...

THE NATIONAL STRATEGY TO SECURE CYBERSPACE

by user

on
Category: Documents
37

views

Report

Comments

Transcript

THE NATIONAL STRATEGY TO SECURE CYBERSPACE
The President's Critical Infrastracure Protection Board
THE
NATIONAL STRATEGY
TO
SECURE
CYBERSPACE
(抄)
※本 Strategy は米国大統領インフラ保護委員会が
2002.9.18 に発表したものである。
11 / 18 までパブリックコメントに付されている。
※本抜粋は Hightlights 及び Recommendation 部
分のみを抜粋したものである。
※日本語訳は経済産業省仮訳である。
HIGHLIGHTS
重要点(HIGHLIGHTS)(仮訳)
This section summarizes and provides a framework ここでは、このセクション以降の文書内容を要約し、その枠組みを提
for the rest of the document. It highlights in one 供する。このセクションは、後のセクションで議論する勧告のなかで
place the most important recommendations that will 最も重要なものをまとめ、強調事項として示すものである。
be discussed in later sections.
戦略(Strategy)
Strategy
The security of cyberspace depends vitally on all サイバースペースのセキュリティは、ホームユーザーから連邦政府ま
owners of the nation’s cyber infrastructure, from で、国のサイバーインフラストラクチャの所有者すべてに大きく依存
している。それぞれの個人や組織には、サイバースペースのなかで各
the home user to the Federal government. Each
自が所有する部分を保護する責任がある。この戦略は、各個人及び各
individual and organization has a responsibility to 組織が自らの役割を果たすことができるようにすることを目的として
secure its own portion of cyberspace. The Strategy is いる。この戦略は、いかにしてサイバーセキュリティを実現するかに
designed to empower each person and each ついての道筋(roadmap)を示し、かつ全米国民に対してこれをより
organization to do its part. It provides a roadmap for 実現し易くなる手段(tools)を提供するものなのである。
how to achieve cybersecurity and provides tools to
better empower all Americans to do so.
To create this strategic roadmap, the owners of each
major component of cyberspace have been
developing their own plans for securing their
portions of the infrastructure. Some of these plans
are already developed and are contained in this
document. Others will be added over time.
Together they will reflect a national partnership
between
private
sectors,
government,
and
individuals to vigorously create, maintain, and
この戦略的な道筋をつけるために、サイバースペースの主な構成要素
それぞれの所有者は、インフラのなかで各自が所有する部分を保護す
るための独自の計画を立てている。これらの計画のなかには既に策定
され、この文書のなかに記載されているものもある。また、追って追
加されていくであろうものもある。
これらの計画は、合わせて、サイバースペースのセキュリティを積極
的に築き、維持し、かつ更新するための、民間セクター、政府、及び
個人間の国家的なパートナーシップを反映するものとなろう。
2
update the security of cyberspace.
The overall national strategic goal is to empower all
Americans to secure their portions of cyberspace.
This strategic goal will be accomplished through six
major tools for empowering people and organizations
to do their part:
1. Awareness and Information: Educate and create
awareness among users and owners of cyberspace of
the risks and vulnerabilities of their system and the
means to mitigate these risks.
2. Technology and Tools: Produce new and more
secure technologies, implement those technologies
more quickly, and produce current technologies in a
more secure way.
3. Training and Education: Develop a large and
well-qualified cybersecurity workforce to meet the
needs of industry and government, and to innovate
and advance the nation’s security capabilities.
4. Roles and Partnerships: Foster responsibility of
individuals, enterprises, and sectors for security at
all levels through the use of market forces,
education and volunteer efforts, public-private
partnerships, and, in the last resort, through
regulation or legislation.
5.
Federal
Leadership:
ImproveFederal
cybersecurity to make it a model for other sectors by
全般的な国家の戦略目標は、全米国民がサイバースペースのなかで各
自の担う部分を保護できるようにすることである。この戦略目標は、
個人及び組織が自らの役割を果たすことができるようにするための 6
つの主な手段(tools)を通して達成されるであろう。この手段を次に
示す。
1. 認識及び情報(Awareness and Information)
:サイバー
スペースのユーザー及び所有者に対し、彼らのシステムのリ
スク及びぜい(脆)弱性とそのリスクを軽減する方法について
教育を行い、またこれらに対する認識を促す。
2. 技術及び手段(Technology and Tools)
:新しくより良い
セキュアな技術を生み出し、その技術をより迅速に導入し、
かつ、よりセキュアな方法で最新技術を生み出す。
3. 訓練及び教育(Training and Education):産業界及び政
府のニーズを満たすため、また国家のセキュリティ能力を刷
新し向上させるために、規模が大きくかつ資質の高いサイ
バーセキュリティ労働力を開発する。
4. 役割及びパートナーシップ(Roles and Partnership):
全てのレベルにおいて、市場の力、教育及び自発的な取り組
み、官民パートナーシップを通して、また最後の手段として
は規制又は法律の制定を通じて、個人、企業及びセクターの
セキュリティに対する責任の明確化を促す。
5. 連邦主導(Federal leadership):他のセクターのモデル
とするために、次を行うことによって連邦政府のサイバーセ
キュリティを改善する。それらは、説明責任を向上させるこ
3
increasing accountability; implementing best
practices; expanding the use of automated tools to
continuously test, monitor, and update security
practices; procuring secure and certified products
and services; implementing leading-edge training
and workforce development; and deterring and
preventing cyber attacks.
と、ベストプラクティス(best practices)を導入するこ
と、セキュリティの実践状況のテスト、監視、更新を継続的
に行うための自動化ツールの使用を拡大すること、セキュア
で認証を受けている製品及びサービスを調達すること、最新
の訓練を実施し労働力の開発を行うこと、及びサイバー攻撃
を阻止し未然に防ぐこと、である。
6. 協 調 及 び 危 機 管 理 ( Coordination and Crisis
Management):攻撃を迅速に検出し、かつその攻撃に効
果的に対応するために、公的セクター内、民間セクター内、
及び両セクター間において情報に関する早期警戒及び効率的
な情報共有を開発する。
6. Coordination and Crisis Management: Develop
early warning and efficient sharing of information
both within and between public and private sectors
so that attacks are detected quickly and responded
to efficiently.
