Comments
Transcript
THE NATIONAL STRATEGY TO SECURE CYBERSPACE
The President's Critical Infrastracure Protection Board THE NATIONAL STRATEGY TO SECURE CYBERSPACE (抄) ※本 Strategy は米国大統領インフラ保護委員会が 2002.9.18 に発表したものである。 11 / 18 までパブリックコメントに付されている。 ※本抜粋は Hightlights 及び Recommendation 部 分のみを抜粋したものである。 ※日本語訳は経済産業省仮訳である。 HIGHLIGHTS 重要点(HIGHLIGHTS)(仮訳) This section summarizes and provides a framework ここでは、このセクション以降の文書内容を要約し、その枠組みを提 for the rest of the document. It highlights in one 供する。このセクションは、後のセクションで議論する勧告のなかで place the most important recommendations that will 最も重要なものをまとめ、強調事項として示すものである。 be discussed in later sections. 戦略(Strategy) Strategy The security of cyberspace depends vitally on all サイバースペースのセキュリティは、ホームユーザーから連邦政府ま owners of the nation’s cyber infrastructure, from で、国のサイバーインフラストラクチャの所有者すべてに大きく依存 している。それぞれの個人や組織には、サイバースペースのなかで各 the home user to the Federal government. Each 自が所有する部分を保護する責任がある。この戦略は、各個人及び各 individual and organization has a responsibility to 組織が自らの役割を果たすことができるようにすることを目的として secure its own portion of cyberspace. The Strategy is いる。この戦略は、いかにしてサイバーセキュリティを実現するかに designed to empower each person and each ついての道筋(roadmap)を示し、かつ全米国民に対してこれをより organization to do its part. It provides a roadmap for 実現し易くなる手段(tools)を提供するものなのである。 how to achieve cybersecurity and provides tools to better empower all Americans to do so. To create this strategic roadmap, the owners of each major component of cyberspace have been developing their own plans for securing their portions of the infrastructure. Some of these plans are already developed and are contained in this document. Others will be added over time. Together they will reflect a national partnership between private sectors, government, and individuals to vigorously create, maintain, and この戦略的な道筋をつけるために、サイバースペースの主な構成要素 それぞれの所有者は、インフラのなかで各自が所有する部分を保護す るための独自の計画を立てている。これらの計画のなかには既に策定 され、この文書のなかに記載されているものもある。また、追って追 加されていくであろうものもある。 これらの計画は、合わせて、サイバースペースのセキュリティを積極 的に築き、維持し、かつ更新するための、民間セクター、政府、及び 個人間の国家的なパートナーシップを反映するものとなろう。 2 update the security of cyberspace. The overall national strategic goal is to empower all Americans to secure their portions of cyberspace. This strategic goal will be accomplished through six major tools for empowering people and organizations to do their part: 1. Awareness and Information: Educate and create awareness among users and owners of cyberspace of the risks and vulnerabilities of their system and the means to mitigate these risks. 2. Technology and Tools: Produce new and more secure technologies, implement those technologies more quickly, and produce current technologies in a more secure way. 3. Training and Education: Develop a large and well-qualified cybersecurity workforce to meet the needs of industry and government, and to innovate and advance the nation’s security capabilities. 4. Roles and Partnerships: Foster responsibility of individuals, enterprises, and sectors for security at all levels through the use of market forces, education and volunteer efforts, public-private partnerships, and, in the last resort, through regulation or legislation. 5. Federal Leadership: ImproveFederal cybersecurity to make it a model for other sectors by 全般的な国家の戦略目標は、全米国民がサイバースペースのなかで各 自の担う部分を保護できるようにすることである。この戦略目標は、 個人及び組織が自らの役割を果たすことができるようにするための 6 つの主な手段(tools)を通して達成されるであろう。この手段を次に 示す。 1. 認識及び情報(Awareness and Information) :サイバー スペースのユーザー及び所有者に対し、彼らのシステムのリ スク及びぜい(脆)弱性とそのリスクを軽減する方法について 教育を行い、またこれらに対する認識を促す。 2. 技術及び手段(Technology and Tools) :新しくより良い セキュアな技術を生み出し、その技術をより迅速に導入し、 かつ、よりセキュアな方法で最新技術を生み出す。 3. 訓練及び教育(Training and Education):産業界及び政 府のニーズを満たすため、また国家のセキュリティ能力を刷 新し向上させるために、規模が大きくかつ資質の高いサイ バーセキュリティ労働力を開発する。 4. 役割及びパートナーシップ(Roles and Partnership): 全てのレベルにおいて、市場の力、教育及び自発的な取り組 み、官民パートナーシップを通して、また最後の手段として は規制又は法律の制定を通じて、個人、企業及びセクターの セキュリティに対する責任の明確化を促す。 5. 連邦主導(Federal leadership):他のセクターのモデル とするために、次を行うことによって連邦政府のサイバーセ キュリティを改善する。それらは、説明責任を向上させるこ 3 increasing accountability; implementing best practices; expanding the use of automated tools to continuously test, monitor, and update security practices; procuring secure and certified products and services; implementing leading-edge training and workforce development; and deterring and preventing cyber attacks. と、ベストプラクティス(best practices)を導入するこ と、セキュリティの実践状況のテスト、監視、更新を継続的 に行うための自動化ツールの使用を拡大すること、セキュア で認証を受けている製品及びサービスを調達すること、最新 の訓練を実施し労働力の開発を行うこと、及びサイバー攻撃 を阻止し未然に防ぐこと、である。 6. 協 調 及 び 危 機 管 理 ( Coordination and Crisis Management):攻撃を迅速に検出し、かつその攻撃に効 果的に対応するために、公的セクター内、民間セクター内、 及び両セクター間において情報に関する早期警戒及び効率的 な情報共有を開発する。 6. Coordination and Crisis Management: Develop early warning and efficient sharing of information both within and between public and private sectors so that attacks are detected quickly and responded to efficiently. In each section of this Strategy, the reader will find some or all of these themes reflected in two ways. First, the introduction to each section lays out the strategic goals for that audience or level of the Strategy. Second, each section highlights ongoing programs, recommendations, and topics for discussion that will serve to develop the strategic goals. In this section, these strategies and supporting actions are summarized. In this National Strategy, the reader will find new recommendations for actions, and numerous questions and topics for 読者は、これらのテーマ全部又はそのいくつかが、次の2通りの方法 によって、この国家戦略の各セクションのなかに反映されていること に気付くことと思われる。第一に、各セクションの導入部分で戦略の 対象やレベルにおける戦略目標が明確に記述されている。そして第二 に、それぞれのセクションにおいて、その戦略目標の進展に役立つだ ろう継続的なプログラム、勧告、及び議題(topic)が強調表示されて いる。 本セクションでは、これらの戦略及びこれを支える活動が要約されて いる。読者は、この国家戦略全体のなかで、活動についての新たな勧 告とともに議論すべき数々の問題や議題が示されていることに気付く であろう。これらが勧告となるよう、その議論の展開を促進すること が連邦政府の目標となる。その結果、勧告はさらに充実したものとな り、また、なかには個人、組織、もしくは政府のイニシアチブとなる 4 debate. It will be the goal of the Federal government to help facilitate the evolution of these discussions so that they become recommendations. Recommendations will evolve, in turn, and some will become initiatives of individuals, organizations, or government. ものもあるだろう。 セクションごとの勧告の要約(Summary of Recommendations by Summary of Recommendations by Section The National Strategy calls for actions at all levels Section) and across all sectors. Some of the major strategic この国家戦略は、すべてのレベルにおける、かつすべてのセクターに innovations called for in this document are わたる活動を必要とするものである。この国家戦略が必要とする主な 戦略的な新機軸(innovations)のいくつかは、下記に強調表示されて highlighted below. A detailed discussion of each of いる。これらの新機軸それぞれについての詳細な議論については、後 these innovations is included in the pages that に続く文書のなかに記述されている。 follow. 認識及び情報(Awareness and Information) Awareness and Information The Strategy identifies the need for increased この国家戦略は、米国のサイバーインフラのぜい(脆)弱性についての awareness about the vulnerability of America’s cyber 認識を高める必要性を明確にし、各人、企業、組織、及び機関がサイ バースペースをよりセキュアなものとするのを支援するために使用で infrastructure and provides information that きる情報を提供するものである。これについては、次に示す勧告があ each person, company, organization, and agency can る。 use to help make cyberspace more secure. It recommends: ・ Home users and small businesses should ・ ホームユーザー及び小企業は、サイバースペースの保護において自ら が重要な役割を担っていることを理解すべきである。これには、自身 recognize that they have an important role to のコンピュータシステムを保護すること、インターネットへのアクセ play in securing cyberspace, including securing スはセキュアな方法で行うこと、及びwww.StaySafeOnline.info、 www.nipc.gov、www.crsc.nist.govなどを含む多くのウェブサイトに their own computer systems, accessing the 5 Internet in asecure manner and drawing on best practices that can be found at a number of web sites including: www.StaySafeOnline.info, www.nipc.gov, and www.crsc.nist.gov. ・The President’s Critical Infrastructure Protection Board’s Awareness Committee should foster a public-private partnership to develop and disseminate cybersecurity awareness materials, specifically, audience-specific tools and resources for annual awareness training. ・State and local governments and private entities should identify or develop guidelines covering cyber awareness, literacy, training, and education, including ethical conduct in cyberspace, tailored to each level of a student’s education. 公開されているベストプラクティスを利用すること、が含まれる。 ・ 大 統 領 重 要 イ ン フ ラ 保 護 委 員 会 の 意 識 向 上 委 員 会 ( President’s Critical Infrastructure Protection Board’s Awareness Committee) は、サイバーセキュリティに対する認識向上のための教材 ( materials )、 特 に 、 年 次 の 認 識 向 上 ト レ ー ニ ン グ ( awareness training)のためのオーディエンスを特定したツール及び資源を開発 し、かつその普及を図るために官民パートナーシップを推進すべきで ある。 ・ 州政府、地方政府、及び民間団体は、サイバースペースにおける倫理 的行為を含む、各生徒の教育レベルに合わせたサイバースペースに関 する認識、操作能力(literacy)、訓練及び教育についてのガイドライ ンを明確にするか、又は作成すべきである。 