危機管理 / 事業継続

2024.04.08

CSA ハードウェアセキュアモジュール・アズ・ア・サービス (HSMaaS) クラウド・セキュリティ・アライアンス (Cloud Security Alliance; CSA)

こんにちは、丸山満彦です。

クラウド・セキュリティ・アライアンス (Cloud Security Alliance; CSA) がHSMaaSについての文書を公表していますね...

Cloud Security Alliance; CSA

・2024.04.03 HSM-as-a-Serviceの使用例、考慮事項、ベストプラクティス

HSM-as-a-Service Use Cases, Considerations, and Best Practices HSM-as-a-Serviceの使用例、考慮事項、ベストプラクティス
A Hardware Security Module (HSM) is a certified, trusted platform for performing cryptographic operations and protecting keys. It is a tamper-responsive and intrusion-resistant device comprising a security cryptographic accelerator, hardware-based random number generator,  processor, RAM, storage, and external interface. HSMs are often considered the root of trust, as the cryptographic keys created and protected by an HSM are used to underpin the security of an organization’s infrastructure. ハードウェア・セキュリティ・モジュール(HSM)は、暗号処理を実行し、鍵を保護するための、認証された信頼できるプラットフォームである。HSMは、セキュリティ暗号アクセラレーター、ハードウェアベースの乱数生成器、プロセッサー、RAM、ストレージ、外部インターフェイスで構成される、改ざん耐性と侵入耐性を備えたデバイスである。HSM によって作成され、保護される暗号鍵は、組織のインフラストラクチャーのセキュリ ティを支えるために使用されるため、HSM はしばしば信頼の根源とみなされる。
This document describes the Hardware Security Module as a Service (HSMaaS) cloud delivery model for key management and cryptographic operations. Additionally, it explores a sample of use cases with unique drivers justifying this model, discusses logical and physical security considerations, and provides recommendations on how to demonstrate compliance and select a vendor.  本書では、鍵管理と暗号操作のためのHSMaaS(Hardware Security Module as a Service)クラウド・デリバリー・モデルについて説明する。さらに、このモデルを正当化するユニークなドライバーを持つユースケースのサンプルを調査し、論理的および物理的なセキュリティの考慮事項について議論し、コンプライアンスを実証する方法とベンダーを選択する方法に関する推奨事項を提供する。
Cloud service customers that require increased control over key management operations, providers that supply the technology or services to deliver HSMaaS, as well as auditors and Conformity Assessment Bodies, can all benefit from the knowledge in this comprehensive guide. 鍵管理運用の管理強化を必要とするクラウドサービスの顧客、HSMaaSを提供する技術やサービスを提供するプロバイダ、監査人や適合性評価団体は、いずれもこの包括的なガイドの知識を活用することができる。
Key Takeaways:  主な要点 
・The definition and architecture of an HSM ・HSMの定義とアーキテクチャ
・The current and future state of the HSMaaS market ・HSMaaS市場の現状と将来性
・Industry, compliance, and risk use cases for the HSMaaS model ・HSMaaSモデルの産業、コンプライアンス、リスクのユースケース
・The importance of clearly defined responsibilities in the HSMaaS model ・HSMaaSモデルにおける責任の明確化の重要性
・Security considerations for HSMs ・HSMのセキュリティに関する考慮事項
・Key management considerations unique to HSMaaS ・HSMaaS特有の主な管理上の考慮事項
・Important considerations when setting up governance for HSMs ・HSMのガバナンスを設定する際の輸入事業者の留意点
・HSM vendor selection best practices ・HSMベンダー選定のベストプラクティス

 

・[PDF]

20240407-161910

 

目次...

1 Introduction 1 はじめに
1.1 Purpose 1.1 目的
1.2 Scope 1.2 スコープ
1.3 Target Audience 1.3 対象読者
2 Background 2 背景
2.1 Definition of HSM 2.1 HSMの定義
2.2 Current and Future State of the Market 2.2 市場の現状と将来
3 Use Cases 3 事例
3.1 Use Case: PIN-based Payment Card Transactions 3.1 事例:PINベースの決済カード取引
3.2 Use Case: Payment Card Transactions with Point-toPoint Encryption (P2PE) 3.2 事例:ポイント・ツー・ポイント暗号化(P2PE)による決済カード取引
3.3 Use Case: PKI and Signing Services 3.3 事例:PKIと署名サービス
3.4 Use Case: Full Homomorphic Encryption 3.4 事例:完全同型暗号化
3.5 Use Case: Trust Services under eIDAS 3.5 事例:eIDASのトラスト・サービス
3.6 Use Case: Custom Applications 3.6 事例:カスタムアプリケーション
4 Responsibilities 4 責任
4.1 Responsibilities for the Management of HSMaaS Solutions 4.1 HSMaaSソリューションの管理責任
  4.1.1 Infrastructure-as-a-Service (IaaS) Model   4.1.1 インフラストラクチャー・アズ・ア・サービス(IaaS)モデル
  4.1.2 Software-as-a-Service (SaaS) Model   4.1.2 SaaS(Software-as-a-Service)モデル
5 HSM Architecture 5 HSMアーキテクチャ
5.1 Introduction to HSM 5.1 HSM入門
5.2 HSM Standards and Certifications 5.2 HSMの規格と認証
5.3 Types of HSM 5.3 HSMの種類
  5.3.1 General Purpose HSM   5.3.1 汎用HSM
  5.3.2 Payments HSM   5.3.2 ペイメントHSM
6 Security Considerations 6 セキュリティへの配慮
6.1 Physical Security Controls 6.1 物理的セキュリティ管理
6.2 Logical Security Controls 6.2 論理的セキュリティ・コントロール
6.3 Multi-tenant Isolation 6.3 マルチテナント分離
6.4 Other Controls 6.4 その他のコントロール
7 Interfacing and Remote Administration 7 インターフェイスとリモート管理
7.1 Interfacing with HSMaaS Solutions 7.1 HSMaaSソリューションとの連携
7.2 Remote Administration Tools and Associated Security Architecture 7.2 リモート管理ツールと関連するセキュリティ・アーキテクチャ
  7.2.1 Secure Architecture for Remote Administration   7.2.1 リモート管理のためのセキュアなアーキテクチャ
8 Key Management Considerations (Unique to HSMaaS) 8 鍵管理に関する考慮事項(HSMaaSに特有のもの)
9 Governance 9 ガバナンス
10 Vendor Selection Best Practices 10 ベンダー選定のベストプラクティス
11 Conclusions 11 結論
References  参考文献 
Acronyms Table  略語表 

 

プレゼンテーション

・[PDF]

20240407-162050

 

 

これから、クラウド+信頼できる環境というのが重要となるので、HSMaaSは流行るかもですね...

1_20240407162101

 

| | Comments (0)

2024.04.07

米国 国防総省 2027会計年度末までにゼロトラストを導入予定

こんにちは、丸山満彦です。

米国の国防総省が2027会計年度末 (2027.09.30) までにゼロトラストを導入する予定と国防調達大学 (Defense Acquisition University; DAU
) [wikipedia] のシンポジウムで発言したようですね...

 

U.S. Department of Defense

・2024.04.03 DOD Cyber Officials Detail Progress on Zero Trust Framework Roadmap

DOD Cyber Officials Detail Progress on Zero Trust Framework Roadmap 国防総省サイバー担当者、ゼロトラスト・フレームワーク・ロードマップの進捗状況を詳述する
The Defense Department is on track to implement its zero trust cybersecurity framework by the end of fiscal year 2027, senior Pentagon information technology officials said this week.  国防総省は、2027会計年度末までにゼロトラスト・サイバーセキュリティ・フレームワークを導入する予定であると、国防総省の情報技術高官が今週明らかにした。
David McKeown, who serves as the DOD's deputy chief information officer, underscored the significant progress the department has made in implementing what he said will be a transformational change in how the department approaches cybersecurity.  国防総省の副最高情報責任者(Deputy Chief Information Officer)を務めるDavid McKeown氏は、国防総省のサイバーセキュリティへの取り組み方を一変させるものになるだろうと述べ、その実施に向けて国防総省が大きく前進していることを強調した。
"Zero trust integration offers the most robust and reliable approach to cybersecurity, ensuring that our systems are resilient against evolving threats, while safeguarding our nation's interests," McKeown said today during his keynote address as part of a virtual two-day Zero Trust Symposium hosted by the Defense Acquisition University.    「ゼロトラスト統合は、サイバーセキュリティに最も強固で信頼できるアプローチを提供し、我々のシステムが進化する脅威に対してレジリエンスであることを保証すると同時に、我が国の利益を保護する」と、マッキューンは本日、国防調達大学主催の仮想2日間のゼロトラスト・シンポジウムの基調講演の中で述べた。  
"It is not just a program, or a new application, zero trust is an evolution of our entire security landscape," he said. "By embracing it, we not only protect our data, but we strengthen our defenses and preserve our way of life."   「ゼロトラストは単なるプログラムでも、新しいアプリケーションでもない。「ゼロトラストを受け入れることで、我々はデータを保護するだけでなく、防御を強化し、我々の生活様式を維持することができる。 
Once implemented, the zero trust framework will move the DOD beyond traditional network security methods with capabilities designed to reduce exposure to cyberattacks, enable risk management and data sharing and quickly contain and remediate adversary activities.  ゼロトラスト・フレームワークが導入されれば、国防総省はサイバー攻撃へのエクスポージャーを減らし、リスクマネジメントとデータ共有を可能にし、敵対者の活動を迅速に封じ込め、是正するよう設計された機能によって、従来のネットワーク・セキュリティ手法を超えることになる。
The department released its strategy for achieving its vision for a zero trust architecture in 2022. The strategy outlines four high-level goals including cultural adoption, security and defense of DOD information systems, technology acceleration and zero trust enablement.   国防総省は2022年、ゼロトラスト・アーキテクチャのビジョンを達成するための戦略を発表した。この戦略では、文化的な採用、国防総省の情報システムのセキュリティと防衛、技術の加速化、ゼロトラストの実現など、4つのハイレベルな目標が概説されている。 
Since unveiling the strategy, McKeown, who also serves as the department's senior information security officer, said his office has remained laser focused on making it a reality.  同戦略を発表して以来、国防総省の上級情報セキュリティ責任者を兼務するマッケイウン氏は、同戦略の実現に集中し続けていると述べた。
"As the DOD's lead for zero trust, we have made great progress," he said, detailing the department's efforts to align resources and capabilities at the component level, review implementation plans submitted by DOD agencies and work with industry to build solutions. 「国防総省のゼロトラストに関するリーダーとして、私たちは大きな進歩を遂げました」と彼は述べ、コンポーネント・レベルでのリソースと能力の調整、国防総省機関から提出された実装計画の見直し、ソリューション構築のための産業界との協力など、国防総省の取り組みについて詳しく説明した。
Spotlight: Engineering in DOD スポットライト DODにおけるエンジニアリング
John Sherman, DOD's chief information officer, said implementing the framework has been an "absolute top priority."  国防総省のジョン・シャーマン最高情報責任者(CIO)は、このフレームワークの導入は「絶対的な最優先事項」だと述べた。
"If you look at our funding, and if you look at our cyber investments we're making and the time we're spending, zero trust is first and foremost among what we're doing," Sherman said yesterday, the first day of the symposium.  「われわれの資金、サイバー投資、そして費やしている時間を見れば、ゼロトラストはわれわれが行っていることの中で第一に優先される」と、シャーマン氏はシンポジウムの初日である昨日述べた。
He said what once seemed unachievable just a few years ago is now becoming a reality.   ほんの数年前までは実現不可能と思われていたことが、今や現実のものとなりつつある。 
"We are looking really good, on track, to get target-level zero trust in place by the end of fiscal [year] 2027," he said.   「私たちは、2027年度末までに目標レベルのゼロトラストを達成する予定である。 
Both officials underscored the importance of implementing the framework as adversaries continue to improve their offensive cyber capabilities.    両高官は、敵が攻撃的なサイバー能力を改善し続ける中、フレームワークを導入することの重要性を強調した。  
"Our protection and detection methodologies absolutely need to change in order to defend against today's adversaries," McKeown said. "Because of this, zero trust is my top cybersecurity initiative. I absolutely believe zero trust will greatly improve our ability to defend our networks against sophisticated attacks."  「今日の敵対勢力から防衛するためには、我々の防御と検知の方法論は絶対に変わる必要がある。「このため、ゼロトラストは私のサイバーセキュリティの最重要課題である。ゼロトラストは、高度な攻撃からネットワークを守る能力を大幅に向上させると確信している。

 

参考

国防総省に関するIT関連の文書等がまとまっています...

● Department of Defense - Chief Information Officer - Library

 

2022年の発表...

・2022.11.22 Department of Defense Releases Zero Trust Strategy and Roadmap

 

 

 

 

国防調達大学

Defense Acquisition University; DAU

該当のシンポジウム..

・2024.04.02 DoD Zero Trust Symposium

 

Cybersecurity

・・Zero Trust Web Seminor

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.11.30 米国 国防総省 ゼロトラスト戦略とロードマップ (2022.11.07)

20221130-23312


| | Comments (0)

2024.04.06

経済産業省 第8回「産業サイバーセキュリティ研究会」

こんにちは、丸山満彦です。

経済産業省で第8回「産業サイバーセキュリティ研究会」が開催されましたね...

・政策のフォローアップ状況とともに、

・新たなサイバーセキュリティ政策の方向性を提示し

・「産業界へのメッセージ」を発出

していますね...

 

経済産業省

1_20230808063201

・2024.04.05 第8回「産業サイバーセキュリティ研究会」を開催しました


<新たなサイバーセキュリティ政策の方向性>

(1)サイバーセキュリティ対策の実効性強化

  • 規模や業種等サプライチェーンの実態に応じて企業の適切なセキュリティ対策レベルを評価し可視化する仕組みを検討していく。
  • 一定のセキュリティ基準を満たすIoT製品を認証する制度や、ソフトウェア部品構成表(SBOM)について、政府調達等の要件化に向けて関係省庁との議論を進めるとともに、安全なソフトウェアの自己適合宣言の仕組みを検討する。
  • 中小企業向け補助的施策の一層の強化を図るため、セキュリティ人材の活用促進やサイバーセキュリティお助け隊サービスの拡充・普及等に取り組む。

(2)サイバーセキュリティ市場の拡大に向けたエコシステム構築

  • 我が国にとって重要な領域を中心に高品質な国産セキュリティ製品・サービスの供給が強化される状況を目指し、今年度中に、我が国サイバーセキュリティ産業の振興に向けた強化策のパッケージを提示する。
  • サイバーセキュリティ人材の確保・育成に向けて、ユーザー企業における情報処理安全確保支援士(登録セキスペ)の活用促進や制度の見直しなどを検討していく。登録セキスペの登録人数(2024年4月現在、約2.3万人)として、2030年までに5万人を目指す。

(3)官民の状況把握力・対処能力向上

  • 産業界と様々なチャネルを有する独立行政法人情報処理推進機構(IPA)におけるサイバー情報の集約・分析機能を更に強化し、国家の安全保障・経済安全保障の確保に貢献していく。

<「産業界へのメッセージ」>

  • 急速に普及しつつある生成AIをはじめとするデジタル化の進展や世界的な地政学リスクの高まり、サイバー攻撃の深刻化・巧妙化などにより、サイバーリスクは高まっている。このようなサイバー攻撃が、国民生活、社会経済活動及び安全保障環境に重大な影響を及ぼす可能性も大きくなっている。また、米欧等においても産業界におけるサイバーセキュリティ対策強化に向けた制度整備の動きなどが活発化しており、我が国においても一層の対策強化が求められる状況。
  • こうした状況を踏まえ、まずは、経済産業省として、デジタル時代の社会インフラを守るとの観点から、NISC等関係省庁との連携の下、これまでの施策の一層の普及・啓発などに取り組みながら、政府調達等への要件化を通じたサイバーセキュリティ対策の実効性強化や、サイバーセキュリティ供給力の強化、官民の状況把握力・対処能力向上に向けた新たな取組も進める。今後も産業界からの御意見を聴くなど、官民の協力関係を維持・発展させつつ、不断に取組を見直していく。
  • 各企業・団体においては、こうした状況も踏まえ、各種ガイドラインや随時の「注意喚起」に沿った対応を前提として、組織幹部のリーダーシップの下、必要な人材の育成や確保・体制の構築を進めながら、以下の対応をお願いしたい。
  1. サイバーセキュリティに対する投資を、中長期的な企業価値向上に向けた取組の一環として位置付ける(DX、BCP、サステナビリティ等に紐付ける。)。その上で、その関連性について、投資家を含む利害関係者から理解を得るための活動(対話・情報開示等)を積極的に行う。
  2. 自組織のシステム運用に係るリスク管理についてITサービス等提供事業者との役割分担を明確化するとともに、「セキュア・バイ・デザイン」( ※1)や「セキュア・バイ・デフォルト」(※2)の製品の購入を優先するなど、ITサービス等提供事業者に対してセキュリティ慣行を求める。併せて、委託元として自組織で判断や調整を行わなければならない事項を把握するとともに、ITサービス等提供事業者に委託した業務の結果の品質を自社で評価できる体制を整備する。
  3. サプライチェーン全体での対策強化に向けた意識を徹底する(ASM(※3)の活用や、 サプライチェーンに参加する中小企業等への共助(取引先からの要請対応への負担配慮や脆弱性診断などの支援等))。中小企業においては、「サイバーセキュリティお助け隊サービス」などの支援パッケージの活用も検討する。
  4. 「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を参照し、有事(サイバー攻撃の被害に遭った場合等)には、適時の専門組織への相談及び所管省庁等への報告等を行う。
  • ITサービス等提供事業者においては、自らの製品・サービスのセキュリティ対策に責任を持ち、「セキュア・バイ・デザイン」や「セキュア・バイ・デフォルト」の考え方に沿った一層の対応( 「顧客だけにセキュリティの責任を負わせない」等の基本原則の遵守、SBOMの採用、メモリに安全なプログラミング言語の採用等)をお願いしたい。
  • セキュリティベンダや調査ベンダ、情報共有活動のハブ組織等のサイバー被害組織を直接支援する専門組織においては、「サイバー攻撃による被害に関する情報共有の促進に向けた検討会最終報告書」に沿って、専門組織間で必要な情報を共有することの意義等について被害組織と共通の認識を醸成する努力をお願いしたい。

※1 「セキュア・バイ・デザイン」:IT 製品(特にソフトウェア)が、設計段階から安全性を確保されていること。前提となるサイバー脅威の特定、リスク評価が不可欠。
※2 「セキュア・バイ・デフォルト」:ユーザー(顧客)が、追加コストや手間をかけることなく、購入後すぐに IT 製品(特にソフトウェア)を安全に利用できること。
※3 ASM(Attack Surface Management):組織の外部(インターネット)からアクセス可能なIT資産(=攻撃面)を発見し、それらに存在する脆弱性などのリスクを継続的に検出・評価する一連のプロセスをいう。


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.03.29 経済産業省 民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン Ver 2.0

・2024.03.17 経済産業省 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会の最終とりまとめを公表し、制度構築方針案に対する意見公募を開始

・2024.03.16 経済産業省 サイバーセキュリティお助け隊サービスの新たな類型(2類)の創設に係るサービス基準の改定版の公開

・2024.03.16 経済産業省 クレジットカード・セキュリティガイドライン 5.0版 (2024.03.15)

・2024.03.16 経済産業省 「攻撃技術情報の取扱い・活用手引き」及び「秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文」

・2023.11.27 経済産業省 産業サイバーセキュリティ研究会「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」の最終報告書

・2023.08.08 経済産業省 「経済安全保障」を切り口とした産業政策の検討体制を強化します

・2023.08.07 経済産業省 第32回 産業構造審議会総会

・2023.08.01 経済産業省 ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引

・2023.07.29 経済産業省 令和4年度委託調査報告書(サイバーセキュリティ関係) 2023.07.29現在

・2023.07.04 経済産業省 警察庁 サイバー攻撃によるクレジットカード番号等の漏えい事案に関する対策の推進に関する覚書の締結 (2023.06.30)

・2023.06.11 経済産業省 「ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」(2023.05.29)

・2023.05.17 経済産業省 産業サイバーセキュリティ研究会 WG3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会 中間とりまとめ

・2023.05.01 経済産業省 「システム監査基準」及び「システム管理基準」の改訂 (2023.04.26)

・2023.04.26 経済産業省 ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第2版 (2022.04.20)

・2023.04.02 経済産業省 民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン Ver1.1

 

・2023.03.26 経済産業省 サイバーセキュリティ経営ガイドラインVer 3.0

・2023.03.16 経済産業省 クレジットカード・セキュリティガイドライン【4.0版】 

・2023.03.09 総務省 経済産業省 警察庁、内閣官房 「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を公表

・2023.02.20 経済産業省 クレジットカード決済システムのセキュリティ対策強化検討会報告書 (2023.02.02)

...

 

| | Comments (0)

2024.04.05

米国 意見募集 NIST SP 800-61 Rev.3(初期公開ドラフト) サイバーセキュリティリスクマネジメントのためのインシデント対応の推奨と考慮事項: CSF 2.0 コミュニティプロファイル

こんにちは、丸山満彦です。

NIST SP800-61 サイバーセキュリティリスクマネジメントのためのインシデント対応の推奨と考慮事項が、CSF2.0の公表を受けた改訂についてのドラフトが公開され、意見募集されていますね...

CSF2.0がエンターリスクマネジメント (ERM) を意識した文書になっているので、これからCSF2.0にそった文書がこれから増えてくると思いますが、COSO ERMの理解は深めておいたほうが、内容の理解がより進むように思います...

あと、NIST IR8286も..

 

NIST - ITL

・2024.04.03 NIST SP 800-61 Rev. 3 (Initial Public Draft) Incident Response Recommendations and Considerations for Cybersecurity Risk Management: A CSF 2.0 Community Profile

NIST SP 800-61 Rev. 3 (Initial Public Draft) Incident Response Recommendations and Considerations for Cybersecurity Risk Management: A CSF 2.0 Community Profile NIST SP 800-61 Rev.3(初期公開ドラフト) サイバーセキュリティリスクマネジメントのためのインシデント対応の推奨と考慮事項: CSF 2.0 コミュニティプロファイル
Announcement 発表
Incident response is a critical part of cybersecurity risk management and should be integrated across organizational operations. The six Functions of the NIST Cybersecurity Framework (CSF) 2.0 all play vital roles in incident response
.
インシデントレスポンスはサイバーセキュリティ・リスクマネジメントの重要な部分であり、組織の業務全体に統合されるべきである。NISTサイバーセキュリティフレームワーク(CSF)2.0の6つの機能は、いずれもインシデント対応において重要な役割を果たす。
NIST is releasing the initial public draft of Special Publication (SP) 800-61r3 (Revision 3), Incident Response Recommendations and Considerations for Cybersecurity Risk Management: A CSF 2.0 Community Profile, for public comment. This publication seeks to assist organizations with incorporating cybersecurity incident response recommendations and considerations throughout their cybersecurity risk management activities, as described by CSF 2.0. Doing so can help organizations prepare for incident responses, reduce the number and impact of incidents that occur, and improve the efficiency and effectiveness of their incident detection, response, and recovery activities. NISTは、NIST特別刊行物(SP)800-61r3(改訂3)「サイバーセキュリティ・リスクマネジメントのためのインシデント対応の推奨事項と留意事項」の初公開ドラフトを公開する: A CSF 2.0 Community Profile」を公開し、パブリックコメントを求めている。本書は、CSF 2.0 に記述されているように、サイバーセキュリティリスクマネジメント活動全体 にサイバーセキュリティインシデント対応の推奨事項と考慮事項を取り入れることを支援することを 目的としている。そうすることで、組織がインシデント対応に備え、発生したインシデントの数と影響を削減し、インシデントの検知、対応、復旧活動の効率と効果を改善することができる。
The public comment period is open through May 20, 2024. パブリックコメント期間は2024年5月20日までである。
Abstract 概要
This publication seeks to assist organizations with incorporating cybersecurity incident response recommendations and considerations throughout their cybersecurity risk management activities as described by the NIST Cybersecurity Framework (CSF) 2.0. Doing so can help organizations prepare for incident responses, reduce the number and the impact of incidents that occur, and improve the efficiency and effectiveness of their incident detection, response, and recovery activities. Readers are encouraged to utilize online resources in conjunction with this document to access additional information on implementing these recommendations and considerations. 本書は、NIST サイバーセキュリティフレームワーク(CSF)2.0 に記載されているサイバーセキュリティリスクマネジメント活動を通じて、サイバーセキュリティインシデント対応の推奨事項や考慮事項を取り入れる組織を支援することを目的としている。そうすることで、組織がインシデント対応に備え、発生したインシデントの数と影響を削減し、インシデントの検知、対応、回復活動の効率と効果を改善することができる。読者は、これらの推奨事項や考慮事項の実施に関する追加情報にアクセスするために、本文書と併せてオンラインリソースを活用することが推奨される。
Readers are encouraged to utilize online resources on NIST’s new Incident Response project page in conjunction with this document to access additional information on implementing these recommendations and considerations.  読者は、NISTの新しいインシデント・レスポンス・プロジェクトのページにあるオンライン・リソースを本書と合わせて利用し、これらの勧告や考慮事項を実施するための追加情報にアクセスすることが推奨される。

 

・[PDF] NIST.SP.800-61r3.ipd

20240405-55917

 

目次...

Executive Summary エグゼクティブサマリー
1. Introduction. 1. 序文
1.1. Purpose and Scope.. 1.1. 目的と範囲
1.2. Document Structure 1.2. 文書の構造
2. Incident Response as Part of Cybersecurity Risk Management 2. サイバーセキュリティリスクマネジメントの一環としてのインシデントレスポンス
2.1. Incident Response Life Cycle.. 2.1. インシデント対応のライフサイクル
2.2. Incident Response Roles and Responsibilities.. 2.2. インシデントレスポンスの役割と責任
2.3. Incident Response Policies, Processes, and Procedures 2.3. インシデントレスポンスの方針、プロセス、および手順
3. CSF 2.0 Community Profile for Incident Response.. 3. インシデント対応のための CSF 2.0 コミュニティプロファイル....
3.1. Preparation 3.1. 準備
3.2. Incident Response Life Cycle. 3.2. インシデント対応のライフサイクル
References 参考文献
Appendix A. List of Symbols, Abbreviations, and Acronyms.... 附属書A. 記号、略語、頭字語のリスト.......
Appendix B. Glossary 附属書B. 用語集
Appendix C. Change Log 附属書C. 変更履歴

 

エグゼクティブサマリー...

Executive Summary  エグゼクティブサマリー
Incident response is a critical part of cybersecurity risk management and should be integrated across organizational operations. The six CSF 2.0 Functions play vital roles in incident response:   インシデントレスポンスは、サイバーセキュリティのリスクマネジメントの重要な部分であり、組織の業務全体にわたって統合されるべきである。CSF 2.0 の 6 つの機能は、インシデント対応において重要な役割を果たす:  
•       Govern, Identify, and Protect help organizations prevent some incidents, prepare to handle incidents that do occur, reduce the impact of those incidents, and improve incident response and cybersecurity risk management practices based on lessons learned from those incidents.  ・ガバナンス、識別、防御は、組織が一部のインシデントを防止し、発生したインシデントのハンドリングに備え、インシデントの影響を軽減し、インシデントから学んだ教訓に基づいてインシデント対応とサイバーセキュリティリスクマネジメントの実践を改善するのを支援する。
•       Detect, Respond, and Recover help organizations discover, manage, prioritize, contain, eradicate, and recover from cybersecurity incidents, as well as perform incident reporting, notification, and other incident-related communications.   ・検知、対応、回復は、組織がサイバーセキュリティインシデントを発見、管理、優先順位付け、封じ込め、根絶、回復し、インシデントの報告、通知、その他のインシデント関連のコミュニケーションを行うことを支援する。 
Many individuals, teams, and third parties hold a wide variety of roles and responsibilities across all of the Functions that support an organization’s incident response. Organizations have no direct control over the tactics and techniques used by their adversaries, nor are they certain about the timing of a future incident other than knowing that another incident is inevitable. However, organizations can use an incident response life cycle framework or model that best suits them to develop strong cybersecurity risk management practices that reduce their risks to acceptable levels.   多くの個人、チーム、サードパーティが、組織のインシデント対応をサポートするすべての機能にわたって、多種多様な役割と責任を担っている。組織は、敵が使用する戦術やテクニックを直接コントロールすることはできないし、また、別のインシデントが不可避であることを知っている以外に、将来のインシデントのタイミングについて確信することもできない。しかし、組織は、自組織に最適なインシデント対応ライフサイクルフレームワークやモデルを使用することで、リスクを許容可能なレベルまで低減する強力なサイバーセキュリティリスクマネジメントを展開することができる。 
This publication adopts the CSF 2.0 Functions, Categories, and Subcategories as its new highlevel incident response model. This provides a common taxonomy that is already widely used for communicating about incident response and cybersecurity risk management and governance. This also enables organizations to access a range of online resources mapped to each Function, Category, and Subcategory through the NIST Cybersecurity and Privacy Reference Tool (CPRT). These resources include mappings to other incident response and cybersecurity risk management standards and guidance, as well as sources of implementation guidance that organizations can choose to utilize as needed.  本書では、新しいハイレベルのインシデント対応モデルとして、CSF 2.0 の機能、カテゴリー、サブカテゴリーを採用している。これにより、インシデントレスポンスとサイバーセキュリティリスクマネジメントおよびガバナンスに関するコミュニケーションに、すでに広く使用されている共通の分類法が提供される。また組織は、NIST Cybersecurity and Privacy Reference Tool(CPRT)を通じて、各機能、カテゴリー、サブカテゴリーにマッピングされたさまざまなオンラインリソースにアクセスすることができる。これらのリソースには、他のインシデントレスポンスおよびサイバーセキュリティリスクマネジメントの標準やガイダンスへのマッピングや、組織が必要に応じて利用できる実施ガイダンスの情報源が含まれている。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.03.07 米国 NSIT サイバーセキュリティ・フレームワーク(CSF)2.0 関連 SP 1299, 1300, 1301, 1302, 1303, 1305 (2024.02.26)

・2024.03.06 米国 NIST CSWP 32(初期公開ドラフト)サイバーセキュリティフレームワーク 2.0: コミュニティプロファイル作成ガイド (2024.02.26)

・2024.02.28 米国 NIST CSWP 29 NISTサイバーセキュリティフレームワーク(CSF)2.0

 

| | Comments (0)

2024.04.04

金融活動作業部会(FATF) 「FATFメンバー法域及び重要な暗号資産サービス・プロバイダー(VASP)の活動がある法域における勧告15の実施状況一覧表」の公表

こんにちは、丸山満彦です。

マネーロンダリングに関する金融活動作業部会 (Financial Action Task Force on Money Laundering; FATF) が、重要な暗号資産サービス・プロバイダー(virtual asset service providers; VASP)  の活動がある法域における勧告15の実施状況の一覧表を公開していますね...