In each section of this Strategy, the reader will find
some or all of these themes reflected in two ways.
First, the introduction to each section lays out the
strategic goals for that audience or level of the
Strategy. Second, each section highlights ongoing
programs, recommendations, and topics for
discussion that will serve to develop the strategic
goals.
In this section, these strategies and supporting
actions are summarized. In this National Strategy,
the reader will find new recommendations for
actions, and numerous questions and topics for
読者は、これらのテーマ全部又はそのいくつかが、次の2通りの方法
によって、この国家戦略の各セクションのなかに反映されていること
に気付くことと思われる。第一に、各セクションの導入部分で戦略の
対象やレベルにおける戦略目標が明確に記述されている。そして第二
に、それぞれのセクションにおいて、その戦略目標の進展に役立つだ
ろう継続的なプログラム、勧告、及び議題(topic)が強調表示されて
いる。
本セクションでは、これらの戦略及びこれを支える活動が要約されて
いる。読者は、この国家戦略全体のなかで、活動についての新たな勧
告とともに議論すべき数々の問題や議題が示されていることに気付く
であろう。これらが勧告となるよう、その議論の展開を促進すること
が連邦政府の目標となる。その結果、勧告はさらに充実したものとな
り、また、なかには個人、組織、もしくは政府のイニシアチブとなる
4
debate. It will be the goal of the Federal government
to help facilitate the evolution of these discussions
so
that
they
become
recommendations.
Recommendations will evolve, in turn, and some will
become initiatives of individuals, organizations, or
government.
ものもあるだろう。
セクションごとの勧告の要約(Summary of Recommendations by
Summary of Recommendations by Section
The National Strategy calls for actions at all levels Section)
and across all sectors. Some of the major strategic この国家戦略は、すべてのレベルにおける、かつすべてのセクターに
innovations called for in this document are わたる活動を必要とするものである。この国家戦略が必要とする主な
戦略的な新機軸(innovations)のいくつかは、下記に強調表示されて
highlighted below. A detailed discussion of each of いる。これらの新機軸それぞれについての詳細な議論については、後
these innovations is included in the pages that に続く文書のなかに記述されている。
follow.
認識及び情報(Awareness and Information)
Awareness and Information
The Strategy identifies the need for increased この国家戦略は、米国のサイバーインフラのぜい(脆)弱性についての
awareness about the vulnerability of America’s cyber 認識を高める必要性を明確にし、各人、企業、組織、及び機関がサイ
バースペースをよりセキュアなものとするのを支援するために使用で
infrastructure and provides information that
きる情報を提供するものである。これについては、次に示す勧告があ
each person, company, organization, and agency can る。
use to help make cyberspace more secure. It
recommends:
・ Home users and small businesses should ・ ホームユーザー及び小企業は、サイバースペースの保護において自ら
が重要な役割を担っていることを理解すべきである。これには、自身
recognize that they have an important role to
のコンピュータシステムを保護すること、インターネットへのアクセ
play in securing cyberspace, including securing
スはセキュアな方法で行うこと、及びwww.StaySafeOnline.info、
www.nipc.gov、www.crsc.nist.govなどを含む多くのウェブサイトに
their own computer systems, accessing the
5
Internet in asecure manner and drawing on best
practices that can be found at a number of web
sites
including:
www.StaySafeOnline.info,
www.nipc.gov, and www.crsc.nist.gov.
・The President’s Critical Infrastructure Protection
Board’s Awareness Committee should foster a
public-private partnership
to develop and
disseminate cybersecurity awareness materials,
specifically, audience-specific tools and resources
for annual awareness training.
・State and local governments and private entities
should identify or develop guidelines covering
cyber awareness, literacy, training,
and
education,
including
ethical
conduct
in
cyberspace, tailored to each level of a student’s
education.
公開されているベストプラクティスを利用すること、が含まれる。
・ 大 統 領 重 要 イ ン フ ラ 保 護 委 員 会 の 意 識 向 上 委 員 会 ( President’s
Critical Infrastructure Protection Board’s Awareness Committee)
は、サイバーセキュリティに対する認識向上のための教材
( materials )、 特 に 、 年 次 の 認 識 向 上 ト レ ー ニ ン グ ( awareness
training)のためのオーディエンスを特定したツール及び資源を開発
し、かつその普及を図るために官民パートナーシップを推進すべきで
ある。
・ 州政府、地方政府、及び民間団体は、サイバースペースにおける倫理
的行為を含む、各生徒の教育レベルに合わせたサイバースペースに関
する認識、操作能力(literacy)、訓練及び教育についてのガイドライ
ンを明確にするか、又は作成すべきである。
技術及び手段(Technology and Tools)
Technology and Tools
The Strategy identifies the need for increased この国家戦略は、サイバーセキュリティ関連の研究をさらに多く実施
する必要性を明確にするものである。これについては、次に示す勧告
cybersecurity-related research. It recommends:
がある。
・A public-private partnership should, as a high
priority, develop best practices and new
technology to increase security of digital control
・ 官民パートナーシップは、優先事項として、公共事業、製造、及び他
のネットワークにおいて、ディジタル制御システム(digital control
system = DCS)と監視制御データ収集(supervisory control and
data acquisition = SCADA)システムのセキュリティを強化するため
に、ベストプラクティス及び新技術の開発を実施すべきである。当面
6
system (DCS) and supervisory control and data
acquisition (SCADA) systems in utilities,
manufacturing, and other networks. In the
interim, owners and operators of pipelines and
power grids that rely on DCS/SCADA systems
should closely examine the risks of Internet
connections and take appropriate actions, such as
implementing secure authentication within 24
months. Other industries with heavy reliance on
DCS/SCADA should consider doing the same. The
Department of Energy’s recent guidelines provide
information on securing SCADA systems.