技術及び手段(Technology and Tools) Technology and Tools The Strategy identifies the need for increased この国家戦略は、サイバーセキュリティ関連の研究をさらに多く実施 する必要性を明確にするものである。これについては、次に示す勧告 cybersecurity-related research. It recommends: がある。 ・A public-private partnership should, as a high priority, develop best practices and new technology to increase security of digital control ・ 官民パートナーシップは、優先事項として、公共事業、製造、及び他 のネットワークにおいて、ディジタル制御システム(digital control system = DCS)と監視制御データ収集(supervisory control and data acquisition = SCADA)システムのセキュリティを強化するため に、ベストプラクティス及び新技術の開発を実施すべきである。当面 6 system (DCS) and supervisory control and data acquisition (SCADA) systems in utilities, manufacturing, and other networks. In the interim, owners and operators of pipelines and power grids that rely on DCS/SCADA systems should closely examine the risks of Internet connections and take appropriate actions, such as implementing secure authentication within 24 months. Other industries with heavy reliance on DCS/SCADA should consider doing the same. The Department of Energy’s recent guidelines provide information on securing SCADA systems. の間は、DCS/SCADA システムに依存しているパイプライン及び電力 網の所有者及び運用者は、インターネット接続のリスクを入念に調査 し、これに対して、24 ヶ月以内にセキュアな認証を実施するなど、 適切な処置をとるべきである。DCS/SCADA に大きく依存している他 の産業界もまた、これらを実施することを検討すべきである。エネル ギー省の新たなガイドラインでは、SCADA システムの保護に関する 情報が示されている。 ・The President’s Critical Infrastructure Protection Board should coordinate with the Director of the Office of Science and Technology Policy on a program of Federal government research and development including near-term (1-3 years), midterm (3-5years), and long-term (5 years out and longer) IT security research. Federally funded near-term IT security research and development for FY04 and beyond should include priority programs identified by OSTP and the R&D Committee. Existing priorities include, among others, intrusion detection, internet infrastructure security (including protocols e.g. BGP, DNS), ・ 大統領重要インフラ保護委員会は、短期(1~3年)、中期(3~5 年) 、及び長期(5 年以上)の IT セキュリティ研究を含む連邦政府の 研究開発プログラムについて、科学技術政策局(Office of Science and Technology Policy = OSTP)の局長と連携をとるべきである。 2004 年度以降における連邦政府資金による短期の IT セキュリティ研 究開発には、科学技術政策局(OSTP)及び R&D 委員会が明確にし た優先プログラムを含めるべきである。既存の優先事項としては、侵 入検出、インターネットインフラセキュリティ(BGP、DNS 等のプ ロトコルを含む)、アプリケーションのセキュリティ、サービスの拒 否、通信秘密保全(SCADA システムの暗号化及び認証を含む)、高 度な保証システム、及びセキュアなシステム構成などが挙げられる。 7 application security, denial of service, communications security (including SCADA system encryption and authentication), high assurance systems and secure system composition. ・Public-private partnerships should identify crosssectoral cyber and physical interdependencies. They should develop plans to reduce related vulnerabilities, in conjunction with programs proposed in National Strategy for Homeland Security. It is within the scope of the National Infrastructure Simulation and Analysis Center to assist with these efforts. ・ 官民パートナーシップは、セクター間のサイバー的・物理的な相互依 存(cross-sectoral interdependencies)を明確にすべきである。ま た、国土安全保障戦略(National Strategy for Homeland Security) で提案されているプログラムと併せて、関連する脆弱性を低減するた めの計画を策定すべきである。これらの取り組みを支援するのは、全 米インフラシミュレーション分析センター(National Infrastructure Simulation and Analysis Center)の範囲内である。 訓練及び教育(Training and Education) Training and Education The Strategy addresses the existing gap between the この国家戦略は、適格な IT の専門家の必要性とこれらの人材を訓 練・育成する米国の能力とのあいだにみられる既存の格差を取り扱う need for qualified IT professionals and America’s ものである。これについての具体的な勧告としては、次が挙げられ ability to train and develop these workers. る。 Specific recommendations include: ・States should consider creating Cyber Corps ・ 各州は、州立大学において、その州のために働くことによって補助金 scholarship-forservice programs at State を返済する意思のある、IT セキュリティを専攻している学部生及び universities, to fund the education of 大学院生の教育に資金を提供するためのサイバー隊サービス奨学金プ ログラム(Cyber Corps Scholarship-for-service programs)の創設を undergraduate and graduate students specializing 検討すべきである。既存の連邦サイバー隊サービス奨学金プログラム in IT security who are willing to repay their を、学部の設立(faculty development)及び奨学資金の提供によっ grants by working for the states. The existing て、さらに多くの大学を対象に含むよう拡大し得る可能性について評 8 Federal Cyber Corps scholarship-for-service programshould be assessed for possible expansion to additional universities, with both faculty development and scholarship funding. The program could also add a faculty and program development effort with community colleges. 価すべきである。本プログラムではさらに、コミュニティカレッジに おける学部の設立及びプログラム開発のために取り組むことが可能で ある。 ・The CIO council and relevant Federal agencies should consider establishing a “Cyberspace Academy,” linking Federal cybersecurity and computer forensics training programs. ・ CIO 協議会(CIO Council)及び関連する連邦政府機関は、連邦政府 のサイバーセキュリティ(Federal cybersecurity)とコンピュータ犯 罪 科 学 ト レ ー ニ ン グ プ ロ グ ラ ム ( computer forensics training programs)をつなぐ「サイバースペースアカデミー」(”Cyberspace Academy”)の設立を検討すべきである。 ・IT security professionals, associations, and other appropriate organizations should explore approaches to and the feasibility of a nationally recognized certification program, including a continuing education and retesting program. The Federal government could assist in the establishment of such a program, and, if it is created, consider requiring that Federal IT security personnel be appropriately certified. ・ IT セキュリティの専門家、団体及び他の該当する組織は、継続的な 教育と再試験プログラムを含む、全国的に認められた認証プログラム 確立への取り組み方法及びその実現可能性を探求すべきである。連邦 政府は、そのようなプログラム確立を支援し、もし創設された場合に は、連邦の IT セキュリティ要員が適切に認証されるようとの要求を 検討することが可能である。 Roles and Partnerships 役割及びパートナーシップ(Roles and Partnership) The Strategy recognizes that all Americans have a この国歌戦略は、全ての米国民にはサイバーセキュリティにおいて果 role to play in cybersecurity, and identifies the たすべき役割があることを認識するものであり、かつ、サイバース 9 market mechanisms for stimulating sustained actions to secure cyberspace. It recommends: ・ CEOs should consider forming enterprisewide corporate security councils to integrate cybersecurity, privacy, physical security, and operational considerations. ・ State and local governments should consider establishing IT security programs for their departments and agencies, including awareness, audits, and standards. State, county, and municipal associations could provide assistance, materials, and model programs. ・Internet service providers, beginning with major ISPs, should consider adopting a “code of good conduct” governing their cybersecurity practices, including their security-related cooperation with one another. ・ The Federal government should identify and remove barriers to public-private information sharing and promote the timely twoway exchange of data to promote increased cyberspace security. ・ Colleges and universities should consider establishing together: (a) one or more information sharing and analysis centers (ISACs) to deal with cyber attacks and vulnerabilities; (b) model guidelines empowering Chief Information Officers ペースを保護するための持続的な活動を促進する市場機構を明確にす るものである。これについては、次に示す勧告がある。 ・ CEO は、サイバーセキュリティ、プライバシー、物理的セキュリ ティ、及びオペレーション上の考慮事項を統合するために企業全体の 企 業 セ キ ュ リ テ ィ 協 議 会 ( enterprisewide corporate security councils)の設置を検討すべきである。 ・ 州政府及び地方政府は、自身の機関(departments and agencies)に おいて、認識、監査、及び規格を含む IT セキュリティプログラムの 確立を検討すべきである。州、郡、市の団体(associations)は、支 援、物資(materials) 、及びモデルプログラムを提供し得る。 ・ インターネットサービスプロバイダー(ISP)は、主なプロバイダー を始めとして、セキュリティ関連の相互連携を含む、自身のサイバー セキュリティ慣行を規定する”code of good conduct”(「行動倫理規 範」 )の採用を検討すべきである。 ・ 連邦政府は、官民のあいだでの情報共有に対する障害を明確にし、こ れを除去すべきである。また、サイバースペースのセキュリティ強化 を促進するために適時にデータの双方向交換を行うことを推進すべき である。 ・ 各大学は、共同で次の事項の確立を検討すべきである。それらは、 (a)サイバー攻撃及び脆弱性を取り扱う一つ以上の情報共有分析セ ン ター (ISAC)、( b)最 高情 報担当 責任者 (Chief Information Officers = CIO)にサイバーセキュリティを取り扱う権限を与える モデルガイドライン、(c)IT セキュリティのベストプラクティス一式 以上、(d)モデルユーザー啓蒙プログラム及び教材(model user 10 (CIOs) to address cybersecurity; (c) one or more sets of best practices for IT security; and (d) model user awareness programs and materials. awareness programs and materials)である。 Federal Leadership 連邦主導(Federal Leadership) The Strategy recognizes the pressing need to make この国家戦略は、連邦サイバースペースセキュリティを国家モデルと Federal cyberspacesecurity a model for the nation. It することが急務であることを認識するものである。これについては、 次に示す勧告がある。 recommends: ・ In order to enhance the procurement of more ・ よりセキュアな IT 製品の調達を強化するために、連邦政府は 2003 年 度 第 4 四 半 期 ま で に 、 国 家 情 報 保 証 プ ロ グ ラ ム ( National secure IT products,the Federal government, by 4Q Information Assurance Program = NIAP)の実施状況について総合 FY03, will complete a comprehensive program 的なレビューを完了する予定である。