連邦政府への販売を行うベンダーに対する契約要件は、サイバーセキュリティを改善するための効果的な手段となっている。 大統領令 14028「国家のサイバーセキュリティの改善」は、このアプローチを発展させ、サイバーセキュリティに関する契約要件が強化され、連邦政府機関全体で標準化されることを保証している。 調達を通じてサイバーセキュリティ要件を設定、実施、テストするための新しいコンセプトの試行を継続することで、斬新であるケーラブルなアプローチにつながる可能性がある。 |
| When companies make contractual commitments to follow cybersecurity best practices to the Federal Government, they must live up to them. The Civil Cyber-Fraud Initiative (CCFI) uses DOJ authorities under the False Claims Act to pursue civil actions against government grantees and contractors who fail to meet cybersecurity obligations. The CCFI will hold accountable entities or individuals that put U.S. information or systems at risk by knowingly providing deficient cybersecurity products or services, knowingly misrepresenting their cybersecurity practices or protocols, or knowingly violating obligations to monitor and report cyber incidents and breaches. | 企業が連邦政府に対してサイバーセキュリティのベストプラクティスに従うと契約上の約束をした場合、企業はその約束に従わなければならない。 市民サイバー不正イニシアティブ (Civil Cyber-Fraud Initiative; CCFI) は、偽請求法に基づく司法省の権限を利用して、サイバーセキュリティの義務を果たさない政府の助成金および請負業者に対して民事訴訟を起こする。 CCFI は、欠陥のあるサイバーセキュリティ製品やサービスを故意に提供したり、サイバーセキュリティの実践やプロトコルを故意に不当表示したり、サイバー事件や侵害を監視・報告する義務に故意に違反することによって、米国の情報やシステムを危険にさらす事業者や個人に責任を負わせるものである。 |
| STRATEGIC OBJECTIVE 3.6: EXPLORE A FEDERAL CYBER INSURANCE BACKSTOP | 戦略目標 3.6: 連邦政府によるサイバー保険のバックアップの検討 |
| When catastrophic incidents occur, it is a government responsibility to stabilize the economy and provide certainty in uncertain times. In the event of a catastrophic cyber incident, the Federal Government could be called upon to stabilize the economy and aid recovery. Structuring that response before a catastrophic event occurs—rather than rushing to develop an aid package after the fact—could provide certainty to markets and make the nation more resilient. The Administration will assess the need for and possible structures of a Federal insurance response to catastrophic cyber events that would support the existing cyber insurance market. In developing this assessment, the Administration will seek input from, and consult with, Congress, state regulators, and industry stakeholders. | 大惨事が発生した場合、経済を安定させ、不確実な時代に確実性を提供することは政府の責任である。 壊滅的なサイバー事件が発生した場合、連邦政府は経済を安定化させ、回復を支援するよう求められる可能性がある。 壊滅的な事件が発生してから慌てて支援策を練るのではなく、事件が発生する前にその対応を構築しておけば、市場に確実性をもたらし、国家をより強固にすることができる。 政府は既存のサイバー保険市場を支援する、壊滅的なサイバー事象に対する連邦保険対応の必要性と可能な構造を評価する予定である。 この評価を行うにあたり、行政は議会、州の規制当局、業界の利害関係者からの意見を求め、協議を行う。 |
| PILLAR FOUR | INVEST IN A RESILIENT FUTURE | 柱4:レジリエンスな未来への投資 |
| A resilient and flourishing digital future tomorrow begins with investments made today. We can build a more secure, resilient, privacy-preserving, and equitable digital ecosystem through strategic investments and coordinated, collaborative action. In doing so, the United States will maintain its leading role as the world’s foremost innovator in secure and resilient next-generation technologies and infrastructure. | レジリエンスと繁栄をもたらすデジタルの未来は、今日の投資によって始まる。 我々は、戦略的投資と協調的・協力的行動を通じて、より安全でレジリエンスに優れ、プライバシーを保護し、公平なデジタル・エコシステムを構築することができる。 そうすることで、米国は安全でレジリエンスの高い次世代技術とインフラにおいて、世界有数のイノベーターとしての役割を維持することができる。 |
| Foundational elements of our digital ecosystem, like the Internet, are products of sustained and mutually-supporting investments by both public and private sector entities. However, public and private investments in cybersecurity have long trailed the threats and challenges we face. As we build a new generation of digital infrastructure, from next-generation telecommunications and IoT to distributed energy resources, and prepare for revolutionary changes in our technology landscape brought by artificial intelligence and quantum computing, the need to address this investment gap has grown more urgent. | インターネットのようなデジタル・エコシステムの基礎的要素は、官民両セクターによる持続的かつ相互支援的な投資の産物である。 しかし、サイバーセキュリティに対する官民の投資は、我々が直面する脅威や課題に対して長い間追いついていないのが現状である。 次世代通信やIoTから分散型エネルギー資源まで、新世代のデジタルインフラを構築し、人工知能や量子コンピュータがもたらす技術環境の革命的変化に備える中で、この投資ギャップに対処する必要性はより一層高まっている。 |
| The Federal Government must leverage strategic public investments in innovation, R&D, and education to drive outcomes that are economically sustainable and serve the national interest. We will leverage the National Science Foundation’s (NSF) Regional Innovation Engines program, longstanding Secure and Trustworthy Cyberspace program; new grant programs and funding opportunities established in the Bipartisan Infrastructure Law, Inflation Reduction Act, and CHIPS and Science Act; Manufacturing Institutes; and other elements of the Federal research and development enterprise. | 連邦政府は、イノベーション、研究開発、教育への戦略的な公共投資を活用し、経済的に持続可能で国益に資する成果を推進しなければならない。 我々は、全米科学財団(NSF)の地域イノベーションエンジン・プログラム、長年にわたる安全で信頼できるサイバースペース・プログラム、超党派インフラ法、インフレ削減法、CHIPSおよび科学法で確立された新しい助成プログラムおよび資金調達機会、製造研究所、および連邦研究開発企業の他の要素を活用する。 |
| These investments will assure continued U.S. leadership in technology and innovation as part of a modern industrial and innovation strategy. Decades of adversaries and malicious actors weaponizing our technology and innovation against us—to steal our intellectual property, interfere in or influence our electoral process, and undercut our national defenses—has demonstrated that leadership in innovation without security is not enough. We will complement our efforts to outinnovate other countries with focused, coordinated action to optimize critical and emerging technologies for cybersecurity as they are developed and deployed. We will ensure that resilience is not a discretionary element of new technical capabilities but a commercially viable element of the innovation and deployment process. | これらの投資は、近代的な産業およびイノベーション戦略の一環として、技術とイノベーションにおける米国の継続的なリーダーシップを保証するものである。 数十年にわたり、敵対勢力や悪意ある行為者が米国のテクノロジーとイノベーションを武器に、知的財産の窃盗、選挙プロセスへの干渉や影響、国防の弱体化を行ってきたことから、イノベーションにおけるリーダーシップは安全保障なしでは十分でないことが実証された。 我々は、他国を凌駕する革新的な取り組みを、重要かつ新たな技術を開発・展開する際に、サイバーセキュリティに最適化するための集中的かつ協調的な行動で補完していく。 我々は、レジリエンスが新しい技術的能力の裁量的要素ではなく、技術革新と配備のプロセスにおいて商業的に実行可能な要素であることを保証する。 |
| STRATEGIC OBJECTIVE 4.1: SECURE THE TECHNICAL FOUNDATION OF THE INTERNET | 戦略目標 4.1: インターネットの技術的基盤の確保 |
| The Internet is critical to our future but retains the fundamental structure of its past. Many of the technical foundations of the digital ecosystem are inherently vulnerable. Every time we build something new on top of this foundation, we add new vulnerabilities and increase our collective risk exposure. We must take steps to mitigate the most urgent of these pervasive concerns such as Border Gateway Protocol vulnerabilities, unencrypted Domain Name System requests, and the slow adoption of IPv6. Such a “clean-up” effort to reduce systemic risk requires identification of the most pressing of these security challenges, further development of effective security measures, and close collaboration between public and private sectors to reduce our risk exposure without disrupting the platforms and services built atop this infrastructure. The Federal Government will lead by ensuring that its networks have implemented these and other security measures while partnering with stakeholders to develop and drive adoption of solutions that will improve the security of the Internet ecosystem and support research to understand and address reasons for slow adoption. | インターネットは我々の未来にとって不可欠なものであるが、過去の基本的な構造を保持している。 デジタル・エコシステムの技術的基盤の多くは、本質的に脆弱である。 この基盤の上に新しいものを構築するたびに、新たな脆弱性が追加され、我々の集団的なリスクエクスポージャーが増加する。 我々は、Border Gateway Protocol の脆弱性、暗号化されていない Domain Name System のリクエスト、IPv6 の採用の遅れなど、蔓延する懸念のうち最も緊急性の高いものを緩和するための措置を講じなければならない。 システミックリスクを軽減するためのこのような「クリーンアップ」作業には、これらのセキュリティ課題のうち最も緊急性の高いものを特定し、効果的なセキュリティ対策をさらに開発し、このインフラの上に構築されたプラットフォームやサービスを中断させることなくリスクへのエクスポージャーを減らすために官民が緊密に連携することが必要である。 連邦政府は、自国のネットワークがこれらのセキュリティ対策やその他のセキュリティ対策を確実に実施することによって主導権を握るとともに、利害関係者と連携してインターネットのエコシステムのセキュリティを向上させるソリューションの開発と採用を推進し、採用が進まない理由を理解し対処するための研究を支援する。 |
| Preserving and extending the open, free, global, interoperable, reliable, and secure Internet requires sustained engagement in standards development processes to instill our values and ensure that technical standards produce technologies that are more secure and resilient. As autocratic regimes seek to change the Internet and its multistakeholder foundation to enable government control, censorship, and surveillance, the United States and its foreign and private sector partners will implement a multi-pronged strategy to preserve technical excellence, protect our security, drive economic competitiveness, promote digital trade, and ensure that the “rules of the road” for technology standards favor principles of transparency, openness, consensus, relevance, and coherence. By supporting non-governmental Standards Developing Organizations (SDOs), the United States will partner with industry leaders, international allies, academic institutions, professional societies, consumer groups, and nonprofits, to secure emerging technologies, enable interoperability, foster global market competition, and protect our national security and economic advantage. | オープン、フリー、グローバル、相互運用性、信頼性、安全性の高いインターネットを維持、拡張するには、標準開発プロセスに持続的に関与し、当社の価値観を浸透させ、技術標準がより安全で弾力性のある技術を生み出すことを保証する必要がある。 独裁政権がインターネットとそのマルチステークホルダー基盤を変更し、政府の統制、検閲、監視を可能にしようとする中、米国とその海外および民間部門のパートナーは、技術的卓越性を維持し、安全を守り、経済競争力を推進し、デジタル取引を促進し、技術標準の「道路の規則」が透明性、開放性、合意、関連性、一貫性の原則に賛成するように多角的戦略を実施する予定である。 非政府の標準化団体(SDOs)を支援することにより、米国は業界リーダー、国際的な同盟国、学術機関、専門学会、消費者団体、非営利団体と提携し、新興技術の安全確保、相互運用性の実現、国際市場競争の促進、国家安全保障と経済の優位性の保護に努める。 |
| STRATEGIC OBJECTIVE 4.2: REINVIGORATE FEDERAL RESEARCH AND DEVELOPMENT FOR CYBERSECURITY | 戦略目標 4.2: サイバーセキュリティのための連邦政府研究開発の活性化 |
| Through Federal efforts to prioritize research and development in defensible and resilient architectures and reduce vulnerabilities in underlying technologies, we can ensure that the technologies of tomorrow are more secure than those of today. | 防衛的でレジリエンスに優れたアーキテクチャの研究開発を優先し、基盤技術の脆弱性を低減する連邦政府の取り組みを通じて、我々は明日の技術を今日よりも確実に安全なものにすることができる。 |
| As part of the update to the Federal Cybersecurity Research and Development Strategic Plan, the Federal Government will identify, prioritize, and catalyze the research, development, and demonstration (RD&D) community to proactively prevent and mitigate cybersecurity risks in existing and next generation technologies. Departments and agencies will direct RD&D projects to advance cybersecurity and resilience in areas such as artificial intelligence, operational technologies and industrial control systems, cloud infrastructure, telecommunications, encryption, system transparency, and data analytics used in critical infrastructure. These efforts will be supported by the Federal RD&D enterprise, including the NSF, DOE National Laboratories, and other Federally funded research and development centers (FFRDCs), and through partnerships with academia, manufacturers, technology companies, and owners and operators. | 連邦サイバーセキュリティ研究開発戦略計画の更新の一環として、連邦政府は、既存および次世代の技術におけるサイバーセキュリティのリスクを積極的に防止・軽減するための研究・開発・実証(RD&D)コミュニティを特定し、優先順位を付け、活性化させる予定である。 各省庁は、人工知能、運用技術、産業用制御システム、クラウドインフラ、通信、暗号化、システム透過性、重要インフラで使用されるデータ分析などの分野で、サイバーセキュリティとレジリエンスを推進するRD&Dプロジェクトを指示する。 これらの取り組みは、NSF、DOE 国立研究所、その他の連邦政府出資の研究開発センター(FFRDC)を含む連邦 RD&D 企業、および学界、メーカー、テクノロジー企業、所有者および運営者とのパートナーシップによって支援されることになる。 |