の間は、DCS/SCADA システムに依存しているパイプライン及び電力
網の所有者及び運用者は、インターネット接続のリスクを入念に調査
し、これに対して、24 ヶ月以内にセキュアな認証を実施するなど、
適切な処置をとるべきである。DCS/SCADA に大きく依存している他
の産業界もまた、これらを実施することを検討すべきである。エネル
ギー省の新たなガイドラインでは、SCADA システムの保護に関する
情報が示されている。
・The President’s Critical Infrastructure Protection
Board should coordinate with the Director of the
Office of Science and Technology Policy on a
program of Federal government research and
development including near-term (1-3 years), midterm (3-5years), and long-term (5 years out and
longer) IT security research. Federally funded
near-term IT security research and development
for FY04 and beyond should include priority
programs identified by OSTP and the R&D
Committee. Existing priorities include, among
others, intrusion detection, internet infrastructure
security (including protocols e.g. BGP, DNS),
・ 大統領重要インフラ保護委員会は、短期(1~3年)、中期(3~5
年)
、及び長期(5 年以上)の IT セキュリティ研究を含む連邦政府の
研究開発プログラムについて、科学技術政策局(Office of Science
and Technology Policy = OSTP)の局長と連携をとるべきである。
2004 年度以降における連邦政府資金による短期の IT セキュリティ研
究開発には、科学技術政策局(OSTP)及び R&D 委員会が明確にし
た優先プログラムを含めるべきである。既存の優先事項としては、侵
入検出、インターネットインフラセキュリティ(BGP、DNS 等のプ
ロトコルを含む)、アプリケーションのセキュリティ、サービスの拒
否、通信秘密保全(SCADA システムの暗号化及び認証を含む)、高
度な保証システム、及びセキュアなシステム構成などが挙げられる。
7
application
security,
denial
of
service,
communications security (including SCADA
system encryption and authentication), high
assurance
systems
and
secure
system
composition.
・Public-private partnerships should identify crosssectoral cyber and physical interdependencies.
They should develop plans to reduce related
vulnerabilities, in conjunction with programs
proposed in National Strategy for Homeland
Security. It is within the scope of the National
Infrastructure Simulation and Analysis Center to
assist with these efforts.
・ 官民パートナーシップは、セクター間のサイバー的・物理的な相互依
存(cross-sectoral interdependencies)を明確にすべきである。ま
た、国土安全保障戦略(National Strategy for Homeland Security)
で提案されているプログラムと併せて、関連する脆弱性を低減するた
めの計画を策定すべきである。これらの取り組みを支援するのは、全
米インフラシミュレーション分析センター(National Infrastructure
Simulation and Analysis Center)の範囲内である。
訓練及び教育(Training and Education)
Training and Education
The Strategy addresses the existing gap between the この国家戦略は、適格な IT の専門家の必要性とこれらの人材を訓
練・育成する米国の能力とのあいだにみられる既存の格差を取り扱う
need for qualified IT professionals and America’s ものである。これについての具体的な勧告としては、次が挙げられ
ability to train and develop these workers.
る。
Specific recommendations include:
・States should consider creating Cyber Corps
・ 各州は、州立大学において、その州のために働くことによって補助金
scholarship-forservice
programs at State
を返済する意思のある、IT セキュリティを専攻している学部生及び
universities,
to
fund
the
education
of
大学院生の教育に資金を提供するためのサイバー隊サービス奨学金プ
ログラム(Cyber Corps Scholarship-for-service programs)の創設を
undergraduate and graduate students specializing
検討すべきである。既存の連邦サイバー隊サービス奨学金プログラム
in IT security who are willing to repay their
を、学部の設立(faculty development)及び奨学資金の提供によっ
grants by working for the states. The existing
て、さらに多くの大学を対象に含むよう拡大し得る可能性について評
8
Federal Cyber Corps scholarship-for-service
programshould
be
assessed
for
possible
expansion to additional universities, with both
faculty development and scholarship funding. The
program could also add a faculty and program
development effort with community colleges.
価すべきである。本プログラムではさらに、コミュニティカレッジに
おける学部の設立及びプログラム開発のために取り組むことが可能で
ある。
・The CIO council and relevant Federal agencies
should consider establishing a “Cyberspace
Academy,” linking Federal cybersecurity and
computer forensics training programs.
・ CIO 協議会(CIO Council)及び関連する連邦政府機関は、連邦政府
のサイバーセキュリティ(Federal cybersecurity)とコンピュータ犯
罪 科 学 ト レ ー ニ ン グ プ ロ グ ラ ム ( computer forensics training
programs)をつなぐ「サイバースペースアカデミー」(”Cyberspace
Academy”)の設立を検討すべきである。
・IT security professionals, associations, and other
appropriate
organizations
should
explore
approaches to and the feasibility of a nationally
recognized certification program, including a
continuing education and retesting program. The
Federal government could assist in the
establishment of such a program, and, if it is
created, consider requiring that Federal IT
security personnel be appropriately certified.
・ IT セキュリティの専門家、団体及び他の該当する組織は、継続的な
教育と再試験プログラムを含む、全国的に認められた認証プログラム
確立への取り組み方法及びその実現可能性を探求すべきである。連邦
政府は、そのようなプログラム確立を支援し、もし創設された場合に
は、連邦の IT セキュリティ要員が適切に認証されるようとの要求を
検討することが可能である。
Roles and Partnerships
役割及びパートナーシップ(Roles and Partnership)
The Strategy recognizes that all Americans have a この国歌戦略は、全ての米国民にはサイバーセキュリティにおいて果
role to play in cybersecurity, and identifies the たすべき役割があることを認識するものであり、かつ、サイバース
9
market mechanisms for stimulating sustained
actions to secure cyberspace. It recommends:
・ CEOs should consider forming enterprisewide
corporate
security
councils
to
integrate
cybersecurity, privacy, physical security, and
operational considerations.
・ State and local governments should consider
establishing IT security programs for their
departments and agencies, including awareness,
audits, and standards. State, county, and
municipal associations could provide assistance,
materials, and model programs.
・Internet service providers, beginning with major
ISPs, should consider adopting a “code of good
conduct” governing their cybersecurity practices,
including their security-related cooperation with
one another.
・ The Federal government should identify and
remove barriers to public-private information
sharing and promote the timely twoway exchange
of data to promote increased cyberspace security.