仮想資産は、資金洗浄に利用されている可能性が高く、その資金がテロや核兵器開発等の資金源になっている可能性もあり、国際的には見逃せない状況になっているという認識のもと、各政府も仮想資産サービスプロバイダーの規制を適切に行う必要があるのですが、その状況はどうなっているか...ということですね。。。

日本の金融庁でも紹介しています...

(あわせて?、「マネロン・テロ資金供与対策ガイドラインに関するよくあるご質問(FAQ)」の改訂版も公表していますね。。。)

 

Financial Action Task Force; FATF

Status of implementation of Recommendation 15 by FATF Members and Jurisdictions with Materially Important VASP Activity

・[PDF

20240404-60622

 

 

 


 

  1 2 3 4 5 6 7 8 9
  管轄  仮想資産およびVASPを対象としたリスクアセスメントを実施している。 VASP の利用を明確に禁止している。 VASP が登録またはライセンスを取得し、AML/CFT 措置を適用することを義務付ける法 律/規制を制定している1  実際に VASP を登録またはライセンス供与している  監督検査を実施し、または現在の検査計画に VASP を含めている。 VASPに対して強制措置またはその他の監督上の措置を講じている。 VASPに関する旅行規則を可決または制定した1  R.15格付け(改訂FATF標準に照らして評価された場合)3および評価日 
  F"=FATF Member 
" "=Non FATF Member
              C=compliant 
LC = largely compliant  
PC = partially compliant  
NC = non-compliant
  Argentina Yes No In progres No No No In progres N/A
  Australia  In progres No Yes Yes Yes Yes No N/A
  Austria  Yes No Yes Yes Yes Yes No N/A
  Bahamas  Yes  No  Yes  Yes  Yes Yes  Yes  C (2022) 
  Belgium  Yes  No  Yes  No  Yes Yes  Yes  N/A 
  Brazil  Yes  No  Yes  No  Yes No  In progress  PC (2023) 
  Canada  Yes  No  Yes  Yes  Yes In progress  Yes  LC (2021) 
  Cayman Islands  Yes  No  Yes  Yes  Yes  Yes  Yes  LC (2021) 
  China  Yes  Yes  N/A  N/A  N/A  N/A  N/A  LC (2020) 
  Colombia  Yes  No  In progress  No  No  Yes  In progress  PC (2022) 
  Cyprus  Yes  No  Yes  Yes  Yes  Yes  Yes  LC (2023) 
  Denmark  Yes  No  Yes  Yes  Yes  Yes  Yes  PC (2021) 
  Egypt  Yes  Yes  N/A  N/A  N/A  Yes  N/A  PC (2021) 
  Estonia  Yes  No  Yes  Yes  Yes  Yes  Yes  PC (2023) 
  Finland  In progress  No  Yes  Yes  Yes  No  Yes  PC (2021) 
  France  Yes  No  Yes  Yes  Yes  Yes  Yes  LC (2022) 
  Germany  Yes  No  Yes  Yes  Yes  Yes  Yes  LC (2022) 
  Gibraltar  Yes  No  Yes  Yes  Yes  Yes  Yes  LC (2021) 
  Greece  In progress  No  Yes  Yes  Yes  Yes  Yes  N/A 
  Hong Kong, China  Yes  No  Yes  Yes  Yes  Yes  Yes  PC (2023) 
  Iceland  Yes  No  Yes  Yes  Yes  No  No  PC (2020) 
  India  Yes  No  Yes  Yes  Yes  Yes  Yes  N/A 
  Indonesia  Yes  In progress  Yes  Yes  Yes  In progress  Yes  LC (2023) 
  Ireland  Yes  No  Yes  Yes  Yes  No  Yes  LC (2022) 
  Israel  Yes  No  Yes  Yes  Yes  Yes  Yes  LC (2022) 
  Italy  Yes  No  Yes  Yes  Yes  Yes  Yes  N/A 
  Japan  Yes  No  Yes  Yes  Yes  Yes  Yes  LC (2021) 
  Kazakhstan  Yes  No  Yes  Yes  Yes  Yes  Yes  PC (2023) 
  Lithuania  Yes  No  Yes  Yes  Yes  Yes  Yes  PC (2022) 
  Luxembourg  Yes  No  Yes  Yes  Yes  Yes  Yes  LC (2023) 
  Malaysia  In progress  No  Yes  Yes  Yes  Yes  Yes  N/A 
  Malta  Yes  No  Yes  Yes  Yes  Yes  In progress  LC (2021) 
  Mexico  Yes  No  Yes  Yes  Yes  Yes  In progress  LC (2021) 
  Netherlands  Yes  No  Yes  Yes  In progress  Yes  Yes  PC (2022) 
  New Zealand  Yes  No  No  No  Yes  Yes  In progress  LC (2022) 
  Nigeria  Yes  No  Yes  In progress  Yes  Yes  Yes  PC (2022) 
  Norway  Yes  No  Yes  Yes  Yes  Yes  In progress  LC (2023) 
  Philippines  Yes  No  Yes  Yes  Yes  Yes  Yes  PC (2020) 
  Poland  Yes  No  Yes  Yes  Yes  Yes  Yes  PC (2021) 
  Portugal  In progress  No  Yes  Yes  Yes  Yes  Yes  N/A 
  Republic of Korea  Yes  No  Yes  Yes  Yes  Yes  Yes  N/A 
  Russian Federation*  Yes  No  Yes  Yes  Yes  No  No  PC (2023) 
  Saudi Arabia  Yes  Yes  N/A  N/A  N/A  N/A  N/A  N/A 
  Seychelles  Yes  In progress  In progress  No  Yes  Yes  In progress  NC (2020) 
  Singapore  Yes  No  Yes  Yes  Yes  Yes  Yes  N/A 
  South Africa  Yes  No  Yes  Yes  Yes  No  No  PC (2023) 
  Spain  Yes  No  Yes  Yes  Yes  No  Yes  N/A 
  Sweden  Yes  No  Yes  Yes  Yes  Yes  Yes  LC (2020) 
  Switzerland  Yes  No  Yes  Yes  Yes  Yes  Yes  LC (2020) 
  Thailand  Yes  No  Yes  Yes  Yes  Yes  In progress  LC (2021) 
  Türkiye  Yes  No  In progress  No  Yes  Yes  In progress  PC (2023) 
  Ukraine  Yes  No  Yes  No  No  No  No  PC (2020) 
  United Arab Emirates  Yes  No  Yes  Yes  Yes  Yes  Yes  PC (2021) 
  United Kingdom  Yes  No  Yes  Yes  Yes  Yes  Yes  LC (2022) 
  United States  Yes  No  Yes  Yes  Yes  Yes  Yes  LC (2020) 
  Venezuela  Yes  No  Yes  Yes  Yes  Yes  Yes  PC (2023) 
  Vietnam  Yes  No  No  No  No  No  No  NC (2022) 
  Virgin Islands (British)  Yes  No  Yes  Yes  In progress  In progress  Yes  LC (2024) 

 

報告書の前半部分...

Acknowledgements   謝辞  
This table is based on the work of the FATF’s Virtual Assets Contact Group members as well as the extensive input by the FATF Global Network of FATF Members and FATF-Style Regional Bodies. It also benefited from consultations with a range of private sector stakeholders and other representatives from the virtual asset and virtual asset service provider community.   この表は、FATFの仮想資産コンタクトグループメンバーの作業に加え、FATFメンバー及びFATFスタイル地域団体のFATFグローバル・ネットワークによる広範なインプットに基づいている。また、様々な民間セクターの利害関係者や、仮想資産および仮想資産サービス・プロバイダのコミュニティの代表者との協議も有益であった。 
The FATF gives special thanks to the following blockchain analytics companies for their valuable contribution to this exercise: Chainalysis, Lukka Inc’s Blockchain Analytics (previously known as Coinfirm), and TRM Labs.   FATFは、この演習に貴重な貢献をしてくれた以下のブロックチェーン分析企業に特別な謝意を表する: Chainalysis、Lukka IncのBlockchain Analytics(旧Coinfirm)、TRM Labsである。 
Introduction  序文 
Following a 12-month process to collect and evaluate information, the FATF is publishing a table which sets out the status of implementation by FATF members and jurisdictions with materially important virtual asset service providers (VASP) activity of the FATF’s Standards on virtual assets and VASPs (Recommendation 15).  FATFは、12ヶ月にわたる情報収集・評価プロセスを経て、FATF加盟国及び重要な仮想資産サービスプロバイダー(VASP)活動を行う国・地域における、FATFの仮想資産及びVASPに関する標準(勧告15)の実施状況を示す表を公表する。
Why is the FATF issuing the table?  なぜFATFはこの表を発行するのか?
Virtual assets are inherently international and borderless, meaning a failure to regulate VASPs in one jurisdiction can have serious global implications. This is particularly concerning given emerging trends in this space. Recent reports raise serious concerns about the Democratic People’s Republic of Korea’s (DPRK) theft[1] and laundering of hundreds of millions of dollars’ worth of virtual assets for financing the proliferation of weapons of mass destruction, enabling an unprecedented number of recent launches of ballistic missiles.  Ransomware incidents have grown significantly in recent years, and ransomware payments are almost exclusively demanded in virtual assets[2]. Although the increase in ransomware incidents was reported to slow down in 2023, the situation remains a serious concern. Terrorist groups, including ISIL, Al Qaeda and their affiliates, as well as ethnically or racially motivated terrorist entities, are also known to be increasingly using virtual assets to raise and move funds globally[3] 仮想資産は本質的に国際的でボーダレスであるため、ある法域でVASPを規制できなかった場合、世界的に深刻な影響を及ぼす可能性がある。この分野における新たな動向を考えると、これは特に懸念すべきことである。最近の報告では、朝鮮民主主義人民共和国(DPRK)が大量破壊兵器拡散の資金調達のために数億ドル相当の仮想資産を窃盗[1]・ロンダリングし、弾道ミサイルの発射を可能にしたことが深刻な懸念材料となっている。 ランサムウェアのインシデントは近年著しく増加しており、ランサムウェアの支払いはほぼ仮想資産で要求される[2]。ランサムウェア事件の増加は2023年には鈍化すると報告されているが、状況は依然として深刻な懸念である。ISIL、アルカイダ及びその関連組織、民族的又は人種的動機に基づくテロ事業体を含むテロ集団も、世界的な資金調達及び資金移動のために仮想資産を利用する傾向が強まっていることが知られている[3]。
In October 2018, the FATF strengthened its Recommendation 15 (R.15) to address virtual assets and VASPs. The table below shows the steps FATF members and FSRB jurisdictions with materially important VASP activity have taken to implement the FATF Standards in relation to regulating and supervising VASPs. The purposes of this table are to enable the FATF network to best support these jurisdictions in regulating and supervising VASPs for AML/CFT purposes and to encourage jurisdictions with materially important VASP activity to fully implement Recommendation 15 in a timely manner. This table also seeks to help supervisors/regulators and the private sector around the globe discern the status of implementation of R.15 by jurisdictions with materially important VASP activity. The publication of this table is endorsed by the G20, Financial Stability Board (FSB), and other policy forums and international organisations.    2018年10月、FATFは仮想資産とVASPに対処するために勧告15(R.15)を強化した。下表は、VASPの規制・監督に関連して、FATF加盟国及びVASP活動が実質的に重要なFSRBの管轄区域がFATF標準を実施するために講じた措置を示している。この表の目的は、AML/CFT目的のためにVASPを規制・監督する際に、FATFネットワークがこれらの国・地域を最善の形で支援できるようにすること、および、VASP活動が実質的に重要な国・地域が適時に勧告15を完全に実施することを奨励することである。また、この表は、世界中の監督当局/規制当局および民間部門が、VASP 活動 が実質的に重要な国・地域による R.15 の実施状況を見極める助けとなることを目指す。この表の公表は、G20、金融安定理事会(FSB)、その他の政策フォーラムおよび国際機関によって承認されている。  
The focus on FATF members reflects the importance for them to take a leading role on AML/CFT and on those with materially important VASP activity reflects a riskbased approach to addressing the inherent risks of services, products, and customers. This approach aims to address the global nature and risks inherently posed by virtual assets while recognising that jurisdictions should consider all AML/CFT risks and regulatory gaps in their individual jurisdictions. Jurisdictions should thus prioritise implementing the FATF standards for virtual assets based on such risks.  FATF加盟国に焦点を当てたのは、FATF加盟国がAML/CFTに関して主導的な役割を果たすことの重要性を反映したものであり、また、重要なVASP活動を行う国に焦点を当てたのは、サービス、製品、顧客に内在するリスクに対処するためのリスクベースのアプローチを反映したものである。このアプローチは、仮想資産に内在するグローバルな性質とリスクに対処することを 目指すものであるが、同時に、各国・法域は、それぞれの法域におけるすべての AML/CFT リスクと規制上のギャップを考慮すべきことを認識するものである。したがって、各国・地域は、そのようなリスクに基づき、仮想資産に関する FATF 標準の実施を優先すべきである。
How are jurisdictions expected to use this table?  各法域はこの表をどのように使用するのか?
In line with the FATF’s 2021 Updated Guidance on a Risk-Based Approach for VASPs, jurisdictions should consider the risks of virtual asset transfers with jurisdictions that have not taken steps towards regulating or banning VASPs. Subject to their own ML/TF risk assessment, jurisdictions may also consider designating VASPs from jurisdictions which do not effectively implement licensing or registration requirements as higher risk.[4]  FATF の 2021 年の VASP に対するリスクベース・アプローチに関する更新ガイダンスに沿っ て、各国・地域は、VASP の規制又は禁止に向けた措置を講じていない国・地域との間で の仮想資産移転のリスクを検討すべきである。独自の ML/TF リスクアセスメントに従うことを条件として、国・地域は、ライセンシングや登録要件 を効果的に実施していない国・地域の VASP をより高いリスクとして指定することも検討できる[4]。
How have jurisdictions been selected for inclusion in the table?  この表に含まれる国・地域はどのようにして選ばれたのか?
The table includes all FATF members plus twenty jurisdictions with materially important VASP activity. These jurisdictions were identified based on two criteria: trading volume and userbase, based on open-source datasets from January to December 2022 and cross-checked against data from blockchain analytics companies. It is important to note that large-scale trend data related to virtual assets is difficult to obtain, incomplete, and may change rapidly. This table provides a snapshot in time of jurisdictions that are identified as having materially important VASP activities as well as jurisdictions that are FATF members.    この表には、すべての FATF 加盟国に加え、VASP の活動が実質的に重要な 20 の国・地域が含まれている。これらの国・地域は、2022年1月から12月までのオープンソースのデータセットに基づき、取引量とユーザーベースという2つの基準に基づいて特定され、ブロックチェーン分析企業のデータと照合された。仮想資産に関連する大規模なトレンドデータは入手が困難で不完全であり、急速に変化する可能性があることに留意することが重要である。この表は、FATF加盟国だけでなく、実質的に重要なVASP活動を行っていると識別された法域のスナップショットを提供するものである。  
How was the information on jurisdictions’ progress collected?  法域の進捗状況に関する情報はどのように収集されたのか?
The information is based on jurisdictions’ responses to the FATF’s 2023 self-reported survey[5] where relevant survey questions were posed alongside a selection of three possible answer choices (Yes/No/In Progress). From January to March 2024, all jurisdictions were asked to provide up-to-date information on their progress. The FATF Secretariat reached out to jurisdictions included in the table for materials[6] to support their responses from January to March 2024.   この情報は、FATFの2023年自己申告調査[5]に対する各国・地域の回答に基づくものであり、そこでは、3つの選択肢(はい/いいえ/進行中)から可能な回答を選択する形で、関連する調査項目が提示されている。2024年1月から3月にかけて、全ての国・地域は、進捗状況に関する最新情報の提供を求められた。FATF事務局は、表に含まれる国・地域に対し、2024年1月から3月までの回答を裏付ける資料[6]を提供するよう要請した。 
How does this information relate to the FATF mutual evaluation process?  この情報はFATFの相互評価プロセスとどのように関連しているのか?
Users should note that this table does not provide any assessment on the level of a jurisdiction’s implementation of measures to combat ML/TF and is not related to the FATF’s identification of high-risk and other monitored jurisdictions. Neither the opensource data used to compile the table, nor the data from blockchain analytics companies used for verification purposes, is based on any assessment of a jurisdiction’s illicit finance risks associated with VA or of compliance with the FATF standards.   この表は、ML/TFに対抗するための措置を実施している法域のレベルに関するアセスメントを提供するものではなく、FATFによるハイリスクおよびその他の監視対象法域の特定とは無関係であることに、利用者は留意すべきである。表の作成に使用されたオープンソースデータも、検証目的で使用されたブロックチェーン分析企業のデータも、VAに関連する司法管轄区の不正金融リスクやFATF標準への準拠の評価に基づくものではない。 
A jurisdiction’s inclusion in the table therefore carries no indication – either positive or negative – regarding that jurisdiction’s degree of risk or its level of compliance with R15. The table provides an overview of the implementation status of R15 at the time of the update (from January to March 2024) and identifies each jurisdiction’s rating for R 15, if applicable, at the date of the rating; this information may not reflect the latest implementation progress of each jurisdiction.   したがって、この表に含まれる法域は、その法域のリスクの程度やR15への準拠度合いについて、肯定的であれ否定的であれ、何ら示唆を与えるものではない。この表は、更新時点(2024年1月から3月まで)におけるR15の実施状況の概要を提供し、R15に対する各法域の格付け(該当する場合)を特定するものであり、この情報は各法域の最新の実施状況を反映していない可能性がある。 
The information in this table does not replicate or replace a mutual evaluation or follow-up assessment of the country’s compliance with R15. While the data has been cross-checked against available assessment results, it has not been subject to detailed analysis against the FATF Methodology.  Users are cautioned to independently verify and confirm the information in this table by undertaking their own independent research before using this information.    この表の情報は、その国のR15遵守に関する相互評価やフォローアップ評価に代わるものではない。データ主体は、入手可能な評価結果と照合しているが、FATF手法に照らして詳細な分析を行っていない。 利用者は、本情報を利用する前に、独自に調査を行い、本表の情報を独自に検証・確認するよう注意されたい。  

 

Methodology for identifying jurisdictions with materially important virtual asset activities  重要な仮想資産活動を行う国・地域の識別方法 
This table of jurisdictions with materially important virtual asset service provider (VASP) activities. includes all FATF members (by virtue of their membership of FATF) plus 20 non-FATF member jurisdictions which host materially important VASP activities. This section sets out the basis on which the latter 20 jurisdictions were identified.    この表は、実質的に重要な仮想資産サービスプロバイダー(VASP)活動を有する国・地域の一覧であ る。この表には、(FATFに加盟していることにより)すべてのFATF加盟国に加え、実質的に重 要なVASP活動をホストしている20の非加盟国・地域が含まれている。本セクションでは、後者の20カ国・地域が特定された根拠を示す。  
The FATF used a methodology adopted at the June 2023 Plenary as the basis for the Table. This uses the following two criteria:    FATFは、表の基礎として、2023年6月の総会で採択された手法を使用した。これは、以下の2つの基準を用いるものである:   
•       Jurisdictions with materially important VASPs, based on trading volume (over  - 取引量に基づく、実質的に重要なVASPを有する国・地域(世界の取引量の0.25%以上)。
0.25% of global trading); and/or  グローバル取引の 0.25%以上)、および/または 
•       Jurisdictions with a large virtual asset user base (over 1 million users).  - 大規模な仮想資産ユーザーベース(100万人以上)を有する管轄区域。
In total, 20 non-FATF jurisdictions met the criteria for inclusion: 11 non-FATF jurisdictions met the first criterion (trading volume), 5 met the second criterion (user base), and 4 met both criteria.   合計で 20 の非 FATF 国・地域が参加基準を満たした。11 の非 FATF 国・地域が第 1 の基準(取引量)を満たし、5 が第 2 の基準(ユーザーベース)を満たし、4 が両方の基準を満たした。 
Criterion 1: Trading Volume  基準1:取引量 
The first criterion, trading volume, was measured using open-source data from a widely-used open-source provider of market information relating to VASP activity. This data was used to identify the 207 VASPs with the largest average daily trading volume from January 2022 to December 2022. The trading volume conducted by each VASP was then attributed to the relevant jurisdiction(s). Through this process, the FATF Secretariat was able to identify all jurisdictions with over a 0.25% market share of global trading volume (i.e., meeting criterion 1).  最初の基準である取引量は、VASP 活動に関連する市場情報のプロバイダとして広く利用されているオープンソースのデータを用いて測定した。このデータは、2022年1月から2022年12月までの1日の平均取引量が最も多い207のVASPを特定するために使用された。そして、各VASPが行った取引量を関連する法域に帰属させた。このプロセスを通じて、FATF事務局は、世界の取引量の0.25%以上の市場シェアを有する(すなわち、基準1を満たす)すべての法域を特定することができた。
For most VASPs, the entire trading volume was attributed to the jurisdiction of incorporation (or, where this information was not available, the physical location of the VASP). For the 15 largest VASPs (those with over a 2% market share) the attribution of their trading volume was divided equally across multiple jurisdictions, including the jurisdiction of incorporation and those jurisdictions where the VASP is licensed/registered. This was done in order to prevent the market concentration of a few dominant entities in the global VASP sector from distorting the analysis of where significant VASP activity takes place.   ほとんどの VASP については、全取引高が法人設立の法域(または、この情報が入手できない 場合には、VASP の物理的所在地)に帰属していた。15大VASP(市場シェア2%超のVASP)については、その取引高の帰属を、設立管轄地とVASPが免許/登録を受けている管轄地を含む複数の管轄地に均等に分けた。これは、世界のVASPセクターにおける少数の支配的事業体の市場集中が、重要なVASP活動がどこで行われているかの分析を歪めることを防ぐために行われた。 
The results of the analysis above were then cross-checked against data from blockchain analytics companies (BACs), in order to verify the accuracy of the opensource data and eliminate any anomalous results. Jurisdictions which met the criteria based on open-source data, but were not identified in any of the BAC datasets for this criterion, were not included in the table.    上記の分析結果は、オープンソースデータの正確性を検証し、異常な結果を排除するために、ブロックチェーン分析会社(BAC)のデータと照合された。オープンソースデータに基づく基準を満たしたが、この基準に関するBACデータセットのいずれにも識別されなかった管轄区域は、表に含まれなかった。  
Criterion 2: User base  基準2:ユーザーベース 
As with the first criterion, the FATF Secretariat started with open-source data on virtual asset use in all jurisdictions to identify those jurisdictions with over 1 million users. This provided the Secretariat with an initial group of jurisdictions that appeared to meet criterion 2. As with criterion 1, this initial group of jurisdictions was cross-checked against BAC data for user numbers, site visits to exchanges, or a proxy[1]. The Secretariat confirmed that each jurisdiction identified in the opensource data was also identified by at least one BAC. Jurisdictions which met the criteria based on open-source data, but were not identified in any of the BAC datasets for this criterion, were not included in the table.   基準1と同様、FATF事務局はまず、すべての国・地域における仮想資産の利用状況に関するオープンソースデータから、100万人以上の利用者がいる国・地域を特定した。これにより事務局は、基準2を満たすと思われる国・地域の初期グループを得た。基準1と同様に、この最初の国・地域のグループについても、BACのデータと照合し、ユーザー数、取引所への訪問、またはその代理[7]を確認した。事務局は、オープンソースデータで識別された各法域が、少なくとも1つのBACでも識別されていることを確認した。オープンソースデータに基づく基準を満たし ているが、この基準についてはいずれのBACデータセットでも識別されていない法域は、表に含めなかった。 
Additional Considerations   その他の考慮事項  
In addition to excluding jurisdictions from the table if their material importance for either criterion was not verified based on BAC data, the BAC data was also used to check that there were no additional jurisdictions which were considered materially important by BACs, but which had not been identified based on open-source information (which might indicate that the choice of thresholds should be reconsidered). No such jurisdictions were identified.    BACデータに基づいて、いずれかの基準における重要性が確認されなかった国・地域を表から除外することに加え、BACデータを使用して、BACが重要であるとみなしたが、オープンソース情報に基づいて特定されなかった国・地域(閾値の選択を再考すべきであることを示す可能性がある)が追加的に存在しないことを確認した。そのような国・地域は識別されなかった。  
What does it mean for jurisdictions to be on the Table?   法域が「テーブル」に載るとはどういうことか? 
Based on the criteria above, it should be clear that the inclusion of a jurisdiction in the table is based on meeting one or more of three conditions:   上記の基準に基づくと、表への法域の掲載は、3つの条件のうち1つ以上を満たすことに基づいていることは明らかであろう:  
•       FATF membership;  - FATFに加盟している; 
•       Hosts VASPs with > 0.25% of global virtual asset trading volume; and/or   - 世界の仮想資産取引量の0.25%以上のVASPをホストしている。 
•       Has 1 million or more virtual asset users  - 100万人以上の仮想資産ユーザーがいる 
Neither the open-source data used to compile the table, nor the BAC data used for verification purposes, is based on any assessment of a jurisdiction’s illicit finance risks associated with virtual assets or of compliance with the FATF standards. A jurisdiction’s inclusion in the table therefore carries no indication – either positive or negative – regarding that jurisdiction’s degree of risk or its level of compliance. The purpose of this exercise is to identify jurisdictions with materially important virtual asset sectors, so that the FATF network can better support them in regulating and supervising VASPs for AML/CFT purposes.  この表を作成するために使用されたオープンソースデータも、検証のために使用されたBACデータも、仮想資産に関連する司法管轄区の不正金融リスクやFATF標準への準拠の評価に基づくものではない。従って、この表への法域の掲載は、その法域のリスク度合いやコンプライアンス・レベルについ て、肯定的であれ否定的であれ、何ら示唆を与えるものではない。この運動の目的は、AML/CFT目的のためにVASPを規制・監督する際にFATFネットワークがよりよく支援できるよう、仮想資産セクターが実質的に重要な国・地域を特定することである。

 

[1] ee reports of the UN Panel of Experts established pursuant to Resolution 1874 (2009); in particular the 2022 midterm report (S/2022/668), and the 2023 midterm report (S/2023/656), both available from [web] [1] 決議1874(2009)に基づき設置された国連専門家パネルの報告書、特に2022年中間報告書(S/2022/668)、2023年中間報告書(S/2023/656)、いずれも[web]
[2] See FATF (2023), Countering Ransomware Financing, [web] [2] FATF (2023), Countering Ransomware Financing, [web] を参照のこと。 
[3] Including in combination with crowdfunding platforms, as set out in FATF (2023), Crowdfunding for Terrorist Financing, [web] [3] FATF(2023)『テロ資金調達のためのクラウドファンディング』[web] で規定されているように、クラウドファンディング・プラットフォームとの組み合わせも含む。 
[4] Please see FATF (2021) Updated Guidance on a Risk-Based Approach for VASPs, para.199. [web] [FATF (2021) Updated Guidance on a Risk-Based Approach for VASPs, para.199. [web] を参照のこと。
[5] The survey was distributed in English, French, and Spanish.  [5] 調査票は英語、フランス語、スペイン語で配布された。
[6] Jurisdictions were asked to provide basic evidence to support their responses (e.g., a link to the legislation).   [6] 各法域は、回答を裏付ける基本的な証拠(例えば、法令へのリンク)を提供するよう求められた。 
[7] Not all BACs were able to provide user numbers, some provided data on the number of visits to central exchanges. The Secretariat therefore looked to confirm that the BAC identified the jurisdiction as having 1 million users or over 40 million (non-unique) visits or whether the country was in the BAC’s list of top 40 jurisdictions by userbase.  [7] すべてのBACが利用者数を提供できたわけではなく、中央取引所への訪問数に関するデータを提供したところもあった。このため事務局は、BACが当該法域のユーザー数を100万人、または訪問者数を4,000万人(一意でない)以上と認定しているかどうか、あるいは当該国がBACのユーザー数上位40法域のリストに含まれているかどうかを確認した。

 

 


金融庁

・2024.04.02 金融活動作業部会(FATF)による「FATFメンバー法域及び重要な暗号資産サービス・プロバイダー(VASP)の活動がある法域における勧告15の実施状況一覧表」の公表について

 

・2024.04.02 「マネロン・テロ資金供与対策ガイドラインに関するよくあるご質問(FAQ)」の改訂版公表について

・・[PDF] (別紙1)「マネロン・テロ資金供与対策ガイドラインに関するよくあるご質問(FAQ)」

20240404-165703

・・[PDF] (別紙2)新旧対照表



| | Comments (0)

2024.04.02

ENISA 2030年のサイバーセキュリティ脅威の展望- 2024年更新版のエグゼクティブサマリー

こんにちは、丸山満彦です。

2030年のサイバーセキュリティ脅威の展望- 2024年更新版のエグゼクティブサマリーです...

この前のバージョンは、1年前の公表されていて、このブログでも紹介しています...

1年前に比べて、

4. 膨大なクロスセクターの技術エコシステムにおけるパッチ未適用・時代遅れのシステムの悪用

10. 重要なデジタル・インフラに対する自然/環境破壊の物理的影響

が新たにトップ10入りしていますね...