このレビューの目的は、NIAP にどの程度費用対効果があり、かつ NIAP が明確に識別されたセキュ performance review of the National Information リティ格差(security gap)をどの程度達成目標として示している Assurance Program (NIAP) to determine the か、つまり、格差(gap)を縮めるための明確な目標が NIAP にある extent to which NIAP is cost effective and targets かどうか、またその目標を達成しつつあるかどうか、及びどの程度プ a clearly identified security gap; whether it has ログラムの改善、簡素化、又は拡大が適切であり、かつこれらに費用 対効果があるかを判断することである。 defined goals to close the gap, whether it is achieving those goals, and the extent to which program improvements, streamlining, or expansion are appropriate and cost effective. ・Federal departments should continue to expand ・ 連邦政府の各省(Federal departments)は、自動化された、企業全 the use of automated, enterprisewide security 体のセキュリティ評価及びセキュリティポリシー施行ツールの使用を assessment and security policy enforcement tools, 引き続き拡大し、攻撃を事前回避するための脅威管理ツールを積極的 に設置すべきである。2003 年度第3四半期までに、連邦政府は、こ and actively deploy threat management tools to れらツールの使用の拡大を推し進めるために(例えば、政策又は予算 preempt attacks. By 3Q FY03, the Federal 過程等を経て)特定の処置をとる必要があるかどうかを決定する予定 government will determine whether specific である。 actions are necessary (e.g., through the policy or 11 budget processes) to promote the greater use of these tools. ・ By the end of 2Q FY03, consider the cost effectiveness of a scenario-based security and contingency preparedness exercise for a selected cross-government business process. Should such an exercise take place, any security weaknesses shall be included as part of agencies’ Government Information Security Reform Act (GISRA) corrective action plans. ・ Federal departments and agencies must be especially mindful of security risks when using wireless technologies. Federal agencies should consider installing systems that continuously check for unauthorized wireless connections to their networks. Agencies should carefully review the recent NIST report on the use of wireless technologies and take into account NIST recommendations and findings. In that regard, agency policy and procedures should reflect careful consideration of additional risk reduction measures including the use of strong encryption, bi-directional authentication,shielding standards and other technical security considerations, configuration management, intrusion detection, incident handling, and computer security ・ 2003 年度第 2 四半期までに、選択された政府間の業務プロセスに関 して、シナリオに基づいたセキュリティ障害対策訓練(a scenariobased security and contingency preparedness exercise)の費用対効 果を検討すること。そのような訓練を実施する場合には、政府機関 ( agencies ) の 政 府 情 報 セ キ ュ リ テ ィ 改 革 法 ( Government Information Security Reform Act = GISRA)の是正処置計画の一部 としてセキュリティ上の弱点を含めなければならない。 ・ 連邦政府機関(Federal departments and agencies)は、ワイヤレス 技術を使用する場合、特にセキュリティリスクに注意しなければなら ない。連邦政府機関(Federal agencies)は、自身のネットワークに 対する無許可のワイヤレス接続を絶えずチェックするシステムのイン ストールを検討すべきである。政府機関は、ワイヤレス技術の使用に 関する最近の NIST レポートを注意深くレビューし、NIST の勧告及 び所見を考慮すべきである。その点において、政府機関のポリシー及 び手順は、追加のリスク軽減対策に対してなされる慎重な考慮結果を 反映したものであるべきである。これには、強力な暗号化、双方向認 証、シールディング規格、及び他の技術的なセキュリティ上考慮すべ き事柄の使用、コンフィギュレーション管理、侵入検出、事件・事故 の処理、並びにコンピュータセキュリティ教育及び啓蒙プログラムが 含まれる。 12 education and awareness programs. ・As part of the annual departmental IT security audits, agencies should include a review of ITrelated privacy regulation compliance. ・ 年次の部門別 IT セキュリティ監査の一環として、政府機関は IT 関連 のプライバシー規制への準拠に関するレビューを実施すべきである。 Coordination and Crisis Management 協調及び危機管理(Coordination and Crisis Management) The Strategy identifies a pressing need for a この国家戦略は、包括的な全国分析警告能力が早急に必要であること comprehensive national analysis and warning を明確にするものである。これについては、次に示す勧告がある。 ・ ISP、ハードウェア及びソフトウェアのベンダー、IT セキュリティ関 capability. It recommends: 連会社、コンピュータ緊急対応チーム、及び ISAC は、物理的又は ・ISPs, hardware and software vendors, IT securityバーチャルに、情報を共有するため、かつ米国におけるインターネッ related companies, computer emergency response トオペレーションの健全性及び信頼性を支援するための協調を確実な ものとするために、共同でサイバースペースネットワークオペレー teams, and the ISACs, together, should consider シ ョ ン セ ン タ ー ( Cyberspace Network Operations Center = establishing a Cyberspace Network Operations Cyberspace NOC)の設立を検討すべきである。このセンターは、政 Center (Cyberspace NOC), physical or virtual, to 府団体(government entity)ではなく、民間セクターによって運営 share information and ensure coordination to 管理されるものとなるであろうが、連邦政府はこのオペレーションセ support the health and reliability of Internet ンター(Cyberspace NOC)と協力可能な方法を探求すべきである。 operations in the United States. Although it would not be a government entity and would be managed by the private sector, the Federal government should explore ways in which it could cooperate with the Cyberspace NOC. ・ 産業界は、自発的に連邦政府と協力して、インターネット機能復旧計 ・Industry should, in voluntary partnership with 画を含むサイバーセキュリティ緊急対策計画(cybersecurity crisis the Federal government, complete and regularly contingency plans)を完成させ、定期的にこれを更新すべきである。 update cybersecurity crisis contingency plans, including a recovery plan for Internet functions. ・ 法執行及び国家安全保障機関は、国家的なサイバー攻撃(サイバー戦 ・ The law enforcement and national security 争)を検出するためのシステムを構築し、迅速な対応のための計画を 13 community should develop a system to detect a national cyber attack (cyber war) and a plan for immediate response. As part of this process, the appropriate entities should establish requirements and options. ・ Owners and operators of information system networks and network data centers should consider developing remediation and contingency plans to reduce the consequences of large-scale physical damage to facilities supporting such networks. Where requested, the Federal government could help coordinate such efforts and provide technical assistance. ・The United States should work with individual nations and with nongovernmental organizations (e.g., Forum of Incident Response and Security Teams (FIRST)), and international organizations(e.g.,International Telecommunications Union (ITU)), to promote the establishment of national and international watch and warning networks that will be designed to detect and prevent cyber attacks as they emerge. In addition, such networks could help support efforts to investigate and respond to attacks. 策定すべきである。このプロセスの一部として、適切な機関が要求事 項及び選択を確立すべきである。 ・ 情報システムネットワーク及びネットワークデータセンターの所有者 及び運用者は、そのようなネットワークを支える施設に対しての大規 模に及ぶ物理的な損害を軽減するために、復旧及び障害対策計画の策 定を検討すべきである。要求のある場合には、連邦政府はそのような 取り組みの調整を支援し、技術的な援助を提供することが可能であ る。 ・ 米国は、サイバー攻撃が発生した際にこれら攻撃を検出し防ぐことを 目的とする国内的・国際的な watch-and-warning networks(監視警 告ネットワーク)の確立を促進するために、個々の国家、非政府組織 (例、Forum of Incident Response and Security Teams (FIRST)) (問題対応フォーラムとセキュリティチーム)や国際組織(例、 International Telecommunications Union (ITU))(国際電気通信連 合)と協同で作業を実施すべきである。さらに、そのようなネット ワークは、これら攻撃について調査し対応するための取り組みを手助 けするものとなり得る。 各対象者レベルにおいて議論される、能力向上( empowerment)の Six tools for empowerment discussed for each level ための 6 つの手段 14 of audience The Strategy provides a roadmap to help Americans Understand their part in securing cyberspace. To make this roadmap easier to use, it is divided into audience levels: Level 1 for home users and small businesses, Level 2 for large enterprises, Level 3 for sectors including government, private industry, and higher education, Level 4 for national issues and efforts, and Level 5 for discussion of global issues. Each of these levels and their sub-levels will have its own strategic goal. These goals will be supported by strategic actions that the nation will take to achieve the goals. この国家戦略は、米国民に対し、サイバースペースを保護するにあ たって自らの役割を理解するのに役立つ道筋を提供するものである。 この道筋を使い易いものとするために、本文書は対象者レベルごとに 分けられている。これらのレベルは、レベル 1-ホームユーザー及び 小企業、レベル 2-大企業、レベル 3-政府、民間産業、及び高等教 育機関を含むセクター、レベル 4-国家的な問題及び取り組み、レベ ル 5-国際的な問題についての議論について、となっている。これら の各レベル及びその下位レベル(sub-level)には、それぞれ固有の戦 略目標が設定される。これらの目標は、その達成のために国家がとる 戦略的行動によって支援されるであろう。 The six tools for empowerment (see page 11) will help drive corresponding strategic actions at each level. Some or all of the six tools may be employed at each level. For example, “Awareness and Information” will help empower the home user as well as private sector employees and Federal workers to secure their portion of cyberspace. Roles and partnerships will be identified and described at all levels. Not every tool will be appropriate for every level, but, taken together, these tools will underpin all of the nation’s efforts to secure cyberspace. (サイバースペース保護)能力向上のための 6 つの手段(P11 参照) は、各レベルにおいて調和のとれた戦略活動を推進するのに役立つだ ろう。この 6 つの手段の全て又はそのいくつかが、各レベルで採用さ れると思われる。例えば、「認識及び情報」は、民間セクターの被雇用 者や連邦政府の職員、またホームユーザーに対し、サイバースペース のなかで自らの担う部分を保護する力を与えるのに役立つであろう。 また役割及びパートナーシップについては、すべてのレベルにおいて 明確にされ、説明されるであろう。これらの手段それぞれが、すべて のレベルに適するものとは限らない。しかしながら、総合すれば、こ れらの手段は、サイバースペースを保護するための国家による取り組 みすべてを支えるものとなろう。 