・ Colleges and universities should consider
establishing together: (a) one or more information
sharing and analysis centers (ISACs) to deal with
cyber attacks and vulnerabilities; (b) model
guidelines empowering Chief Information Officers
ペースを保護するための持続的な活動を促進する市場機構を明確にす
るものである。これについては、次に示す勧告がある。
・ CEO は、サイバーセキュリティ、プライバシー、物理的セキュリ
ティ、及びオペレーション上の考慮事項を統合するために企業全体の
企 業 セ キ ュ リ テ ィ 協 議 会 ( enterprisewide corporate security
councils)の設置を検討すべきである。
・ 州政府及び地方政府は、自身の機関(departments and agencies)に
おいて、認識、監査、及び規格を含む IT セキュリティプログラムの
確立を検討すべきである。州、郡、市の団体(associations)は、支
援、物資(materials)
、及びモデルプログラムを提供し得る。
・ インターネットサービスプロバイダー(ISP)は、主なプロバイダー
を始めとして、セキュリティ関連の相互連携を含む、自身のサイバー
セキュリティ慣行を規定する”code of good conduct”(「行動倫理規
範」
)の採用を検討すべきである。
・ 連邦政府は、官民のあいだでの情報共有に対する障害を明確にし、こ
れを除去すべきである。また、サイバースペースのセキュリティ強化
を促進するために適時にデータの双方向交換を行うことを推進すべき
である。
・ 各大学は、共同で次の事項の確立を検討すべきである。それらは、
(a)サイバー攻撃及び脆弱性を取り扱う一つ以上の情報共有分析セ
ン ター (ISAC)、( b)最 高情 報担当 責任者 (Chief Information
Officers = CIO)にサイバーセキュリティを取り扱う権限を与える
モデルガイドライン、(c)IT セキュリティのベストプラクティス一式
以上、(d)モデルユーザー啓蒙プログラム及び教材(model user
10
(CIOs) to address cybersecurity; (c) one or more
sets of best practices for IT security; and (d) model
user awareness programs and materials.
awareness programs and materials)である。
Federal Leadership
連邦主導(Federal Leadership)
The Strategy recognizes the pressing need to make この国家戦略は、連邦サイバースペースセキュリティを国家モデルと
Federal cyberspacesecurity a model for the nation. It することが急務であることを認識するものである。これについては、
次に示す勧告がある。
recommends:
・ In order to enhance the procurement of more ・ よりセキュアな IT 製品の調達を強化するために、連邦政府は 2003
年 度 第 4 四 半 期 ま で に 、 国 家 情 報 保 証 プ ロ グ ラ ム ( National
secure IT products,the Federal government, by 4Q
Information Assurance Program = NIAP)の実施状況について総合
FY03, will complete a comprehensive program
的なレビューを完了する予定である。このレビューの目的は、NIAP
にどの程度費用対効果があり、かつ NIAP が明確に識別されたセキュ
performance review of the National Information
リティ格差(security gap)をどの程度達成目標として示している
Assurance Program (NIAP) to determine the
か、つまり、格差(gap)を縮めるための明確な目標が NIAP にある
extent to which NIAP is cost effective and targets
かどうか、またその目標を達成しつつあるかどうか、及びどの程度プ
a clearly identified security gap; whether it has
ログラムの改善、簡素化、又は拡大が適切であり、かつこれらに費用
対効果があるかを判断することである。
defined goals to close the gap, whether it is
achieving those goals, and the extent to which
program
improvements,
streamlining,
or
expansion are appropriate and cost effective.
・Federal departments should continue to expand
・ 連邦政府の各省(Federal departments)は、自動化された、企業全
the use of automated, enterprisewide security
体のセキュリティ評価及びセキュリティポリシー施行ツールの使用を
assessment and security policy enforcement tools,
引き続き拡大し、攻撃を事前回避するための脅威管理ツールを積極的
に設置すべきである。2003 年度第3四半期までに、連邦政府は、こ
and actively deploy threat management tools to
れらツールの使用の拡大を推し進めるために(例えば、政策又は予算
preempt attacks. By 3Q FY03, the Federal
過程等を経て)特定の処置をとる必要があるかどうかを決定する予定
government will determine whether specific
である。
actions are necessary (e.g., through the policy or
11
budget processes) to promote the greater use of
these tools.
・ By the end of 2Q FY03, consider the cost
effectiveness of a scenario-based security and
contingency preparedness exercise for a selected
cross-government business process. Should such
an exercise take place, any security weaknesses
shall be included as part of agencies’ Government
Information Security Reform Act (GISRA)
corrective action plans.
・ Federal departments and agencies must be
especially mindful of security risks when using
wireless technologies. Federal agencies should
consider installing systems that continuously
check for unauthorized wireless connections to
their networks. Agencies should carefully review
the recent NIST report on the use of wireless
technologies and take into account NIST
recommendations and findings. In that regard,
agency policy and procedures should reflect careful
consideration of additional risk reduction
measures including the use of strong encryption,
bi-directional authentication,shielding standards
and other technical security considerations,
configuration management, intrusion detection,
incident handling, and computer security
・ 2003 年度第 2 四半期までに、選択された政府間の業務プロセスに関
して、シナリオに基づいたセキュリティ障害対策訓練(a scenariobased security and contingency preparedness exercise)の費用対効
果を検討すること。そのような訓練を実施する場合には、政府機関
( agencies ) の 政 府 情 報 セ キ ュ リ テ ィ 改 革 法 ( Government
Information Security Reform Act = GISRA)の是正処置計画の一部
としてセキュリティ上の弱点を含めなければならない。
・ 連邦政府機関(Federal departments and agencies)は、ワイヤレス
技術を使用する場合、特にセキュリティリスクに注意しなければなら
ない。連邦政府機関(Federal agencies)は、自身のネットワークに
対する無許可のワイヤレス接続を絶えずチェックするシステムのイン
ストールを検討すべきである。政府機関は、ワイヤレス技術の使用に
関する最近の NIST レポートを注意深くレビューし、NIST の勧告及
び所見を考慮すべきである。その点において、政府機関のポリシー及
び手順は、追加のリスク軽減対策に対してなされる慎重な考慮結果を
反映したものであるべきである。これには、強力な暗号化、双方向認
証、シールディング規格、及び他の技術的なセキュリティ上考慮すべ
き事柄の使用、コンフィギュレーション管理、侵入検出、事件・事故
の処理、並びにコンピュータセキュリティ教育及び啓蒙プログラムが
含まれる。
12
education and awareness programs.