 

ENISA

 ・2024.03.27 Foresight Cybersecurity Threats For 2030 - Update 2024: Executive Summary

 

Foresight Cybersecurity Threats For 2030 - Update 2024: Executive Summary 2030年のサイバーセキュリティ脅威の展望- 2024年最新版: エグゼクティブサマリー
This is the executive summary of the second iteration of The “ENISA Foresight Cybersecurity Threats for 2030” study that represents a comprehensive analysis and assessment of emerging cybersecurity threats projected for the year 2030. The report reassesses the previously identified top ten threats and respective trends whilst exploring the developments over the course of a year. 本書は、2030年に予測される新たなサイバーセキュリティの脅威を包括的に分析・評価した「ENISA Foresight Cybersecurity Threats for 2030」調査の第2回目のエグゼクティブサマリーである。本報告書では、1年間の動向を探りつつ、前回特定した脅威のトップ10とそれぞれの傾向を再評価している。

 

・[PDF]

20240402-50322

 

・[DOCX] 仮訳

 

 

ことしのトップ21

  THREAT 
1 Supply Chain Compromise of Software Dependencies   ソフトウェア依存のサプライチェーンの侵害  
2 Skill Shortage   スキル不足  
3 Human Error and Exploited Legacy Systems within Cyber-Physical Ecosystems   サイバー・フィジカル・エコシステムにおけるヒューマンエラーと悪用されたレガシーシステム  
4 Exploitation of Unpatched and Out-of-date Systems within the Overwhelmed Crosssector Tech Ecosystem [Optional]   膨大なクロスセクターの技術エコシステムにおけるパッチ未適用・時代遅れのシステムの悪用【新規】  
5 Rise of Digital Surveillance Authoritarianism / Loss of Privacy   デジタル監視の台頭 権威主義/プライバシーの喪失  
6 Cross-border ICT Service Providers as Single Point of Failure   単一障害点としての国境を越えたICTサービスプロバイダ  
7 Advanced Disinformation / Influence Operations (IO) Campaigns   高度な偽情報/影響力作戦(IO)キャンペーン  
8 Rise of Advanced Hybrid Threats   高度なハイブリッド型脅威の台頭  
9 Abuse of AI   AIの乱用  
10 Physical Impact of Natural/Environmental Disruptions on Critical Digital Infrastructure [Optional]   重要なデジタル・インフラに対する自然/環境破壊の物理的影響【新規】
11 Lack of Analysis and Control of Space-based Infrastructure and Objects   宇宙を拠点とするインフラと物体の分析と管理の欠如  
12 Targeted Attacks (e.g. Ransomware) Enhanced by Smart Device Data   スマートデバイスのデータによって強化される標的型攻撃(ランサムウェアなど  
13 Increased Digital Currency-enabled Cybercrime [Optional]   デジタル通貨を利用したサイバー犯罪の増加【新規】
14 Manipulation of Systems Necessary for Emergency Response [Optional]   緊急対応に必要なシステムの操作【新規】
15 Tampering with Deepfake Verification Software Supply Chain [Optional]   Deepfake検証ソフトウェアのサプライチェーンを改ざんする【新規】
16 AI Disrupting/Enhancing Cyber Attacks [Optional]   サイバー攻撃を妨害/強化するAI【新規】
17 Malware Insertion to Disrupt Food Production Supply Chain [Optional]   食品製造のサプライチェーンを混乱させるマルウェアの挿入【新規】
18 Exploitation of E-health (and Genetic) Data [Optional]   Eヘルス(および遺伝子)データの活用【新規】
19 Attacks Using Quantum Computing [Optional]   量子コンピューティングを利用した攻撃【新規】
20 Disruptions in Public Blockchains [Optional]   パブリック・ブロックチェーンの混乱【新規】
21 Technological Incompatibility of Blockchain Technologies [Optional]   ブロックチェーン技術の技術的非互換性【新規】

 

2023年当時のトップ21

1. SUPPLY CHAIN COMPROMISE OF SOFTWARE DEPENDENCIES 1. ソフトウェア依存のサプライチェーン侵害
2. ADVANCED DISINFORMATION CAMPAIGNS  2. 高度な偽情報キャンペーン 
3. RISE OF DIGITAL SURVEILLANCE AUTHORITARIANISM / LOSS OF PRIVACY 3. デジタル監視の権威主義の台頭/プライバシーの喪失
4. HUMAN ERROR AND EXPLOITED LEGACY SYSTEMS WITHIN CYBER PHYSICAL ECOSYSTEMS  4. サイバーフィジカル・エコシステム内のヒューマンエラーと悪用されたレガシーシステム 
5. TARGETED ATTACKS (E.G. RANSOMWARE) ENHANCED BY SMART DEVICE DATA 5. スマートデバイスのデータによって強化される標的型攻撃(ランサムウェアなど)
6. LACK OF ANALYSIS AND CONTROL OF SPACEBASED INFRASTRUCTURE AND OBJECTS 6. 宇宙を拠点とするインフラや物体の分析と制御の欠如
7. RISE OF ADVANCED HYBRID THREATS 7. 高度なハイブリッド型脅威の台頭
8. SKILL SHORTAGES 8. スキル不足
9. CROSS-BORDER ICT SERVICE PROVIDERS AS A SINGLE POINT OF FAILURE  9. 単一障害点としての国境を越えたICTサービスプロバイダ 
10. ARTIFICIAL INTELLIGENCE ABUSE 10. AIの悪用
11. INCREASED DIGITAL CURRENCY-ENABLED CYBERCRIME 11. デジタル通貨を利用したサイバー犯罪の増加
12. EXPLOITATION OF E-HEALTH (AND GENETIC) DATA 12. eヘルス(および遺伝子)データの悪用
13. TAMPERING WITH DEEPFAKE VERIFICATION SOFTWARE SUPPLY CHAIN 13. ディープフェイク検証ソフトウェアのサプライチェーンの改ざん
14. ATTACKS USING QUANTUM COMPUTING 14. 量子コンピューティングを利用した攻撃
15. EXPLOITATION OF UNPATCHED AND OUT-OFDATE SYSTEMS WITHIN THE OVERWHELMED CROSSSECTOR TECH ECOSYSTEM  15. 圧倒的なクロスセクター技術エコシステムの中での、パッチ未適用や最新でないシステムの悪用
16. AI DISRUPTING / ENHANCING CYBER ATTACKS 16. AIによるサイバー攻撃の撹乱・強化 
17. MALWARE INSERTION TO DISRUPT FOOD PRODUCTION SUPPLY CHAINE 17. 食品製造のサプライチェーンを混乱させるマルウェアの挿入 
18. TECHNOLOGICAL INCOMPATIBILITY OF BLOCKCHAIN TECHNOLOGIES 18. ブロックチェーン技術の技術的非互換性
19. DISRUPTIONS IN PUBLIC BLOCKCHAINS 19. パブリック・ブロックチェーンにおける混乱
20. PHYSICAL IMPACT OF NATURAL / ENVIRONMENTAL DISRUPTIONS ON CRITICAL DIGITAL INFRASTRUCTURE 20. 自然/環境破壊が重要なデジタルインフラに与える物理的影響
21. MANIPULATION OF SYSTEMS NECESSARY FOR EMERGENCY RESPONSE 21. 緊急対応に必要なシステムの操作

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.09.20 ENISA 2030の脅威の展望 (2023.09.13)

・2023.04.04 ENISA 先見の明 2030年に向けたサイバーセキュリティの脅威 (2023.03.29)



 

 

| | Comments (0)

米国 FedRAMPの新しいloadマップ(2024-2025)

こんにちは、丸山満彦です。

連邦政府が利用するクラウドサービスを登録するFedRAMPは2011年に開始され、もう10年以上運用されていますね...このブログでも

・2012.02.16 FedRAMP (クラウドサービスのセキュリティ評価の標準アプローチ)

で紹介しています...

で、最近の変化等も見据えて、2024年ー2025年のロードマップを公表していますね...

さすがと思うのは、OSCALについてもふれているところです...

OSCALは野心的な取り組みと個人的には思うのですが、これが普及すれば、セキュリティ監査というか、評価というか...が自動化され、効率化されるので、効果は大きいですね...

日本でも米国を習ってOSCALを取り入れようとする動きはあるので、興味深いところです...

 

FedRAMP - Blog

・2024.03.27 A New Roadmap for FedRAMP

 

 

A New Roadmap for FedRAMP FedRAMPの新しいロードマップ
Today, the FedRAMP program is releasing a roadmap, to convey our strategic goals and how we’re prioritizing our work in the near term to drive progress against them. 本日、FedRAMP プログラムはロードマップを発表し、我々の戦略的目標と、それに対する進捗を促進するための当面の作業の優先順位付けを説明する。
In recent years, there has been a significant public focus on modernizing FedRAMP. In 2022, Congress passed a new law codifying the program. In 2023, the White House Office of Management and Budget (OMB) released a draft policy memorandum proposing significant changes to program operations and governance. Broadly, these changes have been intended to keep what’s worked well about FedRAMP, while creating a runway for the program to adapt to change, now and into the future. ここ数年、FedRAMPの近代化に大きな注目が集まっている。2022年、議会はプログラムを成文化する新しい法律を可決した。2023年、ホワイトハウスの行政管理予算局(OMB)は、プログラムの運用とガバナンスの大幅な変更を提案する政策メモのドラフトを発表した。大まかに言えば、これらの変更は、FedRAMPについてこれまでうまく機能してきたことを維持する一方で、現在および将来にわたってプログラムが変化に適応するための道筋を作ることを意図している。
And that makes sense, because a lot has changed since FedRAMP was created in 2011. At that time, the federal government was overwhelmingly focused on making sure agencies could benefit from the explosion in commercial, cloud-based computing infrastructure that was transforming how enterprises around the world thought about building and scaling software. FedRAMP proved critical to creating a well-lit path to bring that cloud computing infrastructure into government, where its use is now widespread. というのも、2011年にFedRAMPが創設されて以来、多くの変化があったからだ。当時、連邦政府は、世界中のエンタープライズがソフトウェアの構築とスケーリングについてどのように考えているかを変えつつあった、商業的なクラウドベースのコンピューティング・インフラストラクチャの爆発的な増加から、各省庁が利益を得られるようにすることに圧倒的に重点を置いていた。FedRAMPは、クラウド・コンピューティング・インフラストラクチャを政府に導入するための明確な道筋を作る上で極めて重要であることを証明した。
Today, what federal agencies need from FedRAMP is not only computing infrastructure, but everything that’s being built on top of it. Modern enterprises today run on a kaleidoscope of cloud-based applications, large and small. It is critical that FedRAMP be well-positioned to make sure federal agencies get the full benefit of these software-as-a-service (SaaS) cloud offerings. 今日、連邦政府機関がFedRAMPから必要としているのは、コンピューティング・インフラストラクチャだけでなく、その上に構築されるすべてのものである。現代のエンタープライズは、大小さまざまなクラウドベースのアプリケーションを万華鏡のように駆使している。FedRAMPは、連邦政府機関がこれらのSaaS(Software-as-a-Service)クラウドオファリングの恩恵をフルに享受できるよう、万全の態勢を整えることが重要である。
While SaaS applications are used in government, and FedRAMP does have some in its marketplace, it’s not nearly enough and it’s not working the way that it should. We know that for many companies, especially software-focused companies, it takes too much time and money to get a FedRAMP authorization. And we’re particularly cognizant that we need to scale and automate our own processes beyond where they’re at now if we want to meaningfully grow the FedRAMP marketplace. SaaSアプリケーションは政府で使用されており、FedRAMPはその市場でいくつか使用しているが、それはほとんど十分ではなく、あるべきようには機能していない。我々は、多くの企業、特にソフトウェアに特化した企業にとって、FedRAMP認可を得るには時間と費用がかかりすぎることを知っている。そして、FedRAMP市場を有意義に成長させたいのであれば、現在よりも規模を拡大し、独自のプロセスを自動化する必要があることを特に認識している。
Our roadmap lays out our 4 primary goals: 我々のロードマップには、4つの主要目標が示されている:
Orienting around the customer experience. We’ll simplify the process for cloud providers, and make the results more useful for agencies. As we do that, we want our conception of how much time and money it costs to go through FedRAMP to match our customers’ lived experience as closely as possible. 顧客体験を重視する。クラウドプロバイダーにとってプロセスを簡素化し、機関にとって結果をより有益なものにする。その際、FedRAMP を通過するためにどれだけの時間と費用がかかるかという概念を、可能な限り顧客の実体験に近づけたい。
Cybersecurity leadership. FedRAMP is a security and risk management program. We’ll make our security expectations clearer and more consistent for every kind of FedRAMP authorization. At the same time, we’ll start and continue updating FedRAMP policies to make sure a too-rigid approach doesn’t get in the way of real-world security. サイバーセキュリティのリーダーシップ。FedRAMPはセキュリティとリスクマネジメントのプログラムである。我々は、FedRAMPのあらゆる認可について、セキュリティへの期待をより明確にし、一貫性を持たせる。同時に、厳格すぎるアプローチが現実のセキュリティの妨げにならないよう、FedRAMPポリシーの更新を開始し、継続する。
Scaling a trusted marketplace. We’ll develop clear processes with trusted authorizing partners that cut down on unnecessary reviews at GSA. At the same time, FedRAMP will centrally take on more post-authorization monitoring and automate as much of it as possible. 信頼される市場を拡大する。信頼できる認可パートナーと明確なプロセスを開発し、GSA での不必要な審査を削減する。同時に、FedRAMP は認可後の監視を一元的に引き受け、可能な限り自動化する。
Smarter, technology-forward operations. We’ll build a data-first, API-first foundation for FedRAMP by putting the tools, specs, and services in place to create and share digital authorization packages and other information. よりスマートな、テクノロジー先進の業務。デジタル認可パッケージやその他の情報を作成・共有するためのツール、仕様、サービスを整備することで、FedRAMP のデータ・ファースト、API・ファーストの基盤を構築する。
Our roadmap contains some specific initiatives we’re undertaking to make concrete progress against these goals: 私たちのロードマップには、これらの目標に対して具体的な前進を遂げるための具体的な取り組みがいくつか含まれている:
1. An agile approach to change management. FedRAMP needs to enable agile software delivery of security improvements and other features. To do this, we plan to replace the “significant change request” process with an approach that does not require advance approval for each change. We’ll start by piloting a new process with interested authorized cloud providers, and use the pilot to finalize broader guidance. 1. 変更管理へのアジャイル・アプローチ:FedRAMPは、セキュリティ改善やその他の機能の俊敏なソフトウェア提供を可能にする必要がある。そのために、「重要な変更要求」プロセスを、変更ごとに事前の承認を必要としないアプローチに置き換えることを計画している。私たちはまず、関心のある認可クラウド・プロバイダーと新しいプロセスを試験的に実施することから始め、この試験的なプロセスを利用して、より広範なガイダンスを確定する。
2. Publish new, customer-oriented program metrics. If we are going to impact the cost of FedRAMP and how long it takes to get and stay authorized, we need a better way to measure those things, informed by what our customers are actually experiencing. Likewise, we need to refine our understanding of our agencies’ customers’ experience and focus on ensuring they can efficiently and securely leverage cloud services to meet their mission needs. We plan to survey customers about their experience, soon and at a regular cadence, and to update FedRAMP’s formal performance metrics based on this survey to align with customer outcomes. 2. 顧客志向の新しいプログラム指標の公表:FedRAMPのコストや認可の取得・維持にかかる期間に影響を与えようとするならば、顧客が実際に経験していることに基づいた、より良い測定方法が必要である。同様に、われわれは各省庁の顧客の経験についての理解を深め、彼らがミッションのニーズを満たすためにクラウドサービスを効率的かつ安全に活用できるようにすることに集中する必要がある。われわれは、顧客の経験について、近々、定期的に調査を行い、この調査に基づいてFedRAMPの正式なパフォーマンス指標を更新し、顧客の成果と整合させることを計画している。
3. Define FedRAMP’s core security expectations. A central challenge of FedRAMP is to accommodate varying risk tolerances across agencies, while still setting a high enough bar for its authorizations to broadly support agency reuse without additional work. We plan to make progress here by more clearly defining the outcomes we expect all types of authorizations to meet. We will also work closely with the Cybersecurity and Infrastructure Security Agency (CISA) to develop and deploy the best protections for and minimize the risk to the federal enterprise. By combining this with more public documentation and examples of how cloud providers meet FedRAMP’s security goals, we can also streamline the authorization process overall. 3. FedRAMPが期待する中核的なセキュリティの定義:FedRAMP の中心的な課題は、各省庁によって異なるリスク許容度に対応する一方で、追加作業なしに各省庁の再利用を広くサポートできるよう、認可の基準を十分に高く設定することである。われわれは、あらゆる種類の認可が満たすべき成果をより明確に定義することで、ここでの進展を図る計画である。また、サイバーセキュリティ・インフラセキュリティ庁(CISA)と緊密に連携し、連邦エンタープライズに対するリスクを最小化するための最善の防御を開発・展開する。これを、クラウドプロバイダがFedRAMPのセキュリティ目標をどのように満たしているかの、より多くの公開文書や事例と組み合わせることで、認可プロセス全体を合理化することもできる。
4. Keeping FedRAMP policies focused on outcomes. As a security-first program, FedRAMP needs to care not only about what is required, but about how those requirements can be reasonably applied and how they work out in practice. FedRAMP will hold cloud providers to a high standard informed by how implementation best practices have evolved, and that provides the flexibility needed to stay focused on security outcomes. We’ll start with updated guidance in a few areas that we know are particular authorization pain points now (such as FIPS 140, DNSSEC, and external service integrations), and set up a regular process for understanding where to focus over time. 4. FedRAMP ポリシーを成果に集中させる:セキュリティ第一のプログラムであるFedRAMPは、何が要求されているかだけでなく、それらの要求事項がどのように合理的に適用され、実際にどのように機能するかに注意を払う必要がある。FedRAMPはクラウドプロバイダに、実装のベストプラクティスがどのように進化してきたかによって知らされる高い標準を課し、セキュリティの成果に焦点を当て続けるために必要な柔軟性を提供する。我々は、現在特に認可のペインポイントであることが分かっているいくつかの分野(FIPS 140、DNSSEC、外部サービスの統合など)のガイダンスを更新することから始め、時間をかけてどこに重点を置くべきかを理解するための定期的なプロセスを設定する。
5. Increase the authorizing capacity of the FedRAMP ecosystem. We will work with trusted authorizing partners to align our processes and eliminate the need for extensive per-package review by the program. We will be piloting this approach with our partners at DISA who serve as the Cloud Authorizing Official for the Department of Defense. More generally, we will be supporting OMB and the FedRAMP Board in convening joint authorization groups, who we expect to be strong candidates for this streamlined approach 5. FedRAMPエコシステムの認可能力の向上;信頼できる認可パートナーと協力してプロセスを調整し、プログラムによる大規模なパッケージごとのレビューの必要性を排除する。国防総省のクラウド認可官を務めるDISAのパートナーとともに、このアプローチを試験的に実施する。より一般的には、OMBとFedRAMP理事会が合同認可グループを招集するのを支援する予定であり、 我々は、この合理化されたアプローチの有力な候補者であると期待している。
6.Move to digital authorization packages. While a full migration will take time, FedRAMP needs to operate as a data-first program for its processes to scale. We will define machine readable packages, in OSCAL, and provide the guidance and tools to help our customers create and share them. Our goal is to leverage automated validation and assessment of packages, as well as system-to-system integration with our FedRAMP governance, risk, and compliance (GRC) platform to modernize and scale. We will work with interested cloud providers to pilot creating these packages and incorporating them into the authorization process in partnership with interested agencies. 6. デジタル認可パッケージへの移行:完全な移行には時間がかかるだろうが、FedRAMP はそのプロセスを拡張するためにデータ優先のプログラムとして運用する必要がある。我々はOSCALで機械可読パッケージを定義し、顧客がそれを作成し共有できるようにガイダンスとツールを提供する。我々の目標は、FedRAMPガバナンス、リスク、コンプライアンス(GRC)プラットフォームとのシステム間統合だけでなく、パッケージの自動検証とアセスメントを活用し、近代化と拡張を図ることである。私たちは関心のあるクラウドプロバイダーと協力して、これらのパッケージを試験的に作成し、関心のある省庁と協力して認可プロセスに組み込む。
There are other things we’re working on too, like exploring reciprocity with external frameworks, and partnering with our colleagues at CISA on scaling secure configuration guides and threat sharing. Take a look at our published roadmap for more details. その他にも、外部フレームワークとの互恵関係を模索したり、CISAの同僚と協力して安全なコンフィギュレーション・ガイドや脅威の共有の拡張に取り組んだりしている。詳細については、公表されているロードマップをご覧いただきたい。
We’re hoping to see a number of outcomes from our efforts over time. We expect our industry providers to be able to more effectively deploy changes, and our agency partners to see more features – including security features – faster. We expect to stabilize our review “backlog”, and keep it stabilized over the long term. We expect cloud providers, agencies, and third party assessors to have a better understanding of our security requirements, leading to higher quality packages and ultimately greater trust in the FedRAMP program. 私たちは、この取り組みから多くの成果が得られることを期待している。業界プロバイダがより効果的に変更を導入できるようになり、省庁パートナーがより多くの機能(セキュリティ機能を含む)をより早く利用できるようになることを期待している。我々は、レビューの「バックログ」を安定させ、長期的に安定させることを期待している。クラウドプロバイダ、エージェンシー、サードパーティ評価者がFedRAMPのセキュリティ要件をよりよく理解することで、パッケージの品質が向上し、最終的にはFedRAMPプログラムに対する信頼が高まることを期待している。
Most importantly, we want to understand early what’s working and what’s not so that we can adapt our work and priorities as we go. That’s why we’re planning to initiate pilots and deliver minimum viable products (MVPs) early wherever we can, and why we’ll be checking in with customers throughout the process. 最も重要なことは、何がうまくいっていて、何がうまくいっていないのかを早期に理解することで、我々の作業や優先順位を適宜変更できるようにすることだ。できる限り早い段階で試験運用を開始し、最小実行可能製品(MVP)を提供することを計画しているのもそのためであり、プロセス全体を通じて顧客に確認を取るのもそのためである。
These initiatives will take real time and resources, so as we move out on them, you may notice some shifts in how it feels to work with us. At least for a time, we’ll be less available for ad hoc calls and individualized service, as we focus on what we believe are more foundational changes that will improve the customer experience for everyone. Similarly, we will be doing fewer one-off communications and events, but when you do hear from us, it will be more significant, including updates to our overall roadmap at least a couple times each year. We’ll continue to ask for public comments on significant changes, including occasional public forums, so that we can incorporate your feedback throughout. これらの取り組みには実際の時間とリソースがかかるため、私たちがこの取り組みに着手するにつれ、私たちと仕事をする感覚に変化が生じるかもしれない。少なくともしばらくの間は、カスタマー・エクスペリエンスを向上させるより基本的な変更に集中するため、臨時の電話や個別のサービスには応じられないだろう。同様に、単発のコミュニケーションやイベントは少なくなるが、少なくとも毎年2、3回は全体的なロードマップを更新するなど、より重要なお知らせをする予定だ。また、重要な変更については、時折パブリック・フォーラムを開催するなどして、引き続きパブリック・コメントを求めていく。
Coming up next, we’ll be engaging on this roadmap and kicking off recruiting efforts for a new FedRAMP Director and other roles. Some dates to be aware of: 次に予定されているのは、このロードマップに関する取り組みと、新しいFedRAMP ディレクターやその他の役割のための採用活動の開始である。注意すべきいくつかの日程
April 1st and 3rd: GSA will hold information sessions on April 1 and April 3 about the upcoming FedRAMP Director role. 4月1日と4月3日:GSAは4月1日と4月3日に次期FedRAMPディレクターの役割に関する説明会を開催する。
Later in April: The role of FedRAMP Director will open for applications on USAJobs. 4月後半: FedRAMP ディレクターは USAJobs で公募される。
April 11: FedRAMP will hold a public forum to present and take questions on its updated roadmap. 4月11日:FedRAMPは公開フォーラムを開催し、更新されたロードマップについて発表し、質問を受け付ける。
April 18th: FedRAMP will be at the “Tech to Gov” hiring fair, where we’ll be looking for technology talent that can help us build the data- and API-driven FedRAMP of the future and support FedRAMP’s prioritization of generative AI and emerging technologies. 4月18日 FedRAMPは "Tech to Gov "採用フェアに参加し、将来のデータとAPI主導のFedRAMPを構築し、FedRAMPの優先事項である生成的AIと新興技術をサポートできる技術人材を探す。

 

・[PDF] FedRAMP Roadmap 2024-2025

20240401-163447

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

 

・2020.06.05 内閣官房 総務省 経済産業省 「政府情報システムのためのセキュリティ評価制度(ISMAP)」の運用を開始しました

・2012.02.16 FedRAMP (クラウドサービスのセキュリティ評価の標準アプローチ)

 

| | Comments (0)

2024.03.30

米国 CISA 意見募集 2022年重要インフラ向けサイバーインシデント報告法(CIRCIA) の規則案を公表

こんにちは、丸山満彦です。

2022年重要インフラ向けサイバーインシデント報告法の規則案が公表されました...

2022年重要インフラ向けサイバーインシデント報告法(CIRCIA)は、ランサムウェアの身代金を払ったら報告しろっという内容を含む法律ですね...

 

CISA

・2024.03.27 CISA Marks Important Milestone in Addressing Cyber Incidents; Seeks Input on CIRCIA Notice of Proposed Rulemaking

CISA Marks Important Milestone in Addressing Cyber Incidents; Seeks Input on CIRCIA Notice of Proposed Rulemaking CISAはサイバーインシデントへの対応において重要なマイルストーンとなるを置いた: CIRCIA規則案公示に関する意見募集
WASHINGTON – Today, the Federal Register posted for public inspection the Department of Homeland Security’s (DHS) Cybersecurity and Infrastructure Security Agency (CISA) Notice of Proposed Rulemaking (NPRM), which CISA was required to develop by the Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA). This marks a major step in bolstering America’s cybersecurity.  ワシントン発-本日、連邦官報は、国土安全保障省(DHS)のサイバーセキュリティ・インフラセキュリティ庁(CISA)が、2022年重要インフラ向けサイバーインシデント報告法(CIRCIA)によりCISAに策定を義務付けられていた規則策定提案公告(NPRM)を一般公開した。これはアメリカのサイバーセキュリティを強化する大きな一歩となる。
Implementation of CIRCIA will improve CISA’s ability to use cybersecurity incident and ransomware payment information reported to the agency to identify patterns in real-time, fill critical information gaps, rapidly deploy resources to help entities that are suffering from cyber attacks, and inform others who would be potentially affected. When information about cyber incidents is shared quickly, CISA can use this information to render assistance and provide warning to prevent other organizations from falling victim to a similar incident. This information is also critical to identifying trends that can help efforts to protect the homeland. The NPRM will soon formally publish in the Federal Register, following which the public will have 60 days to submit written comments to inform the direction and substance of the Final Rule.  CIRCIAの改善は、CISAに報告されたサイバーセキュリティインシデントとランサムウェアの支払い情報を利用して、リアルタイムでパターンを特定し、重要な情報のギャップを埋め、サイバー攻撃を受けている事業体を支援するためにリソースを迅速に配置し、影響を受ける可能性のある他の事業者に情報を提供するCISAの能力を向上させる。サイバーインシデントに関する情報が迅速に共有されれば、CISAはこの情報を利用して支援を提供し、他の組織が同様のインシデントの犠牲にならないよう警告を発することができる。また、この情報は、国土を守る取り組みに役立つ傾向を特定するためにも重要である。NPRMは間もなく連邦官報に正式に掲載され、その後一般市民は60日以内に最終規則の方向性と内容を決定するための意見書を提出することができる。
“Cyber incident reports submitted to us through CIRCIA will enable us to better protect our nation’s critical infrastructure,” said Secretary of Homeland Security Alejandro N. Mayorkas.  “CIRCIA enhances our ability to spot trends, render assistance to victims of cyber incidents, and quickly share information with other potential victims, driving cyber risk reduction across all critical infrastructure sectors. The proposed rule is the result of collaboration with public and private stakeholders, and DHS welcomes feedback during the public comment period on the direction and substance of the final rule.” アレハンドロ・N・マヨルカス国土安全保障長官は次のように述べた。「CIRCIAを通じて提出されたサイバーインシデント報告書により、わが国の重要インフラをよりよく保護することができるようになる。 CIRCIAは、傾向を把握し、サイバーインシデントの被害者に支援を提供し、他の潜在的な被害者と情報を迅速に共有する能力を強化し、すべての重要インフラ部門にわたってサイバーリスク削減を推進する。この規則案は、官民の利害関係者との協力の結果であり、DHSは、最終規則の方向性と内容に関するパブリック・コメント期間中のフィードバックを歓迎する。」
"CIRCIA is a game changer for the whole cybersecurity community, including everyone invested in protecting our nation’s critical infrastructure,” said CISA Director Jen Easterly. “It will allow us to better understand the threats we face, spot adversary campaigns earlier, and take more coordinated action with our public and private sector partners in response to cyber threats. We look forward to additional feedback from the critical infrastructure community as we move towards developing the Final Rule." CISAのディレクターのジェン・イーストリーは次のように述べた。「CIRCIAは、わが国の重要インフラの保護に投資するすべての人を含むサイバーセキュリティ・コミュニティ全体にとって、ゲームチェンジャーである。私たちが直面する脅威をよりよく理解し、敵のキャンペーンをより早く察知し、サイバー脅威に対して官民のパートナーとより協調した行動をとることができるようになる。最終規則の策定に向けて、重要インフラコミュニティからのさらなるフィードバックを期待している。」
Since September 2022, CISA has solicited input from public and private sector stakeholders, including the critical infrastructure community, as the agency developed the NPRM, and this open comment period is another opportunity for stakeholders to submit written comments on the NPRM. The NPRM contains proposed regulations for cyber incident and ransom payment reporting, as well as other aspects of the CIRCIA regulatory program. Implementation of CIRCIA enables CISA to develop insight into the cyber threat landscape to drive cyber risk reduction across the nation and to provide early warning to entities who may be at risk of targeting. The comments CISA received through the Request for Information (RFI) and listening sessions over the past year helped shape this NPRM. In turn, robust input on the NPRM will support our ability to implement CIRCIA to drive national cyber risk reduction. 2022年9月以来、CISAはNPRMの策定にあたり、重要インフラ・コミュニティを含む官民の利害関係者から意見を募っており、今回の意見公募期間も、利害関係者がNPRMに対する意見書を提出する機会となる。NPRM は、サイバーインシデントおよび身代金支払報告に関する規制案、ならびに CIRCIA 規制プログラムのその他の側面を含んでいる。CIRCIAの実施により、CISAはサイバー脅威の状況についての洞察を深め、全国的なサイバーリスクの低減を推進し、標的となるリスクのある事業体に対して早期に警告を発することができる。CISAが過去1年間に情報要求(RFI)およびリスニング・セッションを通じて受け取った意見は、このNPRMの形成に役立った。その結果、NPRM に対する積極的な意見は、国家的なサイバー・リスク削減を推進する CIRCIA の実施能力を支援することになる。
Visit cisa.gov/CIRCIA to learn more. 詳細は cisa.gov/CIRCIA を参照されたい。

 

Federal Register

・2024.03.27 Cyber Incident Reporting for Critical Infrastructure Act

・[PDF] 6 CFR Part 226 [Docket No. CISA-2022-0010] RIN 1670-AA04 Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA) Reporting Requirements

20240329-181555

 

目次...