| These RD&D investments will focus on securing three families of technologies that will prove decisive for U.S. leadership in the coming decade: computing-related technologies, including microelectronics, quantum information systems, and artificial intelligence; biotechnologies and biomanufacturing; and clean energy technologies. This effort will facilitate the proactive identification of potential vulnerabilities, as well as the research to mitigate them. It will also support a larger modern industrial and innovation strategy to promote coordinated and strategic innovation and create markets for trustworthy products and services by comprehensively leveraging Federal investment vehicles, Federal purchasing power, and Federal regulations. | これらの RD&D 投資は、今後 10 年間の米国のリーダーシップにとって決定的となる、マイクロエレクトロニクス、量子情報システム、人工知能を含むコンピューティング関連技術、バイオテクノロジーとバイオ製造、クリーンエネルギー技術の 3 系統の確保に重点を置くことになる。 この取り組みは、潜在的な脆弱性を事前に特定し、それを軽減するための研究を促進するものである。 また、連邦政府の投資手段、連邦政府の購買力、連邦政府の規制を総合的に活用することにより、協調的かつ戦略的なイノベーションを促進し、信頼できる製品・サービスの市場を創出する、より大きな現代産業・イノベーション戦略を支援するものである。 |
| STRATEGIC OBJECTIVE 4.3: PREPARE FOR OUR POST-QUANTUM FUTURE | 戦略目標 4.3: 量子時代後の未来への備え |
| Strong encryption is foundational to cybersecurity and global commerce. It is the primary way we protect our data online, validate end users, authenticate signatures, and certify the accuracy of information. But quantum computing has the potential to break some of the most ubiquitous encryption standards deployed today. We must prioritize and accelerate investments in widespread replacement of hardware, software, and services that can be easily compromised by quantum computers so that information is protected against future attacks. | 強力な暗号化は、サイバーセキュリティとグローバルな商取引の基礎となる。 暗号化は、オンラインでのデータ保護、エンドユーザーの認証、署名の認証、情報の正確性の証明のための主要な手段である。 しかし、量子コンピュータは、現在最も普及している暗号化標準のいくつかを破る可能性がある。 将来の攻撃から情報を保護するために、量子コンピュータによって容易に侵害される可能性のあるハードウェア、ソフトウェア、サービスを広く交換するための投資を優先し、加速させる必要がある。 |
| To balance the promotion and advancement of quantum computing against threats posed to digital systems, NSM 10, “Promoting United States Leadership in Quantum Computing While Mitigating Risks to Vulnerable Cryptographic Systems,” establishes a process for the timely transition of the country’s cryptographic systems to interoperable quantum-resistant cryptography. The Federal Government will prioritize the transition of vulnerable public networks and systems to quantumresistant cryptography-based environments and develop complementary mitigation strategies to provide cryptographic agility in the face of unknown future risks. The private sector should follow the government’s model in preparing its own networks and systems for our post-quantum future. | NSM 10「量子コンピューティングにおける米国のリーダーシップの推進と脆弱な暗号システムに対するリスクの軽減」は、量子コンピューティングの推進とデジタルシステムにもたらされる脅威のバランスを取るために、国内の暗号システムを相互運用可能な量子耐性暗号に適時に移行するプロセスを確立するものである。 連邦政府は、脆弱な公共ネットワークやシステムを量子耐性暗号ベースの環境へ優先的に移行し、将来の未知のリスクに直面した際に暗号の俊敏性を提供するための補完的な緩和策を開発することとしている。 民間企業は、政府のモデルに倣って、量子化後の未来に向けた我々のネットワークやシステムの準備を進めるべきである。 |
| STRATEGIC OBJECTIVE 4.4: SECURE OUR CLEAN ENERGY FUTURE | 戦略目標 4.4: クリーンエネルギーの未来の確保 |
| Our accelerating national transition to a clean energy future is bringing online a new generation of interconnected hardware and software systems that have the potential to strengthen the resiliency, safety, and efficiency of the U.S. electric grid. These technologies, including distributed energy resources, “smart” energy generation and storage devices, advanced cloud-based grid management platforms, and transmission and distribution networks designed for high-capacity controllable loads are far more sophisticated, automated, and digitally interconnected than prior generations of grid systems. | クリーンエネルギーの未来への国家的移行が加速する中、米国の電力網のレジリエンス、安全性、効率性を強化する可能性を持つ、相互接続された新世代のハードウェアとソフトウェアシステムがオンライン化されている。 分散型エネルギー資源、「スマート」なエネルギー生成・貯蔵装置、高度なクラウドベースのグリッド管理プラットフォーム、大容量の制御可能な負荷用に設計された送配電網などのこれらの技術は、前世代のグリッドシステムよりもはるかに高度で自動化され、デジタル的に相互接続されている。 |
| As the United States makes a generational investment in new energy infrastructure, the Administration will seize this strategic opportunity to build in cybersecurity proactively through implementation of the Congressionally-directed National Cyber-Informed Engineering Strategy, rather than developing a patchwork of security controls after these connected devices are widely deployed. The Administration is coordinating the work of stakeholders across the Federal Government, industry, and SLTT to deploy a secure, interoperable network of electric vehicle chargers, zero-emission fueling infrastructure, and zero-emission transit and school buses. DOE, through efforts such as the Clean Energy Cybersecurity Accelerator (CECA) and the Bipartisan Infrastructure Law-directed Energy Cyber Sense program, and the National Labs are leading the government’s effort to secure the clean energy grid of the future and generating security best practices that extend to other critical infrastructure sectors. DOE will also continue to promote cybersecurity for electric distribution and distributed energy resources in partnership with industry, States, Federal regulators, Congress, and other agencies. | 米国が新しいエネルギー・インフラに世代を超えた投資を行うにあたり、行政は本戦略的機会を捉え、これらの接続機器が広く展開された後にセキュリティ管理のパッチワークを開発するのではなく、議会が指示する国家サイバー情報工学戦略の実施を通じてサイバーセキュリティを積極的に構築していく予定である。 政権は、電気自動車充電器、ゼロエミッション給油インフラ、ゼロエミッション輸送バス・スクールバスの安全で相互運用可能なネットワークを展開するために、連邦政府、産業界、SLTTの関係者の作業を調整している。 DOE は、クリーンエネルギーサイバーセキュリティアクセラレータ(CECA)や超党派インフラ法直轄のエネルギーサイバーセンスプログラムなどの取り組みを通じて、国立研究所は、将来のクリーンエネルギーグリッドを保護する政府の取り組みを主導し、他の重要インフラ部門に拡大するセキュリティベストプラクティスを生成している。 また DOE は、産業界、州、連邦規制当局、議会、および他の機関と連携して、配電および分散型 エネルギー資源のサイバーセキュリティを引き続き推進する。 |
| STRATEGIC OBJECTIVE 4.5: SUPPORT DEVELOPMENT OF A DIGITAL IDENTITY ECOSYSTEM | 戦略目標 4.5: デジタル ID エコシステムの開発支援 |
| Enhanced digital identity solutions and infrastructure can enable a more innovative, equitable, safe and efficient digital economy. These solutions can support easier and more secure access to government benefits and services, trusted communication and social networks, and new possibilities for digital contracts and payment systems. | 強化されたデジタル ID ソリューションおよびインフラは、より革新的で公平、安全かつ効率的なデジタル 経済を可能にする。 これらのソリューションは、政府の給付やサービスへの容易かつ安全なアクセス、信頼できるコミュニ ケーションやソーシャル・ネットワーク、デジタル契約や支払システムの新しい可能性をサポート することができる。 |
| Today, the lack of secure, privacy-preserving, consent-based digital identity solutions allows fraud to flourish, perpetuates exclusion and inequity, and adds inefficiency to our financial activities and daily life. Identity theft is on the rise, with data breaches impacting nearly 300 million victims in 2021 and malicious actors fraudulently obtaining billions of dollars in COVID-19 pandemic relief funds intended for small businesses and individuals in need. This malicious activity affects us all, creating significant losses for businesses and producing harmful impacts on public benefit programs and those Americans who use them. Operating independently, neither the private nor public sectors have been able to solve this problem. | 今日、安全でプライバシーを保護し、同意に基づくデジタル ID ソリューションがないため、詐欺が横行し、排除と不公平が永続し、金融活動や日常生活に非効率性が付加されている。 個人情報漏洩は増加傾向にあり、2021年には約3億人の被害者に影響を与え、悪意のある行為者は、困っている中小企業や個人を対象としたCOVID-19パンデミック救済資金を数十億ドル不正に取得している。 このような悪質な行為は我々全員に影響を与え、企業に大きな損失を与え、公的な給付プログラムやそれを利用するアメリカ人に有害な影響を及ぼする。 民間部門も公的部門も、単独ではこの問題を解決することができなかった。 |
| The Federal Government will encourage and enable investments in strong, verifiable digital identity solutions that promote security, accessibility and interoperability, financial and social inclusion, consumer privacy, and economic growth. Building on the NIST-led digital identity research program authorized in the CHIPS and Science Act, these efforts will include strengthening the security of digital credentials; providing attribute and credential validation services; conducting foundational research; updating standards, guidelines, and governance processes to support consistent use and interoperability; and develop digital identity platforms that promote transparency and measurement. Acknowledging that States are piloting mobile drivers’ licenses, we note and encourage a focus on privacy, security, civil liberties, equity, accessibility, and interoperability. | 連邦政府は、セキュリティ、アクセシビリティ、相互運用性、金融・社会的包摂、消費者プライバシー、経済成長を促進する強力で検証可能なデジタル ID ソリューションへの投資を奨励し、可能にする。 CHIPSと科学法で認可された NIST 主導のデジタル ID 研究プログラムを基礎に、取り組みをすすめる。これらの取り組みには、デジタル・クレデンシャルのセキュリティ強化、属性およびクレデンシャル検証サービスの提供、基礎研究の実施、一貫した使用と相互運用性をサポートする標準、ガイドライン、統治プロセスの更新、透明性と測定を促進するデジタル ID プラットフォームの開発などが含まれる。 各州がモバイル運転免許証を試験的に導入していることを認め、プライバシー、セキュリティ、 市民的自由、公平性、アクセシビリティ、および相互運用性に重点を置いていることを指摘し、 奨励する。 |
| In developing these capabilities, our digital identity policies and technologies will protect and enhance individual privacy, civil rights, and civil liberties; guard against unintended consequences, bias, and potential abuse; enable vendor choice and voluntary use by individuals; increase security and interoperability; promote inclusivity and accessibility; and improve transparency and accountability in the use of technology and individuals’ data. | これらの機能の開発において、当社のデジタル ID 政策および技術は、個人のプライバシー、 市民権、および市民的自由を保護および強化し、予期せぬ結果、バイアス、および潜在的乱用を防 ぎ、業者の選択および個人による自発的使用を可能にし、セキュリティおよび相互運用性を高め、包 摂性およびアクセシビリティを促進し、技術および個人のデータの使用における透明性および説明 責任を向上させるものである。 |
| STRATEGIC OBJECTIVE 4.6: DEVELOP A NATIONAL STRATEGY TO STRENGTHEN OUR CYBER WORKFORCE | 戦略目標4.6: サイバー人材強化のための国家戦略の策定 |
| Today, there are hundreds of thousands of unfilled vacancies in cybersecurity positions nationwide, and this gap is growing. Both private sector and public sector employers face challenges in recruiting, hiring, and retaining professionals to fill these vacancies, which negatively impacts our collective cybersecurity. To address this challenge, ONCD will lead the development and oversee implementation of a National Cyber Workforce and Education Strategy. | 現在、全国でサイバーセキュリティの欠員が何十万人分もあり、このギャップは拡大しつつある。 民間部門と公共部門の雇用主は、これらの欠員を埋める専門家の募集、雇用、定着に課題を抱えており、これは我々全体のサイバーセキュリティにマイナスの影響を及ぼす。 この問題に対処するため、ONCDは、国家サイバー人材・教育戦略の策定と実施を監督することを主導する。 |
| This strategy will take a comprehensive and coordinated approach to expanding the national cyber workforce, improving its diversity, and increasing access to cyber educational and training pathways. It will address the need for cybersecurity expertise across all sectors of the economy, with a special focus on critical infrastructure, and will enable the American workforce to continue to innovate in secure and resilient next-generation technologies. The strategy will strengthen and diversify the Federal cyber workforce, addressing the unique challenges the public sector faces in recruiting, retaining, and developing the talent and capacity needed to protect Federal data and IT infrastructure. And, the strategy will recognize that cyber workforce challenges are not unique to the United States, expanding upon and drawing inspiration from efforts underway in other countries. | この戦略は、国家のサイバー人材を拡大し、その多様性を改善し、サイバー教育と訓練の道へのアクセスを増加させるための包括的かつ協調的なアプローチを取ることになる。 この戦略は、重要インフラに特に重点を置きながら、経済のあらゆる部門におけるサイバーセキュリティの専門知識の必要性に対処し、米国の労働力が安全で回復力のある次世代技術において革新を続けることができるようにする。 この戦略は、連邦政府のデータとITインフラを保護するために必要な人材と能力を採用、保持、開発する上で公共部門が直面する特有の課題に対処し、連邦政府のサイバー人材を強化、多様化するものである。 また、この戦略は、サイバー人材に関する課題が米国に特有のものではないことを認識し、他の国で行われている取り組みを拡大し、そこからインスピレーションを得る。 |
| The strategy will build on existing efforts to develop our national cybersecurity workforce including the National Initiative for Cybersecurity Education (NICE), the CyberCorps: Scholarship for Service program, the National Centers of Academic Excellence in Cybersecurity program, the Cybersecurity Education Training and Assistance Program, and the registered apprenticeships program. The strategy will also leverage ongoing workforce development programs at NSF and other science agencies to augment Federal Government programs. | この戦略は、サイバーセキュリティ教育のための国家イニシアチブ(NICE)、サイバーコープス(CyberCorps)、奉仕のための奨学金プログラムなど、国家のサイバーセキュリティ人材を育成する既存の取り組みに基づいて構築される。サイバーセキュリティ教育のための国家イニシアチブ(NICE)、奉仕のための奨学金プログラム、国家のサイバーセキュリティ人材を育成するプログラム、サイバーセキュリティ教育、訓練、支援プログラム、登録見習いプログラムなどである。 また、この戦略では、NSF や他の科学機関が現在行っている人材育成プログラムを活用し、連邦政府のプログラムを補強する予定である。 |