15 SUMMARY OF RECOMMENDATIONS SUMMARY OF RECOMMENDATIONS LEVEL 1: レベル1 THE HOME USER AND SMALL BUSINESS ホームユーザー及び小企業 R1-1 Because automated hacking programs scan the Internet R1-1 利用できる保護されていない広帯域回線を探すため、自動ハッキング for unprotected broadband connections to exploit, those プログラムがインターネット上を走査している。このため、DSL 又は home users and small businesses planning to install a DSL ケーブルモデムの導入を計画しているホームユーザー及び小企業は、 or cable modem should consider installing firewall software まず最初にファイアウォールソフトウェアのインストールを検討すべ first. (Some Internet service providers (ISPs), offer firewall きである。(インターネットサービスプロバイダー(ISP)のなかに software with DSL or cable modem set up.) Once firewall は、DSL に対するファイアウォールソフトウェア又はケーブルモデム software is installed, it is important to regularly update it 設置を提供しているところもある。)一度ファイアウォールソフト by going to the vendor’s web site. ウェアをインストールした後には、定期的にベンダーのウェブサイト に行きこれを更新することが重要である。 R1-2 Because new computer viruses are introduced every week, 1-2 home users and small businesses should regularly ensure that they are running an up-to-date “antivirus system.” (Some antivirus vendors offer automatic updates online. Some Internet service providers scan all incoming e-mail for viruses before the e-mail gets to the user’s computer.) R1-3 Because new viruses often come as e-mail, home users should use caution when opening e-mail from unknown 1-3 senders, particularly those with attachments. To reduce the number of unknown senders, home users should consider using software that controls unsolicited advertisements, called “spam.” (Some ISPs offer programs to block spam. Some ISPs also offer to block all incoming email except from those friends and associates that the user selects.) R1-4 Home users should also regularly update their personal 16 毎週新たなコンピュータウィルスが登場するため、ホームユーザー及び 小企業は自身の使用している「アンチウイルスシステム」が最新版であ ることを定期的に確認すべきである。(アンチウイルスベンダーのなか には、オンラインでの自動更新を提供しているところもある。また、イ ンターネットサービスプロバイダーのなかには、電子メールがユーザー のコンピュータの元へ届く前に全ての受信電子メールに対しウイルスス キャンを行っているところもある。 ) R1-3 新たなウイルスは電子メールとともに送られて来ることが多いの で、ホームユーザーは見知らぬ送信者からの電子メールを開く場合、特 に添付ファイルがあるものの場合、警告(caution)を使用すべきであ る。見知らぬ送信者の数を減らすために、ホームユーザーは「スパム」 (”spam”)と呼ばれる勝手に送られてくる広告を制御するソフトウェ アの使用を検討すべきである。(ISP のなかには、スパム防止プログラ ムを提供しているところもある。また受信メールをユーザーが選択した 友人・知人からのもののみに制限するサービスを提供しているところも ある。 ) computer’s operating systems (such as Microsoft Windows, R1-4 ホームユーザーはまた、ベンダーのウェブサイトに行くことにより、 Macintosh, Linux) and major applications (software that セキュリティ強化のために自身のパーソナルコンピュータのオペレー browses the Internet or creates documents, charts, tables, ティングシステム(Microsoft Windows、Macintosh、Linux など) etc.) for security enhancements by going to the vendors 及び主なアプリケーション(インターネットをブラウズするソフト web sites. (Some software vendors offer automatic updates ウェア、又は文書、図、表などを作成するソフトウェア)を定期的に online.) 更新すべきである。(ソフトウェアベンダーのなかには、オンライン での自動更新を提供しているところもある。 ) R1-5 Internet service providers, antivirus software companies, and operating system/application software developers should R1-5 インターネットサービスプロバイダー、アンチウイルスソフトウェア 会社、及びオペレーティングシステム/アプリケーションソフトウェ consider jointefforts to make it easier for the home user and アの開発者は、ホームユーザーと小企業がセキュリティソフトウェア small business to obtain security software and updates の入手及び更新を自動的かつ適時に行うのを容易にするために、共同 automatically and in a timely manner, including warning で作業を実施することを検討すべきである。これには、更新及び新ソ messages to home users about updates and new software patches. フトウェアパッチについてのホームユーザーに対する警告メッセージ を含む。 LEVEL 2: レベル 2: LARGE ENTERPRISES R2-1 CEOs should consider forming enterprisewide corporate 大企業(LARGE ENTERPRISES) security councils to integrate cybersecurity, privacy, R2-1 CEO は、サイバーセキュリティ、プライバシー、物理的セキュリ physical security, and operational considerations. ティ、及びオペレーション上の考慮事項を統合するために企業全体の 企 業 セ キ ュ リ テ ィ 協 議 会 ( enterprisewide corporate security councils)の設置を検討すべきである。 R2-2 CEOs should consider regular independent Information Technology (IT) security audits, remediation programs, and R2-2 CEO は、独立した情報技術(Information Technology = IT)セキュ reviews of “best practices” implementation. リティ監査、修復プログラム、及び「ベストプラクティス」(”best practices”)のレビューを定期的に実施することを検討すべきであ る。 R2-3 Corporate boards should consider forming board committees on IT security and should ensure that the R2-3 企業の取締役会は、IT セキュリティに関する役員会の設置を検討すべ recommendations of the chief information security official きであり、また企業における情報セキュリティ最高担当責任者による推 in the corporation are regularly reviewed by the CEO. 奨事項(recommendations)が CEO により定期的にレビューされてい ることを確認すべきである。 R2-4 Corporate IT continuity plans should be regularly reviewed and exercised and should consider site and staff R2-4 企業の IT 継続計画を定期的にレビューし、実践することが望まし 17 alternatives. Consideration should be given to diversity in IT service providers as a way of mitigating risks. く、またこのプランでは代替用の場所とスタッフを考慮すべきである。 リスクを軽減する方法として IT サービスプロバイダーの多様性を考慮 すべきである。 R2-5 Corporations should consider active involvement in industrywide programs to: (a) develop IT security best R2-5 企業は、次の事項を行うための業界全体にわたるプログラムへ積極的 に参加することを検討すべきである。それらは、 (a)IT セキュリティの practices and procurement standards for like companies; ベストプラクティス及び同種の企業における調達規格を開発する、 (b) (b) share information on IT security through an 適 切 な 情 報 共 有 分 析 セ ン タ ー ( information sharing and analysis appropriate information sharing and analysis center center = ISAC)を通して IT セキュリティに関する情報を共有する、 (ISAC); (c) raise cybersecurity awareness and public policy (c)サイバーセキュリティに対する認識を高め、公共政策問題を提起す issues; and, (d) work with the insurance industry on ways る、及び(d)サイバーリスクを管理するために保険の利用可能性及び to expand the availability and utilization of insurance for managing cyber risk. 活用の拡大方法について、保険業界と共同作業を実施する、である。 R2-6 Corporations should consider joining in a public-private partnership to establish an awards program for those in R2-6 企業は、業界内においてサイバーセキュリティに対し、多大な貢 献をした企業を表彰するプログラムを確立するための官民パートナー industry making significant contributions to cybersecurity. シップ(public-private partnership)への参加を検討すべきであ R2-7 (1) Enterprises should review mainframe security る。 software and procedures to ensure that the latest effective R2-7 (1)企業は、最新の効果的な技術及び手続上の基準(measures)が technology and procedural measures are being utilized; (2) IT 使用されていることを確認するために、メインフレームコンピュータ vendors and enterprises employing mainframes shouldconsider 用のセキュリティソフトウェア及び手順をレビューすべきである。 developing a partnership to review and update best practices of (2)メインフレームコンピュータを使用している IT ベンダー及び企 mainframe IT security and to ensure that there continues to be 業は、メインフレームコンピュータの IT セキュリティのベストプラ an adequate trained cadre of mainframe specialists; and (3) IT クティスをレビューし更新するため、かつ引き続き適切に訓練されて security audits should include comprehensive evaluations of いるメインフレームコンピュータ専門家の幹部がいることを確認する mainframes. ために、パートナーシップの構築を検討すべきである。(3)IT セ キュリティ監査にメインフレームコンピュータの総合評価を含むべき である。 LEVEL 3: CRITICAL SECTORS レベル 3:重要セクター(CRITICAL SECTORS) THE FEDERAL GOVERNMENT 連邦政府(THE FEDERAL GOVERNMENT) R3-1 In order to enhance the procurement of more secure IT products, the Federal government, by 4Q FY03, will R3-1 よりセキュアな IT 製品の調達を強化するために、連邦政府は 2003 年 度 第 4 四 半 期 ま で に 、 国 家 情 報 保 証 プ ロ グ ラ ム ( National complete a comprehensive program performance review of 18 the National Information Assurance Program (NIAP), to determine the extent to which NIAP is cost effective and targets a clearly identified security gap; whether it has defined goals to close the gap, whether it is achieving those goals, and the extent to which program improvements, streamlining, or expansion are appropriate and cost effective. Information Assurance Program = NIAP)の実施状況について総合 的なレビューを完了する予定である。このレビューの目的は、NIAP にどの程度費用対効果があり、かつ NIAP が明確に識別されたセキュ リティ格差(security gap)をどの程度達成目標として示しているか (つまり、格差(gap)を縮めるための明確な目標が NIAP にあるか どうか、またその目標を達成しつつあるかどうか)、及びどの程度プ ログラムの改善、簡素化、又は拡大が適切であり、かつこれらに費用 対効果があるかを判断することである。 R3-2 The Federal government, by 3Q FY03, will assess whether private sector security service providers to the R3-2 連邦政府は、2003 年度第 3 四半期までに、連邦政府に対する民間セ クターのセキュリティサービスプロバイダーを、ある一定の最低限の Federal government should be certified as meeting certain 能力を有するものとして認証すべきかどうか判断する予定である。 minimum capabilities. R3-3 The Federal government, by 3Q FY03, using the EGovernment model, will explore the benefits (including R3-3 連邦政府は、2003 年度第 3 四半期までに、電子政府モデルを利用し reducing resource pressures on small agencies) of greater て、政府間におけるセキュリティツール及びサービスの獲得、運用、 cross-government acquisition, operation, and maintenance 維持の拡大について、その便益(小規模な政府機関における資源的な of security tools and services. 重圧の軽減を含む)を探求する予定である。 