TABLE OF CONTENTS 目次
I. PUBLIC PARTICIPATION I. 市民参加
II. EXECUTIVE SUMMARY II. 要旨
A. PURPOSE AND SUMMARY OF THE REGULATORY ACTION A. 規制措置の目的と概要
B. SUMMARY OF COSTS AND BENEFITS B. 費用と便益の概要
III. BACKGROUND AND PURPOSE III. 背景と目的
A. LEGAL AUTHORITY A. 法的認可
B. CURRENT CYBER INCIDENT REPORTING LANDSCAPE B. 現在のサイバーインシデント報告状況
C. PURPOSE OF REGULATION C. 規制の目的
i. Purposes of the CIRCIA Regulation i. CIRCIA規則の目的
ii. How the Regulatory Purpose of CIRCIA Influenced the Design of the Proposed CIRCIA Regulation ii. CIRCIAの規制目的が提案されたCIRCIA規制の設計にどのような影響を与えたか。
D. HARMONIZATION EFFORTS D. ハーモナイゼーションの取り組み
E. INFORMATION SHARING REQUIRED BY CIRCIA E. CIRCIAが求める情報共有
F. SUMMARY OF STAKEHOLDER COMMENTS F. 利害関係者のコメントの要約
i. General Comments i. 一般的コメント
ii. Comments on the Definition of Covered Entity ii. 対象事業体の定義に関するコメント
iii. Comments on the Definition of Covered Cyber Incident and Substantial Cyber Incident  iii. 対象となるサイバーインシデント及び実質的なサイバーインシデントの定義に関する意見 
iv. Comments on Other Definitions iv. その他の定義に関する意見
v. Comments on Criteria for Determining whether the Domain Name System Exception Applies  v. ドメインネームシステムの例外が適用されるかどうかの判断基準に関する意見 
vi. Comments on Manner and Form of Reporting, Content of Reports, and Reporting Procedures  vi. 報告の方法・形式、報告内容、報告手順に関する意見 
vii. Comments on the Deadlines for Submission of CIRCIA Reports  vii. CIRCIA 報告書の提出期限に関する意見 
viii. Comments on Third-Party Submitters  viii. サードパーティ提出者に関する意見 
ix. Comments on Data and Records Preservation Requirements ix. データおよび記録の保存要件に関するコメント
x. Comments on Other Existing Cyber Incident Reporting Requirements and the Substantially Similar Reporting Exception  x. その他の既存のサイバーインシデント報告要件および実質的に類似した報告例外に関する意見 
xi. Comments on Noncompliance and Enforcement  xi. コンプライアンス違反と執行に関する意見 
xii. Comments on Treatment and Restrictions on Use of CIRCIA Reports  xii. CIRCIA 報告書の取り扱いと使用制限に関するコメント 
IV. DISCUSSION OF PROPOSED RULE IV. 規則案の検討
A. DEFINITIONS A. 定義
i. Covered Entity  i. 対象事業体 
ii. Cyber Incident, Covered Cyber Incident, and Substantial Cyber Incident  ii. サイバーインシデント、対象サイバーインシデント、実質的サイバーインシデント 
iii. CIRCIA Reports  iii. CIRCIAレポート 
iv. Other Definitions iv. その他の定義
v. Request for Comments on Proposed Definitions v. 定義案に関する意見要求
B. APPLICABILITY B. 適用範囲
i. Interpreting the CIRCIA Statutory Definition of Covered Entity  i. CIRCIAの対象事業体の法定定義の解釈 
ii. Determining if an Entity is in a Critical Infrastructure Sector ii. 事業体が重要インフラ部門に属するかどうかの判断
iii. Clear Description of the Types of Entities that Constitute Covered Entities Based on Statutory Factors  iii. 法定要因に基づく、対象事業体を構成する事業体の種類の明確な説明 
iv. Explanation of Specific Proposed Applicability Criteria iv. 具体的な適用基準案の説明
v. Other Approaches Considered to Describe Covered Entity  v. 対象事業体を説明するために検討された他のアプローチ 
vi. Request for Comments on Applicability Section vi. 適用セクションに関する意見要求
C. REQUIRED REPORTING ON COVERED CYBER INCIDENTS AND RANSOM PAYMENTS C. 対象となるサイバーインシデントおよび身代金の支払いに関する報告義務
i. Overview of Reporting Requirements i. 報告要件の概要
ii. Reporting of Single Incidents Impacting Multiple Covered Entities ii. 複数の対象事業体に影響を与える単一インシデントの報告
D. EXCEPTIONS TO REQUIRED REPORTING ON COVERED CYBER INCIDENTS AND RANSOM PAYMENTS D. 対象となるサイバーインシデントおよび身代金の支払いに関する報告義務の例外
i. Substantially Similar Reporting Exception  i. 実質的に類似した報告の例外 
ii. Domain Name System (DNS) Exception ii. ドメインネームシステム(DNS)の例外
iii. Exception for Federal Agencies Subject to Federal Information Security Modernization Act Reporting Requirements iii. 連邦情報セキュリティ近代化法(Federal Information Security Modernization Act)報告要件の対象となる連邦機関の例外
E. MANNER, FORM, AND CONTENT OF REPORTS E. 報告の方法、形式および内容
i. Manner of Reporting  i. 報告の方法 
ii. Form for Reporting  ii. 報告の書式 
iii. Content of Reports  iii. 報告の内容 
iv. Timing of Submission of CIRCIA Reports  iv. CIRCIA報告書の提出時期 
v. Report Submission Procedures v. 報告書提出手順
vi. Request for Comments on Proposed Manner, Form, and Content of Reports vi. 報告書の様式、内容に関する意見要求
F. DATA AND RECORDS PRESERVATION REQUIREMENTS F. データおよび記録の保存要件
i. Types of Data That Must be Preserved  i. 保存されなければならないデータの種類 
ii. Required Preservation Period  ii. 必要な保存期間 
iii. Data Preservation Procedural Requirements iii. データ保存の手続き要件
iv. Request for Comments on Proposed Data Preservation Requirements iv. データ保全要件案に関する意見要求
G. ENFORCEMENT G. 実施
i. Overview i. 概要
ii. Request for Information  ii. 情報提供の要請 
iii. Subpoena  iii. 召喚状 
iv. Service of an RFI, Subpoena, or Notice of Withdrawal  iv. RFI、召喚状、または撤回通知の送達 
v. Enforcement of Subpoenas  v. 召喚状の執行 
vi. Acquisition, Suspension, and Debarment Enforcement Procedures  vi. 取得、一時停止、および資格剥奪の執行手続き 
vii. Penalty for False Statements and Representations  vii. 虚偽の陳述および表明に対する罰則 
viii. Request for Comments on Proposed Enforcement viii. 施行案に関する意見要求
H. PROTECTIONS H. 防御
i. Treatment of Information and Restrictions on Use  i. 情報の取り扱いと使用制限 
ii. Protection of Privacy and Civil Liberties  ii. プライバシーと自由の防御 
iii. Digital Security iii. デジタル・セキュリティ
iv. Request for Comments on Proposed Protections iv. 防御案に対する意見要求
I. SEVERABILITY I. 可逆性
V. STATUTORY AND REGULATORY ANALYSES V. 法規制に関する分析
A. REGULATORY PLANNING AND REVIEW A. 規制の計画と見直し
i. Number of Reports  i. 報告書の数 
ii. Industry Cost ii. 業界コスト
iii. Government Cost  iii. 政府コスト 
iv. Combined Costs  iv. 複合コスト 
v. Benefits  v. 利益 
vi. Accounting Statement  vi. 会計計算書 
vii. Alternatives vii. 代替案
B. SMALL ENTITIES B. 小規模事業体
C. ASSISTANCE FOR SMALL ENTITIES C. 小規模事業体に対する支援
D. COLLECTION OF INFORMATION D. 情報収集
E. FEDERALISM E. 連邦主義
F. UNFUNDED MANDATES REFORM ACT F. 義務不履行改革法
G. TAKING OF PRIVATE PROPERTY G. 私有財産の収奪
H. CIVIL JUSTICE REFORM H. 民事司法改革
I. PROTECTION OF CHILDREN I. 子どもの保護
J. INDIAN TRIBAL GOVERNMENTS J. インディアン部族政府
K. ENERGY EFFECTS K. エネルギーへの影響
L. TECHNICAL STANDARDS L. 技術標準
M. NATIONAL ENVIRONMENTAL POLICY ACT M. 国家環境政策法
VI. PROPOSED REGULATION  VI. 規制案 

 

規則案...

 VI. Proposed Regulation   VI. 規則案 
List of Subjects in 6 CFR Part 226 6 CFR Part 226の対象リスト
Computer Technology, Critical Infrastructure, Cybersecurity, Internet, Reporting and Recordkeeping Requirements.  コンピュータ技術、重要インフラ、サイバーセキュリティ、インターネット、報告および記録要件。
For the reasons stated in the preamble, and under the authority of 6 U.S.C. 681 through 681e and 6 U.S.C. 681g, the Department of Homeland Security proposes to add chapter II, consisting of part 226 to title 6 of the Code of Regulations to read as follows: 前文に記載された理由により、また合衆国法律集第 6 編第 681 条から第 681e 条および第 6 編第 681 条第 681g 条の認可に基づき、国土安全保障省は、規則集第 6 編第 226 部からなる第 II 章を以下のように追加することを提案する:
CHAPTER II--DEPARTMENT OF HOMELAND SECURITY, CYBERSECURITY AND INFRASTRUCTURE SECURITY AGENCY 第 II 章--国土安全保障省、サイバーセキュリティ・インフラセキュリティ庁
PART 226—COVERED CYBER INCIDENT AND RANSOM PAYMENT REPORTING 第 226 部:対象となるサイバーインシデントおよび身代金支払報告
Sec. セクション
226.1 Definitions. 226.1 定義
226.2 Applicability. 226.2 適用可能性
226.3 Required reporting on covered cyber incidents and ransom payments. 226.3 対象となるサイバーインシデントおよび身代金の支払いに関する報告義務
226.4 Exceptions to required reporting on covered cyber incidents and ransom payments. 226.4 対象となるサイバーインシデントおよび身代金の支払いに関する報告義務の例外
226.5 CIRCIA Report submission deadlines. 226.5 CIRCIA 報告書の提出期限
226.6 Required manner and form of CIRCIA Reports. 226.6 CIRCIA 報告書の要求される方法および形式
226.7 Required information for CIRCIA Reports. 226.7 CIRCIA 報告書に必要な情報
226.8 Required information for Covered Cyber Incident Reports. 226.8 対象サイバーインシデント報告書に必要な情報
226.9 Required information for Ransom Payment Reports. 226.9 身代金支払報告書に必要な情報
226.10 Required information for Joint Covered Cyber Incident and Ransom Payment Reports. 226.10 合同対象サイバーインシデントおよび身代金支払報告書に必要な情報
226.11 Required information for Supplemental Reports. 226.11 補足報告に必要な情報。
226.12 Third party reporting procedures and requirements. 226.12 サードパーティ報告手順および要件
226.13 Data and records preservation requirements. 226.13 データおよび記録の保存要件
226.14 Request for information and subpoena procedures. 226.14 情報要求および召喚手続き
226.15 Civil enforcement of subpoenas. 226.15 召喚状の民事執行
226.16 Referral to the Department of Homeland Security Suspension and Debarment Official. 226.16 国土安全保障省の資格停止および資格剥奪担当官への照会
226.17 Referral to Cognizant Contracting Official or Attorney General. 226.17 担当の契約担当官または司法長官への照会
226.18 Treatment of information and restrictions on use. 226.18 情報の取り扱いと使用制限
226.19 Procedures for protecting privacy and civil liberties. 226.19 プライバシーおよび市民的自由を保護するための防御措置。
226.20 Other procedural measures. 226.20 その他の手続き上の措置
AUTHORITY: 6 U.S.C. 681 – 681e, 6 U.S.C. 681g; Sections 2240-2244 and 2246 of the Homeland Security Act of 2002, Pub. L. 107–296, 116 Stat. 2135, as amended by Pub. L. 117-103 and Pub. L. 117-263 (Dec. 23, 2022).  認可:6 U.S.C. 681~681e、6 U.S.C. 681g、2002 年国土安全保障法(Homeland Security Act of 2002, Pub. L.107-296、116 Stat. L.117-103およびPub. L.117-263(2022年12月23日)により改正された。
§ 226.1 Definitions. § 226.1 定義
For the purposes of this part: 本編における定義:
CIRCIA means the Cyber Incident Reporting for Critical Infrastructure Act of 2022, as amended, in 6 U.S.C. 681 – 681g.
CIRCIAとは、6 U.S.C.681~681gにある、改正された2022年重要インフラ法を意味する。
CIRCIA Agreement means an agreement between CISA and another Federal agency that meets the requirements of § 226.4(a)(2), has not expired or been terminated, and, when publicly posted by CISA in accordance with § 226.4(a)(5), indicates the availability of a substantially similar reporting exception for use by a covered entity.  CIRCIA 合意とは、226.4 条(a)(2)の要件を満たし、失効または終了しておらず、226.4 条(a)(5)に従って CISA が公示する場合、対象事業体が実質的に同様の報告例外を利用できることを示す、CISA と他の連邦機関との間の合意をいう。
CIRCIA Report means a Covered Cyber Incident Report, Ransom Payment Report, Joint Covered Cyber Incident and Ransom Payment Report, or Supplemental Report, as defined under this part. CIRCIA 報告書とは、本編に基づき定義されるとおり、対象サイバーインシデント報告書、身代金支払 報告書、共同対象サイバーインシデント及び身代金支払報告書、又は補足報告書をいう。
Cloud service provider means an entity offering products or services related to cloud computing, as defined by the National Institute of Standards and Technology in Nat’l Inst. of Standards & Tech., NIST Special Publication 800-145, and any amendatory or superseding document relating thereto. クラウドサービスプロバイダとは、国立標準技術研究所の NIST 特別刊行物(NIST 特別刊行物 800-145)、およびこれに関連する修正文書または優先文書によって定義される、クラウドコンピューティングに関連する製品またはサービスを提供する事業体をいう。
Covered cyber incident means a substantial cyber incident experienced by a covered entity. 対象サイバーインシデントとは、対象事業体が経験した実質的なサイバーインシデントをいう。
Covered Cyber Incident Report means a submission made by a covered entity or a third party on behalf of a covered entity to report a covered cyber incident as required by this part. A Covered Cyber Incident Report also includes any responses to optional questions and additional information voluntarily submitted as part of a Covered Cyber Incident Report.  対象サイバーインシデント報告とは、対象事業体または対象事業体を代行するサードパーティが、本部の定めるところに従い、対象サイバーインシデントを報告するために提出するものをいう。対象サイバーインシデント報告には、任意の質問に対する回答および対象サイバーインシデント報告の一部として自主的に提出された追加情報も含まれる。
Covered entity means an entity that meets the criteria set forth in § 226.2 of this part. 対象事業体とは、本編第 226.2 条に定める基準を満たす事業体をいう。
Cyber incident means an occurrence that actually jeopardizes, without lawful authority, the integrity, confidentiality, or availability of information on an information system; or actually jeopardizes, without lawful authority, an information system. サイバーインシデントとは、合法的な権限なしに、情報システム上の情報の完全性、機密性、または可用性を実際に危険にさらす、または合法的な権限なしに、情報システムを実際に危険にさらす事象をいう。
Cybersecurity and Infrastructure Security Agency or CISA means the Cybersecurity and Infrastructure Security Agency as established under section 2202 of the Homeland Security Act of 2002 (6 U.S.C. 652), as amended by the Cybersecurity and Infrastructure Security Agency Act of 2018 and subsequent laws, or any successor organization.  サイバーセキュリティ・インフラセキュリティ庁または CISA とは、2002 年国土安全保障法(6 U.S.C. 652)第 2202 条に基づき設立されたサイバーセキュリティ・インフラセキュリティ庁、2018 年サイバーセキュリティ・インフラセキュリティ庁法およびその後の法律により改正されたサイバーセキュリティ・インフラセキュリティ庁、またはその後継組織をいう。
Cybersecurity threat means an action, not protected by the First Amendment to the Constitution of the United States, on or through an information system that may result in an unauthorized effort to adversely impact the security, availability, confidentiality, or integrity of an information system or information that is stored on, processed by, or transiting an information system. This term does not include any action that solely involves a violation of a consumer term of service or a consumer licensing agreement. サイバーセキュリティ上の脅威とは、情報システム上で、または情報システムを通じて、米国憲法修正第1条によって保護されない行為であって、情報システム、または情報システムに保存され、情報システムによって処理され、または情報システムを通過する情報のセキュリティ、可用性、機密性、または完全性に悪影響を及ぼす不正な努力をもたらす可能性のある行為をいう。この用語には、消費者向けサービス条件または消費者向けライセンス契約の違反のみを伴う行為は含まれない。
Director means the Director of CISA, any successors to that position within the Department of Homeland Security, or any designee. 長官とは、CISA長官、国土安全保障省内の同職の後継者、または被指名人をいう。
Information system means a discrete set of information resources organized for the collection, processing, maintenance, use, sharing, dissemination, or disposition of information, including, but not limited to, operational technology systems such as industrial control systems, supervisory control and data acquisition systems, distributed control systems, and programmable logic controllers. 情報システムとは、情報の収集、処理、保守、使用、共有、普及または処分のために組織された情報リソースの個別の集合をいい、産業制御システム、監視制御およびデータ収集システム、分散制御システム、プログラマブル・ロジック・コントローラなどの運用技術システムを含むが、これらに限定されない。
Joint Covered Cyber Incident and Ransom Payment Report means a submission made by a covered entity or a third party on behalf of a covered entity to simultaneously report both a covered cyber incident and ransom payment related to the covered cyber incident being reported, as required by this part. A Joint Covered Cyber Incident and Ransom Payment Report also includes any responses to optional questions and additional information voluntarily submitted as part of the report. 共同対象サイバーインシデントおよび身代金支払報告書とは、本編で義務付けられているとおり、対象事業体または対象事業体を代行するサードパーティが、報告される対象サイバーインシデントに関連する対象サイバーインシデントおよび身代金支払の両方を同時に報告するために提出するものをいう。対象となるサイバーインシデントおよび身代金支払の共同報告には、任意の質問に対する回答および報告の一部として任意に提出された追加情報も含まれる。
Managed service provider means an entity that delivers services, such as network, application, infrastructure, or security services, via ongoing and regular support and active administration on the premises of a customer, in the data center of the entity, such as hosting, or in a third-party data center. マネージド・サービス・プロバイダとは、顧客の構内、ホスティングなどの事業体のデータセンター、またはサードパーティ・データセンターにおいて、継続的かつ定期的なサポートおよび能動的な管理を通じて、ネットワーク、アプリケーション、インフラストラクチャ、またはセキュリティサービスなどのサービスを提供する事業体をいう。
Personal information means information that identifies a specific individual or nonpublic information associated with an identified or identifiable individual. Examples of personal information include, but are not limited to, photographs, names, home addresses, direct telephone numbers, social security numbers, medical information, personal financial information, contents of personal communications, and personal web browsing history. 個人を特定できる情報とは、特定の個人を識別する情報、または識別された個人もしくは識別できる個人に関連する非公開情報をいう。個人情報の例としては、写真、氏名、自宅住所、直通電話番号、社会保障番号、医療情報、個人財務情報、個人コミュニケーションの内容、個人のウェブ閲覧履歴などが挙げられるが、これらに限定されない。
Ransom payment means the transmission of any money or other property or asset, including virtual currency, or any portion thereof, which has at any time been delivered as ransom in connection with a ransomware attack.  身代金の支払いとは、ランサムウェア攻撃に関連して身代金として引き渡された、仮想通貨を含む金銭その他の財産または資産、またはその一部の送信をいう。
Ransom Payment Report means a submission made by a covered entity or a third party on behalf of a covered entity to report a ransom payment as required by this part. A Ransom Payment Report also includes any responses to optional questions and additional information voluntarily submitted as part of a Ransom Payment Report.  身代金支払報告とは、本編の定めるところに従い、対象事業体または対象事業体に代わってサードパーティが身代金支払を報告するために提出するものをいう。身代金支払報告には、任意の質問に対する回答および身代金支払報告の一部として任意 に提出された追加情報も含まれる。
Ransomware attack means an occurrence that actually or imminently jeopardizes, without lawful authority, the integrity, confidentiality, or availability of information on an information system, or that actually or imminently jeopardizes, without lawful authority, an information system that involves, but need not be limited to, the following: ランサムウェア攻撃とは、情報システム上の情報の完全性、機密性、または可用性を、合法的な 権限なく、実際に、または差し迫った形で危険にさらす、または情報システムを、合法的な 権限なく、実際に、または差し迫った形で危険にさらすような発生を意味するが、これらに 限定される必要はない:
(1) The use or the threat of use of:  (1)以下の使用または使用の脅威: 
(i) Unauthorized or malicious code on an information system; or  (i) 情報システム上で不正または悪意のあるコードを使用すること。
(ii) Another digital mechanism such as a denial-of-service attack;  (ii) サービス妨害(DoS)攻撃などの別のデジタル・メカニズム; 
(2) To interrupt or disrupt the operations of an information system or compromise the confidentiality, availability, or integrity of electronic data stored on, processed by, or transiting an information system; and (2) 情報システムの運用を妨害もしくは混乱させること、または情報システムに保存され、情報システムによって処理され、もしくは情報システムを通過する電子データの機密性、可用性、もしくは完全性を侵害すること。
(3) To extort a ransom payment. (3) 身代金の支払いを強要すること。
(4) Exclusion. A ransomware attack does not include any event where the demand for a ransom payment is: (4) 除外。ランサムウェア攻撃には、身代金の支払要求が以下のような事象は含まれない:
(i) Not genuine; or (i) 真正でない。
(ii) Made in good faith by an entity in response to a specific request by the owner or operator of the information system. (ii) 情報システムの所有者または運営者による特定の要求に応じて、事業体によって誠実に行われた。
State, Local, Tribal, or Territorial Government entity or SLTT Government entity means an organized domestic entity which, in addition to having governmental character, has sufficient discretion in the management of its own affairs to distinguish it as separate from the administrative structure of any other governmental unit, and which is one of the following or a subdivision thereof: 州、地方、部族、または準州政府事業体(State, Local, Tribal, or Territorial Government entity)またはSLTT政府事業体(SLTT Government entity)とは、政府としての性格を有することに加え、他のいかなる政府単位の行政機構とも区別されるように、自らの事務の管理において十分な裁量権を有する組織化された国内事業体を意味し、以下のいずれかまたはその下位区分である:
(1) A State of the United States, the District of Columbia, the Commonwealth of Puerto Rico, the Virgin Islands, Guam, American Samoa, the Commonwealth of the Northern Mariana Islands, and any possession of the United States;  (1) 米国の州、コロンビア特別区、プエルトリコ連邦、バージン諸島、グアム、米領サモア、北マリアナ諸島連邦、および米国の属領; 
(2) A county, municipality, city, town, township, local public authority, school district, special district, intrastate district, council of governments, regardless of whether the council of governments is incorporated as a nonprofit corporation under State law, regional or interstate government entity, or agency or instrumentality of a Local government;  (2) 郡、自治体、市、町、郷、地方公共団体、学区、特別区、州内地区、自治体評議会(自治体評議会が州法に基づく非営利法人として法人化されているか否かを問わない)、地域政府または州間政府事業体、または地方政府の機関または組織; 
(3) An Indian tribe, band, nation, or other organized group or community, or other organized group or community, including any Alaska Native village or regional or village corporation as defined in or established pursuant to 43 U.S.C. 1601 et seq., which is recognized as eligible for the special programs and services provided by the United States to Indians because of their status as Indians; and  (3) インディアンの部族、バンド、国民、その他の組織化された集団または共同体、あるいは 43 U.S.C.1601.他に従って定義または設立されたアラスカ先住民の村、地域または村社会を含むその他の組織化された集団または共同体であって、インディア ンであることを理由に米国がインディアンに提供する特別なプログラムやサービスを受ける資格があると認 められているもの。
(4) A rural community, unincorporated town or village, or other public entity. (4) 農村コミュニティ、法人化されていない町村、またはその他の事業体。
Substantial cyber incident means a cyber incident that leads to any of the following:  実質的なサイバーインシデントとは、以下のいずれかにつながるサイバーインシデントをいう: 
(1) A substantial loss of confidentiality, integrity or availability of a covered entity’s information system or network;  (1) 対象事業体の情報システムまたはネットワークの機密性、完全性または可用性の重大な損失; 
(2) A serious impact on the safety and resiliency of a covered entity’s operational systems and processes; (2) 対象事業体の業務システムおよびプロセスの安全性およびレジリエンスに対する重大な影響;
(3) A disruption of a covered entity’s ability to engage in business or industrial operations, or deliver goods or services;  (3) 対象事業体の事業活動もしくは産業活動、または商品もしくはサービスの提供能力の中断; 
(4) Unauthorized access to a covered entity’s information system or network, or any nonpublic information contained therein, that is facilitated through or caused by a: (4) 対象事業体の情報システムおよびネットワーク、またはそこに含まれる非公開情報への不正アクセ スであって、以下を通じて容易になったもの、または以下に起因するもの:
(i) Compromise of a cloud service provider, managed service provider, or other third-party data hosting provider; or  (i) クラウドサービス・プロバイダ、マネージドサービス・プロバイダ、またはその他のサードパーティ・データ・ホスティング・プロバイダの危殆化。
(ii) Supply chain compromise. (ii) サプライチェーンの侵害
(5) A “substantial cyber incident” resulting in the impacts listed in paragraphs (1) through (3) in this definition includes any cyber incident regardless of cause, including, but not limited to, any of the above incidents caused by a compromise of a cloud service provider, managed service provider, or other third-party data hosting provider; a supply chain compromise; a denial-of-service attack; a ransomware attack; or exploitation of a zero-day vulnerability.  (5) 本定義の第(1)項から第(3)項までに列挙される影響をもたらす「実質的なサイバーインシデント」には、クラウドサービス・プロバイダ、マネージドサービス・プロバイダ、またはその他のサードパーティデータホスティングプロバイダの危殆化、サプライチェーンの危殆化、サービス妨害攻撃、ランサムウェア攻撃、またはゼロデイ脆弱性の悪用によって引き起こされる上記のインシデントを含むが、これらに限定されない、原因の如何を問わないあらゆるサイバーインシデントが含まれる。
(6) The term “substantial cyber incident” does not include:  (6) 「実質的なサイバーインシデント」という用語には、以下は含まれない: 
(i) Any lawfully authorized activity of a United States Government entity or SLTT Government entity, including activities undertaken pursuant to a warrant or other judicial process;  (i) 米国政府事業体またはSLTT政府事業体の合法的に認可された活動(令状またはその他の司法手続に従って行われる活動を含む); 
(ii) Any event where the cyber incident is perpetrated in good faith by an entity in response to a specific request by the owner or operator of the information system; or  (ii) サイバー・インシデントが、情報システムの所有者または運営者による特定の要請に応じて、事業体によって誠実に実行された場合。
(iii) The threat of disruption as extortion, as described in 6 U.S.C. 650(22). (iii) 6 U.S.C.650(22)に記載されているように、恐喝として破壊の恐れがある場合。
Supplemental report means a submission made by a covered entity or a third party on behalf of a covered entity to update or supplement a previously submitted Covered Cyber Incident Report or to report a ransom payment made by the covered entity after submitting a Covered Cyber Incident Report as required by this part. A supplemental report also includes any responses to optional questions and additional information voluntarily submitted as part of a supplemental report. 補足報告とは、対象事業体または対象事業体に代わって第三者が、以前に提出された対象サイ バーインシデント報告書を更新または補足するために、または本編の定めるところに従って対象サイ バーインシデント報告書を提出した後に対象事業体が行った身代金の支払いを報告するために提出するものをいう。補足報告には、任意の質問に対する回答および補足報告の一部として自主的に提出された追加情報も含まれる。
Supply chain compromise means a cyber incident within the supply chain of an information system that an adversary can leverage, or does leverage, to jeopardize the confidentiality, integrity, or availability of the information system or the information the system processes, stores, or transmits, and can occur at any point during the life cycle. サプライチェーンの危殆化とは、情報システムのサプライチェーン内において、敵対者が情報シス テムまたはシステムが処理、保存、送信する情報の機密性、完全性、または可用性を危うくする ために利用することができる、または利用するサイバーインシデントを意味し、ライフサイクル のどの時点においても発生する可能性がある。
Virtual currency means the digital representation of value that functions as a medium of exchange, a unit of account, or a store of value. Virtual currency includes a form of value that substitutes for currency or funds.  仮想通貨とは、交換媒体、勘定単位、または価値の保管庫として機能する価値のデジタル表現を意味する。仮想通貨には、通貨または資金の代わりとなる価値の形態も含まれる。
§ 226.2 Applicability. § 226.2 適用可能性
This part applies to an entity in a critical infrastructure sector that either:  本編は、以下のいずれかに該当する重要インフラ部門の事業体に適用される: 
(a) Exceeds the small business size standard. Exceeds the small business size standard specified by the applicable North American Industry Classification System Code in the U.S. Small Business Administration’s Small Business Size Regulations as set forth in 13 CFR part 121; or (a) 中小企業標準を超える。13 CFR part 121 に規定される米国中小企業局の中小企業規 則(Small Business Size Regulations)の該当する北米産業分類システムコードによって指定される中小企業規格を超える。
(b) Meets a sector-based criterion. Meets one or more of the sector-based criteria provided below, regardless of the specific critical infrastructure sector of which the entity considers itself to be part:  (b) 業種別基準を満たす。事業体が属する特定の重要インフラ部門にかかわらず、以下に示す部門別基準を1つ以上満たしている: 
(1) Owns or operates a covered chemical facility. The entity owns or operates a covered chemical facility subject to the Chemical Facility Anti-Terrorism Standards pursuant to 6 CFR part 27; (1) 対象となる化学施設を所有または運営している。事業体は、6 CFRパート27に従った化学施設テロ対策標準の対象となる化学施設を所有または運営している;
(2) Provides wire or radio communications service. The entity provides communications services by wire or radio communications, as defined in 47 U.S.C. 153(40), 153(59), to the public, businesses, or government, as well as one-way services and two-way services, including but not limited to: (2) 有線または無線によるコミュニケーションサービスをプロバイダとして提供する。事業体は、47 U.S.C. 153(40)、153(59)に定義される有線または無線通信によるコミュニケーション・サービスを、一般市民、企業、または政府に対して、一方向サービスおよび双方向サービスとして提供する:
(i) Radio and television broadcasters;  (i) ラジオ・テレビ放送事業者; 
(ii) Cable television operators;  (ii) ケーブルテレビ事業者 
(iii) Satellite operators;  (iii) 衛星通信事業者 
(iv) Telecommunications carriers;  (iv) 電気通信事業者 
(v) Submarine cable licensees required to report outages to the Federal  (v) 47 CFR 4.15に基づき、連邦通信委員会に停電を報告する必要がある海底ケーブル免許事業者。
Communications Commission under 47 CFR 4.15;  (v) 47 CFR 4.15に基づき連邦コミュニケーション委員会に停電を報告する必要がある海底ケーブル免許業者; 
(vi) Fixed and mobile wireless service providers;  (vi) 固定および移動無線サービスプロバイダ; 
(vii) Voice over Internet Protocol providers; or (vii) ボイス・オーバー・インターネット・プロトコル・プロバイダ。
(viii) Internet service providers;  (viii) インターネット・サービス・プロバイダ; 
(3) Owns or operates critical manufacturing sector infrastructure. The entity owns or has business operations that engage in one or more of the following categories of manufacturing: (3) 重要な製造部門のインフラを所有または運営している。事業体は、以下のカテゴリーの1つ以上に従事する製造業を所有または事業展開している:
(i) Primary metal manufacturing;  (i) 一次金属製造業; 
(ii) Machinery manufacturing;  (ii) 機械製造; 
(iii) Electrical equipment, appliance, and component manufacturing; or  (iii) 電気機器、器具、部品製造業;または 
(iv) Transportation equipment manufacturing; (iv) 輸送機器製造;
(4) Provides operationally critical support to the Department of Defense or processes, stores, or transmits covered defense information. The entity is a contractor or subcontractor required to report cyber incidents to the Department of Defense pursuant to the definitions and requirements of the Defense Federal Acquisition Regulation Supplement 48 CFR 252.204-7012;
(4) 国防総省に運用上重要な支援を提供する、または対象となる国防情報を処理、保管、伝送する。事業体は、国防連邦調達規則補遺 48 CFR 252.204-7012 の定義および要件に従って、サイバーインシデントを国防総省に報告する必要がある請負業者または下請業者である;
(5) Performs an emergency service or function. The entity provides one or more of the following emergency services or functions to a population equal to or greater than 50,000 individuals: (5) 緊急サービスまたは機能を実行する。事業体は、50,000 人以上の人口に対し、以下の緊急サービスまたは機能の 1 つ以上を提供する:
(i) Law enforcement;  (i) 法執行; 
(ii) Fire and rescue services;  (ii) 消防および救助サービス; 
(iii) Emergency medical services;  (iii) 緊急医療サービス 
(iv) Emergency management; or (iv) 緊急事態管理
(v) Public works that contribute to public health and safety;  (v) 公共衛生および安全に寄与する公共事業; 
(6) Bulk electric and distribution system entities. The entity is required to report cybersecurity incidents under the North American Electric Reliability Corporation Critical Infrastructure Protection Reliability Standards or required to file an Electric Emergency Incident and Disturbance Report OE-417 form, or any successor form, to the Department of Energy; (6) バルク電気および配電系統事業体。事業体は、北米電気信頼性委員会の重要インフラ保護信頼性基準に基づきサイバーセキュリティインシデントを報告する必要があるか、または電気緊急インシデントおよび妨害行為報告書OE-417フォーム、またはその後継フォームをエネルギー省に提出する必要がある;
(7) Owns or operates financial services sector infrastructure. The entity owns or operates any legal entity that qualifies as one or more of the following financial services entities: (7) 金融サービス部門のインフラを所有または運営している。事業体は、以下の1つ以上の金融サービス事業体に該当する法人を所有または運営している:
(i) A banking or other organization regulated by: (i) 以下の規制を受ける銀行またはその他の組織:
(A) The Office of the Comptroller of the Currency under 12 CFR parts 30 and 53, which includes all national banks, Federal savings associations, and Federal branches and agencies of foreign banks; (A) 通貨監督庁(Office of the Comptroller of the Currency)12 CFR 第 30 部および第 53 部に基づき規制される銀行またはその他の組織;
(B) The Federal Reserve Board under: (B) 以下の連邦準備制度理事会:
(1) 12 CFR parts 208, 211, 225, or 234, which includes all U.S. bank holding companies, savings and loans holding companies, state member banks, the U.S. operations of foreign banking organizations, Edge and agreement corporations, and certain designated financial market utilities; or  (1) 12 CFR 第 208 部、第 211 部、第 225 部、または第 234 部に基づく連邦準備制度理事会。これには、全ての米国銀行持株会社、貯蓄貸付持株会社、加盟国銀行、外国銀行組織の米国事業、エッジ・アンド・アグリーメント・コーポレーション、および特定の指定金融市場公益事業が含まれる。
(2) 12 U.S.C. 248(j), which includes the Federal Reserve Banks;  (2) 12 U.S.C. 248(j)(連邦準備銀行を含む; 
(C) The Federal Deposit Insurance Corporation under 12 CFR part 304, which includes all insured state nonmember banks, insured state-licensed branches of foreign banks, and insured State savings associations; (C)連邦預金保険公社は、12 CFR part 304 に基づき、すべての被保険州非加盟銀行、外国銀行の被保険州認可支店、および被保険州貯蓄組合を含む;
(ii) A Federally insured credit union regulated by the National Credit Union Administration under 12 CFR part 748;  (ii) 12 CFR part 748 に基づき全米信用組合管理局によって規制されている連邦政府被保険信用組合; 
(iii) A designated contract market, swap execution facility, derivatives clearing organization, or swap data repository regulated by the Commodity Futures Trading Commission under 17 CFR parts 37, 38, 39, and 49; (iii) 17 CFR part 37, 38, 39, 49 に基づき商品先物取引委員会が規制する指定契約市場、スワップ執行機 関、デリバティブ清算機関、またはスワップデータリポジトリ;
(iv) A futures commission merchant or swap dealer regulated by the Commodity Futures Trading Commission under 17 CFR parts 1 and 23; (iv) 17 CFR 第 1 部及び第 23 部に基づき商品先物取引委員会が規制する先物取引業者又はスワップ・ディーラー;
(v) A systems compliance and integrity entity, security-based swap dealer, or security-based swap data repository regulated by the Securities and Exchange Commission under Regulation Systems Compliance and Integrity or Regulation Security-Based Swap Regulatory Regime, 17 CFR part 242;  (v) 証券取引委員会により、17CFR part 242「システム・コンプライアンス及び完全性規制」または「セキュリテ ィ・ベース・スワップ規制」に基づき規制されているシステム・コンプライアンス及び完全性事 業体、セキュリティ・ベース・スワップ・ディーラー、またはセキュリティ・ベース・スワップ・ データ保管所; 
(vi) A money services business as defined in 31 CFR 1010.100(ff); or (vi) 31 CFR 1010.100(ff)に定義されるマネーサービス事業。
(vii) Fannie Mae and Freddie Mac as defined in 12 CFR 1201.1; (vii) 12 CFR 1201.1 に定義されるファニーメイおよびフレディマック;
(8) Qualifies as a State, local, Tribal, or territorial government entity. The entity is a State, local, Tribal, or territorial government entity for a jurisdiction with a population equal to or greater than 50,000 individuals; (8) 州、地方、部族、または準州の政府事業体に該当する。事業体は、人口 50,000 人以上の管轄区域の州、地方、部族、または準州の政府機関である;
(9) Qualifies as an education facility. The entity qualifies as any of the following types of education facilities:  (9) 教育施設である。事業体は、以下の種類の教育施設のいずれかに該当する: 
(i) A local educational agency, educational service agency, or state educational agency, as defined under 20 U.S.C. 7801, with a student population equal to or greater than 1,000 students; or  (i) 学生数が1,000人以上の、U.S.C.第7801条に基づいて定義される地方教育機関、教育サー ビス機関、または州教育機関。
(ii) An institute of higher education that receives funding under Title IV of the Higher Education Act, 20 U.S.C. 1001 et seq., as amended; (ii) 高等教育法 Title IV(合衆国法典第 20 編第 1001 条ほか、改正されたもの)に基づき資金援助 を受ける高等教育機関;
(10) Involved with information and communications technology to support elections processes. The entity manufactures, sells, or provides managed services for information and communications technology specifically used to support election processes or report and display results on behalf of State, Local, Tribal, or Territorial governments, including but not limited to: (10) 選挙プロセスを支援するための情報通信技術に関与している。事業体は、州、地方、部族、または準州政府に代わって、選挙プロセスを支援するため、または結果を報告・表示するために特別に使用される情報通信技術を製造、販売、またはマネージドサービス・プロバイダーとして提供している:
(i) Voter registration databases;  (i) 有権者登録データベース; 
(ii) Voting systems; and (ii) 投票システム
(iii) Information and communication technologies used to report, display, validate, or finalize election results;  (iii) 選挙結果の報告、表示、検証、確定に使用される情報通信技術; 
(11) Provides essential public health-related services. The entity provides one or more of the following essential public health-related services: (11) 必要不可欠な公衆衛生関連サービスをプロバイダとして提供する。事業体は、以下の一つ以上の必須公衆衛生関連サービスを提供する:
(i) Owns or operates a hospital, as defined by 42 U.S.C. 1395x(e), with 100 or more beds, or a critical access hospital, as defined by 42 U.S.C. 1395x(mm)(1); (i) 42 U.S.C.1395x(e)に定義される、100 床以上の病院、または 42 U.S.C.1395x(mm)(1)に定義される重要アクセス病院を所有または運営する;
(ii) Manufactures drugs listed in appendix A of the Essential Medicines Supply Chain and Manufacturing Resilience Assessment developed pursuant to section 3 of E.O. 14017; or
(ii) E.O. 14017 の第 3 項に従って作成された必須医薬品サプライチェーンおよび製造レジリエンス・アセスメントの付録 A に記載されている医薬品を製造している。