| It will tackle head on the lack of diversity in the cyber workforce. Employers are hiring from too small a pool of talent and from professional networks that and are not able to draw from the full diversity of the country. Women, people of color, first-generation professionals and immigrants, individuals with disabilities, and LGBTQI+ individuals are among the communities which are underrepresented in the field. Addressing systemic inequities and overcoming barriers that inhibit diversity in the cyber workforce is both a moral necessity and a strategic imperative. | この戦略では、サイバー人材に多様性がないことを正面から取り上げる。 雇用主は、あまりにも少ない人材や専門家のネットワークから雇用しているため、国内の多様性を十分に引き出すことができていない。 女性、有色人種、専門職一世、移民、障害者、LGBTQI+など、この分野で十分な存在感を示せていないコミュニティがある。 システム上の不公平に対処し、サイバー人材における多様性を阻害する障壁を克服することは、道徳的に必要であると同時に戦略上不可欠なことである。 |
| To recruit and train the next generation of cybersecurity professionals to secure our digital ecosystem will require Federal leadership and enduring partnership between public and private sectors. Building and maintaining a strong cyber workforce cannot be achieved unless a cybersecurity career is within reach for any capable American who wishes to pursue it and every organization with an unfilled position plays a part in training the next generation of cybersecurity talent. | デジタル・エコシステムを保護する次世代のサイバーセキュリティ専門家を採用し、育成するためには、連邦政府のリーダーシップと官民の永続的な連携が必要である。 サイバーセキュリティのキャリアを追求しようとする有能なアメリカ人なら誰でも手が届き、未就職の職を持つすべての組織が次世代のサイバーセキュリティ人材の育成に一役買わない限り、強力なサイバー人材の構築と維持は達成されない。 |
| PILLAR FIVE | FORGE INTERNATIONAL PARTNERSHIPS TO PURSUE SHARED GOALS | 第 5 の柱:共通の目標を追求するために国際的なパートナーシップの構築 |
| The United States seeks a world where responsible state behavior in cyberspace is expected and rewarded and where irresponsible behavior is isolating and costly. To achieve this goal, we will continue to engage with countries working in opposition to our larger agenda on common problems while we build a broad coalition of nations working to maintain an open, free, global, interoperable, reliable, and secure Internet. | 米国は、サイバースペースにおける国家の責任ある行動が期待され、報われ、無責任な行動は孤立し、コストがかかるような世界を求めている。 この目標を達成するために、我々は、共通の問題に関して我々の大きなアジェンダに反対している国々との関与を続ける一方、オープンで自由、グローバル、相互運用性、信頼性、安全性の高いインターネットを維持するために活動している国々の幅広い連合を構築していく予定である。 |
| For decades, we have worked through international institutions to define and advance responsible state behavior in cyberspace. We have used multilateral processes such as the United Nations (UN) Group of Governmental Experts and Open-Ended Working Group to develop a framework that includes a set of peacetime norms and confidence-building measures, which all UN member states have affirmed in the UN General Assembly. We have supported the expansion of the Budapest Convention on Cybercrime and other global efforts to make cyberspace more secure. We will continue these efforts while recognizing the need to work with partners to thwart the dark vision for the future of the Internet that the PRC and other autocratic governments promote. We will do so by demonstrating to economies and societies the value of openness and jointly imposing consequences for behavior that runs counter to agreed norms of state behavior. | 数十年にわたり、我々は国際機関を通じて、サイバースペースにおける責任ある国家の行動を定義し、促進するために活動してきた。 我々は、国連(UN)政府専門家会合やオープン・エンド・ワーキング・グループなどの多国間プロセスを用いて、一連の平時の規範と信頼醸成措置を含む枠組みを開発し、すべての国連加盟国が国連総会でこれを承認してきた。 我々は、サイバー犯罪に関するブダペスト条約の拡大や、サイバースペースをより安全にするためのその他の世界的な努力を支持してきた。 我々は、中国や他の独裁的な政府が推進するインターネットの将来に対する暗いビジョンを阻止するためにパートナーと協力する必要性を認識しながら、これらの努力を継続する。 我々は、経済や社会に開放性の価値を示し、合意された国家行動の規範に反する行動に対して共同で結果を課すことによって、これを実現するつもりである。 |
| To counter common threats, preserve and reinforce global Internet freedom, protect against transnational digital repression, and build toward a shared digital ecosystem that is more inherently resilient and defensible, the United States will work to scale the emerging model of collaboration by national cybersecurity stakeholders to cooperate with the international community. We will expand coalitions, collaboratively disrupt transnational criminals and other malicious cyber actors, build the capacity of our international allies and partners, reinforce the applicability of existing international law to state behavior in cyberspace, uphold globally accepted and voluntary norms of responsible state behavior in peacetime, and punish those that engage in disruptive, destructive, or destabilizing malicious cyber activity. | 共通の脅威に対抗し、グローバルなインターネットの自由を維持・強化し、国境を越えたデジタル抑圧から守り、より本質的にレジリエンスと防御力に優れた共有デジタルエコシステムを構築するために、米国は各国のサイバーセキュリティ関係者が国際社会と協力するという新しいモデルを拡大するよう努力する。 我々は、連携を拡大し、多国籍犯罪者やその他の悪質なサイバー・アクターを協調して破壊し、国際的な同盟国やパートナーの能力を高め、サイバー空間における国家の行動に対する既存の国際法の適用性を強化し、平時における責任ある国家の行動について世界的に受け入れられ自発的規範を支持し、破壊的、破壊的、不安定な悪質サイバー活動に従事するものを罰することになるであろう。 |
| STRATEGIC OBJECTIVE 5.1: BUILD COALITIONS TO COUNTER THREATS TO OUR DIGITAL ECOSYSTEM | 戦略目標5.1:デジタル・エコシステムへの脅威に対抗するための連合を構築する |
| In April 2022, the United States and 60 countries launched the Declaration for the Future of the Internet (DFI), bringing together a broad, diverse coalition of partners—the largest of its kind— around a common, democratic vision for an open, free, global, interoperable, reliable, and secure digital future. Through the DFI, the Freedom Online Coalition, and other partnerships and mechanisms, the United States is rallying like-minded countries, the international business community, and other stakeholders to advance our vision for the future of the Internet that promotes secure and trusted data flows, respects privacy, promotes human rights, and enables progress on broader challenges. | 2022年4月、米国と60カ国は「インターネットの未来のための宣言(DFI)」を発表し、オープンで自由、グローバル、相互運用性、信頼性、安全性の高いデジタルな未来のための共通の民主的ビジョンを中心に、この種のものとしては最大の広範で多様なパートナー連合を結集させた。 DFI や Freedom Online Coalition、その他のパートナーシップやメカニズムを通じて、米国は志を同じくする国や国際ビジネス界、その他の利害関係者を結集し、安全で信頼できるデータの流れを促進し、プライバシーを尊重し、人権を推進し、より大きな課題に対する進展を可能にするインターネットの未来についての我々のビジョンを推進している。 |
| Through mechanisms like the Quadrilateral Security Dialogue (“the Quad”) between the United States, India, Japan, and Australia, the United States and its international allies and partners are advancing these shared goals for cyberspace. These include improving information sharing between computer emergency response teams and the development of a digital ecosystem based on shared values. The Indo-Pacific Economic Framework for Prosperity (IPEF) and the Americas Partnership for Economic Prosperity (APEP) create opportunities for the United States and regional governments to collaborate in setting rules of the road for the digital economy, including facilitating the development of technical standards, mechanisms to enable cross-border data flows that protect privacy while avoiding strict data localization requirements, and actions to foster supply chain security and resilience. Through the U.S.-EU Trade and Technology Council (TTC), we are coordinating across the Atlantic to combat shared threats and demonstrate how market approaches to digital trade, technology, and innovation can improve the lives of our citizens and be a force for greater prosperity. The United States is also working closely with Australia and the United Kingdom through the trilateral security and technology pact (“AUKUS”) to secure critical technologies, improve cyber coordination, and share advanced capabilities. | 米国、インド、日本、オーストラリア間の四極安全保障対話(「四極」)のようなメカニズムを通じて、米国とその国際的な同盟国やパートナーは、サイバースペースに関するこれらの共有目標を推進している。 これには、コンピュータ緊急対応チーム間の情報共有の改善や、共通の価値観に基づくデジタルエコシステムの開発などが含まれる。 インド太平洋経済繁栄枠組(IPEF)および米州経済繁栄パートナーシップ(APEP)は、米国と地域政府がデジタル経済のためのルールを設定するために協力する機会を創出する。この中には、技術基準の開発を促進し、厳しいデータのローカライズ要件を回避しながらプライバシーを保護する国境を越えたデータの流れを可能にするメカニズムや、サプライチェーンのセキュリティとレジリエンスを促進するための行動などが含まれる。 米欧通商技術委員会(TTC)を通じて、我々は大西洋を横断して、共有された脅威と戦い、デジタル貿易、技術、革新に対する市場アプローチがいかに市民生活を向上させ、より大きな繁栄の力となり得るかを実証するために協調している。 米国はまた、オーストラリアおよび英国とも、三国間安全保障技術協定(AUKUS)を通じて緊密に協力し、重要技術の保護、サイバー連携の改善、高度な能力の共有に取り組んでいる。 |
| Through these and other partnerships, the United States and international counterparts can advance common cybersecurity interests by sharing cyber threat information, exchanging model cybersecurity practices, comparing sector-specific expertise, driving secure-by-design principles, and coordinating policy and incident response activities. Furthermore, multistakeholder partnerships and coalitions that also include private sector and civil society organizations, such as the Christchurch Call to Action to Eliminate Terrorist and Violent Extremist Content Online, the Freedom Online Coalition, and the Global Partnership for Action on Gender-Based Online Harassment and Abuse, are crucial to tackling systemic issues. We will leverage these partnerships to enable effective operational collaboration to defend our shared digital ecosystem. We will also support and help build, as needed, new and innovative partnerships—as in the case of the international Counter-Ransomware Initiative—that bring together unique collections of stakeholders to address new and emerging cybersecurity challenges. | このようなパートナーシップやその他のパートナーシップを通じて、米国と海外のカウンターパートは、サイバー脅威情報の共有、サイバーセキュリティのモデル事例の交換、セクター固有の専門知識の比較、セキュア・バイ・デザイン原則の推進、政策と事故対応活動の調整によって、サイバーセキュリティに関する共通の利益を向上させることができる。 さらに、「テロリストおよび暴力的過激派コンテンツのオンライン撲滅のためのクライストチャーチ行動要請」、「フリーダムオンライン連合」、「ジェンダーに基づくオンラインハラスメントと虐待に関する行動のためのグローバルパートナーシップ」などの民間セクターや市民社会組織も含むマルチステークホルダーパートナーシップと連合は、制度的問題に対処する上で極めて重要である。 我々は、これらのパートナーシップを活用し、我々が共有するデジタル・エコシステムを守るための効果的な運用協力を可能にする。 また、国際的な「ランサムウェア対策イニシアティブ」のように、サイバーセキュリティの新たな課題に取り組むために関係者が一堂に会する、新しく革新的なパートナーシップを支援し、必要に応じてその構築を支援する予定である。 |
| Because most malicious cyber activity targeting the United States is carried out by actors based in foreign countries or using foreign computing infrastructure, we must strengthen the mechanisms we have to collaborate with our allies and partners so that no adversary can evade the rule of law. The United States will work with its allies and partners to develop new collaborative law enforcement mechanisms for the digital age. For example, the European Cybercrime Centre has played a vital role in modernizing legal frameworks, training law enforcement, improving attribution, collaborating with private sector partners, and responding to malicious cyber activities in Europe. To extend this model, we will support efforts to build effective hubs with partners in other regions. | 米国を標的とする悪質なサイバー活動のほとんどは、外国に拠点を置く、あるいは外国のコンピューティング・インフラを使用する行為者によって行われているため、いかなる敵も法の支配から逃れることができないように、同盟国やパートナーと協力するためのメカニズムを強化しなければならない。 米国は同盟国やパートナーと協力して、デジタル時代に対応した新しい共同法執行メカニズムを開発する。 例えば、欧州サイバー犯罪センターは、欧州における法的枠組みの近代化、法執行機関の訓練、帰属の改善、民間部門パートナーとの協力、悪質なサイバー活動への対応において重要な役割を担ってきた。 このモデルを拡大するため、他の地域のパートナーとの効果的なハブを構築する取り組みを支援する。 |
| STRATEGIC OBJECTIVE 5.2: STRENGTHEN INTERNATIONAL PARTNER CAPACITY | 戦略目標5.2:国際的なパートナーの能力の強化 |
| As we build a coalition to advance shared cybersecurity priorities and promote a common vision for the digital ecosystem, the United States will strengthen the capacity of like-minded states across the globe to support these goals. We must enable our allies and partners to secure critical infrastructure networks, build effective incident detection and response capabilities, share cyber threat information, pursue diplomatic collaboration, build law enforcement capacity and effectiveness through operational collaboration, and support our shared interests in cyberspace by adhering to international law and reinforcing norms of responsible state behavior. | サイバーセキュリティに関する共通の優先事項を推進し、デジタル・エコシステムに関する共通のビジョンを促進するための連合を構築するにあたり、米国はこれらの目標を支援するために、世界中の同じ考えを持つ国家の能力を強化する。 我々は、同盟国やパートナーが重要インフラ・ネットワークを保護し、効果的なインシデント検知・対応能力を構築し、サイバー脅威情報を共有し、外交協力を進め、作戦協力を通じて法執行能力と効果を高め、国際法を遵守し責任ある国家行動規範を強化することによってサイバースペースにおける共通の利益をサポートできるようにしなければならない。 |