R3-4 Through the ongoing E-Authentication initiative, the Federal government, by 2Q FY03, will explore the extent to R3-4 現 在 行 わ れ て い る 電 子 認 証 イ ニ シ ア チ ブ ( E-authentication which all departments can employ the same physical and initiative)を通じて、連邦政府は、2003 年度第 2 四半期までに、整 logical access control tools and authentication mechanisms 合性と相互運用性をさらに高めるために全ての省(departments)が to further promote consistency and interoperability. どの程度同一の物理的・論理的アクセス制御ツール及び認証機構を採 R3-5 Federal departments should continue to expand the use of 用できるかを探求する予定である。 automated, enterprise-wide security assessment and security policy enforcement tools and actively deploy threat R3-5 連邦政府の各省(Federal departments)は、自動化された、企業全 体のセキュリティ評価及びセキュリティポリシー施行ツールの使用を management tools to preempt attacks. By 2Q FY03, the 引き続き拡大し、攻撃を事前回避するための脅威管理ツールを積極的 Federal government will determine whether specific に設置すべきである。2003 年度第 2 四半期までに、連邦政府は、こ actions are necessary (e.g., through the policy or budget れらツールの使用の拡大を推し進めるために特定の処置をとる必要が processes) to promote the greater use of these tools. あるかどうかを(例えば、政策又は予算過程等を経て)決定する予定 である。 R3-6 The Federal government will continue to assess the technical viability and cost effectiveness of various options R3-6 連邦政府は、VPN、「専用回線」(”private line”)ネットワークなどの 19 that provide for the continuity of operations during service outages such as VPNs, “private line” networks, and others. サービス停止中に継続的な運用を提供する様々な選択肢に関して、技 術的な実行可能性及び費用対効果を引き続き評価していく予定であ る。 R3-7 The Federal government should lead in the adoption of secure network protocols. The Federal government will R3-7 連邦政府は、セキュアなネットワークプロトコルの採用にあたり、主 導的な役割を果たすべきである。連邦政府は、新しいセキュアなネッ review new secure network protocols as they are published トワークプロトコルが公開される際にはそのプロトコルがセキュリ to determine whether they fill a security gap and whether ティ格差を縮めるものかどうか、またそれらの採用が連邦政府のオペ their adoption would have a cost-effective impact on the レーション及びセキュリティの費用対効果に影響を及ぼすかどうかを operations and security of the Federal government. 判断するためにレビューする予定である。 R3-8 By the end of 2Q FY03, the Federal government will consider the cost effectiveness of a scenario-based security R3-8 2003 年度第 2 四半期までに、連邦政府は、選択された政府間の業務 and contingency preparedness exercise for a selected crossプロセスに関して、シナリオに基づいたセキュリティ障害対策訓練 government business process. Should such an exercise take ( a scenario-based security and contingency preparedness place any security weaknesses shall be included as part of exercise)の費用対効果を検討する予定である。そのような訓練を実 agencies’ GISRA corrective action plans. 施する場合には、政府機関(agencies)の GISRA 是正処置計画の一 部としてセキュリティ上の弱点を含めるべきである。 R3-9 OMB, in conjunction with the CIO council,will determine on a case by case basis whether to employ a lead agency R3-9 行政管理予算局(OMB)は、CIO 協議会と協力して、政府全体のセ concept for governmentwide security measures. The キュリティ対策において主導政府機関の概念(lead agency concept) alternatives will generally include GSA, NIST, the を採用するかどうかをケースバイケースで決める予定である。これに proposed Department of Homeland Security, and the 代わるものとしては、一般に GSA、NIST、提案される国土安全保障 Department of Defense. 省 ( Department of Homeland Security )、 及 び 国 防 総 省 (Department of Defense)が挙げられるであろう。 LEVEL 3: CRITICAL SECTORS STATE AND LOCAL GOVERNMENTS レベル 3:重要セクター(CRITICAL SERCTORS) R3-10 State and local governments should consider 州政府及び地方政府(STATE AND LOCAL GOVERNMENTS) establishing IT security programs for their departments and agencies, including awareness, audits, and standards. R3-10 州政府及び地方政府は、自身の機関(departments and agencies) において、認識、監査、及び規格を含む IT セキュリティプログラム State, county, and city associations should consider の確立を検討すべきである。州、郡、市の団体(associations)は、 providing assistance, materials, and model programs. 支援、物資(materials)、及びモデルプログラムの提供を検討すべき である。 R3-11 State and local governments should consider participating in the established information sharing and R3-11 州政府及び地方政府は、同様の政府とともに確立された情報共有分析 20 analysis centers (ISACs) with similar governments. センター(information sharing and analysis centers = ISAC)への 参加を検討すべきである。 R3-12 State and local governments should consider expanding training programs in computer crime for law enforcement R3-12 州政府及び地方政府は、裁判官、検事、及び警察官を含む、法執行 機関の当局者のためのコンピュータ犯罪トレーニングプログラム officials, including judges, prosecutors, and police. The ( training programs in computer crime for law enforcement Federal government could assist in coordinating such officials)の拡大を検討すべきである。連邦政府としては、そのよう training and explore whether funding assistance is なトレーニングの調整を支援し、また資金援助の実現可能性を探求し feasible. 得る。 レベル 3:重要セクター(CRITICAL SECTORS) LEVEL 3: CRITICAL SECTORS 高等教育(HIGHER EDUCATION) HIGHER EDUCATION R3-13 Each college and university should consider establishing a point-ofcontact, reachable at all times, to Internet R3-13 各大学は、自身の IT システムによってサイバー攻撃が開始され service providers (ISPs) and law enforcement officials in ていることを発見した場合に、いつでもインターネットサービス the event that the school’s IT systems are discovered to be プロバイダー(ISP)及び法執行機関の当局者に連絡のとれるコ launching cyber attacks. ンタクトポイント設置を検討すべきである。 R3-14 Colleges and universities should consider establishing together: (a) one or more information sharing and analysis R3-14 各大学は、共同で次の事項の確立を検討すべきである。それらは、 centers (ISACs) to deal with cyber attacks and (a)サイバー攻撃及び脆弱性を取り扱う一つ以上の情報共有分析セ vulnerabilities; (b) model guidelines empowering Chief ンター(ISAC)、(b)サイバーセキュリティを取り扱う最高情報担当 Information Officers (CIOs) to address cybersecurity; (c) 責任者 (Chief Information Officers = CIO)に権限を与えるモデ one or more set of best practices for IT security; and, (d) ルガイドライン、(c)IT セキュリティのベストプラクティス一式以 model user awareness programs and materials. 上 、( d ) モ デ ル ユ ー ザ ー 啓 蒙 プ ロ グ ラ ム 及 び 教 材 ( model user awareness programs and materials)である。 LEVEL 3: CRITICAL SECTORS PRIVATE SECTORS レベル 3:重要セクター(CRITICAL SECTORS) R3-15 Each sector group should consider establishing an 民間セクター(PRIVATE SECTORS) information sharing and analysis center (ISAC) that should cooperate with other ISACs. The Federal R3-15 各セクターグループは、情報共有分析センター(ISAC)の確立を検 government will explore linking the ISACs with 討すべきであり、またこのセンターは他の情報共有分析センター appropriate cybersecurity warning-and-analysis centers (ISAC)と協力すべきである。連邦政府は、要請に応じて ISAC と 21 upon request, and could facilitate the provision of information related to critical infrastructure protection when necessary. 適 切 な サ イ バ ー セ キ ュ リ テ ィ 警 告 分 析 セ ン タ ー ( cybersecurity warning-and-analysis centers)との連係(linking)を探求する予定 であり、また必要に応じて重要インフラの保護に関連する情報提供の 推進を実施し得る。 R3-16 Each sector group should consider conducting a technology and R&D gap analysis, in conjunction with R3-16 各セクターグループは、識別された格差(gaps)を処理するために 連邦サイバーセキュリティ研究を優先させるという科学技術政策局 OSTP efforts to prioritize Federal cybersecurity research (OSTP)の取り組みと合わせて、技術及び R&D ギャップ分析の実 to address identified gaps. The sectors and OSTP should 施を検討すべきである。このセクターと科学技術政策局(OSTP) coordinate on the conduct of such research. は、そのような研究の実施にあたり連携をとるべきである。 R3-17 Each critical infrastructure sector group should consider developing best practices for cybersecurity and, where R3-17 各重要インフラのセクターグループは、サイバーセキュリティのた appropriate, guidelines for the procurement of secure IT めのベストプラクティス、かつ適切な場合には、セキュアな IT 製品 products and services. 及びサービス獲得に関するガイドラインの開発を検討すべきである。 R3-18 Each sector group should consider working together on sector specificinformation security awareness campaigns. R3-18 各セクターグループは、セクターごとの情報セキュリティ啓蒙キャ ンペーン(information security awareness campaigns)に共同で取 R3-19 Each sector should consider establishing mutual り組むことを検討すべきである。 assistance programs for cybersecurity emergencies. The Department of Justice and the Federal Trade Commission R3-19 各セクターは、サイバーセキュリティ緊急時における相互援助プロ should work with the sectors to address any barriers with グラム(mutual assistance programs)の確立を検討すべきである。 such cooperation. 司法省及び連邦取引委員会(Federal Trade Commission)は、その ような連携に対する障害を処理するために各セクターと協同で作業を 実施すべきである。 LEVEL 4: NATIONAL PRIORITIES SECURING THE MECHANISMS OF THE INTERNET レベル 4:国家的優先課題(NATIONAL PRIORITIES) R4-1 A public-private partnership should refine and accelerate インターネットメカニズムの安全確保 the adoption of improved security for Border Gateway (SECURING THE MECHANSMS OF THE INTERNET) Protocol, Internet Protocol, Domain Name System, and R4-1 官民パートナーシップは、改善されたボーダーゲートウェイプロトコ others. ル(Border Gateway Protocol = BGP) 、インターネットプロトコル ( Internet Protocol = IP )、 ド メ イ ン ネ ー ム シ ス テ ム ( Domain Name System = DNS)等におけるセキュリティの採用を改善し (refine) 、かつ推進すべきである。 R4-2 A public-private partnership should perfect and accelerate 22 the adoption of more secure router technology and R4-2 官民パートナーシップは、よりセキュアなルーター技術と、帯域外マ management, including out-of-band management. ネジメント(out-of-band management)を含むマネジメントの採用 を徹底し(perfect) 、これを促進すべきである。 