(iii) Manufactures a Class II or Class III device as defined by 21 U.S.C. 360c; (iii) 21 U.S.C. 360c で定義されるクラスⅡまたはクラスⅢの機器を製造する;
(12) Information technology entities. The entity meets one or more of the following criteria: (12) 情報技術事業体。事業体は、以下の基準の 1 つ以上を満たす:
(i) Knowingly provides or supports information technology hardware, software, systems, or services to the Federal government; (i) 情報技術のハードウェア、ソフトウェア、システム、またはサービスを、連邦政府 に故意にプロバイダまたはサポートする;
(ii) Has developed and continues to sell, license, or maintain any software that has, or has direct software dependencies upon, one or more components with at least one of these attributes:  (ii)以下の属性の少なくとも1つを持つ1つまたは複数のコンポーネントを持つ、またはそれに直接依存するソフトウェアを開発し、販売、ライセンス供与、または保守を継続している: 
(A) Is designed to run with elevated privilege or manage privileges;  (A) 昇格した特権で実行されるか、特権を管理するように設計されている; 
(B) Has direct or privileged access to networking or computing resources; (B) ネットワークまたはコンピューティングリソースに直接または特権的にアクセスする;
(C) Is designed to control access to data or operational technology;  (C) データまたは運用技術へのアクセスを制御するように設計されている; 
(D) Performs a function critical to trust; or  (D) 信頼に不可欠な機能を実行する。
(E) Operates outside of normal trust boundaries with privileged access;  (E) 特権アクセスにより、通常の信頼境界の外で運用される; 
(iii) Is an original equipment manufacturer, vendor, or integrator of operational technology hardware or software components; (iii) 運用技術のハードウェアまたはソフトウェア・コンポーネントの製造事業者、ベンダー、またはインテグレーターである;
(iv) Performs functions related to domain name operations;  (iv) ドメイン名の運用に関連する機能を実行する; 
(13) Owns or operates a commercial nuclear power reactor or fuel cycle Facility. The entity owns or operates a commercial nuclear power reactor or fuel cycle facility licensed to operate under the regulations of the Nuclear Regulatory Commission, 10 CFR chapter I; (13) 商業用原子炉または燃料サイクル施設を所有または運営している。事業体は、原子力規制委員会の規制(10CFR第I章)に基づ いて操業することを許可された商業用原子炉または燃料サイクル施設を所有または操業する;
(14) Transportation system entities. The entity is required by the Transportation Security Administration to report cyber incidents or otherwise qualifies as one or more of the following transportation system entities: (14) 輸送システム事業体。事業体は、運輸保安局からサイバーインシデントの報告を求められているか、そうでなければ以下の運輸システム事業体の一つ以上に該当する:
(i) A freight railroad carrier identified in 49 CFR 1580.1(a)(1), (4), or (5); (i) 49 CFR 1580.1(a)(1)、(4)または(5)で識別される貨物鉄道事業者;
(ii) A public transportation agency or passenger railroad carrier identified in 49 CFR 1582.1(a)(1)-(4); (ii) 49 CFR 1582.1(a)(1)~(4)で識別される公共交通機関または旅客鉄道事業者;
(iii) An over-the-road bus operator identified in 49 CFR 1584.1; (iii) 49 CFR 1584.1 で特定される道路バス事業者;
(iv) A pipeline facility or system owner or operator identified in 49 CFR 1586.101; (iv) 49 CFR 1586.101で特定されるパイプライン施設またはシステムの所有者または運営者;
(v) An aircraft operator regulated under 49 CFR part 1544;  (v) 49 CFR パート 1544 に基づき規制される航空機運航者; 
(vi) An indirect air carrier regulated under 49 CFR part 1548;  (vi) 49 CFR part 1548 に基づき規制される間接航空運送事業者; 
(vii) An airport operator regulated under 49 CFR part 1542; or  (vii) 49 CFR part 1542 に基づき規制される空港運営者。
(viii) A Certified Cargo Screening Facility regulated under 49 CFR part 1549; (viii) 49 CFR part 1549 に基づき規制される認定貨物スクリーニング施設;
(15) Subject to regulation under the Maritime Transportation Security Act. The entity owns or operates a vessel, facility, or outer continental shelf facility subject to 33 CFR parts 104, 105, or 106; or  (15) 海上輸送安全法に基づく規制対象。事業体は、33 CFR part 104、105、または 106 の対象となる船舶、施設、または大陸棚外施設を所有または運営する。
(16) Owns or operates a qualifying community water system or publicly owned treatment works. The entity owns or operates a community water system, as defined in 42 U.S.C. 300f(15), or a publicly owned treatment works, as defined in 40 CFR 403.3(q), for a population greater than 3,300 people. (16) 適格な地域水道システムまたは公営の処理施設を所有または運営している。事業体は、42 U.S.C. 300f(15)に定義される地域水道、または 40 CFR 403.3(q)に定義される公有処理施設を、3,300 人以上の人口のために所有または運営している。
§ 226.3 Required reporting on covered cyber incidents and ransom payments. § 226.3 対象となるサイバーインシデントおよび身代金の支払いに関する報告義務
(a) Covered cyber incident. A covered entity that experiences a covered cyber incident must report the covered cyber incident to CISA in accordance with this part.  (a) 対象サイバーインシデント。対象サイバーインシデントを経験した対象事業体は、本編に従い、対象サイバーインシデントを CISA に報告しなければならない。
(b) Ransom payment. A covered entity that makes a ransom payment, or has another entity make a ransom payment on the covered entity’s behalf, as the result of a ransomware attack against the covered entity must report the ransom payment to CISA in accordance with this part. This reporting requirement applies to a covered entity even if the ransomware attack that resulted in a ransom payment is not a covered cyber incident subject to the reporting requirements of this part. If a covered entity makes a ransom payment that relates to a covered cyber incident that was previously reported in accordance with paragraph (a) of this section, the covered entity must instead submit a supplemental report in accordance with paragraph (d)(1)(ii) of this section. (b) 身代金の支払い。対象事業体に対するランサムウェア攻撃の結果として、身代金の支払いを行う、または対象事業体に代わ って他の事業体に身代金の支払いを行わせる対象事業体は、本編に従い、身代金の支払いを CISA に報告しなければならない。この報告要件は、身代金支払の原因となったランサムウェア攻撃が、本編の報告要件の対象となる対象サイバーインシデントでない場合であっても、対象事業体に適用される。対象事業体が、本項の(a)項に従って以前に報告された対象サイバーインシデントに関連する身代金の支払いを行った場合、対象事業体は代わりに、本項の(d)(1)(ii)項に従って補足報告を提出しなければならない。
(c) Covered cyber incident and ransom payment. A covered entity that experiences a covered cyber incident and makes a ransom payment, or has another entity make a ransom payment on the covered entity’s behalf, that is related to that covered cyber incident may report both events to CISA in a Joint Covered Cyber Incident and Ransom Payment Report in accordance with this part. If a covered entity, or a third party acting on the covered entity’s behalf, submits a Joint Covered Cyber Incident and Ransom Payment Report in accordance with this part, the covered entity is not required to also submit reports pursuant to paragraph (a) and (b) of this section. (c) 対象となるサイバーインシデントおよび身代金の支払い。対象となるサイバーインシデントを経験し、身代金の支払いを行った、または対象となるサイバーインシデントに関連する身代金の支払いを他の事業体に代行させた対象事業体は、本編に従い、対象となるサイバーインシデントおよび身代金支払い共同報告書において、両方の事象を CISA に報告することができる。対象事業体または対象事業体の代理を務めるサードパーティが、本編に従って共同対象サイ バーインシデントおよび身代金支払報告書を提出する場合、対象事業体は、本項(a)および(b)に従った報告書も提出する必要はない。
(d) Supplemental Reports--(1) Required Supplemental Reports. A covered entity must promptly submit Supplemental Reports to CISA about a previously reported covered cyber incident in accordance with this part unless and until such date that the covered entity notifies CISA that the covered cyber incident at issue has concluded and has been fully mitigated and resolved. Supplemental Reports must be promptly submitted by the covered entity if: (d) 補足報告書--(1) 必須の補足報告書。対象事業体は、対象事業体が問題の対象サイバーインシデントが終結し、完全に低減され解決されたと CISA に通知しない限り、またその日まで、本編に従い、以前に報告された対象サイバーインシデントに関する補足報告を CISA に速やかに提出しなければならない。以下の場合、対象事業体は速やかに補足報告書を提出しなければならない:
(i) Substantial new or different information becomes available. Substantial new or different information includes but is not limited to any information that the covered entity was required to provide as part of a Covered Cyber Incident Report but did not have at the time of submission; or (i) 実質的に新しいまたは異なる情報が入手可能となった場合。実質的に新しいまたは異なる情報には、対象事業体が対象サイバーインシデント報告書の一部 として提供することを義務付けられていたが、提出時に持っていなかった情報が含まれるが、こ れらに限定されない。
(ii) The covered entity makes a ransom payment, or has another entity make a ransom payment on the covered entity’s behalf, that relates to a covered cyber incident that was previously reported in accordance with paragraph (a) of this section.  (ii) 対象事業体が、本項の(a)項に従って以前に報告された対象サイバーインシデントに関連して、身代金の支払いを行うか、または対象事業体に代わって他の事業体に身代金の支払いを行わせる。
(2) Optional notification that a covered cyber incident has concluded. A covered entity may submit a Supplemental Report to inform CISA that a covered cyber incident previously reported in accordance with paragraph (a) of this section has concluded and been fully mitigated and resolved. (2) 対象となるサイバーインシデントが終了したことの任意の通知。対象事業体は、本項の(a)項に従って以前に報告された対象サイバーインシデントが終結し、完全に低減され解決されたことを CISA に通知するために、補足報告を提出することができる。
§ 226.4 Exceptions to required reporting on covered cyber incidents and ransom payments. § 226.4 対象のサイバーインシデント及び身代金の支払いに関する報告義務の例外
(a) Substantially similar reporting exception--(1) In general. A covered entity that reports a covered cyber incident, ransom payment, or information that must be submitted to CISA in a supplemental report to another Federal agency pursuant to the terms of a CIRCIA Agreement will satisfy the covered entity’s reporting obligations under § 226.3. A covered entity is responsible for confirming that a CIRCIA Agreement is applicable to the covered entity and the specific reporting obligation it seeks to satisfy under this part, and therefore, qualifies for this exemption.  (a) 実質的に類似した報告の例外--(1) 一般的に。対象となるサイバーインシデント、身代金の支払い、またはCIRCIA協定の条件に従って他の連邦機関への補足報告でCISAに提出しなければならない情報を報告する対象事業体は、226.3条に基づく対象事業体の報告義務を満たす。対象事業体は、CIRCIA合意が対象事業体に適用され、本編に基づき充足しようとする特定の報告義務に適用され、したがって本免除の対象となることを確認する責任を負う。
(2) CIRCIA Agreement requirements. A CIRCIA Agreement may be entered into and maintained by CISA and another Federal agency in circumstances where CISA has determined the following: (2) CIRCIA協定の要件。CISAが以下のように判断した場合、CISAと他の連邦機関によりCIRCIA合意が締結され、維持されることがある:
(i) A law, regulation, or contract exists that requires one or more covered entities to report covered cyber incidents or ransom payments to the other Federal agency; (i) 1つ以上の対象事業体が、対象となるサイバー・インシデントまたは身代金の支払いを他の連邦機 関に報告することを要求する法律、規制、または契約が存在する;
(ii) The required information that a covered entity must submit to the other Federal agency pursuant to a legal, regulatory, or contractual reporting requirement is substantially similar information to that which a covered entity is required to include in a CIRCIA Report as specified in §§ 226.7 through 226.11, as applicable; (ii) 法律、規制、または契約上の報告要件に従って、対象事業体が他の連邦機関に提出しなければならな い必要な情報が、該当する場合、第 226.7 条から第 226.11 条に規定される CIRCIA 報告書に対象事 業体が記載することを義務付けられている情報と実質的に類似している;
(iii) The applicable law, regulation, or contract requires covered entities to report covered cyber incidents or ransom payments to the other Federal agency within a substantially similar timeframe to those for CIRCIA Reports specified in § 226.5; and  (iii) 適用法、規制、または契約により、対象事業体は、226.5 条に規定される CIRCIA 報告書と実質的に同様の期間内に、対象となるサイバーインシデントまたは身代金の支払いを他の連邦機関に報告することが義務付けられている。
(iv) CISA and the other Federal agency have an information sharing mechanism in place. (iv) CISA と他の連邦機関は、情報共有の仕組みを有している。
(3) Substantially similar information determination. CISA retains discretion to determine what constitutes substantially similar information for the purposes of this part. In general, in making this determination, CISA will consider whether the specific fields of information reported by the covered entity to another Federal agency are functionally equivalent to the fields of information required to be reported in CIRCIA Reports under §§ 226.7 through 226.11, as applicable. (3) 実質的に類似した情報の判断。CISAは、本編の目的上、何が実質的に類似した情報を構成するかを決定する裁量権を保持する。一般に、CISAは、この判定を行うにあたり、対象事業体が他の連邦機関に報告する特定の情報分野が、該当する場合、§226.7から§226.11に基づきCIRCIAレポートで報告することが要求される情報分野と機能的に同等であるかどうかを考慮する。
(4) Substantially similar timeframe. Reporting in a substantially similar timeframe means that a covered entity is required to report covered cyber incidents, ransom payments, or supplemental reports to another Federal agency in a timeframe that enables the report to be shared by the Federal agency with CISA by the applicable reporting deadline specified for each type of CIRCIA Report under § 226.5.  (4) 実質的に同様のタイムフレーム。実質的に類似した時間枠での報告とは、対象事業体が、226.5 条に基づき、CIRCIA 報告書の種類ごとに指定された該当する報告期限までに、連邦機関が CISA と報告書を共有できる時間枠で、対象となるサイバーインシデント、身代金の支払い、または補足的な報告書を他の連邦機関に報告することが求められることをいう。
(5) Public posting of CIRCIA Agreements. CISA will maintain an accurate catalog of all CIRCIA Agreements on a public-facing website and will make CIRCIA Agreements publicly available, to the maximum extent practicable. An agreement will be considered a CIRCIA Agreement for the purposes of this section when CISA publishes public notice concerning the agreement on such website and until notice of termination or expiration has been posted as required under § 226.4(a)(6). (5) CIRCIA 協定の公開。CISA は、全ての CIRCIA Agreements の正確なカタログを公開ウェブサイト上に維持し、CIRCIA Agreements を可能な限り公開する。CISA が当該ウェブサイトに当該契約に関する公告を掲載した時点、及び§226.4(a)(6)に基づき要求される終了または失効通知が掲載されるまでは、当該契約は本条項において CIRCIA 契約とみなされる。
(6) Termination or expiration of a CIRCIA Agreement. CISA may terminate a CIRCIA Agreement at any time. CISA will provide notice of the termination or expiration of CIRCIA Agreements on the public-facing website where the catalog of CIRCIA Agreements is maintained.  (6) CIRCIA 協定の終了又は失効。CISA はいつでも CIRCIA 協定を終了することができる。CISA は、CIRCIA 協定のカタログが維持されている一般向けウェブサイト上で、CIRCIA 協定の終了または失効を通知する。
(7) Continuing supplemental reporting requirement. Covered entities remain subject to the supplemental reporting requirements specified under § 226.3(d), unless the covered entity submits the required information to another Federal agency pursuant to the terms of a CIRCIA Agreement.  (7) 補足報告要件の継続。対象事業体が、CIRCIA 協定の条件に従って他の連邦機関に必要な情報を提出しない限り、対象事 業体は、引き続き§226.3(d)に定める補足報告要件の対象となる。
(8) Communications with CISA. Nothing in this section prevents or otherwise restricts CISA from contacting any entity that submits information to another Federal agency, nor is any entity prevented from communicating with, or submitting a CIRCIA Report to, CISA.  (8) CISAとのコミュニケーション。本節のいかなる規定も、CISAが他の連邦機関に情報を提出する事業体とコミュニケーションすることを妨げるものではなく、また、事業体がCISAとコミュニケーションすること、またはCISAにCIRCIA報告書を提出することを妨げるものではない。
(b) Domain Name System exception. The following entities, to the degree that they are considered a covered entity under § 226.2, are exempt from the reporting requirements in this part: (b) ドメインネームシステムの例外。以下の事業体は、226.2 条に基づき対象事業体とみなされる限りにおいて、本編の報告義務を免除される:
(1) The Internet Corporation for Assigned Names and Numbers; (1) ICANN: The Internet Corporation for Assigned Names and Numbers;
(2) The American Registry for Internet Numbers;  (2) 米国インターネット番号登録局; 
(3) Any affiliates controlled by the covered entities listed in paragraphs (b)(1) and (2) of this section; and
(3) 本項第(b)(1)および(2)に記載される対象事業体が管理する関連会社。
(4) The root server operator function of a covered entity that has been recognized by the Internet Corporation for Assigned Names and Numbers as responsible for operating one of the root identities and has agreed to follow the service expectations established by the Internet Corporation for Assigned Names and Numbers and its Root Server System Advisory Committee. (4) ICANNによってルートアイデンティティの1つを運用する責任があると認められ、ICANNおよびそのルートサーバシステム諮問委員会によって確立されたサービス期待に従うことに同意した対象事業体のルートサーバ運用者機能。
(c) FISMA report exception. Federal agencies that are required by the Federal Information Security Modernization Act, 44 U.S.C. 3551 et seq., to report incidents to CISA are exempt from reporting those incidents as covered cyber incidents under this part. (c) FISMA報告書の例外。連邦情報セキュリティ近代化法(44 U.S.C. 3551 et seq.)によりインシデントを CISA に報告することが義務付けられている連邦機関は、当該インシデントを本編の対象サイバーインシデントとして報告することを免除される。
§ 226.5 CIRCIA Report submission deadlines. § 226.5 CIRCIA 報告書の提出期限
Covered entities must submit CIRCIA Reports in accordance with the submission deadlines specified in this section. 対象事業体は、本項に定める提出期限に従い、CIRCIA 報告書を提出しなければならない。
(a) Covered Cyber Incident Report deadline. A covered entity must submit a Covered Cyber Incident Report to CISA no later than 72 hours after the covered entity reasonably believes the covered cyber incident has occurred. (a) 対象サイバーインシデント報告書の期限。対象事業体は、対象サイバーインシデントが発生したと合理的に考えてから 72 時間以内に、対象サイ バーインシデント報告書を CISA に提出しなければならない。
(b) Ransom Payment Report deadline. A covered entity must submit a Ransom Payment Report to CISA no later than 24 hours after the ransom payment has been disbursed.  (b) 身代金支払報告期限。対象事業体は、身代金支払が行われた後 24 時間以内に、身代金支払報告書を CISA に提出しなければならない。
(c) Joint Covered Cyber Incident and Ransom Payment Report deadline. A covered entity that experiences a covered cyber incident and makes a ransom payment within 72 hours after the covered entity reasonably believes a covered cyber incident has occurred may submit a Joint Covered Cyber Incident and Ransom Payment Report to CISA no later than 72 hours after the covered entity reasonably believes the covered cyber incident has occurred.  (c) 合同の対象サイバーインシデントおよび身代金支払報告期限。対象事業体が対象サイバーインシデントが発生したと合理的に考えてから 72 時間以内に、対象サイ バーインシデントを経験し、身代金の支払いを行う対象事業体は、対象事業体が対象サイバーインシデ ントが発生したと合理的に考えてから 72 時間以内に、対象サイバーインシデント及び身代金支払い共同 報告書を CISA に提出することができる。
(d) Supplemental Report Deadline. A covered entity must promptly submit supplemental reports to CISA. If a covered entity submits a supplemental report on a ransom payment made after the covered entity submitted a Covered Cyber Incident Report, as required by § 226.3(d)(1)(ii), the covered entity must submit the Supplemental Report to CISA no later than 24 hours after the ransom payment has been disbursed. (d) 補足報告期限。対象事業体は、速やかに CISA に補足報告を提出しなければならない。対象事業体が226.3(d)(1)(ii)により義務付けられている対象サイバーインシデント報告書を提出した後に行われた身代金の支払いについて補足報告を提出する場合、対象事業体は、身代金の支払いが行われた後24時間以内に補足報告書をCISAに提出しなければならない。
§ 226.6 Required manner and form of CIRCIA Reports. § 226.6 CIRCIA 報告書の要求される方法および形式
A covered entity must submit CIRCIA Reports to CISA through the web-based CIRCIA Incident Reporting Form available on CISA’s website or in any other manner and form of reporting approved by the Director.  対象事業体は、CISAのウェブサイトで入手可能なウェブベースのCIRCIAインシデント報告書を通じて、又は所長が承認したその他の報告の方法及び形態で、CISAにCIRCIA報告書を提出しなければならない。
§ 226.7 Required information for CIRCIA Reports. § 226.7 CIRCIA 報告書に必要な情報
A covered entity must provide the following information in all CIRCIA Reports to the extent such information is available and applicable to the event reported: 対象事業体は、すべての CIRCIA 報告書において、報告された事象に該当する情報が入手可能な限り、 以下の情報を提供しなければならない:
(a) Identification of the type of CIRCIA Report submitted by the covered entity;  (a) 対象事業体が提出した CIRCIA 報告書の種類の特定; 
(b) Information relevant to establishing the covered entity’s identity, including the covered entity’s:  (a) 対象事業体により提出された CIRCIA 報告書の種類の特定: 
(1) Full legal name;  (1) 正式名称; 
(2) State of incorporation or formation;  (2) 法人設立または結成の州; 
(3) Affiliated trade names;  (3) 関連商号 
(4) Organizational entity type;  (4) 組織事業体の種類; 
(5) Physical address;  (5) 物理的住所 
(6) Website;  (6) ウェブサイト 
(7) Internal incident tracking number for the reported event;  (7) 報告された事象の社内インシデント追跡番号; 
(8) Applicable business numerical identifiers;  (8) 該当する事業者識別番号; 
(9) Name of the parent company or organization, if applicable; and (9) 親会社または組織の名称(該当する場合)。
(10) The critical infrastructure sector or sectors in which the covered entity considers itself to be included;  (10) 対象事業体が含まれると考える重要インフラ部門またはセクター; 
(c) Contact information, including the full name, email address, telephone number, and title for: (c) 以下の氏名、電子メールアドレス、電話番号、役職を含む連絡先情報:
(1) The individual submitting the CIRCIA Report on behalf of the covered entity; (1) 対象事業体を代表して CIRCIA 報告書を提出する者;
(2) A point of contact for the covered entity if the covered entity uses a third party to submit the CIRCIA Report or would like to designate a preferred point of contact that is different from the individual submitting the report; and  (2) 対象事業体が CIRCIA 報告書の提出にサードパーティを使用する場合、または報告書提出者 と異なる優先連絡先を指定したい場合は、対象事業体の連絡先。
(3) A registered agent for the covered entity, if neither the individual submitting the CIRCIA Report, nor the designated preferred point of contact are a registered agent for the covered entity; and  (3) CIRCIA 報告書を提出する個人または指定された優先連絡先のいずれも対象事業体の登録 代理人でない場合は、対象事業体の登録代理人。
(d) If a covered entity uses a third party to submit a CIRCIA Report on the covered entity’s behalf, an attestation that the third party is expressly authorized by the covered entity to submit the CIRCIA Report on the covered entity’s behalf. (d) 対象事業体が、対象事業体に代わって CIRCIA 報告書を提出するためにサードパーティを使 用する場合、当該サードパーティが、対象事業体に代わって CIRCIA 報告書を提出するこ とを対象事業体から明示的に認可されている旨の宣誓書。
§ 226.8 Required information for Covered Cyber Incident Reports. § 226.8 対象サイバーインシデント報告書に必要な情報
A covered entity must provide all the information identified in § 226.7 and the following information in a Covered Cyber Incident Report, to the extent such information is available and applicable to the covered cyber incident: 対象事業体は、226.7 条で特定されるすべての情報および以下の情報を、当該情報が入手可能であり、対象サイ バーインシデントに該当する限り、対象サイバーインシデント報告書に提供しなければならない:
(a) A description of the covered cyber incident, including but not limited to: (a) 対象となるサイバーインシデントの説明(以下を含むが、これに限定されない:
(1) Identification and description of the function of the affected networks, devices, and/or information systems that were, or are reasonably believed to have been, affected by the covered cyber incident, including but not limited to:  (1) 対象となるサイバーインシデントにより影響を受けた、または受けたと合理的に考えられるネットワーク、デバイス、および/または情報システムの機能の特定および説明: 
(i) Technical details and physical locations of such networks, devices, and/or information systems; and  (i) 当該ネットワーク、デバイス、および/または情報システムの技術的な詳細および物理的な場所。
(ii) Whether any such information system, network, and/or device supports any elements of the intelligence community or contains information that has been determined by the United States Government pursuant to an Executive Order or statute to require protection against unauthorized disclosure for reasons of national defense or foreign relations, or any restricted data, as defined in 42 U.S.C. 2014(y); (ii)当該情報システム、ネットワーク、および/またはデバイスが、インテリジェンス・コミュニティの要素をサポートしているかどうか、または大統領令もしくは法令に従って米国政府が国防もしくは外交関係を理由に不正な開示から保護する必要があると決定した情報、または合衆国法典第42編2014(y)に定義される制限データを含んでいるかどうか;
(2) A description of any unauthorized access, regardless of whether the covered cyber incident involved an attributed or unattributed cyber intrusion, identification of any informational impacts or information compromise, and any network location where activity was observed; (2) 対象となるサイバーインシデントが帰属するサイバー侵入であるか帰属しないサイバー侵入であるかにかかわらず、不正アクセスの説明、情報への影響または情報漏洩の特定、および活動が観察されたネットワークの場所;
(3) Dates pertaining to the covered cyber incident, including but not limited to:  (3) 対象となるサイバーインシデントに関連する日付: 
(i) The date the covered cyber incident was detected;  (i) 対象のサイバーインシデントが検知された日; 
(ii) The date the covered cyber incident began;  (ii) 対象のサイバーインシデントが開始した日; 
(iii) If fully mitigated and resolved at the time of reporting, the date the covered cyber incident ended;  (iii) 報告時に完全に低減され解決されている場合は、対象となるサイバーインシデントが終了した日; 
(iv) The timeline of compromised system communications with other systems; and (iv) 侵害されたシステムの他のシステムとのコミュニケーションのタイムライン。
(v) For covered cyber incidents involving unauthorized access, the suspected duration of the unauthorized access prior to detection and reporting; and (v) 不正アクセスを伴う対象サイバーインシデントについては、検知および報告前の不正アクセスの疑い期間。
(4) The impact of the covered cyber incident on the covered entity’s operations, such as information related to the level of operational impact and direct economic impacts to operations; any specific or suspected physical or informational impacts; and information to enable CISA’s assessment of any known impacts to national security or public health and safety; (4) 業務上の影響のレベル及び業務への直接的な経済的影響に関連する情報など、対象事業体の業務に対す る対象サイバーインシデントの影響、具体的な又は疑われる物理的又は情報的な影響、並びに国家安全保障又は公衆衛生 及び安全に対する既知の影響の CISA による評価を可能にする情報;
(b) The category or categories of any information that was, or is reasonably believed to have been, accessed or acquired by an unauthorized person or persons; (b) 許可されていない者によりアクセス又は取得された、又はされたと合理的に考えられる情報のカテゴリー;
(c) A description of any vulnerabilities exploited, including but not limited to the specific products or technologies and versions of the products or technologies in which the vulnerabilities were found; (c) 脆弱性が悪用された場合の説明(脆弱性が発見された特定の製品または技術、製品または技術のバージョンを含むが、これらに限定されない);
(d) A description of the covered entity’s security defenses in place, including but not limited to any controls or measures that resulted in the detection or mitigation of the incident; (d)インシデントの検知又は低減につながった管理又は防御策を含むが、これに限定されな い、対象事業体の実施中のセキュリティ防御策の記述;
(e) A description of the type of incident and the tactics, techniques, and procedures used to perpetrate the covered cyber incident, including but not limited to any tactics, techniques, and procedures used to gain initial access to the covered entity’s information systems, escalate privileges, or move laterally, if applicable; (e)インシデントの種類、及び対象事業体の情報システムへの最初のアクセス、権限の昇格、又は横 断的な移動に使用された戦術、技術、及び手順を含むがこれらに限定されない、対象サイ バーインシデントを実行するために使用された戦術、技術、及び手順の説明(該当する場合);
(f) Any indicators of compromise, including but not limited to those listed in§ 226.13(b)(1)(ii), observed in connection with the covered cyber incident;  (f) 226.13(b)(1)(ii)に列挙されているものを含むがこれに限定されない、対象となるサイ バーインシデントに関連して観察された危殆化の指標; 
(g) A description and, if possessed by the covered entity, a copy or samples of any malicious software the covered entity believes is connected with the covered cyber incident; (g) 対象事業体が保有している場合、対象サイバーインシデントに関連していると考えられる悪意のあるソフトウエアの説明及びコピー又はサンプル;
(h) Any identifying information, including but not limited to all available contact information, for each actor reasonably believed by the covered entity to be responsible for the covered cyber incident; (h) 対象となるサイバーインシデントに責任があると対象事業体が合理的に考える各関係者の、利用可能なすべての連絡先情報を含むがこれに限定されない識別情報;
(i) A description of any mitigation and response activities taken by the covered entity in response to the covered cyber incident, including but not limited to:  (i) 対象となるサイバーインシデントに対応して対象事業体が行った低減及び対応活動の説明: 
(1) Identification of the current phase of the covered entity’s incident response efforts at the time of reporting;  (1) 報告時における対象事業体のインシデント対応活動の現在の段階の特定; 
(2) The covered entity’s assessment of the effectiveness of response efforts in mitigating and responding to the covered cyber incident;  (2) 対象サイバーインシデントの低減および対応における対応努力の有効性に関する対象事業体の評価; 
(3) Identification of any law enforcement agency that is engaged in responding to the covered cyber incident, including but not limited to information about any specific law enforcement official or point of contact, notifications received from law enforcement, and any law enforcement agency that the covered entity otherwise believes may be involved in investigating the covered cyber incident; and (3) 対象のサイバーインシデントへの対応に従事している法執行機関の特定(特定の法執行機関の職員または連絡先、法執行機関から受領した通知、および対象事業体がその他の方法で対象サイバーインシデントの調査に関与していると考える法執行機関に関する情報を含むが、これらに限定されない)。
(4) Whether the covered entity requested assistance from another entity in responding to the covered cyber incident and, if so, the identity of each entity and a description of the type of assistance requested or received from each entity;  (4) 対象事業体が、対象となるサイバーインシデントへの対応において、他の事業体に支援を要請したかどうか、要請した場合は、各事業体の身元、および各事業体に要請または受領した支援の種類の説明; 
(j) Any other data or information as required by the web-based CIRCIA Incident Reporting Form or any other manner and form of reporting authorized under § 226.6. (j) ウェブベースのCIRCIAインシデント報告書、または§226.6に基づき認可されたその他の報告の方法および形式により要求されるその他のデータまたは情報。