| To accomplish this goal, the United States will marshal expertise across agencies, the public and private sectors, and among advanced regional partners to pursue coordinated and effective international cyber capacity-building and operational collaboration efforts. Within the law enforcement community, DOJ will continue to build a more robust cybercrime cooperation paradigm through bilateral and multilateral engagement and agreements, formal and informal cooperation, and providing international and regional leadership to strengthen cybercrime laws, policies, and operations. DoD will continue to strengthen its military-to-military relationships to leverage allies’ and partners’ unique skills and perspectives while building their capacity to contribute to our collective cybersecurity posture. The Department of State will continue to coordinate wholeof-government efforts to ensure Federal capacity building priorities are strategically aligned and further U.S., allied, and partner interests. | この目標を達成するために、米国は省庁、官民、そして先進的な地域パートナー間の専門知識を結集し、協調的かつ効果的な国際的サイバー能力構築と作戦協力の努力を追求することになる。 法執行機関においては、司法省は二国間および多国間の関与と協定、公式・非公式な協力、サイバー犯罪の法律・政策・運用を強化するための国際的・地域的リーダーシップの提供を通じて、より強固なサイバー犯罪協力のパラダイムを構築し続ける。 国防総省は、同盟国やパートナーのユニークなスキルや視点を活用し、サイバーセキュリティ体制に貢献する能力を高めるため、軍対軍の関係を引き続き強化する。 国務省は、連邦政府の能力構築の優先事項が戦略的に整合し、米国、同盟国、およびパートナーの利益を促進するよう、政府全体の努力を引き続き調整する。 |
| STRATEGIC OBJECTIVE 5.3: EXPAND U.S. ABILITY TO ASSIST ALLIES AND PARTNERS | 戦略目標 5.3: 同盟国やパートナーを支援する米国の能力の拡大 |
| As recent cyberattacks against Costa Rica, Albania, and Montenegro have demonstrated, allies and partners who fall victim to a significant cyberattack may seek support from the United States and allied and partner nations to investigate, responding to, and recover from such incidents. Providing this support will not only assist with partner recovery and response, but will also advance U.S. foreign policy and cybersecurity goals. Close cooperation with an affected ally or partner demonstrates solidarity in the face of adversary activity and can accelerate efforts to expose counternormative state behavior and impose consequences. | コスタリカ、アルバニア、モンテネグロに対する最近のサイバー攻撃が示すように、重大なサイバー攻撃の被害を受けた同盟国やパートナーは、そのような事件の調査、対応、回復のために米国や同盟国・パートナー国からの支援を求めることができる。 このような支援を提供することは、パートナーの復旧と対応を支援するだけでなく、米国の外交政策とサイバーセキュリティの目標を推進することにもなる。 被害を受けた同盟国やパートナーとの緊密な協力は、敵対的な活動に直面した際の連帯感を示し、規範に反する国家の行動を暴露して結果を課す努力を加速させることができる。 |
| The Administration will establish policies for determining when it is in the national interest to provide such support, develop mechanisms for identifying and deploying department and agency resources in such efforts, and, where needed, rapidly seek to remove existing financial and procedural barriers to provide such operational support. As one example, the United States is leading a North Atlantic Treaty Organization (NATO) effort to build a virtual cyber incident support capability that enables Allies to more effectively and efficiently support each other in response to significant malicious cyber activities. | 政権は、このような支援を提供することが国益にかなう場合を判断するための政策を確立し、このような取り組みにおいて省庁の資源を特定し展開するための仕組みを構築し、必要な場合には、このような作戦支援を行うための既存の財政的・手続き的障壁を迅速に取り除くよう努力する。 その一例として、米国は北大西洋条約機構(NATO)の取り組みを主導し、重大な悪意あるサイバー活動に対応するため、同盟国がより効果的かつ効率的に相互支援できる仮想サイバー事件支援能力を構築している。 |
| STRATEGIC OBJECTIVE 5.4: BUILD COALITIONS TO REINFORCE GLOBAL NORMS OF RESPONSIBLE STATE BEHAVIOR | 戦略目標5.4: 責任ある国家行動の世界的規範を強化するための連合体構築 |
| Every member of the United Nations has made a political commitment to endorse peacetime norms of responsible state behavior in cyberspace that includes refraining from cyber operations that would intentionally damage critical infrastructure contrary to their obligations under international law. While our adversaries know that such commitments are not self-enforcing, the growing influence of this framework has led states to call out those who act contrary to it. Increasingly, a community of nations has collaborated to produce coordinated statements of attribution that carry the simultaneous diplomatic condemnation of many governments and strengthening the coalition committed to a stable cyberspace. | 国連のすべての加盟国は、国際法の義務に反して重要インフラに故意に損害を与えるようなサイバー作戦を行わないことを含め、サイバースペースにおける責任ある国家の平時の行動規範を支持することを政治的に約束している。 敵対勢力は、このようなコミットメントが自己強制力を持たないことを知っているが、この枠組みの影響力が高まるにつれて、それに反する行動を取る者を国家が呼ぶようになった。 このような声明は、多くの政府から同時に外交的非難を受け、安定したサイバースペースにコミットする連合を強化するものである。 |
| The United States, as a core part of its renewed, active diplomacy, will hold irresponsible states accountable when they fail to uphold their commitments. To effectively constrain our adversaries and counter malicious activities below the threshold of armed conflict, we will work with our allies and partners to pair statements of condemnation with the imposition of meaningful consequences. These efforts will require collaborative use of all tools of statecraft, including diplomatic isolation, economic costs, counter-cyber and law enforcement operations, or legal sanctions, among others. | 米国は、新たな積極的外交の中核として、無責任な国家が約束を守らない場合には、その責任を追及する。 敵対国を効果的に拘束し、武力紛争の閾値以下の悪意ある活動に対抗するために、我々は同盟国やパートナーと協力し、非難の声明と意味のある結果を課すことを両立させる。 このような取り組みには、外交的孤立、経済的コスト、サイバー対策や法執行活動、あるいは法的制裁など、あらゆる国家運営の手段を共同で使用することが必要である。 |
| STRATEGIC OBJECTIVE 5.5: SECURE GLOBAL SUPPLY CHAINS FOR INFORMATION, COMMUNICATIONS, AND OPERATIONAL TECHNOLOGY PRODUCTS AND SERVICES | 戦略目標5.5: 情報・通信・運用技術製品およびサービスのためのグローバル・サプライ・チェーンの安全確保 |
| Complex and globally interconnected supply chains produce the information, communications, and operational technology products and services that power the U.S. economy. From raw materials and basic components to finished products and services—both virtual and physical—we depend upon a growing network of foreign suppliers. This dependency on critical foreign products and services from untrusted suppliers introduces multiple sources of systemic risk to our digital ecosystem. Mitigating this risk will require long-term, strategic collaboration between public and private sectors at home and abroad to rebalance global supply chains and make them more transparent, secure, resilient, and trustworthy. | 複雑でグローバルに相互接続されたサプライチェーンは、米国経済を支える情報通信・運用技術製品およびサービスを生み出す。 原材料や基本部品から完成品やサービスに至るまで、バーチャルなものから物理的なものまで、我々は海外のサプライヤーのネットワークに依存するようになっている。 信頼できないサプライヤーからの重要な外国製品やサービスへの依存は、デジタル・エコシステムに複数のシステミック・リスクをもたらすことになる。 このリスクを軽減するためには、国内外の官民が長期的かつ戦略的に協力して、グローバルなサプライチェーンのバランスを調整し、透明性、安全性、レジリエンス、信頼性を高めることが必要である。 |
| Critical inputs, components, and systems must increasingly be developed at home or in close coordination with allies and partners who share our vision of an open, free, global, interoperable, reliable, and secure Internet. Building on the National Strategy to Secure 5G, we are working with our partners to develop secure, reliable, and trustworthy supply chains for 5G and next-generation wireless networks including through Open Radio Access Networks (Open RAN) and collaborative initiatives to diversify suppliers. Such efforts include DoD testing of Open RAN implementations across multiple bases, with multi-million dollar smart warehouse and logistics projects, and National Telecommunications and Information Administration’s (NTIA) work to catalyze the development and adoption of open, interoperable, and standards-based networks through the Public Wireless Supply Chain Innovation Fund. Extending this model to other critical technologies will require long-term, strategic collaboration between public and private sectors at home and abroad to rebalance global supply chains and make them more secure, resilient, and trustworthy. The Bipartisan Infrastructure Law mandates “Build America, Buy America” for Federally-funded projects, including for digital infrastructure. Through EO 14017, “America’s Supply Chains,” the CHIPS and Science Act, and the Inflation Reduction Act, the Federal Government has introduced new industrial and innovation strategy tools to help restore production of critical goods to the United States and its close partners while securing our information technology and advanced manufacturing supply chains. | 重要なインプット、コンポーネント、システムは、ますます自国で、あるいはオープンで自由、グローバル、相互運用可能、信頼性が高く、安全なインターネットというビジョンを共有する同盟国やパートナーと緊密に連携して開発されなければならない。 5Gを安全にする国家戦略に基づいて、我々はパートナーと協力して、オープン無線アクセスネットワーク(Open RAN)やサプライヤーを多様化する共同イニシアチブなどを通じて、5Gや次世代無線ネットワーク向けに安全で信頼できる、信用のおけるサプライチェーンを開発している。 このような取り組みには、複数の基地にまたがるオープン RAN 実装の DoD テスト、数百万ドルのスマート倉庫および物流プロジェクト、および公共無線サプライチェーン革新基金を通じてオープンで相互運用可能な標準ベースのネットワークの開発と採用を促進する米国電気通信情報局(NTIA)の取り組みが含まれる。 このモデルを他の重要技術にも拡大するには、国内外の官民が長期的かつ戦略的に協力し、グローバルなサプライチェーンを再構築して、より安全でレジリエンスに富み、信頼性の高いものにすることが必要である。 超党派インフラ法は、デジタル・インフラを含む連邦政府が資金を提供するプロジェクトについて、「Build America, Buy America」を義務付けている。大統領令 14017「米国のサプライチェーン」、CHIPS および科学法、インフレ抑制法を通じて、連邦政府は新しい産業・イノベーション戦略ツールを導入し、情報技術と先進製造業のサプライチェーンを確保しながら、米国とその密接なパートナーに重要物資の生産を回復させるのに貢献している。 |
| The United States will work with our allies and partners, including through regional partnerships like IPEF, the Quad Critical and Emerging Technology Working Group, and the TTC, to identify and implement best practices in cross-border supply chain risk management and work to shift supply chains to flow through partner countries and trusted vendors. This effort will prioritize opportunities to provide higher levels of assurance that digital technologies will function as expected and to attract countries to support the shared vision of an open, free, global, interoperable, reliable, and secure Internet. The Department of State will further accelerate these efforts through the new International Technology Security and Innovation Fund to support the creation of secure and diverse supply chains for semiconductors and telecommunications. Finally, through implementation of EO 13873, “Securing the Information and Communications Technology and Services Supply Chain,” as well as EO 14034 “Protecting Americans’ Sensitive Data From Foreign Adversaries,” we will work to prevent unacceptable and undue risks to our national security from information and communications technology and services subject to control or influence from adversarial governments. | 米国は、IPEF、クワッド重要新興技術ワーキンググループ、TTCなどの地域パートナーシップを含め、同盟国やパートナーと協力して、国境を越えたサプライチェーンのリスクマネジメントにおけるベストプラクティスを特定・実施し、サプライチェーンをパートナー国や信頼できるベンダーを通じて流れるように移行するための作業を行う。 この取り組みは、デジタル技術が期待通りに機能することをより高いレベルで保証する機会を提供し、オープンで自由、グローバル、相互運用可能、信頼性が高く、安全なインターネットという共通のビジョンを支援する国々を惹きつけることに優先させるものである。 国務省は、半導体と電気通信のための安全で多様なサプライチェーンの構築を支援する新しい国際技術安全保障・イノベーション基金を通じて、こうした取り組みをさらに加速させる。 最後に、大統領令13873「情報通信技術・サービスのサプライチェーンの確保」および大統領令14034「米国人の機密データを外国の敵対者から保護する」の実施を通じて、敵対政府による管理または影響を受ける情報通信技術・サービスによる国家安全保障への容認できない過度のリスクを防止することに努める。 |
| IMPLEMENTATION | 導入 |
| Realizing the strategic objectives outlined in this strategy will require a strong focus on implementation. Under the oversight of NSC staff and in coordination with OMB, ONCD will coordinate implementation of this strategy. ONCD will work with interagency partners to develop and publish an implementation plan to set out the Federal lines of effort necessary to implement this strategy. Where implementation of this strategy requires review of existing policy or the development of new policy, NSC staff will lead this effort through the process described in NSM-2, “Renewing the National Security Council System.” | 本戦略で説明された戦略目標を実現するには、実施に強い焦点を当てる必要がある。 NSCスタッフの監督の下、OMBと連携して、ONCDは本戦略の実施を調整する。 ONCDは省庁間のパートナーと協力して、本戦略を実施するために必要な連邦政府の努力系統を示す実施計画を策定し、公表する。 本戦略の実施に際して、既存の政策の見直しや新たな政策の策定が必要な場合、NSCスタッフは、NSM-2「国家安全保障会議システムの刷新」に記載されているプロセスを通じて、この取り組みを主導する。 |
| ASSESSING EFFECTIVENESS | 有効性の評価 |