・As part of the annual departmental IT security
audits, agencies should include a review of ITrelated privacy regulation compliance.
・ 年次の部門別 IT セキュリティ監査の一環として、政府機関は IT 関連
のプライバシー規制への準拠に関するレビューを実施すべきである。
Coordination and Crisis Management
協調及び危機管理(Coordination and Crisis Management)
The Strategy identifies a pressing need for a この国家戦略は、包括的な全国分析警告能力が早急に必要であること
comprehensive national analysis and warning を明確にするものである。これについては、次に示す勧告がある。
・ ISP、ハードウェア及びソフトウェアのベンダー、IT セキュリティ関
capability. It recommends:
連会社、コンピュータ緊急対応チーム、及び ISAC は、物理的又は
・ISPs, hardware and software vendors, IT securityバーチャルに、情報を共有するため、かつ米国におけるインターネッ
related companies, computer emergency response
トオペレーションの健全性及び信頼性を支援するための協調を確実な
ものとするために、共同でサイバースペースネットワークオペレー
teams, and the ISACs, together, should consider
シ ョ ン セ ン タ ー ( Cyberspace Network Operations Center =
establishing a Cyberspace Network Operations
Cyberspace NOC)の設立を検討すべきである。このセンターは、政
Center (Cyberspace NOC), physical or virtual, to
府団体(government entity)ではなく、民間セクターによって運営
share information and ensure coordination to
管理されるものとなるであろうが、連邦政府はこのオペレーションセ
support the health and reliability of Internet
ンター(Cyberspace NOC)と協力可能な方法を探求すべきである。
operations in the United States. Although it would
not be a government entity and would be managed
by the private sector, the Federal government
should explore ways in which it could cooperate
with the Cyberspace NOC.
・ 産業界は、自発的に連邦政府と協力して、インターネット機能復旧計
・Industry should, in voluntary partnership with
画を含むサイバーセキュリティ緊急対策計画(cybersecurity crisis
the Federal government, complete and regularly
contingency plans)を完成させ、定期的にこれを更新すべきである。
update cybersecurity crisis contingency plans,
including a recovery plan for Internet functions.
・ 法執行及び国家安全保障機関は、国家的なサイバー攻撃(サイバー戦
・ The law enforcement and national security
争)を検出するためのシステムを構築し、迅速な対応のための計画を
13
community should develop a system to detect a
national cyber attack (cyber war) and a plan for
immediate response. As part of this process, the
appropriate entities should establish requirements
and options.
・ Owners and operators of information system
networks and network data centers should
consider developing remediation and contingency
plans to reduce the consequences of large-scale
physical damage to facilities supporting such
networks.
Where
requested,
the
Federal
government could help coordinate such efforts and
provide technical assistance.
・The United States should work with individual
nations and with nongovernmental organizations
(e.g., Forum of Incident Response and Security
Teams
(FIRST)),
and
international
organizations(e.g.,International
Telecommunications Union (ITU)), to promote the
establishment of national and international watch
and warning networks that will be designed to
detect and prevent cyber attacks as they emerge.
In addition, such networks could help support
efforts to investigate and respond to attacks.
策定すべきである。このプロセスの一部として、適切な機関が要求事
項及び選択を確立すべきである。
・ 情報システムネットワーク及びネットワークデータセンターの所有者
及び運用者は、そのようなネットワークを支える施設に対しての大規
模に及ぶ物理的な損害を軽減するために、復旧及び障害対策計画の策
定を検討すべきである。要求のある場合には、連邦政府はそのような
取り組みの調整を支援し、技術的な援助を提供することが可能であ
る。
・ 米国は、サイバー攻撃が発生した際にこれら攻撃を検出し防ぐことを
目的とする国内的・国際的な watch-and-warning networks(監視警
告ネットワーク)の確立を促進するために、個々の国家、非政府組織
(例、Forum of Incident Response and Security Teams (FIRST))
(問題対応フォーラムとセキュリティチーム)や国際組織(例、
International Telecommunications Union (ITU))(国際電気通信連
合)と協同で作業を実施すべきである。さらに、そのようなネット
ワークは、これら攻撃について調査し対応するための取り組みを手助
けするものとなり得る。
各対象者レベルにおいて議論される、能力向上( empowerment)の
Six tools for empowerment discussed for each level ための 6 つの手段
14
of audience
The Strategy provides a roadmap to help Americans
Understand their part in securing cyberspace. To
make this roadmap easier to use, it is divided into
audience levels: Level 1 for home users and small
businesses, Level 2 for large enterprises, Level 3 for
sectors including government, private industry, and
higher education, Level 4 for national issues and
efforts, and Level 5 for discussion of global issues.
Each of these levels and their sub-levels will have
its own strategic goal. These goals will be supported
by strategic actions that the nation will take to
achieve the goals.
この国家戦略は、米国民に対し、サイバースペースを保護するにあ
たって自らの役割を理解するのに役立つ道筋を提供するものである。
この道筋を使い易いものとするために、本文書は対象者レベルごとに
分けられている。これらのレベルは、レベル 1-ホームユーザー及び
小企業、レベル 2-大企業、レベル 3-政府、民間産業、及び高等教
育機関を含むセクター、レベル 4-国家的な問題及び取り組み、レベ
ル 5-国際的な問題についての議論について、となっている。これら
の各レベル及びその下位レベル(sub-level)には、それぞれ固有の戦
略目標が設定される。これらの目標は、その達成のために国家がとる
戦略的行動によって支援されるであろう。
The six tools for empowerment (see page 11) will
help drive corresponding strategic actions at each
level. Some or all of the six tools may be employed at
each level. For example, “Awareness and
Information” will help empower the home user as
well as private sector employees and Federal
workers to secure their portion of cyberspace. Roles
and partnerships will be identified and described at
all levels. Not every tool will be appropriate for
every level, but, taken together, these tools will
underpin all of the nation’s efforts to secure
cyberspace.