§ 226.9 Required information for Ransom Payment Reports. § 226.9 身代金支払報告書に必要な情報
A covered entity must provide all the information identified in § 226.7 and the following information in a Ransom Payment Report, to the extent such information is available and applicable to the ransom payment: 対象事業体は、身代金支払報告書において、身代金支払に該当する情報が入手可能である限り、第 226.7 条で特定されるすべての情報および以下の情報を提供しなければならない:
(a) A description of the ransomware attack, including but not limited to: (a) ランサムウェア攻撃の説明(以下を含むが、これに限定されない):
(1) Identification and description of the function of the affected networks, devices, and/or information systems that were, or are reasonably believed to have been, affected by the ransomware attack, including but not limited to:  (1) ランサムウェア攻撃により影響を受けた、または受けたと合理的に考えられるネットワーク、デバイス、および/または情報システムの機能の特定および説明: 
(i) Technical details and physical locations of such networks, devices, and/or information systems; and  (i) 当該ネットワーク、デバイス、および/または情報システムの技術的詳細および物理的な場所。
(ii) Whether any such information system, network, and/or device supports any elements of the intelligence community or contains information that has been determined by the United States Government pursuant to an Executive Order or statute to require protection against unauthorized disclosure for reasons of national defense or foreign relations, or any restricted data, as defined in 42 U.S.C. 2014(y); (ii) そのような情報システム、ネットワーク、および/またはデバイスが、インテリジェンス・コミュニティの要素をサポートしているかどうか、または大統領令もしくは法令に従って米国政府が国防もしくは外交関係を理由に不正な開示から保護する必要があると決定した情報、または合衆国法典第42編2014(y)に定義されるような制限されたデータを含んでいるかどうか;
(2) A description of any unauthorized access, regardless of whether the ransomware attack involved an attributed or unattributed cyber intrusion, identification of any informational impacts or information compromise, and any network location where activity was observed; (2) ランサムウェア攻撃が帰属するサイバー侵入であるか帰属しないサイバー侵入であるかにかかわらず、不正アクセスの説明、情報への影響または情報漏洩の特定、および活動が観察されたネットワークの場所;
(3) Dates pertaining to the ransomware attack, including but not limited to:  (3) ランサムウェア攻撃に関連する日付: 
(i) The date the ransomware attack was detected;  (i) ランサムウェア攻撃が検知された日付; 
(ii) The date the ransomware attack began;  (ii) ランサムウェア攻撃の開始日; 
(iii) If fully mitigated and resolved at the time of reporting, the date the ransomware attack ended;  (iii) 報告時に完全に低減され解決されている場合は、ランサムウェア攻撃が終了した日; 
(iv) The timeline of compromised system communications with other systems; and (iv) 侵害されたシステムの他のシステムとのコミュニケーションのタイムライン。
(v) For ransomware attacks involving unauthorized access, the suspected duration of the unauthorized access prior to detection and reporting; and (v) 不正アクセスを伴うランサムウェア攻撃については、検知および報告前の不正アクセスの疑い期間。
(4) The impact of the ransomware attack on the covered entity’s operations, such as information related to the level of operational impact and direct economic impacts to operations; any specific or suspected physical or informational impacts; and any known or suspected impacts to national security or public health and safety; (4) 対象事業体の業務に対するランサムウェア攻撃の影響。例えば、業務上の影響のレベルおよび業務に対する直接的な経済的影響、物理的または情報的な影響、および国家安全保障または公衆衛生および安全に対する既知のまたは疑われる影響に関連する情報など;
(b) A description of any vulnerabilities exploited, including but not limited to the specific products or technologies and versions of the products or technologies in which the vulnerabilities were found; (b) 悪用された脆弱性の説明。脆弱性が発見された特定の製品または技術、製品または技術のバージョンを含むが、これらに限定されない;
(c) A description of the covered entity’s security defenses in place, including but not limited to any controls or measures that resulted in the detection or mitigation of the ransomware attack; (c)ランサムウェア攻撃の検知または低減につながった管理または対策を含むがこれに限定されない、対象事業体のセキュリティ防御策の説明;
(d) A description of the tactics, techniques, and procedures used to perpetrate the ransomware attack, including but not limited to any tactics, techniques, and procedures used to gain initial access to the covered entity’s information systems, escalate privileges, or move laterally, if applicable; (d)ランサムウェア攻撃を実行するために使用された戦術、技法および手順(該当する場合、対象事業体の情報システムへの初期アクセス、権限の昇格、または横移動に使用された戦術、技法および手順を含むが、これらに限定されない)の説明;
(e) Any indicators of compromise the covered entity believes are connected with the ransomware attack, including, but not limited to, those listed in section  (e)ランサムウェア攻撃に関連していると対象事業体が考える危殆化の指標。
226.13(b)(1)(ii), observed in connection with the ransomware attack; 226.13(b)(1)(ii)に記載されているものを含むが、これに限定されない;
(f) A description and, if possessed by the covered entity, a copy or sample of any malicious software the covered entity believes is connected with the ransomware attack; (g) Any identifying information, including but not limited to all available contact information, for each actor reasonably believed by the covered entity to be responsible for the ransomware attack; (f) 対象事業体が保有している場合、ランサムウェア攻撃に関連していると対象事業体が考える悪意あるソフトウエアの説明およびコピーまたはサンプル (g) 対象事業体がランサムウェア攻撃に関与していると合理的に考える各関係者の識別情報(すべての可用性連絡先情報を含むが、これに限定されない);
(h) The date of the ransom payment;  (h) 身代金の支払日; 
(i) The amount and type of assets used in the ransom payment; (i) 身代金の支払いに使用された資産の金額および種類;
(j) The ransom payment demand, including but not limited to the type and amount of virtual currency, currency, security, commodity, or other form of payment requested; (j) 身代金の支払要求(要求された仮想通貨、通貨、証券、商品またはその他の支払形態の種類および金額を含むが、これらに限定されない);
(k) The ransom payment instructions, including but not limited to information regarding how to transmit the ransom payment; the virtual currency or physical address where the ransom payment was requested to be sent; any identifying information about the ransom payment recipient; and information related to the completed payment, including any transaction identifier or hash;  (k) 身代金支払の指示(身代金支払の送信方法に関する情報を含むがこれに限定されない)、身代金支払の送信が要求された仮想通貨または物理的住所、身代金支払の取得者に関する識別情報、および完了した支払に関する情報(取引識別子またはハッシュを含むがこれに限定されない); 
(l) Outcomes associated with making the ransom payment, including but not limited to whether any exfiltrated data was returned or a decryption capability was provided to the covered entity, and if so, whether the decryption capability was successfully used by the covered entity; (l) 身代金支払いに関連する成果。これには、流出したデータが返却されたか、または対象事業体に復号化機能が提供されたかどうか、および提供された場合、対象事業体によって復号化機能が正常に使用されたかどうかが含まれるが、これらに限定されない;
(m) A description of any mitigation and response activities taken by the covered entity in response to the ransomware attack, including but not limited to: (m)ランサムウェア攻撃に対応して対象事業体が行った低減および対応活動の説明:
(1) Identification of the current phase of the covered entity’s incident response efforts at the time of reporting;  (1) 報告時における対象事業体のインシデント対応活動の現在の段階の特定; 
(2) The covered entity’s assessment of the effectiveness of response efforts in mitigating and responding to the ransomware attack; (2) ランサムウェア攻撃の低減および対応における対応努力の有効性に関する対象事業体の評価;
(3) Identification of any law enforcement agency that is engaged in responding to the ransomware attack, including but not limited to information about any specific law enforcement official or point of contact, notifications received from law enforcement, and any law enforcement agency that the covered entity otherwise believes may be involved in investigating the ransomware attack; and  (3) ランサムウェア攻撃への対応に従事している法執行機関の特定(特定の法執行機関の職員または連絡先、法執行機関から受領した通知、およびランサムウェア攻撃の調査に関与している可能性があると対象事業体が別途考える法執行機関に関する情報を含むが、これらに限定されない)。
(4) Whether the covered entity requested assistance from another entity in responding to the ransomware attack or making the ransom payment and, if so, the identity of such entity or entities and a description of the type of assistance received from each entity; (4) 対象事業体が、ランサムウェア攻撃への対応または身代金の支払いにおいて、他の事業体に支援を要請したかどうか、要請した場合には、当該事業体の身元、および各事業体から受けた支援の種類の説明;
(n) Any other data or information as required by the web-based CIRCIA Incident Reporting Form or any other manner and form of reporting authorized under § 226.6. (n) ウェブベースの CIRCIA インシデント報告書、または第 226.6 条に基づき認可されたその他の報告の方法および形式により要求されるその他のデータまたは情報。
§ 226.10 Required information for Joint Covered Cyber Incident and Ransom Payment Reports. § 226.10.共同対象サイバーインシデントおよび身代金支払報告に必要な情報。
A covered entity must provide all the information identified in §§ 226.7, 226.8, and 226.9 in a Joint Covered Cyber Incident and Ransom Payment Report to the extent such information is available and applicable to the reported covered cyber incident and ransom payment. 対象事業体は、226.7 条、226.8 条及び 226.9 条で識別されるすべての情報を、報告された対象サイ バーインシデント及び身代金支払いに適用可能な範囲で、共同対象サイバーインシデント及び身代金支払報告書に提供しなければならない。
§ 226.11 Required information for Supplemental Reports. § 226.11 補足報告に必要な情報
(a) In general. A covered entity must include all of the information identified as required in § 226.7 and the following information in any Supplemental Report: (a) 一般的に。対象事業体は、§ 226.7 で要求されている全ての情報、及び以下の情報を補足報告に含めなければならない:
(1) The case identification number provided by CISA for the associated Covered Cyber Incident Report or Joint Covered Cyber Incident and Ransom Payment Report; (1) 関連する対象サイバーインシデント報告書または共同対象サイバーインシデント及び身代金支払報告書について CISA が提供するケース識別番号;
(2) The reason for filing the Supplemental Report; (2) 補足報告を提出した理由;
(3) Any substantial new or different information available about the covered cyber incident, including but not limited to information the covered entity was required to provide as part of a Covered Cyber Incident Report but did not have at the time of submission and information required under § 226.9 if the covered entity or another entity on the covered entity’s behalf has made a ransom payment after submitting a Covered Cyber Incident Report; and  (3) 対象事業体が、対象サイバーインシデント報告書の一部として提供することが要求されていたが、提出時には持っていなかった情報、及び対象事業体又は対象事業体に代わって身代金の支払いを行った事業体が対象サイバーインシデント報告書を提出した後に身代金の支払いを行った場合に第226.9条に基づき要求される情報を含むが、これらに限定されない、対象サイバーインシデントに関して入手可能な実質的に新しい又は異なる情報。
(4) Any other data or information required by the web-based CIRCIA Incident Reporting Form or any other manner and form of reporting authorized under § 226.6. (4) ウェブベースの CIRCIA インシデント報告書、または第 226.6 条に基づき認可された報告 の他の方法および形式により要求されるその他のデータまたは情報。
(b) Required information for a Supplemental Report providing notice of a ransom payment made following submission of a Covered Cyber Incident Report. When a covered entity submits a Supplemental Report to notify CISA that the covered entity has made a ransom payment after submitting a related Covered Cyber Incident Report, the supplemental report must include the information required in § 226.9.  (b) 対象サイバーインシデント報告書の提出後に行われた身代金支払の通知を提供する補足報 告に必要な情報。対象事業体が、関連する対象サイバーインシデント報告書の提出後に身代金の支払いを行ったことを CISA に通知するために補足報告書を提出する場合、補足報告書には第 226.9 条で要求される情報が含まれていなければならない。
(c) Optional information to provide notification that a covered cyber incident has concluded. Covered entities that choose to submit a notification to CISA that a covered cyber incident has concluded and has been fully mitigated and resolved may submit optional information related to the conclusion of the covered cyber incident. (c) 対象サイバーインシデントが終了したことを通知するためのオプション情報。対象となるサイバーインシデントが終結し、完全に低減及び解決された旨の通知を CISA に提出することを選択した対象事業体は、対象となるサイバーインシデントの終結に関連するオプション情報を提出することができる。
§ 226.12 Third party reporting procedures and requirements. § 226.12 サードパーティ報告手順および要件
(a) General. A covered entity may expressly authorize a third party to submit a  (a) 一般。対象事業体は、第三者が対象事業体に関する CIRCIA 報告書を提出することを明示的に認可することができる。
CIRCIA Report on the covered entity’s behalf to satisfy the covered entity’s reporting obligations under § 226.3. The covered entity remains responsible for ensuring compliance with its reporting obligations under this part even when the covered entity has authorized a third party to submit a CIRCIA Report on the covered entity’s behalf.  対象事業体は、226.3 条に基づく対象事業体の報告義務を満たすために、対象事業体に代わって CIRCIA 報告書を提出する権限を明示的に付与することができる。対象事業体は、対象事業体に代わって第三者が CIRCIA 報告書を提出することを認可した場 合でも、本編に基づく報告義務の遵守を確保する責任を負う。
(b) Procedures for third party submission of CIRCIA Reports. CIRCIA Reports submitted by third parties must comply with the reporting requirements and procedures for covered entities set forth in this part.  (b) 第三者による CIRCIA 報告書の提出手順。サードパーティが提出する CIRCIA 報告書は、本編に定める対象事業体の報告要件および手順に従わなければならない。
(c) Confirmation of express authorization required. For the purposes of compliance with the covered entity’s reporting obligations under this part, upon submission of a CIRCIA Report, a third party must confirm that the covered entity expressly authorized the third party to file the CIRCIA Report on the covered entity’s behalf. CIRCIA Reports submitted by a third party without an attestation from the third party that the third party has the express authorization of a covered entity to submit a report on the covered entity’s behalf will not be considered by CISA for the purposes of compliance of the covered entity’s reporting obligations under this part. (c) 求められる明示的認可の確認。本編に基づく対象事業体の報告義務を遵守するため、CIRCIA 報告書を提出する際、第三者は、 対象事業体が、対象事業体に代わって CIRCIA 報告書を提出することを当該第三者に明示的 に認可したことを確認しなければならない。サードパーティが、対象事業体に代わって報告書を提出することを対象事業体から明示的に認可されていることをサードパーティが証明することなく提出したCIRCIA報告書は、本編に基づく対象事業体の報告義務の遵守を目的として、CISAにより考慮されない。
(d) Third party ransom payments and responsibility to advise a covered entity. A third party that makes a ransom payment on behalf of a covered entity impacted by a ransomware attack is not required to submit a Ransom Payment Report on behalf of itself for the ransom payment. When a third party knowingly makes a ransom payment on behalf of a covered entity, the third party must advise the covered entity of its obligations to submit a Ransom Payment Report under this part.  (d) 第三者による身代金の支払いと対象事業体への助言責任。ランサムウェア攻撃の影響を受けた対象事業体に代わって身代金支払いを行う第三者は、身代金支払いについて、自らに代わって身代金支払い報告書を提出する必要はない。第三者が、対象事業体に代わって故意に身代金の支払いを行う場合、当該第三者は、対象事業体に対し、本項に基づく身代金支払い報告書の提出義務を通知しなければならない。
§ 226.13 Data and records preservation requirements. § 226.13 データおよび記録の保存要件
(a) Applicability. (1) A covered entity that is required to submit a CIRCIA Report under § 226.3 or experiences a covered cyber incident or makes a ransom payment but is exempt from submitting a CIRCIA Report pursuant to § 226.4(a) is required to preserve data and records related to the covered cyber incident or ransom payment in accordance with this section. (a) 適用可能性。(1) 第 226.3 項に基づき CIRCIA 報告書の提出が義務付けられている、または対象となるサイバーインシデントを経験した、もしくは身代金支払いを行ったが第 226.4 項(a)に基づき CIRCIA 報告書の提出が免除されている対象事業体は、本項に基づき、対象となるサイバーインシデントまたは身代金支払いに関連するデータおよび記録を保存する必要がある。
(2) A covered entity maintains responsibility for compliance with the preservation requirements in this section regardless of whether the covered entity submitted a CIRCIA Report or a third party submitted the CIRCIA Report on the covered entity’s behalf.  (2) 対象事業体は、対象事業体が CIRCIA 報告書を提出したか、対象事業体に代わってサードパーティが CIRCIA 報告書を提出したかにかかわらず、本節の保存要件を遵守する責任を負う。
(b) Covered data and records. (1) A covered entity must preserve the following data and records: (b) 対象データおよび記録。(1) 対象事業体は、以下のデータおよび記録を保存しなければならない:
(i) Communications with any threat actor, including copies of actual correspondence, including but not limited to emails, texts, instant or direct messages, voice recordings, or letters; notes taken during any interactions; and relevant information on the communication facilities used, such as email or Tor site; (i) 脅威行為者とのコミュニケーション(電子メール、テキスト、インスタントメッセージ、ダイレクトメッ セージ、音声記録、書簡を含むがこれらに限定されない)、対話中に取られたメモ、および電子メールや Tor サイトなど使用された通信設備に関する関連情報;
(ii) Indicators of compromise, including but not limited to suspicious network traffic; suspicious files or registry entries; suspicious emails; unusual system logins; unauthorized accounts created, including usernames, passwords, and date/time stamps and time zones for activity associated with such accounts; and copies or samples of any malicious software; (ii)不審なネットワークトラフィック、不審なファイルまたはレジストリエントリ、不審な電子メール、異常なシステムログイン、ユーザー名、パスワード、当該アカウントに関連するアクティビティの日付/タイムスタンプおよびタイムゾーンを含むがこれらに限定されない不正アカウントの作成、および悪意のあるソフトウェアのコピーまたはサンプルを含むがこれらに限定されない侵害の指標;
(iii) Relevant log entries, including but not limited to, Domain Name System, firewall, egress, packet capture file, NetFlow, Security Information and Event Management/Security Information Management, database, Intrusion Prevention System/Intrusion Detection System, endpoint, Active Directory, server, web, Virtual Private Network, Remote Desktop Protocol, and Window Event;  (iii) ドメインネームシステム、ファイアウォール、イグジット、パケットキャプチャファイル、NetFlow、セキュリティ情報とイベント管理/セキュリティ情報管理、データベース、侵入防御システム/侵入検知システム、エンドポイント、Active Directory、サーバー、ウェブ、仮想プライベートネットワーク、リモートデスクトッププロトコル、ウィンドウイベントを含むがこれらに限定されない関連ログエントリ; 
(iv) Relevant forensic artifacts, including but not limited to live memory captures; forensic images; and preservation of hosts pertinent to the incident; (iv) ライブメモリキャプチャ、フォレンジック画像、インシデントに関連するホストの保存を含むがこれらに限定されない、関連するフォレンジック成果物;
(v) Network data, including but not limited to NetFlow or packet capture file, and network information or traffic related to the incident, including the Internet Protocol addresses associated with the malicious cyber activity and any known corresponding dates, timestamps, and time zones; (v) ネットワークデータ(NetFlowまたはパケットキャプチャファイルを含むがこれに限定されない)、およびインシデントに関連するネットワーク情報またはトラフィック(悪意のあるサイバー活動に関連するインターネットプロトコルアドレス、および対応する既知の日付、タイムスタンプ、タイムゾーンを含む);
(vi) Data and information that may help identify how a threat actor compromised or potentially compromised an information system, including but not limited to information indicating or identifying how one or more threat actors initially obtained access to a network or information system and the methods such actors employed during the incident;  (vi) 脅威行為者がどのようにして情報システムに侵入したのか、または侵入した可能性があるのかを特定するのに役立つデータおよび情報。これには、一人または複数の脅威行為者が最初にどのようにしてネットワークと情報システムにアクセスしたのか、およびインシデント中にそのような行為者がどのような方法を用いたのかを示す情報または特定する情報が含まれるが、これらに限定されない; 
(vii) System information that may help identify exploited vulnerabilities, including but not limited to operating systems, version numbers, patch levels, and configuration settings;  (vii) オペレーティング・システム、バージョン番号、パッチ・レベル、構成設定を含むがこれらに限定されない、悪用された脆弱性の特定に役立つシステム情報; 
(viii) Information about exfiltrated data, including but not limited to file names and extensions; the amount of data exfiltration by byte value; category of data exfiltrated, including but not limited to, classified, proprietary, financial, or personal information; and evidence of exfiltration, including but not limited to relevant logs and screenshots of exfiltrated data sent from the threat actor; (viii) ファイル名および拡張子、バイト値ごとのデータ流出量、機密情報、専有情報、財務情報、個人情報など(ただしこれらに限定されない)流出したデータのカテゴリー、脅威行為者から送信された関連ログおよび流出したデータのスクリーンショットなど(ただしこれらに限定されない)流出の証拠を含む(ただしこれらに限定されない)流出したデータに関する情報;
(ix) All data or records related to the disbursement or payment of any ransom payment, including but not limited to pertinent records from financial accounts associated with the ransom payment; and (ix) 身代金の支払いに関連する金融口座の関連記録を含むがこれに限定されない、身代金 の支払いまたは支払いに関連するすべてのデータまたは記録。
(x) Any forensic or other reports concerning the incident, whether internal or prepared for the covered entity by a cybersecurity company or other third-party vendor.  (x) インシデントに関するフォレンジック報告書またはその他の報告書(社内のものであるか、サイバーセキュリティ会社またはその他のサードパーティが対象事業体のために作成したものであるかを問わない)。
(2) A covered entity is not required to create any data or records it does not already have in its possession based on this requirement. (2) 対象事業体は、この要件に基づき、既に保有していないデータまたは記録を作成する必要はない。
(c) Required preservation period. Covered entities must preserve all data and records identified in paragraph (b) of this section: (c) 必要とされる保存期間。対象事業体は、本項(b)に識別されるすべてのデータおよび記録を保存しなければならない:
(1) Beginning on the earliest of the following dates:  (1) 以下の日付のうち最も早い日から開始する: 
(i) The date upon which the covered entity establishes a reasonable belief that a covered cyber incident occurred; or (i) 対象事業体が、対象となるサイバーインシデントが発生したと合理的に判断した日。
(ii) The date upon which a ransom payment was disbursed; and (ii) 身代金の支払いが行われた日。
(2) For no less than two years from the submission of the most recently required CIRCIA Report submitted pursuant to § 226.3, or from the date such submission would have been required but for the exception pursuant to § 226.4(a).  (2) 第 226.3 条に従って提出された直近に要求された CIRCIA 報告書の提出から、または第 226.4 条(a)に従った例外がなければ当該提出が要求されたであろう日から、2 年以上。
(d) Original data or record format. Covered entities must preserve data and records set forth in paragraph (b) of this section in their original format or form whether the data or records are generated automatically or manually, internally or received from outside sources by the covered entity, and regardless of the following: (d) 元のデータまたは記録形式。対象事業体は、本項(b)に定めるデータ及び記録を、当該データ又は記録が自動的又は手動で生成されたものであるか、内部で生成されたものであるか、対象事業体が外部から受領したものであるかを問わず、また、以下のいずれであるかを問わず、元の形式又は形態で保存しなければならない:
(1) Form or format, including hard copy records and electronic records; (1) ハードコピー記録および電子記録を含む形式またはフォーマット;
(2) Where the information is stored, located, or maintained without regard to the physical location of the information, including stored in databases or cloud storage, on network servers, computers, other wireless devices, or by a third-party on behalf of the covered entity; and (2) データベースまたはクラウドストレージ、ネットワークサーバー、コンピュータ、その他の無線デバイス、または対象事業体に代わってサードパーティが保管するなど、情報の物理的な場所を問わず、情報が保管、配置、または維持されている場所。
(3) Whether the information is in active use or archived. (3) 情報が現在使用中であるか、保管されているか。
(e) Storage, protection, and allowable use of data and records. (1) A covered entity may select its own storage methods, electronic or non-electronic, and procedures to maintain the data and records that must be preserved under this section.  (e) データ及び記録の保管、保護、及び許容される使用。(1) 対象事業体は、本項に基づき保存しなければならないデータ及び記録を維持するために、電子的又は非電子的な保存方法及び手順を自ら選択することができる。
(2) Data and records must be readily accessible, retrievable, and capable of being lawfully shared by the covered entity, including in response to a lawful government request.  (2) データおよび記録は、容易にアクセスでき、検索可能であり、かつ、政府の合法的な要請に応じる場合を含め、対象事業体が合法的に共有できるものでなければならない。
(3) A covered entity must use reasonable safeguards to protect data and records against unauthorized access or disclosure, deterioration, deletion, destruction, and alteration. (3) 対象事業体は、不正なアクセスまたは開示、劣化、削除、破壊、および改ざんからデータおよび 記録を保護するために、合理的な保護措置を講じなければならない。
§ 226.14 Request for information and subpoena procedures. § 226.14 情報要求および召喚手続き
(a) In general. This section applies to covered entities, except a covered entity that qualifies as a State, Local, Tribal, or Territorial Government entity as defined in § 226.1.  (a) 一般的に。本条項は、226.1 条に定義される州、地方、部族、または準州の政府機関として適格である対象事業体を除 き、対象事業体に適用される。
(b) Use of authorities. When determining whether to exercise the authorities in this section, the Director or designee will take into consideration: (b) 認可の使用。本項の権限を行使するかどうかを決定する際、局長または被指名人は、以下を考慮する:
(1) The complexity in determining if a covered cyber incident has occurred; and (1) 対象となるサイバーインシデントが発生したかどうかを判断する際の複雑さ。
(2) The covered entity’s prior interaction with CISA or the covered entity’s awareness of CISA’s policies and procedures for reporting covered cyber incidents and ransom payments. (2) 対象事業体と CISA との事前のやりとり、または対象サイバーインシデントおよび身代金支払の 報告に関する CISA の方針および手続に対する対象事業体の認識。
(c) Request for information--(1) Issuance of request. The Director may issue a request for information to a covered entity if there is reason to believe that the entity experienced a covered cyber incident or made a ransom payment but failed to report the incident or payment in accordance with § 226.3. Reason to believe that a covered entity failed to submit a CIRCIA Report in accordance with § 226.3 may be based upon public reporting or other information in possession of the Federal Government, which includes but is not limited to analysis performed by CISA. A request for information will be served on a covered entity in accordance with the procedures in paragraph (e) of this section. (c) 情報提供要請--(1) 要請の発行。局長(Director)は、対象事業体が対象となるサイバーインシデントを経験し又は身代金支払いを行ったが、226.3条に従ってインシデント又は支払いの報告を行わなかったと信じるに足る理由がある場合、対象事業体に対して情報提供要請を行うことができる。対象事業体が226.3条に従ったCIRCIA報告書を提出しなかったと信じる理由は、公的報告または連邦政府が保有するその他の情報(CISAが行った分析を含むがこれに限定されない)に基づくことができる。情報提供の要請は、本条(e)項の手続に従い、対象事業体に送達される。
(2) Form and contents of the request. At a minimum, a request for information must include: (2) 要請の形式および内容。最低限、情報提供要請には以下が含まれなければならない:
(i) The name and address of the covered entity; (i) 対象事業体の名称及び住所;
(ii) A summary of the facts that have led CISA to believe that the covered entity has failed to submit a required CIRCIA Report in accordance with § 226.3. This summary is subject to the nondisclosure provision in paragraph (f) of this section; (ii) 対象事業体が第 226.3 条に従って要求される CIRCIA 報告書を提出しなかったと CISA が考えるに至った事実の概要。この概要は、本項(f)の非開示規定の対象となる;
(iii) A description of the information requested from the covered entity. The Director, in his or her discretion, may decide the scope and nature of information necessary for CISA to confirm whether a covered cyber incident or ransom payment occurred. Requested information may include electronically stored information, documents, reports, verbal or written responses, records, accounts, images, data, data compilations, and tangible items;  (iii) 対象事業体に要求された情報の説明。局長は、その裁量で、対象となるサイバーインシデントまたは身代金支払いが発生したかどうかを CISA が確認するために必要な情報の範囲および性質を決定することができる。要求される情報には、電子的に保存された情報、文書、報告書、口頭または書面による回答、記録、口座、画像、データ、データ編集物、および有形物が含まれる; 
(iv) A date by which the covered entity must reply to the request for information; and (iv) 対象事業体が情報要求に回答しなければならない期日。
(v) The manner and format in which the covered entity must provide all information requested to CISA.  (v) 対象事業体が要求された全ての情報をCISAに提供しなければならない方法及び形式。
(3) Response to request for information. A covered entity must reply in the manner and format, and by the deadline, specified by the Director. If the covered entity does not respond by the date specified in paragraph (c)(2)(iv) of this section or the Director determines that the covered entity’s response is inadequate, the Director, in his or her discretion, may request additional information from the covered entity to confirm whether a covered cyber incident or ransom payment occurred, or the Director may issue a subpoena to compel information from the covered entity pursuant to paragraph (d) of this section.  (3) 情報要求に対する回答。対象事業体は、長官が指定する方法及び形式で、期限までに回答しなければならない。対象事業体が本項(c)(2)(iv)で指定された期日までに回答しない場合、または所長が対象事業体の回答が不十分であると判断した場合、所長は、その裁量により、対象サイバーインシデントまたは身代金支払いが発生したかどうかを確認するために、対象事業体に追加情報を要求することができ、または所長は、本項(d)に従い、対象事業体に情報を強制するための召喚状を発行することができる。
(4) Treatment of information received. Information provided to CISA by a covered entity in a reply to a request for information under this section will be treated in accordance with §§ 226.18 and 226.19.  (4) 受領した情報の扱い。本項に基づく情報要求に対する回答として対象事業体から CISA に提供された情報は、第 226.18 条及び第 226.19 条に従って取り扱われる。
(5) Unavailability of Appeal. A request for information is not a final agency action within the meaning of 5 U.S.C. 704 and cannot be appealed.  (5) 不服申立ての不能。情報提供の要請は、合衆国法律集第 5 編第 704 条の意味における最終的な機関決定ではなく、上訴できない。