R4-3 Internet service providers, beginning with Tier 1 companies or major access providers, should consider R4-3 インターネットサービスプロバイダーは、Tier 1 企業又は主要なアク セスプロバイダーを始めとして、セキュリティ関連の相互連携を含 adopting a “code of good conduct” governing their む 、 自 身 の サ イ バ ー セ キ ュ リ テ ィ 慣 行 を 規 定 す る ”code of good cybersecurity practices, including their security-related conduct”( 「行動倫理規範」)の採用を検討すべきである。 cooperation with one another. R4-4 A public-private partnership should identify and address R4-4 官民パートナーシップは、あるいは既存のプログラムを活用し、また fundamental technology needs for the Internet, possibly この活動のための基金を設立するなどして、インターネットにおける making use of the existing programs and potentially 基本的技術に対するニーズを明確にし、処理すべきである。 establishing a fund for such activities. LEVEL 4: NATIONAL PRIORITIES レベル 4:国家的優先課題(NATIONAL PRIORITIES) DCS/SCADA DCS/SCADA R4-5 A public-private partnership should, as a high priority, R4-5 官民パートナーシップは、最優先事項として、公共施設、製造、及び develop best practices and new technology to increase 他のネットワークにおいて、ディジタル制御システムと監視制御デー security of digital control systems and supervisory control タ収集システム(supervisory control and data acquisition systems and data acquisition systems (SCADA) in utilities, = SCADA)のセキュリティを強化するために、ベストプラクティス manufacturing, and other networks. 及び新技術の開発を検討すべきである。 R4-6 Government and industry, working in partnership, should determine the most critical DCS/SCADA-related sites and R4-6 政府及び産業界は協同作業を実施し、DCS/SCADA に関連する最重要 develop a prioritized plan for short-term cybersecurity サイトを決め、それらのサイトにおける短期サイバーセキュリティ改 improvements in those sites. DCS/SCADA users should 善のための優先計画を策定すべきである。DCS/SCADA ユーザー consider adopting the Department of Energy’s “21 Steps to は、エネルギー省の”21 Steps to Improve Cybersecurity of SCADA Improve Cybersecurity of SCADA Networks.” Networks”(「SCADA ネットワークのサイバーセキュリティ改善の ための 21 のステップ」)の採用を検討すべきである。 LEVEL 4: NATIONAL PRIORITIES RESEARCH AND DEVELOPMENT レベル 4:国家的優先課題(NATIONAL PRIORITIES) R4-7 The R&D committee of the President’s Critical 研究開発(RESEARCH AND DEVELOPMENT) Infrastructure Protection Board (PCIPB) should undertake R4-7 大 統 領 重 要 イ ン フ ラ 保 護 委 員 会 ( President’s Critical a comprehensive review and gap analysis of existing Infrastructure Protection Board = PCIPB)の R&D 委員会は、 mechanisms for outreach, identification and coordination 学界、産業界、及び政府間における研究開発のアウトリーチ、識 of research and development among academia, industry 23 and government. The committee will complete its work and present its recommendations on the need to reform, expand, or establish such mechanisms to the PCIPB in February 2003. R4-8 The President’s Critical Infrastructure Protection Board should coordinate with the Director of OSTP and the board’s R&D Committee on an annual basis to define a program of Federal government research and development including near-term (1-3 years), midterm (3-5 years), and later (5 years out and longer) IT security research. R4-9 Federally funded near-term IT security research and development for FY04 and beyond should include priority programs identified by OSTP and the R&D Committee. Existing priorities include among others, intrusion detection, Internet infrastructure security (including protocols e.g. BGP, DNS), application security, denial of service, communications security including SCADA system encryption and authentication, high assurance systems, and secure system composition. R4-10 The private sector should consider including in nearterm research and development priorities, programs for highly secure and trustworthy operating systems. If such systems are developed and successfully evaluated, the Federal government should accelerate procurement of such systems. R4-11 Federally and privately funded research and development should include programs to examine the security implications of emerging technologies. R4-8 別、及び調整に関する既存のメカニズムについて、総合レビュレ ビューとギャップ分析を実施すべきである。当該委員会は、 2003 年 2 月にこの作業を終えるとともに、そのようなメカニズ ムを改善し、拡大し、又は確立する必要性に関する勧告 (recommendations)を PCIPB に提示する予定である。 大統領重要インフラ保護委員会は、短期(1~3年)、中期(3~5 年) 、及び長期(5 年以上)の IT セキュリティ研究を含む連邦政府の 研究開発プログラムを策定するために、年間ベースで科学技術政策局 ( OSTP ) の 局 長 及 び 取 締 役 会 の R&D 委 員 会 ( board’s R&D Committee)と連携をとるべきである。 R4-9 2004 年度以降における連邦政府資金による短期の IT セキュリティ研 究開発には、科学技術政策局(OSTP)及び R&D 委員会が明確にし た優先プログラムを含めるべきである。既存の優先事項としては、侵 入検出、インターネットインフラセキュリティ(BGP、DNS 等のプ ロトコルを含む)、アプリケーションのセキュリティ、サービスの拒 否、SCADA システムの暗号化及び認証を含む通信秘密保全、高度な 保証システム、及びセキュアなシステム構成などが挙げられる。 R4-10 民間セクターは、短期研究開発の優先事項のなかに、安全性の高い (highly secure)信頼に足るオペレーティングシステムのプログラム を含めることを検討すべきである。そのようなシステムが開発され評 価に合格した場合には、連邦政府は当該システムの調達を促進すべき である。 R4-11 連邦政府資金及び民間資金による研究開発には、新たな技術のセキュ リティに対する影響(implications)を調査するためのプログラムを 含めるべきである。 LEVEL 4: NATIONAL PRIORITIES レベル 4:国家的優先課題(NATIONAL PRIORITIES) SECURING EMERGING SYSTEMS R4-12 Federal departments and agencies must be especially 新たなシステムの安全確保(SECURING EMERGING SYSTEMS) mindful of security risks when using wireless R4-12 連邦政府機関(Federal departments and agencies)は、ワイヤレス 技術を使用する場合、特にセキュリティリスクに注意しなければなら technologies. Federal agencies should consider installing 24 ない。連邦政府機関(Federal agencies)は、自身のネットワークに systems that continuously check for unauthorized connections to their networks. Agencies should carefully 対する無許可の接続を絶えずチェックするシステムのインストールを review the recent NIST report on the use of wireless 検討すべきである。政府機関は、ワイヤレス技術の使用に関する最近 technologies and take into account NIST の NIST レポートを注意深くレビューし、NIST の勧告及び所見を考 recommendations and findings. In that regard, agency 慮すべきである。その点において、政府機関のポリシー及び手順は、 policy and procedures should reflect careful consideration 追加のリスク軽減対策に対してなされる慎重な考慮結果を反映したも of additional risk reduction measures including the use of のであるべきである。これには、強力な暗号化、双方向認証、シール strong encryption, bi-directional authentication, shielding ディング規格、及び他の技術的なセキュリティ上考慮すべき事柄の使 standards and other technical security considerations, 用、コンフィギュレーション管理、侵入検出、事件・事故の処理、並 configuration management, intrusion detection, incident びにコンピュータセキュリティ教育及び啓蒙プログラムが含まれる。 handling, and computer security education and awareness programs. R4-13 Government and industry should actively promote R4-13 政府及び産業界は、これらワイヤレス技術、特に 802.11b 規格及び awareness for individuals, enterprises, and government of 関連規格を使用する技術の採用に関連するセキュリティ問題につい the security issues involved in the adoption of wireless て、積極的に個人、企業及び政府における認識向上を図るべきであ technologies, especially those utilizing the 802.11b る。産業界及び政府は、組み込み式の、トランスペアレントな(ユー standard and related standards. Industry and government ザーから見えない)セキュリティを有するワイヤレス LAN に関する should work closely together to promote the continued 規格及びプロトコルの継続的な開発・改善を促進するために密接な連 development of improved standards and protocols for 携をとるべきである。 wireless LANs that have built-in, transparent security. LEVEL 4: NATIONAL PRIORITIES VULNERABILITY REMEDIATION レベル 4:国家的優先課題(NATIONAL PRIORITIES) R4-14 A voluntary, industry-led, national effort should consider 脆弱性の改善(VULNERABILITY REMEDIATION) developing a clearinghouse for promoting more effective R4-14 任意による業界主導の国家的取り組みでは、より効果的なソフト software patch implementation. Such an effort may ウェアパッチの実行(implementation)を促進するためのクリアリ include increased exchange of data about the impact that ングハウス設置を検討すべきである。このような取り組みには、実施 patches may have on commonly used software systems, 可能な場合には、テストの結果を含む、一般に使用されているソフト including, where practicable, the results of testing. ウェアシステムにパッチが及ぼす影響に関するデータを、よりいっそ う頻繁に交換することが含まれるかもしれない。 R4-15 The software industry should consider promoting more secure “out-of-the-box” installation and implementation R4-15 ソフトウェア業界は、自身の製品のよりセキュアで”out-of-the-box” of their products, including increasing: (1) user awareness (「 独 創 的 」) な イ ン ス ト ー ル ( installation ) 及 び 実 行 of the security features in products; (2) ease-of-use for (implementation)を推し進めることを検討すべきである。これに 25 security functions; and, (3) where feasible, promotion of industry guidelines and best practices that support such efforts. は(1)製品のセキュリティ特性に関するユーザーの認識向上、(2) セキュリティ機能の使い易さの向上、(3)適する場合には、そのよう な取り組みを支援する業界のガイドライン及びベストプラクティスの 推進を含む。 R4-16 A national public-private effort should promulgate best practices and methodologies that promote integrity, R4-16 官民による国家的な取り組み(national public-private effort)に よって、ベストプラクティス及びソフトウェアコード開発の完全 security and reliability in software code development, 性、安全性、及び信頼性を高める方法の普及を図るべきである。 including processes and procedures that diminish the possibilities of erroneous code, malicious code, or trap これには、開発中に間違ったコード、悪質なコード、及びトラッ doors that could be introduced during development. プドアが導入される可能性を減じるプロセス及び手順を含む。 