| In implementing this strategy, the Federal Government will take a data-driven approach. We will measure investments made, our progress toward implementation, and ultimate outcomes and effectiveness of these efforts. ONCD, in coordination with NSC staff, OMB, and departments and agencies, will assess the effectiveness of this strategy and report annually to the President, the Assistant to the President for National Security Affairs, and Congress on the effectiveness of this strategy, associated policy, and follow-on actions in achieving its goals. | 本戦略を実施するにあたり、連邦政府はデータ主導のアプローチをとる。 我々は、行った投資、実施に向けた進捗状況、そして最終的な成果やこれらの取り組みの効果を測定する。 ONCDは、NSCスタッフ、OMB、各省庁と協力して、本戦略の効果を評価し、本戦略、関連政策、目標達成のための事後措置の効果について、毎年大統領、国家安全保障問題担当大統領補佐官、連邦議会に報告する。 |
| INCORPORATING LESSONS LEARNED | 得られた教訓を取り入れ |
| The Federal Government will prioritize capturing lessons learned from cyber incidents and apply those lessons in the implementation of this strategy. The CSRB completed its first review on the Log4j vulnerability in summer 2022, during which the CSRB compiled an authoritative account of what happened, from the discovery of the vulnerability to the progression of the largest-scale cyber incident response in history. The CSRB also provided industry, Federal agencies, and the software development community with clear, actionable recommendations based on what the review discovered, so that the community can be better protected going forward. | 連邦政府は、サイバーインシデントから得られた教訓を優先的に取り込み、本戦略の実施に適用する。 CSRBは、2022年夏にLog4jの脆弱性に関する最初のレビューを完了し、その中で、脆弱性の発見から史上最大規模のサイバーインシデント対応の進行に至るまで、何が起こったのかについて権威ある説明をまとめました。 CSRBはまた、産業界、連邦政府機関、ソフトウェア開発コミュニティに対し、レビューで発見された内容に基づく明確で実行可能な推奨事項を提供し、コミュニティが今後より良く保護されるようにした。 |
| When the CSRB concludes its reviews, the Federal Government will address its recommendations by improving its own operations through executive action where possible, and will work with Congress to enhance authorities, as necessary. Federal agencies also will promote and amplify CSRB recommendations that are directed to network defenders in the private sector. Beyond the CSRB, a broader national effort to learn from cyber incidents is required. Regulators are encouraged to build incident review processes into their regulatory frameworks. CISA and law enforcement agencies are also encouraged to build processes to routinely extract lessons learned from their investigations and incident response activities. Private companies are likewise encouraged to undertake these reviews and share findings from their efforts to inform implementation of this strategy. | CSRBがレビューを終えたら、連邦政府は、可能な限り行政措置によって自らの業務を改善することでその勧告に対処し、必要に応じて議会と協力して権限を強化することになる。 連邦政府機関はまた、民間部門のネットワーク・ディフェンダーに向けられたCSRBの勧告を推進し、増幅させる。 CSRB 以外にも、サイバーインシデントから学ぶためのより広範な国家的取り組みが必要である。 規制当局は、インシデント・レビュー・プロセスを各自の規制枠組みに組み込むことが奨励される。 CISA と法執行機関も、調査やインシデント対応活動から学んだ教訓を日常的に抽出するプロセスを構築するよう奨励される。 民間企業も同様に、このようなレビューを実施し、その結果を共有して、本戦略の実施に役立てることが奨励される。 |
| MAKING THE INVESTMENT | 投資の実施 |
| Maintaining an open, free, global, interoperable, reliable, and secure Internet and building a more defensible and resilient digital ecosystem will require generational investments by the Federal Government, allies and partners, and by the private sector. Many Federal actions contained in this strategy are intended to increase private sector investment in security, resilience, improved collaboration, and research and development. For Federal agencies to support their private sector partners and increase their capacity to carry out essential Federal missions, targeted investment will be required. To guide this investment, ONCD and OMB will jointly issue annual guidance on cybersecurity budget priorities to departments and agencies to further the Administration’s strategic approach. ONCD will work with OMB to ensure alignment of department and agency budget proposals to achieve the goals set out in this strategy. The Administration will work with Congress to fund cybersecurity activities to keep pace with the speed of change inherent within the cyber ecosystem. | オープンで自由、グローバル、相互運用性、信頼性、安全性の高いインターネットを維持し、より防衛的でレジリエンスの高いデジタルエコシステムを構築するには、連邦政府、同盟国、パートナー、そして民間セクターによる世代を超えた投資が必要である。 本戦略に含まれる多くの連邦政府の行動は、セキュリティ、レジリエンス、コラボレーションの改善、および研究開発に対する民間部門の投資を増加させることを意図している。 連邦機関が民間セクターのパートナーを支援し、本質的な連邦ミッションを遂行する能力を高めるためには、的を絞った投資が必要である。 この投資を導くために、ONCD と OMB は共同で、省庁に対してサイバーセキュリティ予算の優先順位に関する年次ガイダンスを発行し、行政の戦略的アプローチを推進する予定である。 ONCD は OMB と協力して、本戦略で示された目標を達成するために、各省庁の予算案が整合するようにする。 行政は議会と協力して、サイバーエコシステムに内在する変化のスピードに対応できるようなサイバーセキュリティ活動に資金を提供する。 |
公開前日に行われた電話による質疑...
| Background Press Call by Senior Administration Officials Previewing the Biden-Harris Administration’s National Cyber Strategy | バイデン-ハリス政権の国家サイバー戦略をプレビューする政権高官によるプレスコールの背景 |
| 5:02 P.M. EST | 5:02 P.M. EST |
| MODERATOR: Hi everyone. And thanks for joining. This is [Moderator] from NSC. | 司会:皆さん、こんにちは。 そして、ご参加ありがとうございます。 こちらはNSCの【モデレーター】です。 |
| Before we get started, a quick housekeeping: Everyone on this call should have received the embargoed copy of the factsheet and an embargoed version of the strategy. All of that is embargoed until 5:00 a.m. tomorrow for reference. If you haven’t, please reach out to Michael Morris from ONCD, and he’ll be able to help you out. But with that, I guess we’ll get to it. | 始める前に、簡単なハウスキーピングをします。この電話会議に参加された皆さんは、ファクトシートの差し止めコピー版と戦略の差し止めバージョンを受け取っていますはずです。 これらはすべて、参考のためで、明日の午前5時まで公開を差し止められいます。 もしまだの方は、ONCDのマイケル・モリスに声をかけてください。 それでは、本題に入りたいと思います。 |
| Welcome to our call previewing the national — the Biden-Harris administration’s National Cyber Strategy. We’ll start this call on record with remarks from the acting Director — Cyber National Director Kemba Walden and the NSC’s Deputy Director [Deputy National Security Advisor] for Cyber and Emerging Technologies, Anne Neuberger. | バイデン-ハリス政権の国家サイバー戦略をプレビューする電話会議へようこそ。 この通話ではまず、サイバー国家局長代理のケンバ・ウォルデンとNSCのサイバーおよび新興技術担当副長官(副国家安全保障アドバイザー)のアン・ノイバーガーの発言から記録を始めます。 |
| And then we’ll move to a background, attributable to “senior administration officials” for a few questions, where you’ll also hear from [senior administration official] and the [senior administration official]. | そして、いくつかの質問のために「上級行政官」に帰属するバックグラウンドに移り、そこでは【上級行政官】と【上級行政官】からも話を聞くことができます。 |
| So, with that, I will turn it over to you, Kemba. | それでは、ケンバさんに譲ります。 |
| MS. WALDEN: Thank you, [Moderator]. And good evening. Thank you all for being here. So, tomorrow, President Biden will release the administration’s National Cybersecurity Strategy. This strategy sets forth a bold new vision for the future of cyberspace in the wider digital ecosystem. | MS. ウォルデン:ありがとうございます、そして【司会】さん、こんばんは。 皆さん、お集まりいただきありがとうございます。 さて、明日、バイデン大統領は政権の「国家サイバーセキュリティ戦略」を発表します。 この戦略は、より広いデジタルエコシステムにおけるサイバースペースの将来について、大胆な新しいビジョンを打ち出すものです。 |
| I want to thank the President for recognizing the critical importance of cybersecurity issues for the American people and for making cybersecurity a policy priority from day one of this administration. | 私は、米国民にとってサイバーセキュリティ問題が極めて重要であることを認識し、政権発足初日からサイバーセキュリティを政策の優先事項としています大統領に感謝したい。 |
| The strategy builds on two years of unprecedented attention that the President has placed on cybersecurity issues, starting with the May 2021 executive order. | この戦略は、2021年5月の大統領令を皮切りに、大統領が2年間にわたりサイバーセキュリティの問題に前例のない関心を寄せてきたことを土台としています。 |
| I also wanted to thank Congress for their continued willingness to work with the administration on cybersecurity issues. We’re fortunate to benefit from a long history of bipartisan cooperation on cybersecurity. | また、サイバーセキュリティの問題で政権と協力する意思を持ち続けています議会にも感謝したいと思います。 私たちは幸運にも、サイバーセキュリティに関する超党派の協力の長い歴史から恩恵を受けています。 |
| And I want to thank the many departments and agencies that contributed their time and expertise to the development of this strategy and who will now be at the forefront of its implementation. | また、この戦略の策定に時間と専門知識を提供し、今後、その実施の最前線に立つことになる多くの省庁に感謝したい。 |
| The President’s strategy fundamentally reimagines America’s social — cyber social contract. It will rebalance the responsibility for managing cyber risk onto those who are most able to bear it. Today, across the public and private sectors, we tend to devolve responsibility for cyber risk downwards. We ask individuals, small businesses, and local governments to shoulder a significant burden for defending us all. This isn’t just unfair, it’s ineffective. | 大統領の戦略は、米国の社会契約(サイバー社会契約)を根本的に再構築するものである。 この戦略は、サイバーリスクマネジメントの責任を、それを最も負担することができる人々に再割り当てするものです。 今日、官民を問わず、私たちはサイバーリスクに対する責任を下方に委ねる傾向があります。 個人、中小企業、地方公共団体に、私たち全員を守るための大きな負担を強いていますのです。 これは不公平なだけでなく、効果的ではありません。 |
| The biggest, most capable, and best positioned actors in our digital ecosystem can and should shoulder a greater share of the burden for managing cyber risk and keeping us all safe. This strategy asks more of industry, but also commits more from the federal government. | 私たちのデジタルエコシステムにおいて、最も大きく、最も有能で、最も有利な立場にある主体が、サイバーリスクをマネジメントし、私たち全員の安全を守るために、より大きな負担を負うことができ、またそうすべきです。 この戦略は、産業界に多くのことを求めると同時に、連邦政府にも多くのことを約束します。 |
| With respect to industry, we will identify gaps and reduce burdens in existing authorities where targeted and narrow regulations are necessary to improve public safety and cybersecurity. | 産業界に関しては、公共の安全とサイバーセキュリティを向上させるために、対象を絞った規制が必要な場合、既存の権限におけるギャップを特定し、負担を軽減する予定です。 |
| But for government, we have a duty to the American people to also double down on tools that only government can wield, including the law enforcement and military authorities to disrupt malicious cyberactivity and pursue their perpetrators. | しかし、政府については、悪意のあるサイバー活動を妨害し、その犯人を追求するための法執行機関や軍事当局など、政府だけが行使できる手段をさらに強化することが、米国民に対する義務である。 |
| And we will continue to invest in information sharing, operational collaboration, and other forms of partnership with the private sector. | そして、情報共有や作戦協力など、民間企業とのパートナーシップにも引き続き投資していくつもりです。 |
| Every American should be able to benefit from cyberspace, but every American should not have the same responsibility to keep it secure. | すべてのアメリカ人がサイバースペースから恩恵を受けることができるはずですが、すべてのアメリカ人がサイバースペースの安全を保つために同じ責任を負うべきではありません。 |
| Simply shifting the burden for security, though, won’t solve all of our problems if we don’t start thinking in terms of long-term solutions. There are very real near-term risks, legal requirements, and commercial incentives that cause us to prioritize short-term approaches over long-term solutions. | しかし、単に安全保障の責任を転嫁するだけでは、長期的な解決策を考えなければ、すべての問題を解決することはできません。 目先のリスクや法的要件、商業的なインセンティブによって、長期的な解決策よりも短期的なアプローチを優先してしまうことは、実際にあります。 |
| But it’s not enough just to manage the threats of today. We need to invest in a tomorrow that is more inherently defensible and resilient. | しかし、現在の脅威を管理するだけでは十分ではありません。 私たちは、より本質的な防御力とレジリエンスを備えた明日に投資する必要があります。 |
| To do that, we need to make it so that when public- and private-sector entities face tradeoffs between easy but temporary fixes and durable and long-term solutions, they are incentivized to consistently choose the latter. | そのためには、公共部門と民間部門が、簡単だが一時的な解決策と耐久性のある長期的な解決策の間のトレードオフに直面したとき、一貫して後者を選択するようなインセンティブを与える必要があります。 |
| This strategy calls for investments in our cyber workforce, our infrastructure, and the digital ecosystems underlining the technologies to improve our national resilience and economic competitiveness. Rebalancing the responsibility to defend cyberspace and incentivizing investments in a resilient future are the fundamental shifts that guide the President’s strategy. | この戦略では、国家のレジリエンスと経済競争力を向上させるために、サイバー人材、インフラ、そして技術を支えるデジタルエコシステムへの投資を求めています。 サイバースペース防衛の責任を再均衡し、レジリエンスの高い未来への投資を奨励することが、大統領の戦略を導く基本的な転換点である。 |
| I want to turn now to my colleague, Anne Neuberger, who can provide her view on the strategy and some of its most important policy objectives. | 次に、私の同僚であるアン・ニューバーガーに、この戦略とその最も重要な政策目標について見解を述べてもらいたいと思います。 |
| Thanks so much for your time. | お時間をいただき、ありがとうございました。 |