(d) Subpoena--(1) Issuance of subpoena. The Director may issue a subpoena to compel disclosure of information from a covered entity if the entity fails to reply by the date specified in paragraph (c)(2)(iv) of this section or provides an inadequate response, to a request for information. The authority to issue a subpoena is a nondelegable authority. A subpoena will be served on a covered entity in accordance with the procedures in paragraph (e) of this section.  (d) 召喚--(1) 召喚状の発行。事業体が本項(c)(2)(iv)で指定された期日までに回答しなかった場合、または不十分な回答をした場合、所長は、対象事業体からの情報開示を強制するために召喚状を発行することができる。召喚状を発行する認可は、委譲不可能な権限である。召喚状は、本項(e)の手続に従い、対象事業体に送達される。
(2) Timing of subpoena. A subpoena to compel disclosure of information from a covered entity may be issued no earlier than 72 hours after the date of service of the request for information.  (2) 召喚の時期。対象事業体からの情報開示を強制する召喚状は、情報要求の送達日から 72 時間以内に発 行することができる。
(3) Form and contents of subpoena. At a minimum, a subpoena must include: (3) 召喚状の形式および内容。最低限、召喚状には以下が含まれなければならない:
(i) The name and address of the covered entity; (i) 対象事業体の名称及び住所;
(ii) An explanation of the basis for issuance of the subpoena and a copy of the request for information previously issued to the covered entity, subject to the nondisclosure provision in paragraph (f) of this section;  (ii) 本項(f)の非開示規定に従うことを条件として、召喚状発行の根拠の説明及び対象事業体に対して以前に発行された情報提供要請の写し; 
(iii) A description of the information that the covered entity is required to produce. The Director, in his or her discretion, may determine the scope and nature of information necessary to determine whether a covered cyber incident or ransom payment occurred, obtain the information required to be reported under § 226.3, and to assess the potential impacts to national security, economic security, or public health and safety. Subpoenaed information may include electronically stored information, documents, reports, verbal or written responses, records, accounts, images, data, data compilations, and tangible items;  (iii) 対象事業体が提出を求められる情報の説明。局長は、その裁量において、対象となるサイバーインシデントまたは身代金の支払いが発生したかどうかを判断し、226.3条に基づき報告することが求められる情報を入手し、国家安全保障、経済安全保障、または公衆の健康と安全に対する潜在的な影響を評価するために必要な情報の範囲および性質を決定することができる。召喚される情報には、電子的に保存された情報、文書、報告書、口頭または書面による回答、記録、口座、画像、データ、データ編集物、および有形物が含まれる; 
(iv) A date by which the covered entity must reply; and (iv) 対象事業体が回答しなければならない期日。
(v) The manner and format in which the covered entity must provide all information requested to CISA. (v) 対象事業体が要求された全ての情報をCISAに提供しなければならない方法及び形式。
(4) Reply to the Subpoena. A covered entity must reply in the manner and format, and by the deadline, specified by the Director. If the Director determines that the information received from the covered entity is inadequate to determine whether a covered cyber incident or ransom payment occurred, does not satisfy the reporting requirements under § 226.3, or is inadequate to assess the potential impacts to national security, economic security, or public health and safety, the Director may request or subpoena additional information from the covered entity or request civil enforcement of a subpoena pursuant to § 226.15. 
(4) 召喚状に対する回答。対象事業体は、局長が指定する方法および様式で、期限までに回答しなければならない。監督官が、対象事業体から受領した情報が、対象となるサイバーインシデントまたは身代金の支払いが発生したかどうかを判断するのに不十分である、226.3条に基づく報告要件を満たしていない、または国家安全保障、経済安全保障、または公衆の健康と安全に対する潜在的な影響を評価するのに不十分であると判断した場合、監督官は、226.15条に従って、対象事業体に追加情報を要求または召喚するか、召喚の民事執行を要求することができる。
(5) Authentication requirement for electronic subpoenas. Subpoenas issued electronically must be authenticated with a cryptographic digital signature of an authorized representative of CISA or with a comparable successor technology that demonstrates the subpoena was issued by CISA and has not been altered or modified since issuance. Electronic subpoenas that are not authenticated pursuant to this subparagraph are invalid.  (5) 電子召喚状の本人認証要件。電子的に発行された召喚状は、CISAの認可を受けた代表者の暗号デジタル署名、または召喚状がCISAによって発行され、発行後に変更または修正されていないことを証明する同等の後継技術で認証されなければならない。本号に従って認証されない電子召喚状は無効である。
(6) Treatment of information received in response to a subpoena--(i) In general. Information obtained by subpoena is not subject to the information treatment requirements and restrictions imposed within § 226.18 and privacy and procedures for protecting privacy and civil liberties in § 226.19; and (6) 召喚に応じて受領した情報の扱い--(i) 一般的に。召喚状によって入手された情報は、226.18 条で課された情報防御の要件および制限、ならびに 226.19 条のプライバシーおよび市民的自由の保護のためのプライバシーおよび手続きの対象とはならない。
(ii) Provision of certain information for criminal prosecution and regulatory enforcement proceedings. The Director may provide information submitted in response to a subpoena to the Attorney General or the head of a Federal regulatory agency if the Director determines that the facts relating to the cyber incident or ransom payment may constitute grounds for criminal prosecution or regulatory enforcement action. The Director may consult with the Attorney General or the head of the appropriate Federal regulatory agency when making any such determination. Information provided by CISA under this paragraph (d)(6)(ii) may be used by the Attorney General or the head of a Federal regulatory agency for criminal prosecution or a regulatory enforcement action. Any decision by the Director to exercise this authority does not constitute final agency action within the meaning of 5 U.S.C. 704 and cannot be appealed. (ii) 刑事訴追および規制執行手続きのための特定の情報の提供。局長は、サイバーインシデントまたは身代金支払いに関連する事実が刑事訴追または規制執行措置の根拠となり得ると判断した場合、召喚に応じて提出された情報を司法長官または連邦規制機関の長に提供することができる。長官は、そのような判断を下す際に、司法長官または該当する連邦規制機関の長と協議することができる。本項(d)(6)(ii)に基づきCISAが提供した情報は、司法長官または連邦規制機関の長が刑事訴追または規制執行措置のために使用することができる。この認可を行使する長官による決定は、合衆国法律集(U.S.C.)5.704の意味における最終的な機関決定を構成せず、上訴できない。
(7) Withdrawal and appeals of subpoena issuance--(i) In general. CISA, in its discretion, may withdraw a subpoena that is issued to a covered entity. Notice of withdrawal of a subpoena will be served on a covered entity in accordance with the procedures in paragraph (e) of this section.  (7) 召喚状発行の撤回及び上訴--(i) 一般的に。CISAは、その裁量により、対象事業体に対して発行された召喚状を撤回することができる。召喚状取下げの通知は、本項(e)の手続きに従い対象事業体に送達される。
(ii) Appeals of subpoena issuance. A covered entity may appeal the issuance of a subpoena through a written request that the Director withdraw it. A covered entity, or a representative on behalf of the covered entity, must file a Notice of Appeal within seven  (ii) 召喚状発行に対する不服申立。対象事業体は、局長が召喚状を撤回するよう書面で要請することにより、召喚状の発 行に不服を申し立てることができる。対象事業体または対象事業体を代表する代表者は、召喚状の送達後 7 暦日以内に異議申立書を提出しなければならない。
(7) calendar days after service of the subpoena. All Notices of Appeal must include: (7)暦日以内に提出しなければならない。すべての異議告知には、以下が含まれなければならない:
(A) The name of the covered entity; (A) 対象事業体の名称;
(B) The date of subpoena issuance; (B) 召喚状が発行された日付;
(C) A clear request that the Director withdraw the subpoena;  (C) ディレクターが召喚状を撤回することを求める明確な要求; 
(D) The covered entity’s rationale for requesting a withdrawal of the subpoena; and  (D) 召喚状の撤回を要請する事業体の根拠。
(E) Any additional information that the covered entity would like the Director to consider as part of the covered entity’s appeal. (E)対象事業体が、対象事業体の不服申立ての一部として、院長に考慮することを望む追加情報。
(iii) Director’s final decision. Following receipt of a Notice of Appeal, the Director will issue a final decision and serve it upon the covered entity. A final decision made by the Director constitutes final agency action. If the Director’s final decision is to withdraw the subpoena, a notice of withdrawal of a subpoena will be served on the covered entity in accordance with the procedures in § 226.14(e).  (iii) 院長の最終決定。不服申立通知の受領後、院長は最終決定を下し、対象事業体に送達する。局長による最終決定は、最終的な機関決定を構成する。局長の最終決定が召喚状の取り下げである場合、召喚状の取り下げ通知は、226.14条(e)の手続きに従って対象事業体に送達される。
(e) Service--(1) covered entity point of contact. A request for information, subpoena, or notice of withdrawal of a subpoena may be served by delivery on an officer, managing or general agent, or any other agent authorized by appointment or law to receive service of process on behalf of the covered entity.  (e) サービス--(1) 対象事業体の連絡先。情報提供の要請、召喚状、又は召喚状の撤回通知は、対象事業体のために送達を受 け取る権限を任命又は法律により付与された役員、経営代理人又は一般代理人、又はその他の 代理人に送達することができる。
(2) Method of service. Service of a request for information, subpoena, or notice of withdrawal of a subpoena will be served on a covered entity through a reasonable electronic or non-electronic attempt that demonstrates receipt, such as certified mail with return receipt, express commercial courier delivery, or electronically.  (2) 送達方法。情報提供要請、召喚状、または召喚状の撤回通知の送達は、配達証明付配達証明郵便、速達商 業宅配便、または電子的方法など、受領を証明する合理的な電子的または非電子的方法によ り、対象事業体に送達される。
(3) Date of service. The date of service of any request for information, subpoena, or notice of withdrawal of a subpoena shall be the date on which the document is mailed, electronically transmitted, or delivered in person, whichever is applicable.  (3) 送達日。情報要求、召喚状、または召喚状の撤回通知の送達日は、文書が郵送された日、電子的に送信された日、または直接交付された日のいずれか該当する日とする。
(f) Nondisclosure of certain information. In connection with the procedures in this section, CISA will not disclose classified information as defined in Section 1.1(d) of E.O. 12968 and reserves the right to not disclose any other information or material that is protected from disclosure under law or policy.  (f) 特定の情報の非開示。本セクションの手続きに関連して、CISAは、E.O.12968のセクション1.1(d)に定義される機密情報を開示せず、また、法律または政策により開示から保護されるその他の情報または資料を開示しない権利を留保する。
§ 226.15 Civil enforcement of subpoenas.  § 226.15 召喚状の民事執行 
(a) In general. If a covered entity fails to comply with a subpoena issued pursuant to § 226.14(d), the Director may refer the matter to the Attorney General to bring a civil action to enforce the subpoena in any United States District Court for the judicial district in which the covered entity resides, is found, or does business.  (a) 一般的に。対象事業体が§226.14(d)に従って発布された召喚令状に従わない場合、局長は、対象事業体が居住し、所在し、または事業を行っている司法地区の米国連邦地方裁判所において召喚令状を執行する民事訴訟を提起するために、司法長官に事案を照会することができる。
(b) Contempt. A United States District Court may order compliance with the subpoena and punish failure to obey a subpoena as a contempt of court. (b) 法廷侮辱罪。米国地方裁判所は、召喚状の遵守を命じ、召喚状に従わない場合は法廷侮辱罪として処罰することができる。
(c) Classified and protected information. In any review of an action taken under § 226.14, if the action was based on classified or protected information as described in § 226.14(f), such information may be submitted to the reviewing court ex parte and in camera. This paragraph does not confer or imply any right to review in any tribunal, judicial or otherwise.  (c) 機密情報および保護情報。226.14条に基づき行われた措置の審査において、当該措置が226.14条(f)に記載される機密情報または保護情報に基づくものであった場合、当該情報は、審査裁判所に一方的かつ非公開で提出することができる。この段落は、司法、その他を問わず、いかなる法廷における再審査の権利を付与するものでも示唆するものでもない。
§ 226.16 Referral to the Department of Homeland Security Suspension and Debarment Official.  § 226.16 国土安全保障省の資格停止および資格剥奪担当省への照会
The Director must refer all circumstances concerning a covered entity’s noncompliance that may warrant suspension and debarment action to the Department of Homeland Security Suspension and Debarment Official.  局長は、一時停止および資格剥奪措置が正当化される可能性のある、対象事業体の不遵守に関す るすべての状況を、国土安全保障省の一時停止および資格剥奪担当省に照会しなければならない。
§ 226.17 Referral to Cognizant Contracting Official or Attorney General.  § 226.17 契約担当官または司法長官への照会
The Director may refer information concerning a covered entity’s noncompliance with the reporting requirements in this part that pertain to performance under a federal procurement contract to the cognizant contracting official or the Attorney General for civil or criminal enforcement. 局長は、連邦調達契約の履行に関連する、本編の報告要件に対する対象事業体の不遵守に関す る情報を、民事上又は刑事上の執行のため、管轄の契約担当官又は司法長官に照会することができる。
§ 226.18 Treatment of information and restrictions on use. § 226.18 情報の取扱い及び使用制限
(a) In general. The protections and restrictions on use enumerated in this section apply to CIRCIA Reports and information included in such reports where specified in this section, as well as to all responses provided to requests for information issued under § 226.14(c). This section does not apply to information and reports submitted in response to a subpoena issued under § 226.14(d) or following Federal government action under §§ 226.15-226.17.  (a) 一般的に。本条に列挙された防御および使用制限は、226.14 条(c)に基づき発行された情報要求に対して提供されたすべての回答と同様に、CIRCIA 報告書および本条に規定された当該報告書に含まれる情報に適用される。本条は、226.14条(d)に基づき、または226.15条から226.17条に基づく政府の措置に基づき、召喚に応じて提出された情報および報告書には適用されない。
(b) Treatment of information--(1) Designation as commercial, financial, and proprietary information. A covered entity must clearly designate with appropriate markings at the time of submission a CIRCIA Report, a response provided to a request for information issued under § 226.14(c), or any portion of a CIRCIA Report or a response provided to a request for information issued under § 226.14(c) that it considers to be commercial, financial, and proprietary information. CIRCIA Reports, responses provided to a request for information issued under § 226.14(c), or designated portions thereof, will be treated as commercial, financial, and proprietary information of the covered entity upon designation as such by a covered entity. (b) 情報の扱い--(1) 商業情報、財務情報、専有情報としての指定。対象事業体は、CIRCIA 報告書、226.14 条(c)に基づき発行された情報要求に提供された回答、または CIRCIA 報告書もしくは 226.14条(c)に基づき発行された情報要求に提供された回答のうち、商業情報、財務情報、専有情報であるとみなされる部分を、提出時に適切な表示で明確に指定しなければならない。CIRCIA 報告書、226.14 条(c)に基づき発行された情報要求に提供された回答、またはその指定された部分は、対象事業体によりそのように指定された場合、対象事業体の商業的、財務的、専有情報として扱われる。
(2) Exemption from disclosure under the Freedom of Information Act. CIRCIA Reports submitted pursuant to this part and responses provided to requests for information issued under § 226.14(c) are exempt from disclosure under the Freedom of Information Act, 5 U.S.C. 552(b)(3), and under any State, Local, or Tribal government freedom of information law, open government law, open meetings law, open records law, sunshine law, or similar law requiring disclosure of information or records. If CISA receives a request under the Freedom of Information Act to which a CIRCIA Report, response to a request for information under § 226.14(c), or information contained therein is responsive, CISA will apply all applicable exemptions from disclosure, consistent with 6 CFR part 5. (2) 情報公開法に基づく開示の免除。本編に従って提出された CIRCIA 報告書、および第 226.14 条(c)に基づき発行された情報要求に対するプロバイダ の回答は、情報公開法(5 U.S.C. 552(b)(3))、および州、地方、または部族政府の情報公開法、公開政府法、公開会議法、公開記録法、日照 法、または情報もしくは記録の開示を要求する類似の法律に基づき、開示が免除される。CISAが、CIRCIA報告書、§226.14(c)に基づく情報要求に対する回答、又はそこに含まれる情報が応 答する情報公開法に基づく要求を受けた場合、CISAは、6CFRパート5に従い、適用されるすべての開示免除を適 用する。
(3) No Waiver of Privilege. A covered entity does not waive any applicable privilege or protection provided by law, including trade secret protection, as a consequence of submitting a CIRCIA Report under this part or a response to a request for information issued under § 226.14(c). (3) 特権を放棄しない。対象事業体は、本編に基づく CIRCIA 報告書の提出又は第 226.14 条(c)に基づき発行された情 報要求に対する回答により、企業秘密保護を含む適用法上の特権又は保護を放棄しない。
(4) Ex parte communications waiver. CIRCIA Reports submitted pursuant to this part and responses provided to requests for information issued under § 226.14(c) are not subject to the rules or procedures of any Federal agency or department or any judicial doctrine regarding ex parte communications with a decision-making official. (4) 一方的コミュニケーションの放棄。本編に基づき提出された CIRCIA 報告書、および第 226.14(c)条に基づき発行された情報要求に対するプロバイダは、連邦政府機関や省庁の規則や手続き、あるいは意思決定担当者との一方的なコミュニケーションに関する司法教義の適用を受けない。
(c) Restrictions on use--(1) Prohibition on use in regulatory actions. Federal, State, Local, and Tribal Government entities are prohibited from using information obtained solely through a CIRCIA Report submitted under this part or a response to a request for information issued under § 226.14(c) to regulate, including through an enforcement proceeding, the activities of the covered entity or the entity that made a ransom payment on the covered entity’s behalf, except:  (c) 使用の制限--(1) 規制措置における使用の禁止。連邦、州、地方、および部族政府機関は、本編に基づき提出された CIRCIA 報告書、または第 226.14 条(c)に基づき発行された情報要求に対する回答書を通じてのみ入手した情報を、対象事業体または対象事業体に代わって身代金支払を行った事業体の活動を、強制手続を通じた場合を含め、規制するために使用することは禁止されている: 
(i) If the Federal, State, Local, or Tribal Government entity expressly allows the entity to meet its regulatory reporting obligations through submission of reports to CISA; or (i) 連邦政府、州政府、地方政府、又は部族政府機関が、CISAへの報告書の提出を通じて事業体が規制 報告義務を果たすことを明示的に認めている場合。
(ii) Consistent with Federal or State regulatory authority specifically relating to the prevention and mitigation of cybersecurity threats to information systems, a CIRCIA Report or response to a request for information issued under § 226.14(c) may inform the development or implementation of regulations relating to such systems.  (ii) 情報システムに対するサイバーセキュリティの脅威の防止及び軽減に特に関連する連邦又は州 の認可に基づき、CIRCIA 報告書又は第 226.14 条(c)に基づき発行された情報要求に対する回答が、当該シス テムに関連する規制の策定又は実施に情報を提供する場合がある。
(2) Liability protection--(i) No cause of action. No cause of action shall lie or be maintained in any court by any person or entity for the submission of a CIRCIA Report or a response to a request for information issued under § 226.14(c) and must be promptly dismissed by the court. This liability protection only applies to or affects litigation that is solely based on the submission of a CIRCIA Report or a response provided to a request for information issued under § 226.14(c).  (2) 責任の保護--(i) 訴因はない。CIRCIA 報告書の提出または第 226.14(c)節に基づき発行された情報要求に対する回答を理由として、いかなる個人または事業体も、いかなる裁判所においても訴因を有し、または維持することはできず、裁判所により速やかに却下されなければならない。この防御は、CIRCIA 報告書の提出、または§226.14(c)に基づき発行された情報要求に対する回答書のプロバイダのみに基づく訴訟にのみ適用される。
(ii) Evidentiary and discovery bar for reports. CIRCIA Reports submitted under this part, responses provided to requests for information issued under § 226.14(c), or any communication, document, material, or other record, created for the sole purpose of preparing, drafting, or submitting CIRCIA Reports or responses to requests for information issued under § 226.14(c), may not be received in evidence, subject to discovery, or otherwise used in any trial, hearing, or other proceeding in or before any court, regulatory body, or other authority of the United States, a State, or a political subdivision thereof. This bar does not create a defense to discovery or otherwise affect the discovery of any communication, document, material, or other record not created for the sole purpose of preparing, drafting, or submitting a CIRCIA Report under this part or a response to a request for information issued under § 226.14(c). (ii) 報告書の証拠開示および証拠開示の禁止。本条に基づき提出された CIRCIA 報告書、226.14 条(c)に基づき発行された情報要求に対する回答、または CIRCIA 報告書もしくは 226.14条(c)に基づき発行された情報要求に対する回答を作成、ドラフト、提出することのみを目的として作成されたコミュニケーション、文書、資料、その他の記録は、米国、州、またはその政治的小部門の裁判所、規制団体、その他の当局における、またはそれらに対する裁判、聴聞会、その他の手続において、証拠として受理されたり、証拠開示の対象とされたり、その他の方法で使用されたりすることはできない。この禁止は、本項に基づく CIRCIA 報告書の作成、ドラフト、提出、または第 226.14 条(c)に基づき発行された情報要求に対する回答のみを目的として作成されたものでないコミュニケーション、文書、資料、またはその他の記録の証拠開示に対する抗弁を生じさせたり、または証拠開示に影響を及ぼすものではない。
(iii) Exception. The liability protection provided in paragraph (c)(2)(i) of this section does not apply to an action taken by the Federal government pursuant to § 226.15. (iii) 例外。本条第(c)項(2)(i)に定める防御は、226.15 条に基づき連邦政府によって行われる措置には適用されない。
(3) Limitations on authorized uses. Information provided to CISA in a CIRCIA Report or in a response to a request for information issued under § 226.14(c) may be disclosed to, retained by, and used by any Federal agency or department, component, officer, employee, or agent of the Federal Government, consistent with otherwise applicable provisions of Federal law, solely for the following purposes: (3) 認可用途の制限。CIRCIA 報告書において、または第 226.14(c)条に基づき発行された情報要求に対する回答書において CISA に提供された情報は、連邦法のその他の適用法に基づき、連邦政府 のいかなる機関もしくは部局、構成機関、役員、職員、または代理人に対しても、以下の目的のためにのみ開示、保 管、使用することができる:
(i) A cybersecurity purpose; (i) サイバーセキュリティ目的;
(ii) The purpose of identifying a cybersecurity threat, including the source of the cybersecurity threat, or a security vulnerability; (ii) サイバーセキュリティの脅威(サイバーセキュリティの脅威の発生源を含む)またはセキュリティの脆弱性を識別する目的;
(iii) The purpose of responding to, or otherwise preventing or mitigating, a specific threat of:  (iii) 特定の脅威への対応、または予防もしくは低減を目的とする: 
(A) Death;  (A) 死亡; 
(B) Serious bodily harm; or (B) 重大な身体的危害、または
(C) Serious economic harm;  (C) 深刻な経済的被害; 
(iv) The purpose of responding to, investigating, prosecuting, or otherwise preventing or mitigating a serious threat to a minor, including sexual exploitation and threats to physical safety; or (iv) 未成年者に対する重大な脅威(性的搾取、身体の安全に対する脅威を含む)に対応、調査、訴追、またはその他の方法で防止もしくは軽減する目的。
(v) The purpose of preventing, investigating, disrupting, or prosecuting an offense:  (v) 犯罪を防止、調査、妨害、起訴する目的: 
(A) Arising out of events required to be reported in accordance with § 226.3;  (A) 第 226.3 項に従って報告することが義務付けられている事象に起因する; 
(B) Described in 18 U.S.C. 1028 through 1030 relating to fraud and identity theft; (B) 詐欺および ID 窃盗に関する合衆国法律集第 18 編第 1028 条から第 1030 条に記述されているもの;
(C) Described in 18 U.S.C. chapter 37 relating to espionage and censorship; or (C) スパイ活動および検閲に関する合衆国法律集第 18 編第 37 章に記述されているもの。
(D) Described in 18 U.S.C. 90 relating to protection of trade secrets. (D) 企業秘密の保護に関する合衆国法律集第 18 編第 90 章に記述されているもの。
§ 226.19 Procedures for protecting privacy and civil liberties.  § 226.19 プライバシーおよび市民の自由を保護するための防御手順
(a) In general. The use of personal information received in CIRCIA Reports and in responses provided to requests for information issued under § 226.14(c) is subject to the procedures described in this section for protecting privacy and civil liberties. CISA will ensure that privacy controls and safeguards are in place at the point of receipt, retention, use, and dissemination of a CIRCIA Report. The requirements in this section do not apply to personal information submitted in response to a subpoena issued under § 226.14(d) or following Federal government action under §§ 226.15 through 226.17.  (a) 一般的に。CIRCIA レポートで受領した個人情報及び§226.14(c)に基づき発行された情報要求に対する回答で受領した個人情報の 使用は、プライバシー及び市民の自由を保護するために本条に記載された手続きに従う。CISA は、CIRCIA 報告書の受領、保管、使用、配布の時点でプライバシー管理と保護措置が実施されていることを保証する。本条項の要件は、226.14条(d)に基づき発行された召喚状に応じて、又は226.15条から226.17条に基づく政府の措置を受けて提出された個人情報には適用されない。
(b) Instructions for submitting personal information. A covered entity should only include the personal information requested by CISA in the web-based CIRCIA Incident Reporting Form or in the request for information and should exclude unnecessary personal information from CIRCIA Reports and responses to requests for information issued under § 226.14(c).  (b) 個人情報の提出に関する指示。対象事業体は、CISA が要求した個人情報のみをウェブベースの CIRCIA インシデント報告書又は情報要求に含めるべきであり、CIRCIA 報告書及び第 226.14条(c)に基づき発行された情報要求に対する回答からは不要な個人情報を除外すべきである。
(c) Assessment of personal information. CISA will review each CIRCIA Report and response to request for information issued under § 226.14(c) to determine if the report contains personal information other than the information requested by CISA and whether the personal information is directly related to a cybersecurity threat. Personal information directly related to a cybersecurity threat includes personal information that is necessary to detect, prevent, or mitigate a cybersecurity threat.  (c) 個人情報の評価 CISA は、226.14(c)に基づき発行された各 CIRCIA 報告書及び情報要求に対する回答書をレビューし、報告書に CISA が要求した情報以外の個人情報が含まれているかどうか、及び当該個人情報がサイバーセキュリティ上の脅威に直接関連しているかどうかを判断する。サイバーセキュリティの脅威に直接関連する個人情報には、サイバーセキュリティの脅威を検 出、防止又は軽減するために必要な個人情報が含まれる。
(1) If CISA determines the personal information is not directly related to a cybersecurity threat, nor necessary for contacting a covered entity or report submitter, CISA will delete the personal information from the CIRCIA Report or response to request for information. covered entity or report submitter contact information, including information of third parties submitting on behalf of an entity, will be safeguarded when retained and anonymized prior to sharing the report outside of the federal government unless CISA receives the consent of the individual for sharing personal information and the personal information can be shared without revealing the identity of the covered entity.  (1)CISAが、個人情報がサイバーセキュリティの脅威に直接関係せず、対象事業体または報告書提出者と の連絡にも必要でないと判断した場合、CISAはCIRCIA報告書または情報要求に対する回答から当該個 人情報を削除する。対象事業体または報告書提出者の連絡先情報は、事業体に代わって提出するサードパーティ の情報を含め、CISAが個人情報の共有について本人の同意を受け、対象事業体の身元を明らかにすることな く個人情報を共有できる場合を除き、連邦政府外で報告書を共有する前に保持され匿名化された状態で保護さ れる。
(2) If the personal information is determined to be directly related to a cybersecurity threat, CISA will retain the personal information and may share it consistent with § 226.18 of this part and the guidance described in paragraph (d) of this section.  (2) 個人情報がサイバーセキュリティの脅威に直接関連すると判断された場合、CISAは個人情報を保持 し、本編第226.18条及び本項(d)に記載されるガイダンスに従って共有することができる。
(d) Privacy and civil liberties guidance. CISA will develop and make publicly available guidance relating to privacy and civil liberties to address the retention, use, and dissemination of personal information contained in Covered Cyber Incident Reports and Ransom Payment Reports by CISA. The guidance shall be consistent with the need to protect personal information from unauthorized use or disclosure, and to mitigate cybersecurity threats.  (d) プライバシー及び市民的自由のガイダンス。CISA は、CISA による対象サイバーインシデント報告書および身代金支払報告書に含まれる個人情報の保 持、使用、および配布に対処するため、プライバシーおよび市民的自由に関する指針を策定し、公 開する。ガイダンスは、個人情報を不正使用または不正開示から保護し、サイバーセキュリティの脅威を低減する必要性に合致したものでなければならない。
(1) One year after the publication of the guidance, CISA will review the effectiveness of the guidance to ensure that it appropriately governs the retention, use, and dissemination of personal information pursuant to this part and will perform subsequent reviews periodically. (1) ガイダンスの公表から1年後、CISAは、ガイダンスが本編に従った個人情報の保持、使用及び普及を適切に ガバナンスしていることを確認するため、ガイダンスの有効性をレビューし、その後も定期的にレ ビューを実施する。
(2) The Chief Privacy Officer of CISA will complete an initial review of CISA’s compliance with the privacy and civil liberties guidance approximately one year after the effective date of this part and subsequent periodic reviews not less frequently than every three years.  (2) CISAのチーフ・プライバシー・オフィサーは、本編の発効日から約1年後にCISAのプライバシー及び市民的自由のガイダンスへの準拠の初期レビューを完了し、その後3年ごとを下回らない頻度で定期レビューを実施する。
§ 226.20 Other procedural measures. § 226.20 その他の手続き上の措置
(a) Penalty for false statements and representations. Any person that knowingly and willfully makes a materially false or fraudulent statement or representation in connection with, or within, a CIRCIA Report, response to a request for information, or response to an administrative subpoena is subject to the penalties under 18 U.S.C. 1001. (b) Severability. CISA intends the various provisions of this part to be severable from each other to the extent practicable, such that if a court of competent jurisdiction were to vacate or enjoin any one provision, the other provisions are intended to remain in effect unless they are dependent upon the vacated or enjoined provision. (a) 虚偽の陳述および表明に対する罰則。意図的かつ故意に、CIRCIA 報告書、情報要求に対する回答、または行政召喚に対する回答に 関連して、またはその中で、重大な虚偽または詐欺的な陳述または表明を行った者は、合衆国法律集第 18 編第 1001 条に基づく罰則の対象となる。(b) 分離可能性。CISA は、本編の各条項を、実務上可能な範囲で互いに分離可能なものとすることを意図しており、管轄権を有 する裁判所がいずれかの条項を破棄または差し止めた場合でも、他の条項は、破棄または差し止められた条項 に依存しない限り、効力を維持することを意図している。
______________________ ______________________
Jennie M. Easterly, ジェニー・M・イースタリー
Director, 所長
Cybersecurity and Infrastructure Security Agency, Department of Homeland Security. 国土安全保障省サイバーセキュリティ・インフラセキュリティ庁長官 ジェニー・M・イースターリー。
[FR Doc. 2024-06526 Filed: 3/27/2024 8:45 am; Publication Date:  4/4/2024] [FR Doc. 2024-06526 Filed: 3/27/2024 8:45 am; Publication Date: 4/4/2024].