(サイバースペース保護)能力向上のための 6 つの手段(P11 参照)
は、各レベルにおいて調和のとれた戦略活動を推進するのに役立つだ
ろう。この 6 つの手段の全て又はそのいくつかが、各レベルで採用さ
れると思われる。例えば、「認識及び情報」は、民間セクターの被雇用
者や連邦政府の職員、またホームユーザーに対し、サイバースペース
のなかで自らの担う部分を保護する力を与えるのに役立つであろう。
また役割及びパートナーシップについては、すべてのレベルにおいて
明確にされ、説明されるであろう。これらの手段それぞれが、すべて
のレベルに適するものとは限らない。しかしながら、総合すれば、こ
れらの手段は、サイバースペースを保護するための国家による取り組
みすべてを支えるものとなろう。
15
SUMMARY OF RECOMMENDATIONS
SUMMARY OF RECOMMENDATIONS
LEVEL 1:
レベル1
THE HOME USER AND SMALL BUSINESS
ホームユーザー及び小企業
R1-1 Because automated hacking programs scan the Internet R1-1 利用できる保護されていない広帯域回線を探すため、自動ハッキング
for unprotected broadband connections to exploit, those
プログラムがインターネット上を走査している。このため、DSL 又は
home users and small businesses planning to install a DSL
ケーブルモデムの導入を計画しているホームユーザー及び小企業は、
or cable modem should consider installing firewall software
まず最初にファイアウォールソフトウェアのインストールを検討すべ
first. (Some Internet service providers (ISPs), offer firewall
きである。(インターネットサービスプロバイダー(ISP)のなかに
software with DSL or cable modem set up.) Once firewall
は、DSL に対するファイアウォールソフトウェア又はケーブルモデム
software is installed, it is important to regularly update it
設置を提供しているところもある。)一度ファイアウォールソフト
by going to the vendor’s web site.
ウェアをインストールした後には、定期的にベンダーのウェブサイト
に行きこれを更新することが重要である。
R1-2 Because new computer viruses are introduced every week, 1-2
home users and small businesses should regularly ensure
that they are running an up-to-date “antivirus system.”
(Some antivirus vendors offer automatic updates online.
Some Internet service providers scan all incoming e-mail
for viruses before the e-mail gets to the user’s computer.)
R1-3 Because new viruses often come as e-mail, home users
should use caution when opening e-mail from unknown 1-3
senders, particularly those with attachments. To reduce
the number of unknown senders, home users should
consider using software that controls unsolicited
advertisements, called “spam.” (Some ISPs offer programs
to block spam. Some ISPs also offer to block all incoming email except from those friends and associates that the user
selects.)
R1-4 Home users should also regularly update their personal
16
毎週新たなコンピュータウィルスが登場するため、ホームユーザー及び
小企業は自身の使用している「アンチウイルスシステム」が最新版であ
ることを定期的に確認すべきである。(アンチウイルスベンダーのなか
には、オンラインでの自動更新を提供しているところもある。また、イ
ンターネットサービスプロバイダーのなかには、電子メールがユーザー
のコンピュータの元へ届く前に全ての受信電子メールに対しウイルスス
キャンを行っているところもある。
)
R1-3 新たなウイルスは電子メールとともに送られて来ることが多いの
で、ホームユーザーは見知らぬ送信者からの電子メールを開く場合、特
に添付ファイルがあるものの場合、警告(caution)を使用すべきであ
る。見知らぬ送信者の数を減らすために、ホームユーザーは「スパム」
(”spam”)と呼ばれる勝手に送られてくる広告を制御するソフトウェ
アの使用を検討すべきである。(ISP のなかには、スパム防止プログラ
ムを提供しているところもある。また受信メールをユーザーが選択した
友人・知人からのもののみに制限するサービスを提供しているところも
ある。
)
computer’s operating systems (such as Microsoft Windows, R1-4 ホームユーザーはまた、ベンダーのウェブサイトに行くことにより、
Macintosh, Linux) and major applications (software that
セキュリティ強化のために自身のパーソナルコンピュータのオペレー
browses the Internet or creates documents, charts, tables,
ティングシステム(Microsoft Windows、Macintosh、Linux など)
etc.) for security enhancements by going to the vendors
及び主なアプリケーション(インターネットをブラウズするソフト
web sites. (Some software vendors offer automatic updates
ウェア、又は文書、図、表などを作成するソフトウェア)を定期的に
online.)
更新すべきである。(ソフトウェアベンダーのなかには、オンライン
での自動更新を提供しているところもある。
)
R1-5 Internet service providers, antivirus software companies,
and operating system/application software developers should R1-5 インターネットサービスプロバイダー、アンチウイルスソフトウェア
会社、及びオペレーティングシステム/アプリケーションソフトウェ
consider jointefforts to make it easier for the home user and
アの開発者は、ホームユーザーと小企業がセキュリティソフトウェア
small business to obtain security software and updates
の入手及び更新を自動的かつ適時に行うのを容易にするために、共同
automatically and in a timely manner, including warning
で作業を実施することを検討すべきである。これには、更新及び新ソ
messages to home users about updates and new software
patches.
フトウェアパッチについてのホームユーザーに対する警告メッセージ
を含む。
LEVEL 2:
レベル 2:
LARGE ENTERPRISES
R2-1 CEOs should consider forming enterprisewide corporate
大企業(LARGE ENTERPRISES)
security councils to integrate cybersecurity, privacy,
R2-1 CEO は、サイバーセキュリティ、プライバシー、物理的セキュリ
physical security, and operational considerations.
ティ、及びオペレーション上の考慮事項を統合するために企業全体の
企 業 セ キ ュ リ テ ィ 協 議 会 ( enterprisewide corporate security
councils)の設置を検討すべきである。
R2-2 CEOs should consider regular independent Information
Technology (IT) security audits, remediation programs, and R2-2 CEO は、独立した情報技術(Information Technology = IT)セキュ
reviews of “best practices” implementation.
リティ監査、修復プログラム、及び「ベストプラクティス」(”best
practices”)のレビューを定期的に実施することを検討すべきであ
る。
R2-3 Corporate boards should consider forming board
committees on IT security and should ensure that the R2-3 企業の取締役会は、IT セキュリティに関する役員会の設置を検討すべ
recommendations of the chief information security official
きであり、また企業における情報セキュリティ最高担当責任者による推
in the corporation are regularly reviewed by the CEO.