| MS. NEUBERGER: Thank you, Kemba. Good afternoon, all. It is really great to be here with you today. | MS. ノイバーガー:ありがとうございました、ケンバ。 皆さん、こんにちは。 今日、皆さんとご一緒できて本当にうれしいです。 |
| I want to first kick off by thanking the ODNC team and, as Kemba did, the many departments and agencies who led and participated in building a strong, comprehensive strategy. | まず、ODNCチームと、ケンバが言ったように、強力で包括的な戦略を構築するために主導し参加した多くの部門や機関に感謝することから始めたいと思います。 |
| Before I get to the strategy, though, I’d like to simply start off by simply saying how the strategy is really being released at a pivotal moment, at a very timely moment. Looking back at the last 24 months of the Biden-Harris administration and especially over the last year as we recently hit the one-year mark of the war in Ukraine, we’ve seen the cyber threat be at the forefront of geopolitical crises. | しかし、戦略の話に入る前に、まず、この戦略がいかに重要な時期に、非常にタイムリーなタイミングで発表されたかということを、簡単に申し上げたいと思います。 バイデン=ハリス政権の過去24カ月を振り返ると、特に昨年はウクライナ戦争から1年を迎え、地政学的な危機の最前線にサイバーの脅威があることがわかりました。 |
| And as we know, the threat is not only Russia. We’ve seen destructive cyber and ransomware attacks executed by cybercriminals and other countries across the globe. | そして、ご存知のように、脅威はロシアだけではありません。 サイバー犯罪者や世界中の国々によって、破壊的なサイバー攻撃やランサムウェア攻撃が実行されていますのを目の当たりにしています。 |
| For example, last fall, we saw Iranian intelligence services attack Albania’s government networks, disrupting government services to the country’s citizens. And almost immediately, we, at the ready, mobilized ourselves and our European partners to assist in Albania’s response to the attack and to hold Iran accountable by designating sanctions on individuals responsible. | 例えば、昨年秋には、イランの諜報機関がアルバニア政府のネットワークを攻撃し、同国の国民への行政サービスを妨害する事件が発生しました。 その直後、私たちは欧州のパートナーとともに、アルバニアの攻撃への対応を支援し、イランの責任を追及するため、責任者に制裁を科す準備を整えた。 |
| Here at home, we’re no stranger to these sort of threats, which is important, because the Biden administration’s fundamental commitment is that Americans must be able to have confidence that they can rely on critical services, hospitals, gas pipelines, air/water services even if they are being targeted by our adversaries. | このような脅威を身近に感じることができるのは、とても重要なことです。なぜなら、バイデン政権の基本的なコミットメントは、重要なサービス、病院、ガスパイプライン、航空・水道サービスなどが敵に狙われたとしても、アメリカ人が安心して頼ることができるようにしなければならないということだからです。 |
| And that’s why the Biden-Harris administration has worked tirelessly over the last two years to deliver on that commitment by building a more resilient cyber infrastructure to protect the services we all rely on daily, and also to strengthen our international partnerships, because cyber threats are fundamentally transnational threats. They cross borders. | バイデン-ハリス政権は過去2年間、この公約を実現するため、私たちが日常的に利用していますサービスを守るため、よりレジリエンスなサイバーインフラを構築し、さらに国際的なパートナーシップを強化するために、たゆまぬ努力を続けてきました。 サイバー脅威は基本的に国境を越える脅威だからです。 |
| So that’s exactly what the strategy captures and sets out to continue to do, drawing direction and inspiration from the National Security Strategy, and establishing an affirmative vision for a secure cyberspace that creates opportunities to achieve our collective aspirations. | この戦略では、国家安全保障戦略から方向性とインスピレーションを得て、安全なサイバー空間に対する肯定的なビジョンを確立し、私たちの集団的な願望を達成するための機会を創出することを目指しています。 |
| It endeavors to make a stronger and more resilient cyber infrastructure for the American people and our allies and partners around the world. | そして、アメリカ国民と世界中の同盟国やパートナーのために、より強く、よりレジリエンスに優れたサイバーインフラを作ることに努めています。 |
| So, I’ll take a moment to walk through the five core pillars that the strategy is built on. | そこで、この戦略の土台となる5つの柱について、少し説明させていただきます。 |
| First, the strategy will defend critical infrastructure by expanding minimum cybersecurity requirements for critical sectors, enabling public-private collaboration, and ensuring that our systems are kept to the level needed to meet the threat. It’s critical, as I said, that the American people have confidence in the availability and resiliency of our critical infrastructure and the essential services it provides. | 第一に、この戦略では、重要セクターに対するサイバーセキュリティの最低要件を拡大し、官民の協力を可能にし、脅威を満たすために必要なレベルにシステムが保たれるようにすることで、重要インフラを防衛します。 重要インフラとそれが提供する重要なサービスの可用性とレジリエンスについて、米国民が信頼を寄せることが重要であることは、申し上げたとおりです。 |
| Second, it will disrupt and dismantle threat actors by using all instruments of national power to make malicious cyber actors — to make it harder for them to threaten the national security or public safety of the United States. | 第二に、悪意のあるサイバー攻撃者が米国の国家安全保障や公共の安全を脅かすことを困難にするため、国力のあらゆる手段を用いて、脅威の担い手を破壊し、解体します。 |
| Third, it will shape market forces to drive security and resilience by ensuring we place responsibilities on those who can address the risks, and we work to shift the consequences of poor cybersecurity away from the most vulnerable. We need to make our digital ecosystem more trustworthy. | 第三に、リスクに対処できる人々に責任を負わせ、サイバーセキュリティの不備がもたらす結果を最も脆弱な人々から遠ざけるよう努力することで、セキュリティとレジリエンスを推進する市場原理を形成することです。 私たちは、デジタルエコシステムをより信頼できるものにする必要があります。 |
| Fourth, invest in a resilient future through strategic investments that the Biden administration has made over the first two years and continued investments and coordinated, collaborative action. We’ll continue to lead the world in developing secure and resilient next-generation technologies and infrastructure. | 第四に、バイデン政権が最初の2年間に行った戦略的投資と、継続的な投資と協調的・協力的行動を通じて、レジリエンスの高い未来に投資します。 私たちは、安全でレジリエンスに優れた次世代技術やインフラの開発において、世界をリードし続けます。 |
| And finally, we’ll continue to forge international partnerships to pursue shared goals by promoting a cyberspace where responsible state behavior is expected and rewarded, and irresponsible behavior is isolating and costly, as in the Iran example I noted earlier. | そして最後に、先ほど述べたイランの例のように、責任ある国家の行動が期待され、報われ、無責任な行動は孤立し、犠牲となるようなサイバースペースを推進することで、共通の目標を追求するための国際パートナーシップを構築し続けていきます。 |
| There are three elements in particular I’d like to highlight. | 特に強調したいのは、3つの要素です。 |
| First, on the critical infrastructure side. A lot of the work we’ve done on critical infrastructure is already underway. This strategy codifies the first two years of putting in place minimum cybersecurity pipe- — requirements for pipelines, for railways, and, shortly, for additional sectors we’ll be announcing. | 第一に、重要インフラの側面からです。 重要インフラに関する私たちの取り組みの多くは、すでに進行中です。 この戦略では、最初の2年間、パイプライン、鉄道、そしてまもなく発表する新たなセクターに対して、サイバーセキュリティに関する最低限の要件を整備することを明記しています。 |
| We recognize that we need to move from just a public-private partnership, information-sharing approach to implement minimum mandates. Information sharing and public-private partnerships are inadequate for the threats we face when we look at critical infrastructure. | 私たちは、最低限の義務付けを実施するためには、単なる官民パートナーシップや情報共有のアプローチから脱却する必要があることを認識しています。 情報共有や官民のパートナーシップは、重要なインフラを対象とした場合に直面する脅威に対して不十分です。 |
| As I said, we’ve made major progress in executing this as a core Biden administration commitment in the first two years, and we’ll continue to carry it forward with the executive branch authorities we have in place and work with Congress to develop those limited additional authorities we may still need. | 私たちは、バイデン政権の中核的なコミットメントとして、最初の2年間でこれを実行する上で大きな進歩を遂げました。私たちは、現在ある行政府の権限でこれを継続し、議会と協力して、まだ必要と思われる限られた追加権限を開発するつもりです。 |
| Second, as we continue our focus on disrupting and dismantling threat actors, we’re elevating our work on ransomware, declaring ransomware a threat to national security rather than just a criminal challenge. | 第二に、私たちは、脅威を引き起こす要因の破壊と解体に重点を置きながら、ランサムウェアに対する取り組みを強化し、ランサムウェアを単なる犯罪行為ではなく、国家安全保障に対する脅威と位置付けています。 |
| And again, this is something we’ve already begun to tackle through domestic work targeting the most virulent ransomware actors — I’d call out the FBI’s work against Hive as an example — and with 36 partners and the European Union in the international counter ransomware initiative, which just had its first anniversary in October. | これは、最も悪質なランサムウェアの攻撃者を標的とした国内での活動(例としてHiveに対するFBIの活動を挙げます)や、36のパートナーや欧州連合とともに、10月に1周年を迎えたばかりの国際ランサムウェア対策イニシアチブを通じて、すでに取り組み始めています。 |
| Finally, it redoubles our commitment to international partnerships and implementation of norms. Threats in cyberspace are often borderless. Cyber defense matters in the modern geopolitical climate. And we must work with our close allies and partners to deliver the security we all need and our citizens deserve. | 最後に、国際的なパートナーシップと規範の実施に対する私たちのコミットメントを再確認することができます。 サイバースペースにおける脅威は、しばしば国境を越えるものです。 現代の地政学的状況において、サイバー防衛は重要です。 そして、私たち全員が必要とし、私たちの市民が値するセキュリティを提供するために、緊密な同盟国やパートナーと協力しなければなりません。 |
| So, with that, thank you for your time. And we’ll turn it over for questions, as [Moderator] noted, to [senior administration official] and [senior administration official]. Thank you for your questions. | それでは、お時間をいただきありがとうございました。 ご質問は、【司会】が指摘したように、【上級行政官】と【上級行政官】にお譲りします。 ご質問をありがとうございました。 |
| MODERATOR: Thanks, Anne. And thanks, Kemba. And just to make sure I got everyone’s title right there at the top for our on-the-record speakers, it was the acting National Cyber Director, Kemba Walden, and the Deputy National Security Advisor for Cyber and Emerging Technologies, Anne Neuberger. | 司会:ありがとう、アンさん。 そして、ケンバさん、ありがとうございます。 そして、念のため、記録上の発言者の肩書きを一番上に書いておきますが、国家サイバー長官代理のケンバ・ウォルデン氏と、サイバーと新興技術担当の国家安全保障副顧問のアン・ノイバーガー氏でしたね。 |
| So, if you want to use the “hand raising” feature, we’ll give it a quick minute to let people raise their hands and then we’ll get started with a Q&A. | それでは、「挙手」機能を使いたい方は、1分ほどで手を挙げていただき、その後、Q&Aを開始します。 |
| We’ll get started. Our first question will go to Maggie Miller from Politico. You should be able to unmute yourself. | 始めましょう。 最初の質問は、Politicoのマギー・ミラーさんです。 ミュートを解除してください。 |
| Q Yep. Hi. Thanks so much for hosting this call. I wanted to ask a little bit more about some of these, you know, regulations that are going in place. I know Anne mentioned there’s going to be new sectors that are going to be announced soon. Can you talk more about what those sectors will be and what the feedback from industry has been about having this more mandatory approach to cybersecurity requirements that has, as you mentioned, already been ongoing? Thanks so much. | Q:はい。 こんにちは。 この電話会議を主催していただき、本当にありがとうございます。 私は、このような規制についてもう少し詳しく聞きたいと思いました。 アンが、近々新しいセクターが発表されると言っていましたね。 また、サイバーセキュリティ要件に対するより強制的なアプローチについて、産業界からどのようなフィードバックがあったのか、もう少し詳しく教えてください。 どうもありがとうございました。 |
| SENIOR ADMINISTRATION OFFICIAL: Hi, Maggie. [Senior administration official] here. Thanks for the question. | [上級行政官] マギーさん、こんにちは。 [上級行政官] です。 質問をありがとうございます。 |
| So, we’ve taken up a sector-by-sector approach in looking at each critical infrastructure sector and thinking about what are the ways that we can improve the cybersecurity posture within that sector. There are a number of sectors that are already regulated — for instance, electricity grid, you know, nuclear facilities, there are others — where the ability to require cybersecurity practices as part of an overall security program and safety program is already in place. | 私たちは、各重要インフラ部門を対象に、部門ごとにアプローチし、その部門におけるサイバーセキュリティ態勢をどのように改善できるかを考えています。 例えば、電力網や原子力施設など、すでに規制されている部門は数多くあり、全体的なセキュリティプログラムや安全プログラムの一部としてサイバーセキュリティの実践を要求する能力はすでに備わっています。 |
| And so, we just want to make sure that those regulatory regimes take advantage of the best thought that exists across the cybersecurity industry and what we’re learning from examining cyber incidents that have occurred in recent years. | そこで私たちは、これらの規制が、サイバーセキュリティ業界全体に存在する最善の考えや、近年発生したサイバー事件の検証から学んだことを活用できるようにしたいと思います。 |