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.28 米国 SEC 上場企業によるサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示に関する規則を採択

・2022.09.14 米国 CISA サイバーインシデント報告法 (CIRCIA) における報告要件に関する意見募集 (2022.09.09)

・2022.03.17 米国 バイデン大統領が歳出法案に署名ー重要インフラの所有者・運営者は、サイバー攻撃を受けた場合は72時間以内に、ランサムウェアの支払いを行った場合は24時間以内にCISAに報告することが義務付けられる...

 

 

| | Comments (0)

2024.03.29

経済産業省 民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン Ver 2.0

こんにちは、丸山満彦です。

経済産業省が、「産業サイバーセキュリティ研究会 ワーキンググループ1(制度・技術・標準化)宇宙産業サブワーキンググループ 民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン Ver 2.0」を公表していますね...

私も委員をしていますが、気になるところがあれば、意見をお願いいたしますね...

システム全体イメージ..

20240329-123102

 

経済産業省 - 審議会・研究会 - ものづくり/情報/流通・サービス - 産業サイバーセキュリティ研究会 - ワーキンググループ1(制度・技術・標準化) - ワーキンググループ1(宇宙産業サブワーキンググループ)

・ 2024.03.28  産業サイバーセキュリティ研究会 ワーキンググループ1(制度・技術・標準化)宇宙産業サブワーキンググループ 民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン Ver 2.0

このガイドラインの作成、公表の目的...


民間宇宙事業者のビジネス振興及びサイバー攻撃による倒産等の経営リスク軽減の観点から、

  • 宇宙システムに係るセキュリティ上のリスク
  • 宇宙システムに関わる各ステークホルダーが検討すべき基本的セキュリティ対策
  • 対策の検討に当たり参考になる参考文献、活用可能な既存施策 等

について分かりやすく整理して示し、民間事業者における自主的な対策を促すこと...


 

・[PDF] 民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン Ver2.0

20240329-122731

 

・[PDF] 民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン Ver 2.0 概要資料

20240329-122845

 

・[ELSX] 【添付資料1】対策要求事項チェックリスト

・[ELSX] 【添付資料2】NIST CSFと宇宙システム特有の対策との対応関係

・[DOCX] 【添付資料3】情報セキュリティ関連規程(サンプル)

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.02.19 ENISA 低軌道(LEO)衛星通信のサイバーセキュリティ評価

・2023.09.26 NIST IR 8441 ハイブリッド衛星ネットワーク(HSN)のサイバーセキュリティフレームワーク・プロファイル

・2023.08.01 NIST NIST IR 8270 商業衛星運用のためのサイバーセキュリティ入門

・2023.06.10 NIST NISTIR 8441(ドラフト)ハイブリッド衛星ネットワークのためのサイバーセキュリティフレームワークプロファイル (2023.06.06)

・2023.04.02 経済産業省 民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン Ver1.1

・2023.01.08 NISTIR 8401 衛星地上セグメント:衛星の指揮・統制を保証するためのサイバーセキュリティフレームワークの適用 (2022.12.30)

・2022.11.06 NIST ホワイトペーパー NIST CSWP 27:ハイブリッド衛星ネットワーク (HSN) 用サイバーセキュリティ・フレームワーク・プロファイル:注釈付きアウトライン最終版

・2022.08.05 ドイツ BSI 宇宙インフラのためのサイバーセキュリティ

・2022.04.21 NISTIR 8401 (ドラフト) 衛星地上セグメント:衛星の指揮・統制を保証するためのサイバーセキュリティフレームワークの適用

・2022.02.27 経済産業省 意見募集 「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」

・2021.07.02 NISTIR 8270(ドラフト)商用衛星運用のためのサイバーセキュリティ入門

・2021.05.23 GPSの二重化は現在のところ経済効率的ではないようですね。。。

・2021.04.16 U.S. Rand研究所 衛星インターネットサービスは独裁者にとって吉?凶?

・2021.04.12 宇宙経済をサイバー攻撃から守り抜くために by The Center for Security Studies at ETH Zürich at 2021.01.07

・2021.02.13 NIST NISTIR 8323 基本的なPNTプロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用

・2020.11.21 MITREがサイバーセキュリティを含む宇宙関連の5つの技術報告書を公開していますね。。。

・2020.10.23 NISTが測位・航法・計時(PNT)に関連するサービスに関連したセキュリティプロファイルに関する文書(NISTIR 8323)のパブコメを募集していますね。

・2020.09.21 イランのハッカー3名が衛星会社から知財を盗んだ理由等により起訴されていますね。。。



 

| | Comments (0)

2024.03.27

ドイツ 医療現場におけるサイバーセキュリティ:BSIの研究が示す緊急対策の必要性

こんにちは、丸山満彦です。

ドイツが診療所でのサイバーセキュリティ対策についての調査結果を公表していますね...

2/3の診療所が100点満点ではなかったようですね...

大学時代にドイツ語をちゃんと勉強しておけばよかった...

 

Bundesamt für Sicherheit in der Informationstechnik; BSI

・2024.03.22 Cybersicherheit in Arztpraxen: BSI-Studien zeigen dringenden Handlungsbedarf auf

 

Cybersicherheit in Arztpraxen: BSI-Studien zeigen dringenden Handlungsbedarf auf 医療現場におけるサイバーセキュリティ: BSIの調査は対策の緊急性を示している
Cyberangriffe auf das Gesundheitswesen nehmen zu – medizinische Einrichtungen werden immer häufiger das Ziel von Hacker-Angriffen. Ein zentraler IT-Knotenpunkt unseres Gesundheitswesens ist die Telematikinfrastruktur (TI). Sie ist das Kommunikationsnetzwerk im deutschen Gesundheitssystem, wird regelmäßig kontrolliert und orientiert sich an strengen Spezifikationen. Die Sicherheitslage der IT-Infrastruktur von Arztpraxen in Deutschland hingegen wird bisher kaum erfasst, obwohl sie essenziell für die Verarbeitung sensibler Daten und direkt an die TI angeschlossen sind. Darum hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit zwei aktuellen Studien eine Datengrundlage geschaffen, mittels derer die IT-Sicherheit von Arztpraxen schnell und nachhaltig erhöht werden kann. 医療分野へのサイバー攻撃は増加の一途をたどっており、医療施設はますますハッカー攻撃の標的になっている。医療システムの中心的なITハブはテレマティクス・インフラ(TI)である。これはドイツの医療システムにおける通信ネットワークであり、定期的に監視され、厳格な仕様に基づいている。しかし、ドイツの外科医のITインフラのセキュリティ状況は、機密データの処理に不可欠であり、TIに直接接続されているにもかかわらず、これまでほとんど記録されていない。このため、連邦情報セキュリティー局(BSI)は、診療所のITセキュリティーを迅速かつ持続的に向上させるために利用できる2つの最近の研究結果をデータ基盤として作成した。
Ergebnisse der Studie SiRiPrax SiRiPrax調査の結果
In einer deutschlandweiten Umfrage konnte das BSI einen Einblick in die Umsetzung der IT-Sicherheitsrichtlinie gem. § 75b SGB V in ca. 1.600 Arztpraxen gewinnen. Die Richtlinie adressiert Voraussetzungen für die IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung und umfasst auch Anforderungen an die sichere Installation und Wartung von Komponenten und Diensten der TI, die in der vertragsärztlichen Versorgung genutzt werden. Ziel der Befragung war es, den Umsetzungsgrad der Richtlinie zu erheben und Verbesserungspotenziale zu identifizieren. ドイツ全土を対象とした調査で、BSIは約1,600の診療所におけるSGB V第75b条に準拠したITセキュリティガイドラインの実施状況を把握することができた。同ガイドラインは、契約医療・歯科医療におけるITセキュリティの要件を扱っており、契約医療で使用されるTIコンポーネントやサービスの安全な設置や保守に関する要件も含まれている。調査の目的は、この指令の実施度合いを判定し、改善の可能性を特定することであった。
Lediglich ein Drittel der Befragten gab eine vollständige Umsetzung aller mit der Richtlinie vorgegebenen Schutzmaßnahmen an. Gleichzeitig ergab die Befragung, dass zehn Prozent der Arztpraxen bereits mindestens einmal von einem IT-Sicherheitsvorfall betroffen waren. Zusätzlich zeigte sich, dass bei der aktuellen Fassung der IT-Sicherheitsrichtlinie Optimierungsbedarf bezüglich Verständlichkeit und konkreter Hilfestellungen bei der Umsetzung bestehen. Zudem wurde festgestellt, dass der Einsatz eines Informationssicherheitsbeauftragten in Arztpraxen sich unmittelbar positiv auf die IT-Sicherheit auswirkt. 回答者の3分の1だけが、指令で規定されている保護措置をすべて完全に実施していると答えた。同時に、調査の結果、診療所の10%がすでに一度はITセキュリティ・インシデントの影響を受けていることが明らかになった。また、ITセキュリティガイドラインの現行版を、わかりやすさや具体的な実施支援という点で最適化する必要性があることも示された。また、医療現場における情報セキュリティ担当者の任命は、ITセキュリティに直接的なプラスの効果をもたらすことも明らかになった。
Ergebnisse der Studie CyberPraxMed CyberPraxMed調査の結果
Parallel wurde in einer Auswahl von 16 Arztpraxen eine Umfrage mit dem Ziel durchgeführt, Cyberrisikofaktoren und Angriffsmöglichkeiten qualitativ zu erfassen. Dafür wurden die Netzwerkstruktur, bereits vorhandene Sicherheitsvorkehrungen und der „Faktor Mensch“, also personelle Aspekte, in den Blick genommen. Die Auswahl der Arztpraxen erfolgte nach den Kriterien des Fachgebiets, der Anzahl der Mitarbeiterinnen und Mitarbeiter sowie der geografischen Lage. 同時に、サイバーリスク要因と攻撃機会を定性的に記録することを目的として、16の診療所から選ばれた診療所を対象に調査が実施された。この目的のため、ネットワーク構造、既存のセキュリティ対策、「人的要因」、すなわち人的側面が分析された。診療所は、専門性、従業員数、地理的位置の基準に従って選ばれた。
Im Rahmen des Projekts hat das BSI teils schwerwiegende Sicherheitsmängel – unzureichender Schutz vor Schadsoftware, mangelndes Patchmanagement und fehlende Back-ups – festgestellt. So befand sich in allen untersuchten Praxen der Konnektor zur Anbindung an die TI im Parallelbetrieb zu einem gewöhnlichen Router und konnte dadurch seine Schutzwirkung nicht vollständig entfalten. Zudem waren in keiner der befragten Praxen sensible Patientendaten durch eine Festplattenverschlüsselung geschützt. プロジェクトの一環として、BSIは、マルウェアに対する不十分な保護、不十分なパッチ管理、バックアップの欠如など、いくつかの深刻なセキュリティ上の欠陥を特定した。例えば、TIに接続するためのコネクターは、分析対象となったすべての診療所で通常のルーターと並行して運用されていたため、保護効果を十分に発揮できなかった。さらに、調査対象となった診療所のいずれにおいても、患者の機密データはハードディスクの暗号化によって保護されていなかった。
Ziel des Projekts ist es, Artpraxen einen Projektbericht, der die gefundenen Schwachstellen zusammen mit einer Risikobewertung und Handlungsempfehlungen auflistet, zur Verfügung zu stellen. Darin enthalten ist eine Handreichung mit pragmatischen, schnell umsetzbaren Maßnahmen, deren Umsetzung Ärztinnen und Ärzten die Möglichkeit bietet, ihre Praxen mit geringem Aufwand robuster gegen Cyberangriffe zu machen. このプロジェクトの目的は、発見された脆弱性をリスク評価と対策勧告とともに記載したプロジェクト報告書を診療所に提供することである。これには、実用的ですぐに実行可能な対策が記載された配布資料も含まれており、これを実施することで、医師はわずかな労力でサイバー攻撃に対して診療所をより強固にする機会を得ることができる。
BSI-Präsidentin Claudia Plattner: „Die gute Nachricht ist: Viele der Sicherheitsmängel, die wir festgestellt haben, können schnell und ressourcenschonend behoben werden. Die Ergebnisse aus den Studien ermöglichen uns, die IT-Sicherheit in Arztpraxen durch pragmatischere Vorgaben gezielt zu verbessern und so die Digitalisierung des Gesundheitswesens weiter voranzutreiben. Damit uns das gelingt, brauchen wir einen festen Schulterschluss zwischen allen Akteuren.“ BSIのクラウディア・プラットナー会長は、「我々が特定したセキュリティ上の欠陥の多くは、資源を浪費することなく、迅速に是正できることが朗報だ。この研究結果は、より現実的な要求事項を通じて、医療現場のITセキュリティを的を絞った形で改善し、医療部門のデジタル化をさらに進めることを可能にするだろう。そのためには、すべての関係者が緊密に協力する必要がある。"
Gelegenheit zum direkten Austausch mit dem BSI zum Themenkomplex Digital Health gibt es auf der Gesundheits-IT-Fachmesse DMEA vom 9. bis 11. April 2024 in Berlin. Am Messestand 105b in Halle 06.2 haben Interessierte die Möglichkeit, sich zu aktuellen BSI-Aktivitäten rund um die TI und vernetzte Medizinprodukte sowie die Cybersicherheit in Arztpraxen und im Rettungswesen zu informieren. 2024年4月9日から11日までベルリンで開催されるDMEAヘルスケアIT見本市では、デジタルヘルスをテーマにBSIと直接交流する機会が設けられる。ホール06.2のスタンド105bでは、関係者がTIやネットワーク化された医療機器、医療行為や救急サービスにおけるサイバーセキュリティに関するBSIの現在の活動について知ることができる。

 

Weitere Informationen 詳細情報
E-Health Eヘルス
Projekte im Bereich der Medizintechnik 医療技術分野のプロジェクト
Hinweise zur IT-Sicherheitsrichtlinie nach § 75b SGB V SGB V第75b条に基づくITセキュリティガイドラインに関する情報
DMEA 2024 DMEA 2024
[PDF] Evaluierung der IT-Sicherheitsrichtlinie in Arztpraxen [PDF] 医療現場におけるITセキュリティガイドラインの評価
[PDF] CyberPraxMed Abschlussbericht [PDF] CyberPraxMed最終報告書
[PDF] Tätigkeitsbericht Gesundheit 2023 [PDF] ヘルス2023活動報告

 

・2024.03.22 Evaluierung der IT-Sicherheitsrichtlinie in Arztpraxen

Evaluierung der IT-Sicherheitsrichtlinie in Arztpraxen 医療現場におけるITセキュリティガイドラインの評価
Maßgeblich für die Etablierung einer ausreichenden und flächendeckenden IT-Sicherheit in Praxen ist neben der Angemessenheit der Anforderungen ebenfalls die Anwendbarkeit. Diese Anwendbarkeit ist stets auch von der allgemeinen Verständlichkeit der Anforderungen abhängig. Um einen Einblick in die bisherige Umsetzung und die Verständlichkeit der 2020 veröffentlichten IT-Sicherheitsrichtlinie zu erlangen, hat das BSI im Nachgang der belastenden Corona-Pandemie eine Befragung bei den Leistungserbringenden in der ambulanten Versorgung in Auftrag gegeben. 医療現場において十分かつ包括的なITセキュリティを確立するためには、要求事項の適切性に加えて、適用可能性も決定的な要素となる。この適用可能性は、常に要求事項の一般的な理解可能性にも依存する。BSIは、2020年に発表されたITセキュリティガイドラインの実施状況と理解可能性を把握するため、ストレスの多いコロナウィルスの大流行を受けて、外来診療のサービスプロバイダーに調査を依頼した。
Das Vorgehen und die Ergebnisse, der von März bis Mai 2023 durchgeführten Befragung, werden in diesem Dokument vorgestellt. Hierzu wird zunächst die Ausgangslage und relevante Fragestellungen benannt, das Untersuchungsdesign der Befragung dargestellt und eine Einordnung der teilgenommenen Arztpraxen präsentiert. Anschließend werden die Ergebnisse zu einzelnen Fragestellungen dargelegt und schließlich eine Interpretation der Umfrageergebnisse vorgenommen. 本書では、2023年3月から5月にかけて実施された調査の手順と結果を紹介する。まず、最初の状況および関連する質問項目が挙げられ、調査デザインが示され、参加した診療所が分類されている。その後、個々の質問の結果を示し、最後に調査結果の解釈を示す。

 

・[PDF]

20240326-181118

 

目次...

1 Einleitung 1 はじめに
2 Hintergrund und Ausgangslage der Untersuchung 2 研究の背景と出発点
2.1 Untersuchungsdesign 2.1 研究デザイン
2.2 Soziogram 2.2 ソシオグラム
3 IT-Sicherheitsrichtlinie und IT-Strukturen 3 ITセキュリティ方針とIT構造
3.1 Umsetzung, Bekanntheit und Verständlichkeit 3.1 導入、親しみやすさ、理解しやすさ
3.2 IT-Ausstattung und deren Nutzen 3.2 IT機器とそのメリット
4 Schlussfolgerung und Erkenntnisse aus der Umfrage 4 結論と調査結果
5 Literaturverzeichnis 5 参考文献

 

マネジメントサマリー...

Management Summary マネジメントサマリー
Die IT-Sicherheitsrichtlinie gem. § 75b SGB V1 definiert Mindestanforderungen an die IT-Sicherheit für einen sicheren Betrieb in Arztpraxen. Das Bundesamt für Sicherheit in der Informationstechnik führte im Rahmen der gesetzlich vorgeschriebenen Evaluation von März bis Mai 2023 eine Umfrage zur IT-Sicherheit in Praxen, vor dem Hintergrund dieser IT-Sicherheitsrichtlinie, durch. Die ca. 1.600 Rückmeldungen der Befragten stellen einen Einblick in die derzeitige Berücksichtigung von IT-Sicherheit im Versorgungsalltag dar. 第75b SGB V1に準拠したITセキュリティガイドラインは、医療現場における安全な運用のためのITセキュリティの最低要件を定義している。連邦情報セキュリティ局は、法律で定められた評価の一環として、このITセキュリティガイドラインを背景に、2023年3月から5月にかけて、診療所におけるITセキュリティに関する調査を実施した。回答者から寄せられた約1,600件の回答から、日常的な医療におけるITセキュリティの検討状況を知ることができる。
Arztpraxen verfügen über eine recht große Anzahl an technischen, digitalen und medizinischen Geräten, die in einem Netzwerk eingebunden oder extern verwendet werden. Des Weiteren arbeiten sie mit unterschiedlichen Programmen und branchenspezifischer Software. 医療現場には、ネットワークに統合されたり、外部で使用されたりする技術機器、デジタル機器、医療機器が非常に多く存在する。また、さまざまなプログラムや業界特有のソフトウェアを使用している。
Die meisten Befragten sind um Sicherung und Schutz ihrer Daten bemüht und halten sich bei diesem Thema für gut informiert. In fast jeder Praxis gibt es einen IT-Sicherheitsbeauftragten. ほとんどの回答者は、データの安全性と保護に関心を持っており、このトピックについて十分な情報を持っていると考えている。ほぼすべての診療所にITセキュリティ担当者がいる。
Dennoch verweist die durchwachsene Bekanntheit der IT-Richtlinie nach § 75b SGB V und ihrer Umsetzung darauf, dass das Thema und seine Bedeutung viele Praxen noch nicht erreicht hat. とはいえ、第75b条SGB Vに準拠したITガイドラインとその実施に関する認識がまちまちであることから、このテーマとその重要性がまだ多くの診療所に浸透していないことがわかる。
Dass die Vorgaben aktuell nur in einem Drittel der Praxen vollumfänglich umgesetzt wurden, scheint zum einen mit Verständnisproblemen hinsichtlich der Vorgaben und Zweifel an deren Nutzen zu tun zu haben, zum anderen mit fehlendem oder unzureichendem Budget, Personal und Zeit. Möglicherweise empfinden viele Praxen zudem keine große Dringlichkeit, da sie meistens noch keinen IT-Sicherheitsvorfall hatten. 現在、ガイドラインが3分の1の診療所でしか完全に実施されていないという事実は、ガイドラインを理解する上での問題や、ガイドラインの有用性に対する疑問、さらには予算、スタッフ、時間の不足や不足によるものと思われる。また、多くの診療所では、まだITセキュリティ事故が発生していないため、それほど緊急性を感じていない可能性もある。
Die flächendeckende Umsetzung der Richtlinie zur Etablierung eines Mindestschutzes bei den Arztpraxen bedarf weiterer Anstrengungen, damit bestehende Hürden, wie Verständnisprobleme oder unklare Umsetzungen ausgeräumt werden können. 診療所における最低レベルの保護を確立するための指令の包括的な実施には、理解力の問題や実施方法の不明確さといった既存のハードルを克服できるよう、さらなる努力が必要である。

 

ガイド...

全国法定保険医協会(KBV)。2020年 ITセキュリティ確保要件に関するSGB V第75b条に基づく指令

・[PDF] Kassenärztliche Bundesvereinigung (KBV). 2020. Richtlinie nach § 75b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit,

20240327-43455

 

連邦法定保険歯科医協会(KZBV)。2021. ITセキュリティ確保の要件に関するSGB V第75b条に従ったガイドライン

https://www.kzbv.de/it-sicherheitsrichtlinie-75b-kzbv-v1-01-0121.download.e97ec0837147f4639f3b4c32e5775c84.pdf

 

 

| | Comments (0)

より以前の記事一覧