奨事項(recommendations)が CEO により定期的にレビューされてい
ることを確認すべきである。
R2-4 Corporate IT continuity plans should be regularly
reviewed and exercised and should consider site and staff R2-4 企業の IT 継続計画を定期的にレビューし、実践することが望まし
17
alternatives. Consideration should be given to diversity in
IT service providers as a way of mitigating risks.
く、またこのプランでは代替用の場所とスタッフを考慮すべきである。
リスクを軽減する方法として IT サービスプロバイダーの多様性を考慮
すべきである。
R2-5 Corporations should consider active involvement in
industrywide programs to: (a) develop IT security best R2-5 企業は、次の事項を行うための業界全体にわたるプログラムへ積極的
に参加することを検討すべきである。それらは、
(a)IT セキュリティの
practices and procurement standards for like companies;
ベストプラクティス及び同種の企業における調達規格を開発する、
(b)
(b) share information on IT security through an
適 切 な 情 報 共 有 分 析 セ ン タ ー ( information sharing and analysis
appropriate information sharing and analysis center
center = ISAC)を通して IT セキュリティに関する情報を共有する、
(ISAC); (c) raise cybersecurity awareness and public policy
(c)サイバーセキュリティに対する認識を高め、公共政策問題を提起す
issues; and, (d) work with the insurance industry on ways
る、及び(d)サイバーリスクを管理するために保険の利用可能性及び
to expand the availability and utilization of insurance for
managing cyber risk.
活用の拡大方法について、保険業界と共同作業を実施する、である。
R2-6 Corporations should consider joining in a public-private
partnership to establish an awards program for those in R2-6 企業は、業界内においてサイバーセキュリティに対し、多大な貢
献をした企業を表彰するプログラムを確立するための官民パートナー
industry making significant contributions to cybersecurity.
シップ(public-private partnership)への参加を検討すべきであ
R2-7 (1) Enterprises should review mainframe security
る。
software and procedures to ensure that the latest effective R2-7 (1)企業は、最新の効果的な技術及び手続上の基準(measures)が
technology and procedural measures are being utilized; (2) IT
使用されていることを確認するために、メインフレームコンピュータ
vendors and enterprises employing mainframes shouldconsider
用のセキュリティソフトウェア及び手順をレビューすべきである。
developing a partnership to review and update best practices of
(2)メインフレームコンピュータを使用している IT ベンダー及び企
mainframe IT security and to ensure that there continues to be
業は、メインフレームコンピュータの IT セキュリティのベストプラ
an adequate trained cadre of mainframe specialists; and (3) IT
クティスをレビューし更新するため、かつ引き続き適切に訓練されて
security audits should include comprehensive evaluations of
いるメインフレームコンピュータ専門家の幹部がいることを確認する
mainframes.
ために、パートナーシップの構築を検討すべきである。(3)IT セ
キュリティ監査にメインフレームコンピュータの総合評価を含むべき
である。
LEVEL 3: CRITICAL SECTORS
レベル 3:重要セクター(CRITICAL SECTORS)
THE FEDERAL GOVERNMENT
連邦政府(THE FEDERAL GOVERNMENT)
R3-1 In order to enhance the procurement of more secure IT
products, the Federal government, by 4Q FY03, will R3-1 よりセキュアな IT 製品の調達を強化するために、連邦政府は 2003 年
度 第 4 四 半 期 ま で に 、 国 家 情 報 保 証 プ ロ グ ラ ム ( National
complete a comprehensive program performance review of
18
the National Information Assurance Program (NIAP), to
determine the extent to which NIAP is cost effective and
targets a clearly identified security gap; whether it has
defined goals to close the gap, whether it is achieving those
goals, and the extent to which program improvements,
streamlining, or expansion are appropriate and cost
effective.
Information Assurance Program = NIAP)の実施状況について総合
的なレビューを完了する予定である。このレビューの目的は、NIAP
にどの程度費用対効果があり、かつ NIAP が明確に識別されたセキュ
リティ格差(security gap)をどの程度達成目標として示しているか
(つまり、格差(gap)を縮めるための明確な目標が NIAP にあるか
どうか、またその目標を達成しつつあるかどうか)、及びどの程度プ
ログラムの改善、簡素化、又は拡大が適切であり、かつこれらに費用
対効果があるかを判断することである。
R3-2 The Federal government, by 3Q FY03, will assess
whether private sector security service providers to the R3-2 連邦政府は、2003 年度第 3 四半期までに、連邦政府に対する民間セ
クターのセキュリティサービスプロバイダーを、ある一定の最低限の
Federal government should be certified as meeting certain
能力を有するものとして認証すべきかどうか判断する予定である。
minimum capabilities.
R3-3 The Federal government, by 3Q FY03, using the EGovernment model, will explore the benefits (including R3-3 連邦政府は、2003 年度第 3 四半期までに、電子政府モデルを利用し
reducing resource pressures on small agencies) of greater
て、政府間におけるセキュリティツール及びサービスの獲得、運用、
cross-government acquisition, operation, and maintenance
維持の拡大について、その便益(小規模な政府機関における資源的な
of security tools and services.
重圧の軽減を含む)を探求する予定である。
R3-4 Through the ongoing E-Authentication initiative, the
Federal government, by 2Q FY03, will explore the extent to R3-4 現 在 行 わ れ て い る 電 子 認 証 イ ニ シ ア チ ブ ( E-authentication
which all departments can employ the same physical and
initiative)を通じて、連邦政府は、2003 年度第 2 四半期までに、整
logical access control tools and authentication mechanisms
合性と相互運用性をさらに高めるために全ての省(departments)が
to further promote consistency and interoperability.
どの程度同一の物理的・論理的アクセス制御ツール及び認証機構を採
R3-5 Federal departments should continue to expand the use of
用できるかを探求する予定である。
automated, enterprise-wide security assessment and
security policy enforcement tools and actively deploy threat R3-5 連邦政府の各省(Federal departments)は、自動化された、企業全
体のセキュリティ評価及びセキュリティポリシー施行ツールの使用を
management tools to preempt attacks. By 2Q FY03, the
引き続き拡大し、攻撃を事前回避するための脅威管理ツールを積極的
Federal government will determine whether specific
に設置すべきである。2003 年度第 2 四半期までに、連邦政府は、こ
actions are necessary (e.g., through the policy or budget
れらツールの使用の拡大を推し進めるために特定の処置をとる必要が
processes) to promote the greater use of these tools.