| But there are sectors where the authorities aren’t as clear or we have not fully exercised the authorities that exist. One example of where we’re beginning to take the first steps is EPA for the water sector. They have made a public notice, and I’m not exactly sure where it stands, but I think it’s coming out soon. It’s an interpretation of an existing rule for sanitary surveys in which water facility owners and operators will have to incorporate some cybersecurity elements in their regularized sanitary survey program, where they’re looking at drinking water safety issues and the equipment and such. | しかし、権限が明確でない分野や、存在する権限を十分に行使できていない分野もあります。 最初の一歩を踏み出しつつある例として、水分野ではEPAが挙げられます。 正確なところはわかりませんが、近々発表されると思います。 これは衛生調査に関する既存の規則を解釈したもので、水道施設の所有者や運営者は、飲料水の安全性や設備などを調べる定期的な衛生調査プログラムに、サイバーセキュリティの要素を取り入れる必要があるというものです。 |
| So, it’s not a — it’s not a new authority. It’s an interpretation and adding additional elements into an existing authority. So that that will begin to come into place here in the very near term but will take time to fully see that ripple through the industry because these are on a couple-of-year cycles to be when the sanitary surveys get done on a periodic basis. | つまり、これは新たな権限ではありません。 既存の権限に解釈と追加要素を加えたものです。 このため、ごく近い将来には導入されることになるでしょうが、衛生調査が定期的に行われるため、業界全体に波及するには時間がかかると思います。 |
| There are other sectors where we’re looking at similar things and finding ways to close gaps. There are a number of sectors where it’s purely voluntary and there’s actually not a regulatory regime around it. And so, those are things that we’re looking at. And also turning to CISA, through those cross-sector cyber performance goals that they’ve put out, to find ways to encourage the incorporation of cybersecurity best practices. These are things that everybody knows about — multi-factor authentication, network segmentation, things like that, encryption. | 他の分野でも同じようなことを検討し、ギャップを埋める方法を見つけていますところがあります。 純粋に自主的な活動で、規制がない分野もたくさんあります。 そのような分野にも目を向けています。 また、CISAが発表した分野横断的なサイバーパフォーマンス目標を通じて、サイバーセキュリティのベストプラクティスを取り入れることを奨励する方法を模索することも必要です。 多要素認証、ネットワークのセグメンテーション、暗号化など、誰もが知っていますようなことです。 |
| And so, the bar we’re setting is not a high bar. We really are just hoping that owners and operators do the basics. And over time, we’re going to be able to bring and raise all ships. | ですから、私たちが設定したハードルは決して高くありません。私たちは、オーナーやオペレーターが基本的なことを実践してくれることを望んでいますのです。 そして、時が経てば、私たちはすべての船を引き上げられるようになるでしょう。 |
| MODERATOR: Great. We’ll go to our next question. Sean from CNN. You should be able to unmute yourself. | モデレーター:素晴らしい。 次の質問に行きます。 CNNのショーンです。 ミュートを解除してください。 |
| Q Hi, can you hear me? | Q ハイ、聞こえますか? |
| MODERATOR: Yes, we can hear you. | モデレーター:はい、聞こえます。 |
| Q Great. Thanks for the call. Very interesting strategy. I wanted to ask, kind of, a question that comes up in a lot of these calls, but, you know, you have to ask it, is: in terms of the international dimension, how the administration is going to address the bear in the room and try to get — if try at all — to get Russia to cooperate on norms, on pursuing ransomware actors, et cetera. | Q 素晴らしい。 お電話ありがとうございました。 とても興味深い戦略ですね。 国際的な側面について、政権は部屋の中の熊にどのように対処するつもりなのか、また、ロシアに規範やランサムウェアの実行者の追求などで協力させるために、もし努力するとしても、どのようにするつもりなのか、といった質問です。 |
| We’re all well aware of the tools that the administration can use to rally allies and use it and coordinate with everyone else except Russia. But the government will agree that cooperating with Russia would certainly help in this space. | 私たちは、政権が同盟国を結集し、それを利用して、ロシア以外のすべての人と協調するためのツールをよく知っています。 しかし、ロシアと協力することがこの分野で確実に役立つことは、政府も認めるところでしょう。 |
| So, has that — has that ship sailed with the war in Ukraine and given that the war has no end in sight? Has the administration given up on engaging Moscow on cybercriminal issues and other cyber issues? Or are we going to see some sort of effort in the future? Thank you. | では、ウクライナでの戦争と、戦争に終わりが見えないことを考えると、その船は出航したのでしょうか。 政権は、サイバー犯罪問題やその他のサイバー問題でモスクワに関与することをあきらめたのでしょうか。 それとも、今後何らかの取り組みが見られるのでしょうか。 ありがとうございました。 |
| SENIOR ADMINISTRATION OFFICIAL: I think what we’re seeing is an approach that draws directly from the National Security Strategy into the National Cyber Strategy, which is to focus on our regional partners around the globe to build the coalitions that can create pressure on Russia and other malicious actors to change their behavior. I think we’ve seen some success in sustaining that coalition over the last year. | [上級行政官] :国家安全保障戦略から直接、国家サイバー戦略へとつながるアプローチであり、ロシアやその他の悪意ある行為者に行動を変えるよう圧力をかけることができる連合を構築するために、世界中の地域パートナーに焦点を当てるということだと思います。 この1年間で、この連合を維持することに一定の成功を収めたと思います。 |
| And so, we’re hopeful that Russia understands the consequences of malicious activity in cyberspace and will continue to be restrained. | ロシアがサイバー空間における悪意ある活動の結果を理解し、今後も自制してくれることを期待しています。 |
| SENIOR ADMINISTRATION OFFICIAL: So, I’ll amplify a little bit. You hit the nail on the head, Sean, that this is a significant problem, which is why Anne Neuberger had mentioned and the strategy calls out essentially a new policy that ransomware constitutes a national security threat. | [上級行政官]:では、少し話を広げます。 アン・ニューバーガーが言及したように、ランサムウェアは国家安全保障上の脅威であるという新たな方針が、この戦略で明確に打ち出されています。 |
| Traditionally, cybercrime issues would be handled within the criminal justice system, and responsible countries would investigate crime, collect evidence on behalf of each other, share information, cooperate, have mutual legal assistance, request things fulfilled, and extradition. And these types of problems would be addressed and suppressed through normative avenues. | 従来、サイバー犯罪の問題は刑事司法制度の中で扱われ、責任ある国が犯罪を捜査し、互いに証拠を集め、情報を共有し、協力し、相互法的支援を行い、要求事項を実現し、引き渡しを行うものでした。 そして、この種の問題は、規範的な手段によって対処され、抑制されることになるでしょう。 |
| We do have a problem where Russia is serving as a de facto safe haven for cybercrime, and ransomware is a predominant issue that we’re dealing with today, which is why the strategy also calls out — since the criminal justice system isn’t going to be able to, on its own, address this problem, we do need to look at other elements of national power to be going after the threat. | ロシアがサイバー犯罪の事実上の安住の地となっているという問題があり、ランサムウェアは今日我々が扱っている主要な問題です。刑事司法制度だけではこの問題に対処できないので、国力の他の要素にも目を向けて、脅威を追及していく必要があります。 |
| And so, we won’t be able to — well, some of the things that we can talk about are, you know, Treasury sanctions, and State Department has done Reward for Justice offerings to try to shine a light on these issues, make it more difficult for the cybercrime actors to operate. And then, as well, you’ve seen successes by the FBI and the Secret Service in apprehending actors who go on vacation somewhere, and they find themselves, you know, arrested on behalf of a U.S. extradition request. | そこで、私たちができることは、財務省の制裁や、国務省が行っています「正義の報酬」によって、こうした問題に光を当て、サイバー犯罪者の活動をより困難なものにする、ということです。 また、FBIやシークレットサービスが、休暇でどこかに出かけていた犯罪者を逮捕することに成功し、その結果、米国の犯罪者引き渡し要求のために逮捕されることもありました。 |
| And so, ultimately, I think [senior administration official] hit the nail on the head, which is that the — we want to shrink the surface of the Earth that people can conduct malicious cyber activity with impunity, and put pressure on them and make their lives a little bit less pleasurable. | つまり、悪意のあるサイバー活動を平然と行える地球の表面を縮小し、彼らに圧力をかけ、彼らの生活を少しばかり楽しくないものにしたい、ということです。 |
| And if a criminal is restricted to living in Russia and can’t leave the borders, then perhaps that might create a bit of a deterrent effect. | そして、犯罪者がロシアに住むことを制限され、国境を離れることができなくなれば、おそらく、ちょっとした抑止効果が生まれるかもしれません。 |
| And then, we want to rally likeminded countries to be able to take a similar approach and to be using the tools that they have, and to make sure that we’re all focused on the problem and that we’re putting pressure across all areas, including diplomatic, on countries that do not follow, you know, agreed-upon norms. | そして、同じような考えを持つ国々が同じようなアプローチを取り、持っていますツールを使うことができるように、そして、私たち全員がこの問題に集中し、合意された規範に従わない国に対して、外交も含めてあらゆる分野で圧力をかけることができるようにしたいのです。 |
| MODERATOR: Thank you. We’ll go next to Kevin with NBC. You should be able to unmute yourself. | 司会:ありがとうございました。 次はNBCのケヴィンにお願いします。 ミュートを解除してください。 |
| Q Hi. Yeah, thanks, y’all, for doing the call. I wanted to ask — I’m looking through this and I’m seeing echoes of a lot of this stuff this administration has been doing already, in terms of executive orders, the international cooperation stuff. | Q ハイ。 電話をしてくれてありがとう。 私はこれを読んでいて、大統領令や国際協力など、この政権がすでに行ってきたことの多くが反響を呼んでいますことを知りました。 |
| To what degree should we view this as — the new strategy as an extension and a coalescence of what this administration has been doing versus a — kind of a genuine — like a pivot, new vision? | この新戦略は、これまで政権が行ってきたことの延長線上、合体であると考えるべきか、それとも本物のピボット、新しいビジョンのようなものだと考えるべきか、どの程度に見るべきでしょうか。 |
| SENIOR ADMINISTRATION OFFICIAL: So, I think the first thing to begin with is that this strategy, we acknowledge in it, is not only continuing the work from the start of the administration, when we came in and were addressing the crisis of SolarWinds and handling the reoccurring major ransomware incidents in that first year, but it’s also continuing many of the initiatives and many of the efforts that date back to the Obama administration, and builds on many of the efforts in the Trump administration. | [上級行政官]:まず、この戦略は、政権発足後、SolarWindsの危機への対応や、初年度に頻発した大規模なランサムウェア事件への対応など、政権発足時の取り組みを継続していますだけでなく、オバマ政権時代から続く多くの取り組みやトランプ政権での多くの取り組みをベースにしていますということが、この戦略の中で認識されていますと考えています。 |
| And so, the first thing the strategy acknowledges is that we’re building on that path while we move in a new direction. And so, the big shift here, obviously, compared to previous strategies, is the focus on saying that we do need to set targeted requirements for critical infrastructure where those don’t exist today. That’s a major departure from the past. | つまり、この戦略では、新しい方向に進む一方で、その道を積み重ねていますことを最初に認めていますのです。 そして、これまでの戦略と比較して、ここでの大きな変化は、明らかに、重要なインフラストラクチャーについて、現在存在しないものを対象とした要件を設定する必要がある、ということに焦点が当てられていますことです。 これは、これまでの戦略とは大きく異なる点です。 |
| The other shift is to look at how we think about liability for software manufacturers, something that has not been in previous strategies. | もうひとつは、これまでの戦略にはなかった、ソフトウェアメーカーの責任に関する考え方の転換です。 |
| And I think the other thing I would note is the major shift that Anne has focused on, on how we’re really bringing all instruments of national power against cybercrime in the form of ransomware. | そして、もうひとつ注目したいのは、ランサムウェアという形のサイバー犯罪に対して、いかに国力のあらゆる手段を投入するかという、アンが重視した大きな転換点です。 |
| And so, the strategy is meant to pull together all of these threads and then provide us a direction forward. | この戦略は、これらすべての糸を引き寄せ、前進する方向を示すものです。 |
| MODERATOR: Great, thank you. We’ll now go to Elias with CyberScoop. | 司会:ありがとうございました。 それでは、CyberScoopのエリアスさんにお願いします。 |
| Q Hey, thanks so much for doing this call. So, a couple questions. Two on software liability and another on offensive operations. | Q この電話会議をセットしてくれてありがとうございます。 いくつか質問をさせてください。 ソフトウェア責任について2つ、攻撃的な作戦についてもう1つです。 |
| On software liability, can you elaborate a bit on where in the software ecosystem you want to place liability? Figuring out where to place liability is just, kind of, a tough technical problem. And I’m wondering if maybe you guys can elaborate a little bit just on how you think about it. | ソフトウェアの責任についてですが、ソフトウェアのエコシステムのどこに責任を負わせるかについて、もう少し詳しく教えてください。 どこに責任を負わせるかを考えるのは、技術的に難しい問題です。 そこで、あなた方がどのように考えているのか、少し詳しく説明していただけないでしょうか。 |
| And then, to follow up on that, you’re going to need Congress to move legislation on software liability reform. Can you talk through, a little bit, the politics of doing that, what you think the prospects are of moving that through Congress? | そして、その続きとして、ソフトウェア責任改革に関する法案を議会が動かす必要があると思います。 そのための政治的な方法と、議会を通過させる見込みについて、少しお話しいただけますか? |
| And then, in terms of a third question, if I can squeeze it in here at the end, can you elaborate a little bit on what you mean by bringing all forms of national power to bear on this problem and the extent to which this strategy is embracing greater use of offensive operations in cyberspace? Thanks. | それから、3つ目の質問ですが、もし最後の方に入れるのであれば、この問題に対してあらゆる形態の国力を投入するというのはどういう意味なのか、この戦略がサイバースペースでの攻撃的な作戦をどの程度採用しているのか、少し詳しく説明してください。 ありがとうございました。 |