LEVEL 4: NATIONAL PRIORITIES レベル 4:国家的優先課題(NATIONAL PRIORITIES) AWARENESS 認識(AWARENESS) R4-17 The President’s Critical Infrastructure Protection R4-17 大 統 領 重 要 イ ン フ ラ 保 護 委 員 会 の 意 識 向 上 委 員 会 ( President’s Board’s Awareness Committee, in cooperation with lead Critical Infrastructure Protection Board’s Awareness Committee) agencies, should foster a public- private partnership to は、主導政府機関と協力して、年次の認識向上トレーニング develop and disseminate cybersecurity awareness (awareness training)のためのオーディエンスを特定したツール及 materials, such as audience-specific tools and resources び資源などサイバーセキュリティに対する認識向上のための教材 for annual awareness training. (materials)を開発し、かつその普及を図るために官民パートナー シップを推進すべきである。 R4-18 The StaySafeOnline campaign should be expanded to include national advertising aimed at several audience R4-18 安全保障キャンペーン(StaySafeOnline campaign)を、複数の groups. It should also develop materials for schools and オーディエンスグループを対象とした全国広告を含むよう拡大すべき companies. である。このキャンペーンではまた、学校及び企業のための教材の開 発を実施すべきである。 LEVEL 4: NATIONAL PRIORITIES TRAINING AND EDUCATION レベル 4:国家的優先課題(NATIONAL PRIORITIES) R4-19 States should consider creating Cyber Corps トレーニング及び教育(TRAINING AND EDUCATION) scholarship-for-service programs at State universities, to fund the education of undergraduate and graduate R4-19 各州は、州立大学において IT セキュリティを専攻し、米国のために students specializing in IT security and willing to repay 働くことによって補助金を返済する意思のある学部生及び大学院生の their grants by working for the States. The existing Cyber 教育に資金を提供するためのサイバー隊サービス奨学金プログラム Corps scholarship-for-service program should be expanded (Cyber Corps Scholarship-for-service programs)の創設を検討す 26 to additional universities, with both faculty development and scholarship funding. The program should also add a faculty and program development effort for community colleges. べきである。既存のサイバー隊サービス奨学金プログラムを、学部の 設立(faculty development)及び奨学資金の提供とともに拡大し、 さらに多くの大学を対象に含めるべきである。本プログラムではさら に、コミュニティカレッジにおける学部の設立及びプログラム開発の ために取り組むべきである。 R4-20 The CIO Council and Federal agencies with cybersecurity training expertise should consider R4-20 CIO 協議会(CIO Council)及び連邦政府機関は、サイバーセキュリ ティトレーニングの専門家とともに、連邦政府のサイバーセキュリ establishing a Cyberspace Academy, which would link ティ Federal cybersecurity)とコンピュータ犯罪科学トレーニング Federal cybersecurity and computer forensics training プログラム(computer forensics training programs)をつなぐサイ programs. バースペースアカデミー(Cyberspace Academy)の設立を検討すべ きである。 R4-21 Public and private research labs across the nation should explore the benefits of establishing programs like the Cyber Defenders Program at the Department of R4-21 全国にわたる官民の研究所は、エネルギー省サンディア国立研究所 (Department of Energy’s Sandia National Laboratory)における Energy’s Sandia National Laboratory. the Cyber Defenders Program のようなプログラム創設の便益を探求 すべきである。 R4-22 The PCIPB’s Committee on Training should explore the potential benefits of establishing a multi-department R4-22 トレーニングに関する PCIPB 委員会は、革新的、効率的、かつ corps of IT and cybersecurity specialists taking maximum 柔軟な人的資源プログラムプログラムを最大限に利用した、複数 advantage of innovative, efficient, and flexible human の政府機関により編成される IT 及びサイバーセキュリティ専門 resource programs. 家 の 部 隊 ( multi-department corps of IT and cybersecurity specialists)設立について、その潜在的な便益を探求すべきであ R4-23 State, local and private organizations should consider る。 developing programs and guidelines for primary and secondary school students in cyber ethics, safety, and R4-23 州、地方、市の組織は、小学生及び中学生を対象としたサイバー上 の倫理、安全、及びセキュリティに関するプログラム及びガイドライ security. ンの開発を検討すべきである。 LEVEL 4: NATIONAL PRIORITIES CERTIFICATION レベル 4:国家的優先課題(NATIONAL PRIORITIES) R4-24 IT security professionals, and IT security associations 認証(CERTIFICATION) and organizations, should explore approaches to, and the feasibility of, establishing a rigorous certification R4-24 IT セキュリティ専門家と、IT セキュリティ団体及び組織は、継続的 program, including a continuing education and retesting 27 program. な教育と再試験プログラムを含む、厳格な認証プログラム確立への取 LEVEL 4: NATIONAL PRIORITIES り組み方法及びその実現可能性を探求すべきである。 INFORMATION SHARING レベル 4:国家的優先課題(NATIONAL PRIORITIES) R4-25 The Congress and the Executive Branch should work 情報共有(INFORMATION SHARING) together to remove impediments to information sharing about cybersecurity and infrastructure vulnerabilities R4-25 連邦議会及び行政府は、官民セクター間でのサイバーセキュリティ 及びインフラの脆弱性に関する情報共有にあたり、その障害の除去に between the public and private sectors. 対し共同で取り組むべきである。 LEVEL 4: NATIONAL PRIORITIES CYBERCRIME R4-26 Appropriate Federal agencies should develop a strategy レベル 4:国家的優先課題 サイバー犯罪 to encourage citizens and corporations to report incidents (NATIONAL PRIORITIES CYBERCCRIME) of cybercrime, cyber attacks and unauthorized intrusions. R4-26 適切な連邦政府機関は、国民及び法人に対しサイバー犯罪、サイ In addition, this strategy could also explore mechanisms バー攻撃、及び無許可の侵入に関する事件・事故を報告するよう勧め which facilitate such reporting. るための戦略を立てるべきである。さらに、この戦略は、そのような 報告を促す構造を探るものでもあり得る。 R4-27 The FBI and Secret Service should continue to improve coordination of their field offices’ cybercrime R4-27 連邦捜査局(FBI)及び財務省検察局(Secret Service)は、自身の investigations and consider expanding pilot Joint Task 地方局のサイバー犯罪調査における協調を引き続き改善することが望 Forces. ましく、また試験的な共同対策本部(Joint Task Forces)の拡張を検 R4-28 Improve information sharing and investigative 討すべきである。 coordination within the Federal, State, and local law enforcement community working on critical infrastructure R4-28 重要インフラとサイバースペースセキュリティの問題に取り組み、 and cyberspace security matters, and with other agencies また他の政府機関及び民間セクターと連携して活動している連邦、 and the private sector. 州、及び地方の法執行機関内(law enforcement community)におい て、情報共有と捜査協力とを改善すること。 R4-29 The Federal government should collect survey data regarding victims of cybercrime (i.e., businesses, R4-29 連邦政府は、問題に対する基本的理解をより深めるため、また今 後の実効性を評価するために、サイバー犯罪の被害者(すなわ organizations, and individuals) in order to better establish ち、企業、組織、及び個人)に関する調査データを収集すべきで a baseline understanding of the problem and measure future effectiveness. ある。 R4-30 The Federal government should review the level of training and funding for Federal, State and local law R4-30 連邦政府は、重要インフラの事件・事故及びサイバー犯罪を処理す enforcement for forensic and investigative efforts to るための犯罪科学捜査と調査に取り組む連邦、州、及び地方の警察組 28 織(law enforcement)に対するトレーニングと資金拠出のレベルに address critical infrastructure incidents and cybercrime. R4-31 The Federal government should continue to assess the 関して、レビューを実施すべきである。 Federal sentencing guidelines to see if they are adequate R4-31 連 邦 政 府 は 、 連 邦 量 刑 ガ イ ド ラ イ ン ( Federal sentencing for cybercrime. guidelines)がサイバー犯罪に適しているかを見るために、このガイ ドラインの評価を継続して行うべきである。 LEVEL 4: NATIONAL PRIORITIES MARKET FORCES レベル 4:国家的優先課題(NATIONAL PRIORITIES) R4-32 The President’s Board, working with OMB and in 市場の力(MARKET FORCES) partnership with the private sector and State R4-32 大統領委員会は(President’s Board)、行政管理予算局(OMB)と governments, should review Federal and States 連携して民間セクター及び州政府と協力し、市場の力がサイバーセ regulations and laws that impede market forces from キュリティ強化に貢献するのを妨害している連邦及び州の法規 contributing to enhanced cybersecurity. (regulations and laws)を見直すべきである。 R4-33 The PCIPB’s Financial and Banking Information Infrastructure Committee (FBIIC), working with the R4-33 PCIPB 金融・銀行情報インフラ委員会 (PCIPB’s Financial and insurance industry, should explore the options for Banking Information Infrastructure Committee = FBIIC)は、保険 developing an effective risk-transfer mechanism for 業界と協力して、リスクモデリングの改善及び消失したデータの入手 cybersecurity, including improving risk modeling and 可能性を含む、サイバーセキュリティに関する効果的なリスク転嫁の availability of loss data. 構造構築のための選択肢を探るべきである。 R4-34 Corporations should consider annually disclosing the identity of their IT security audit firm and the general R4-34 企業は、自身の IT セキュリティ監査会社の名称とその全般的な業務 scope of its work, the corporate and board governance 範囲、IT セキュリティに関する企業及び取締役会の統治システム、 system for IT security, company adherence to IT security IT セキュリティのベストプラクティス又は規格の厳守、並びに ISAC best practices or standards, and corporate participation in 及び他の IT セキュリティプログラムへの参加について、年次に公開 ISACs and other IT security programs. することを検討すべきである。 R4-35 The President’s Critical Infrastructure Protection Board, working with the Institute of Internal Auditors and R4-35 大統領重要インフラ保護委員会は、内部監査人協会及び企業取締役 Corporate Board Members Association and similar groups 会 委 員 団 体 ( the Institute of Internal Auditors and Corporate should continue and enhance the effectiveness of Board Members Association)並びにこれと同様のグループと協力し programs of awareness and best practices. て、認識及びベストプラクティス向上プログラムを継続的に実施し、 その実効性を高めるべきである。 