| SENIOR ADMINISTRATION OFFICIAL: So, on the liability question, the first thing that we’re trying to do here is make sure that we’re placing liability where it will do the most good. So, we don’t want to place liability, say, on the developers of open-source software who don’t have any resources, whose software is used by commercial providers to build their products. | 上級行政官:責任の所在に関する質問ですが、まず、私たちがここで行おうとしていますのは、最も効果のあるところに責任を負わせるということです。 例えば、リソースを持たないオープンソースソフトウェアの開発者に責任を負わせるのではなく、そのソフトウェアは商業プロバイダーが製品を製造するために使用されます。 |
| If we placed liability there, we don’t get the changes that we want in the ecosystem. So, the first principle we’ve had is to place liability where it will do the most good. And in some people’s articulations, that’s on the final goods-assembler. Right? The company that is building and selling the software, they need to be liable for what they put in it and work to reduce vulnerabilities and use best practices. | もしそこに責任を負わせたら、エコシステムに私たちが望むような変化をもたらすことはできません。 ですから、私たちが持つ最初の原則は、責任を最も良い効果をもたらす場所に置くということです。 そして、ある人たちの表現では、それは最終的な商品の組み立て業者にあるのです。 そうでしょう? ソフトウェアを製造・販売しています会社は、その中に入れたものに対して責任を持ち、脆弱性を減らし、ベストプラクティスを使うように努力する必要があります。 |
| We can’t have them devolving that responsibility down to a two-person, open-source project that hasn’t received any funding in the last five years. That’s not going to get us the outcome that we want. | その責任を、過去5年間資金援助を受けていない2人組のオープンソースプロジェクトに委ねるわけにはいきません。 それでは、私たちが望むような結果を得ることはできません。 |
| We see shifting liability as a long-term process. When we think about this strategy, we’re looking out a decade. And so, our anticipation is that we will need to begin this process working with industry to really establish what better software development practices look like, work to implement those, work to articulate those, and then work with industry and Congress to establish what some kind of liability shield for the adoption of those practices would look like. | 私たちは、責任転嫁を長期的なプロセスとして捉えています。 この戦略を考えるとき、私たちは10年先まで見通しています。 そのため、私たちの予想では、業界と協力して、より良いソフトウェア開発の実践方法を確立し、それを実施し、明確にするために努力し、さらに業界や議会と協力して、その実践方法の採用に対する何らかの責任の盾を確立するために、このプロセスを始める必要があると思います。 |
| But we don’t anticipate that this is something where we’re going to see a new law on the books within the next year. | しかし、来年中に新しい法律が制定されるような事態は想定していません。 |
| SENIOR ADMINISTRATION OFFICIAL: Quickly, maybe a little bit of a departure, but on the same theme of secure-by-design, recall that Anne Neuberger hosted, in October, an IoT security labeling event where we were beginning to engage with stakeholders and get feedback on what a government labeling program would look like to make sure that IoT products, their security posture is transparent to the customers so they can make informed choices. | [上級行政官] 少し話がそれますが、セキュア・バイ・デザインという同じテーマで、10月にアン・ノイバーガーが主催したIoTセキュリティ・ラベリング・イベントで、IoT製品のセキュリティ態勢が顧客にとって透明であることを確認するために、政府によるラベル付けプログラムがどのようなものかについて関係者とともに意見を出し合い、顧客が十分な情報に基づいて選択できるようにし始めていたことを思い出してください。 |
| That will help to encourage an ecosystem of secure-by-design products where, according to Carnegie Mellon’s research, there is a preference and people are willing to pay a premium for products that protect their security and their privacy. | カーネギーメロン大学の研究によると、セキュリティとプライバシーを保護する製品にプレミアムを支払うことを望む傾向があるそうです。 |
| So, in this theme, we’re looking to make sure that software design is using best practices and that it is a — security is in mind in the development of it, and that IoT products and other things like that are also in a better posture so that the attack surface is much reduced over time. | このテーマでは、ソフトウェアの設計がベストプラクティスを用いていること、そしてその開発においてセキュリティが考慮されていること、さらにIoT製品などもより良い姿勢であることを確認し、長期的に攻撃対象が大幅に減少するようにすることを目指したいと思います。 |
| On the topic, Elias, you were asking about — implied, you know, offensive cyber or other tools of the government that can be applied against problems like ransomware in hard to reach places — in general, we are looking at the ransomware problem as a national security threat and, therefore, we need to be able to use additional tools such as, for instance, intelligence tools to make sure that we understand the threat and understand, you know, how it is that we can protect ourselves, how we can tip victims or intended victims before they’re attacked through whatever authorities are needed to do that. | ランサムウェアのような手の届きにくい場所での問題に対して、政府が提供する攻撃的なサイバーツールについてお聞きしましたが、一般的に、私たちはランサムウェアの問題を国家安全保障上の脅威としてとらえています。したがって、一般的に、私たちはランサムウェアの問題を国家安全保障上の脅威として見ています。私たちは、脅威を理解し、自分たちを守るにはどうすればいいのか、被害者や被害予定者に攻撃を受ける前に知らせるにはどうすればいいのかを理解するために、例えば情報ツールなどの追加ツールを使用できるようにする必要があります。 |
| I will not speak to what all activities that we may contemplate or be undertaking. But we are certainly in a more forward-leaning position to make sure that we’re protecting the American people from these threats and that we apply the tools that are necessary to address it. | 私たちがどのような活動を考えているのか、また、どのような活動をしようとしているのかについては、お話しするつもりはありません。 しかし、こうした脅威から米国民を守り、それに対処するために必要なツールを適用するために、私たちがより前向きの立場にあることは確かです。 |
| And everything from diplomacy to law enforcement to intelligence to economic and financial, these are all tools — and military tools, as necessary — these are options that the President has. And we’re — we’re certainly open to using all of them in a smart way to go after the threat. | 外交、法執行、情報、経済・金融、これらすべてが手段であり、必要に応じて軍事的手段も用いますが、これらは大統領が持つ選択肢である。 そして私たちは、脅威を追及するための賢い方法として、これらすべてを使うことに前向きです。 |
| MODERATOR: Thank you. I think we have time for one more question, so we’ll go to Tim Starks from the Washington Post. | 司会:ありがとうございました。 もう1つ質問の時間がありますので、ワシントン・ポスト紙のティム・スタークスさんにお願いします。 |
| Q Hi there. Thanks. Mine is a pretty easy, hopefully, logistical question. Is the process by which this needs to be approved by the President complete? And what is that process? Does he sign it? Does he just say, “I approve this”? | Q こんにちわ。 ありがとうございます。 私のは非常に簡単な、できればロジカルな質問です。 大統領による承認が必要なプロセスは完了していますのでしょうか? また、そのプロセスはどのようなものでしょうか? 大統領はそれに署名するのですか? 大統領は「私はこれを承認する」と言うだけなのでしょうか? |
| And then, the implementation strategy — sorry, the implementation plan. How far along is that? When might we expect to see it? | それから、実施戦略、つまり実施計画です。 それはどの程度進んでいますのでしょうか? いつごろになるのでしょうか。 |
| SENIOR ADMINISTRATION OFFICIAL: So, that’s a great question. There certainly are details about how paperwork moves through this building. And what we can say is that this strategy will be announced tomorrow. | 上級行政官:素晴らしい質問ですね。 確かに、この建物内でどのように事務処理が行われるかについては、詳細が決まっています。 そして、私たちが言えることは、この戦略は明日発表されるということです。 |
| SENIOR ADMINISTRATION OFFICIAL: And, Tim, can you repeat your question on implementation, please? | 上級行政官:それから、ティム、実施に関する質問をもう一度お願いできますか? |
| Q Yes, happily. How far along is the implementation plan? And when might we expect to see it? | Q はい、喜んで。 実施計画はどの程度進んでいますのでしょうか? また、いつ頃、それを目にすることができるのでしょうか? |
| SENIOR ADMINISTRATION OFFICIAL: I can answer. So, the implementation plan has been developed in parallel with the strategy. And so, the effort is ongoing to take that. We’ve already, in fact, begun to implement aspects of the strategy over the last few months. And so, we anticipate that we will have a public snapshot of the strategy of the implementation plan out in the coming months. | 上級行政官:お答えします。 実施計画は、戦略と並行して策定されています。 そのため、そのための努力は継続中です。 私たちはすでに、実際、ここ数ヶ月の間に戦略の側面を実施し始めました。 ですから、今後数ヶ月のうちに、実施計画に関する戦略のスナップショットを公開することになると思います。 |
| MODERATOR: Cool. Thank you, everyone. As a reminder, our first two speakers were on record, and then the Q&A portion was on background, attributable to “senior administration officials.” The contents of this call and all the supplemental paperwork you got in email earlier are all embargoed until 5:00 a.m. Eastern tomorrow, Thursday, March 2nd. | 司会:素晴らしい。 皆さん、ありがとうございました。 念のため申し添えますが、最初の2人の発言は記録されており、その後、質疑応答の部分は「上級行政官」に起因するバックグラウンドで行われます。 この電話会議の内容と、先ほどメールで受け取った補足書類は、すべて明日3月2日(木)東部時間午前5時までの公開差し止めの措置です。 |
| If you have any other questions, feel free to follow up with us. Have a great night. | 他に質問があれば、遠慮なくフォローアップしてください。 それでは、良い夜をお過ごしください。 |
| 5:32 P.M. EST | 5:32 P.M. EST |
下院 国土安全保障委員会
● U.S. House Committee on Homeland Security
・2023.03.02 Green, Garbarino Statement on the Release of the National Cybersecurity Strategy
[2023.03.14 追記]
● JETRO
・2023.03.14 バイデン米政権、国家サイバーセキュリティー戦略を公表
- 重要インフラの防衛:重要分野に求める最低限のサイバーセキュリティー基準を拡大する。官民協力を迅速かつ大規模に進める。連邦政府のネットワークの防衛と現代化を進めるとともに、危機対応政策を更新する。
- 脅威ある行動者への対抗:国家権力で利用できる全てのツールを戦略的に活用する。ランサムウエアの脅威に連邦政府として包括的に対処するとともに、国際的パートナーと強固に連携する。
- 安全と強靭性を促進させるための市場形成:個人データのプライバシーと安全保障を促進する。安全な開発慣行を促進するために、ソフトウエア製品・サービスに責任を課す。連邦の補助金プログラムを確保する。
- 強靭な未来への投資:インターネットの構造的・技術的な脆弱(ぜいじゃく)性を減少させ、越境するデジタル脅威に対する強靭性を高める。ポスト量子暗号やデジタル個人認証、クリーンエネルギーインフラなど次世代技術のためのサイバーセキュリティーにかかる研究開発を優先する。
- 共通する目標を追求する国際パートナーシップの構築:デジタルエコシステムへの脅威に対抗するために有志国による国際連携を強化する。平時と非常時いずれにもパートナー国がサイバー脅威に対して自らを防衛できる能力を向上させる。
参考 各国のサイバーセキュリティ戦略
■ EUの場合
・2020.12.16 The EU's Cybersecurity Strategy in the Digital Decade
・[PDF] Factsheet
■ ドイツの場合
● Bundesministerium des Innern, für Bau und Heimat
プレス
・2021.09.08 (press) Cybersicherheitsstrategie für Deutschland 2021 beschlossen
戦略本文
・[PDF] Cybersicherheitsstrategie für Deutschland 2021
■ オランダの場合
・2022.10.10 Kabinet presenteert nieuwe cybersecuritystrategie
● 戦略
・2022.10.10 Nederlandse Cybersecuritystrategie 2022 - 2028
・[PDF]
● 活動計画 2022-2023
・2022.10.10 Actieplan Nederlandse Cybersecuritystrategie 2022 - 2023
・[PDF]
■ UKの場合
● National Cyber Security Centre
・2021.12.15 (news) Government publishes blueprint to protect UK from cyber threats
・2021.12.15 Policy paper National Cyber Strategy 2022
・[heml] National Cyber Strategy 2022
・[PDF] National Cyber Strategy 2022
■ U.S. の場合
・2023.03.02 FACT SHEET: Biden-Harris Administration Announces National Cybersecurity Strategy
・[PDF] National Cybersecurity Strategy
・2018.09.20 President Trump Unveils America’s First Cybersecurity Strategy in 15 Years
・[PDF] NATIONAL CYBER STRATEGY of the United States of America
・仮訳 [DOCX]
■ 日本の場合
● 内閣官房 - サイバーセキュリティセンター - サイバーセキュリティ戦略本部
・2021.09.27 第31回会合
・[PDF] 報道発表資料
・[PDF] サイバーセキュリティ2021
■ 中国の場合
● 中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)
プレス発表
戦略全文
・2016.12.27 国家网络空间安全战略
・英語訳
・2016.12.27 National Cyberspace Security Strategy
■ ロシアの場合(NATO CCDCOEの論文)
● NATO CCDCOE
・2020 [PDF] The Past, Present, and Future of Russia’s Cyber Strategy and Forces by Bilyana Lilly and Joe Cheravitch
■ インドの場合
● Data Security Council of India
・2020.08.15 [PDF] National Cyber Security Strategy 2020
■ シンガポールの場合
● Cyber Security Agency of Singapore
・2021.10.05 Singapore Updates National Cybersecurity Strategy
・The Singapore Cybersecurity Strategy 2021
・[PDF]
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.03.03 ENISA 国家サイバーセキュリティ戦略の実施に向けた効果的なガバナンスフレームワークの構築
・2022.10.16 オランダ サイバーセキュリティ戦略2022-2028 デジタル・セキュリティー社会の実現に向けた渇望と行動 (2022.10.10)
・2022.06.21 内閣官房 サイバーセキュリティ 2022 重要インフラのサイバーセキュリティに係る行動計画 (2022.06.17)
・2022.02.22 NATO CCDCOE 「国家サイバーセキュリティ戦略策定のためのガイド」第2版 (2021.11)
・2021.12.17 英国 国家サイバー戦略
・2021.10.11 シンガポール サイバーセキュリティ戦略2021
・2021.09.28 NISC サイバーセキュリティ戦略本部 第31回会合 サイバーセキュリティ戦略確定 (予算からみるとサイバーセキュリティは経済発展というよりも安全保障?)
・2021.09.26 独国 サイバーセキュリティ戦略2021 at 2021.09.08
・2021.07.15 経団連 提言「全員参加によるサイバーセキュリティの実現に向けて」
・2021.07.13 NISC 「次期サイバーセキュリティ戦略(案)」と「サイバーセキュリティ2021(案)」に関する意見の募集について
・2021.07.12 NATO関連機関が分析したサイバー空間におけるロシアの戦略 at 2021.06.11
・2021.07.07 NISC 「サイバーセキュリティ戦略本部第30回会合」と「サイバーセキュリティ対策推進会議(CISO等連絡会議)第18回会合」
・2021.06.29 IISS サイバー対応能力と国家力 日本のサイバー能力はいけていない?
・2021.06.03 サイバー領域の制度、法律、政策などについての米英の比較
・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令
・2021.05.13 サイバーセキュリティ戦略本部 次期サイバーセキュリティ戦略の骨子
・2020.12.08 ENISA 自国のサイバーセキュリティ能力の成熟度を自己評価するための「国家能力評価フレームワーク(NCAF)」を発行
Recent Comments