LEVEL 4: NATIONAL PRIORITIES PRIVACY AND CIVIL LIBERTIES R4-36 The Executive Branch should consult regularly with レベル 4:国家的優先課題(NATIONAL PRIORITIES) privacy advocates, industry representatives and other 29 interested organizations to facilitate consideration of プライバシー及び人権擁護(PRIVACY AND CIVIL LIBERTIES) privacy and civil liberties concerns in the implementation R4-36 行政府は、国家戦略(National Strategy)の実施に関わるプライバ of the National Strategy, and to achieve solutions that シー及び人権擁護に関する事項の検討を促進するため、またネット protect privacy while enhancing network and host ワークとホストのセキュリティを強化する一方でプライバシーを保護 security. する解決策を得るために、人権擁護派、業界の代表者、及び他の関連 R4-37 As part of the annual departmental IT security audits, 組織と定期的に協議すべきである。 agencies should include a review of IT related privacy R4-37 年次の部門別 IT セキュリティ監査の一環として、政府機関は IT 関 regulation compliance. 連のプライバシー規制への準拠に関するレビューを実施すべきであ R4-38 The appropriate Federal agencies should conduct る。 reviews of the IT security issues related to the implementation of the Gramm, Leach, Bliley Financial Modernization Act and the Health Insurance Portability R4-38 適切な連邦政府機関は、グラム・リーチ・ブライリー金融近代化法 (Gramm, Leach, Bliley Financial Modernization Act)及び医療保 and Accountability Act. 険の携行性と責任に関する法律(Health Insurance Portability and Accountability Act)の施行に関連する IT セキュリティ問題のレ LEVEL 4: NATIONAL PRIORITIES ビューを実施すべきである。 CYBERSPACE ANALYSIS AND WARNING R4-39 ISPs, hardware and software vendors, IT securityレベル 4:国家的優先課題(NATIONAL PRIORITIES) related companies, computer emergency response teams, サイバースペース分析及び警告 and the ISACs, together, should consider establishing a (CYBERSPACE ANALYSIS AND WARNING) Cyberspace Network Operations Center (Cyberspace NOC), physical or virtual, to share information and R4-39 ISP、ハードウェア及びソフトウェアのベンダー、IT セキュリティ 関連会社、コンピュータ緊急対応チーム、及び ISAC は、物理的又は ensure coordination to support the health and reliability バーチャルに情報を共有するため、かつ米国におけるインターネット of Internet operations in the United States. Although it オペレーションの健全性及び信頼性を支援するための協調を確実なも would not be a government entity and would be managed のとするために、共同でサイバースペースネットワークオペレーショ by a private board, the Federal government should explore ン セ ン タ ー ( Cyberspace Network Operations Center = the ways in which it could cooperate with the Cyberspace Cyberspace NOC)の設立を検討すべきである。 NOC. R4-40 The Federal government should complete the installation of the Cyber Warning Information Network (CWIN) to key government and nongovernment R4-40 連邦政府は、政府と非政府のサイバーセキュリティ関連ネットワー cybersecurity-related network operation centers, to クオペレーションセンターを合わせる(key)ため、分析と警告に関 disseminate analysis and warning information and する情報を広めるため、並びに緊急時に連携して活動するため、サイ perform crisis coordination. バー警告情報ネットワーク(Cyber Warning Information Network = 30 CWIN)の導入を完了すべきである。 LEVEL 4: NATIONAL PRIORITIES CONTINUITY OF OPERATIONS, RECOVERY, AND RECONSTITUTION R4-41 Industry, in voluntary partnership with the Federal government, should complete and regularly update cybersecurity crisis contingency plans, including a recovery plan for Internet functions. レベル 4:国家的優先課題(NATIONAL PRIORITIES) オペレーション、復旧、及び復興の継続 (CONTINUITY OF OPERATIONS, RECOVERY, AND RECONSTRUCTION) R4-41 産業界は、自発的に連邦政府と協力して、インターネット機能復旧 R4-42 The Federal government should review emergency 計画を含むサイバーセキュリティ緊急対策計画(cybersecurity crisis authorities and determine if the existing authorities are contingency plans)を完成させ、定期的にこれを更新すべきであ sufficient to support Internet recovery. る。 R4-42 連邦政府は、緊急時特別機関をレビューし、既存の機関がインター LEVEL 4: NATIONAL PRIORITIES ネットの復旧を支援するのに十分なものかどうかを判断すべきであ NATIONAL SECURITY る。 R4-43 The United States should establish a vigorous program to counter cyber-based intelligence collection against U.S. レベル 4:国家的優先課題(NATIONAL PRIORITIES) government, industry, and university sites. 国家的セキュリティ(NATIONAL SECURITY) R4-43 米国は、米国の政府、産業界、及び大学のサイトに対するサイバー R4-44 The National Security Council should lead a study to ベースの情報収集に対抗するために、強力なプログラムを確立すべき improve understanding of incident response coordination である。 for significant cyber attacks among law enforcement agencies, national security agencies, and defense agencies. R4-44 国家安全保障会議(National Security Council)は、率先して研究 を実施し、法執行機関(law enforcement agencies)、国家安全保障 局、及び防衛機関(defiance agencies)において、サイバー攻撃に関 R4-45 The United States should continue to improve its ability する重大な事件・事故への対応の際の協調に対する理解を改善すべき to quickly attribute the source of threatening attacks or である。 actions, seeking to develop the capability to suppress threats before attacks occur. R4-45 米国は、攻撃を受ける前に脅威を食い止める能力の開発に努め、脅 R4-46 The United States should continue to reserve the right 威となる攻撃又は活動源を迅速に突き止める能力を引き続き改善すべ to respond in an appropriate manner when its vital きである。 interests are threatened by nation-states or terrorist R4-46 米国は、自らの重要な利益がサイバー攻撃に従事する民族国家又は groups engaged in cyber attacks. テロリストグループによって脅威にさらされた場合に適切な方法で対 31 応する権利を留保すべきである。 LEVEL 4: NATIONAL PRIORITIES レベル 4:国家的優先課題(NATIONAL PRIORITIES) INTERDEPENDENCIES AND PHYSICAL SECURITY 相互依存及び物理的セキュリティ R4-47 Public-private partnerships should identify cross(INDEPENDENCIES AND PHYSICAL SECURITY) sectoral interdependencies both cyber and physical. They should develop plans to reduce related vulnerabilities, in conjunction with programs proposed in the National R4-47 官民パートナーシップは、セクター間のサイバー的・物理的な相互 Strategy for Homeland Security. The National 依 存 ( cross-setoral independencies ) を明 確 にす べ きで あ る。 ま Infrastructure Simulation and Analysis Center should た、国土安全保障戦略(National Strategy for Homeland Security) support these efforts. で提案されているプログラムと併せて、関連する脆弱性を低減するた めの計画を策定すべきである。全米インフラシミュレーション分析セ ンター(National Infrastructure Simulation and Analysis Center) R4-48 Owners and operators of information system networks は、これらの取り組みを支援すべきである。 and network data centers should consider developing remediation and contingency plans to reduce the R4-48 情報システムネットワーク及びネットワークデータセンターの所有 者及び運用者は、そのようなネットワークを支える施設に対しての大 consequences of large-scale physical damage to facilities 規模に及ぶ物理的な損害を軽減するために、復旧及び障害対策計画の supporting such networks. Where requested, the Federal government could help coordinate such efforts and provide 策定を検討すべきである。要求のある場合には、連邦政府はそのよう technical assistance. な取り組みの調整を支援し、技術的な援助を提供することが可能であ る。 R4-49 Owners and operators of information system networks should, possibly working with the Federal government on R4-49 情報システムネットワークの所有者及び運用者は、あるいは任意で 連邦政府と共同作業を実施し、重要な施設へのアクセスを制限する適 a voluntary basis, develop appropriate procedures for 切な手順を策定すべきである。 limiting access to critical facilities. LEVEL 5: GLOBAL R5-1 The Federal government, in coordination with the private レベル 5:グローバル(GLOBAL) sector, should work with individual nations and with R5-1 連邦政府は、民間セクターと協調して、サイバー攻撃が発生した際に nongovernmental and international organizations to foster こ れ ら 攻 撃 を 検 出 し 防 ぐ た め の 国 内 的 ・ 国 際 的 な Watch-andthe establishment of national and international watch-andwarning networks(監視警告ネットワーク)の確立を促進するため warning networks to detect and prevent cyber attacks as に、個々の国家及び非政府の国際組織と協同で作業を実施すべきであ they emerge. In addition, such networks could help support る。さらに、そのようなネットワークは、これら攻撃について調査し efforts to investigate and respond to those attacks. 対応するための取り組みを手助けするものとなり得る。 R5-2 The United States should encourage nations to accede to 32 the Council of Europe (COE) Convention on Cybercrime or R5-2 to ensure that their laws and procedures are at least as comprehensive. R5-3 The United States should work together with Canada and Mexico to identify and implement best practices for R5-3 securing the many shared critical North American information infrastructures. 米国は、各国に対して、欧州評議会(COE)のサイバー犯罪条約 (Council of Europe (COE) Convention on Cybercrime)へ同意 することを奨励するか又は、自国の法律及び手順が少なくとも包括的 なものであるものであるとの確認を行うこと(ensure)を奨励すべき である。 米国は、共有している多くの重要な北米情報インフラの安全確保 のためのベストプラクティスを明確にし、かつこれを導入 (implement)するために、カナダ及びメキシコと協同で作業を 実施すべきである。 R5-4 The United States should work through international R5-4 米国は、国際組織を通じて、また産業界と協力して、情報インフラ保 organizations and in partnership with industry to facilitate 護に関する外国の官民セクター間の対話及び協調(dialogue and dialogue and partnership between foreign public and partnership)の促進と、国際的な”culture of security’’(「セキュリ private sectors on information infrastructure protection, ティ文化」 )の推進に取り組むべきである。 and to promote a global “culture of security.” R5-5 Each country should be urged to appoint a national R5-5 各 国 は 、 国 家 サ イ バ ー ス ペ ー ス コ ー デ ィ ネ ー タ ー ( national cyberspace coordinator ) を 選 任 す る よ う と の 勧 告 を 受 け る ( be cyberspace coordinator. urged to)べきである。 R5-6 The United States should draw upon the global science and technology base by pursuing collaborative research R5-6 米国は、サイバーセキュリティの共同研究開発を推進することによっ て、国際的な科学技術の基盤(base)形成を促す(draw upon)すべ and development in cybersecurity. きである。 33