あるかどうかを(例えば、政策又は予算過程等を経て)決定する予定
である。
R3-6 The Federal government will continue to assess the
technical viability and cost effectiveness of various options R3-6 連邦政府は、VPN、「専用回線」(”private line”)ネットワークなどの
19
that provide for the continuity of operations during service
outages such as VPNs, “private line” networks, and others.
サービス停止中に継続的な運用を提供する様々な選択肢に関して、技
術的な実行可能性及び費用対効果を引き続き評価していく予定であ
る。
R3-7 The Federal government should lead in the adoption of
secure network protocols. The Federal government will R3-7 連邦政府は、セキュアなネットワークプロトコルの採用にあたり、主
導的な役割を果たすべきである。連邦政府は、新しいセキュアなネッ
review new secure network protocols as they are published
トワークプロトコルが公開される際にはそのプロトコルがセキュリ
to determine whether they fill a security gap and whether
ティ格差を縮めるものかどうか、またそれらの採用が連邦政府のオペ
their adoption would have a cost-effective impact on the
レーション及びセキュリティの費用対効果に影響を及ぼすかどうかを
operations and security of the Federal government.
判断するためにレビューする予定である。
R3-8 By the end of 2Q FY03, the Federal government will
consider the cost effectiveness of a scenario-based security
R3-8 2003 年度第 2 四半期までに、連邦政府は、選択された政府間の業務
and contingency preparedness exercise for a selected crossプロセスに関して、シナリオに基づいたセキュリティ障害対策訓練
government business process. Should such an exercise take
( a scenario-based security and contingency preparedness
place any security weaknesses shall be included as part of
exercise)の費用対効果を検討する予定である。そのような訓練を実
agencies’ GISRA corrective action plans.
施する場合には、政府機関(agencies)の GISRA 是正処置計画の一
部としてセキュリティ上の弱点を含めるべきである。
R3-9 OMB, in conjunction with the CIO council,will determine
on a case by case basis whether to employ a lead agency
R3-9
行政管理予算局(OMB)は、CIO 協議会と協力して、政府全体のセ
concept for governmentwide security measures. The
キュリティ対策において主導政府機関の概念(lead agency concept)
alternatives will generally include GSA, NIST, the
を採用するかどうかをケースバイケースで決める予定である。これに
proposed Department of Homeland Security, and the
代わるものとしては、一般に GSA、NIST、提案される国土安全保障
Department of Defense.
省 ( Department of Homeland Security )、 及 び 国 防 総 省
(Department of Defense)が挙げられるであろう。
LEVEL 3: CRITICAL SECTORS
STATE AND LOCAL GOVERNMENTS
レベル 3:重要セクター(CRITICAL SERCTORS)
R3-10 State and local governments should consider
州政府及び地方政府(STATE AND LOCAL GOVERNMENTS)
establishing IT security programs for their departments
and agencies, including awareness, audits, and standards. R3-10 州政府及び地方政府は、自身の機関(departments and agencies)
において、認識、監査、及び規格を含む IT セキュリティプログラム
State, county, and city associations should consider
の確立を検討すべきである。州、郡、市の団体(associations)は、
providing assistance, materials, and model programs.
支援、物資(materials)、及びモデルプログラムの提供を検討すべき
である。
R3-11 State and local governments should consider
participating in the established information sharing and R3-11 州政府及び地方政府は、同様の政府とともに確立された情報共有分析
20
analysis centers (ISACs) with similar governments.
センター(information sharing and analysis centers = ISAC)への
参加を検討すべきである。
R3-12 State and local governments should consider expanding
training programs in computer crime for law enforcement R3-12 州政府及び地方政府は、裁判官、検事、及び警察官を含む、法執行
機関の当局者のためのコンピュータ犯罪トレーニングプログラム
officials, including judges, prosecutors, and police. The
( training programs in computer crime for law enforcement
Federal government could assist in coordinating such
officials)の拡大を検討すべきである。連邦政府としては、そのよう
training and explore whether funding assistance is
なトレーニングの調整を支援し、また資金援助の実現可能性を探求し
feasible.
得る。
レベル 3:重要セクター(CRITICAL SECTORS)
LEVEL 3: CRITICAL SECTORS
高等教育(HIGHER EDUCATION)
HIGHER EDUCATION
R3-13 Each college and university should consider establishing
a point-ofcontact, reachable at all times, to Internet R3-13 各大学は、自身の IT システムによってサイバー攻撃が開始され
service providers (ISPs) and law enforcement officials in
ていることを発見した場合に、いつでもインターネットサービス
the event that the school’s IT systems are discovered to be
プロバイダー(ISP)及び法執行機関の当局者に連絡のとれるコ
launching cyber attacks.
ンタクトポイント設置を検討すべきである。
R3-14 Colleges and universities should consider establishing
together: (a) one or more information sharing and analysis R3-14 各大学は、共同で次の事項の確立を検討すべきである。それらは、
centers (ISACs) to deal with cyber attacks and
(a)サイバー攻撃及び脆弱性を取り扱う一つ以上の情報共有分析セ
vulnerabilities; (b) model guidelines empowering Chief
ンター(ISAC)、(b)サイバーセキュリティを取り扱う最高情報担当
Information Officers (CIOs) to address cybersecurity; (c)
責任者 (Chief Information Officers = CIO)に権限を与えるモデ
one or more set of best practices for IT security; and, (d)
ルガイドライン、(c)IT セキュリティのベストプラクティス一式以
model user awareness programs and materials.
上 、( d ) モ デ ル ユ ー ザ ー 啓 蒙 プ ロ グ ラ ム 及 び 教 材 ( model user
awareness programs and materials)である。
LEVEL 3: CRITICAL SECTORS
PRIVATE SECTORS
レベル 3:重要セクター(CRITICAL SECTORS)
R3-15 Each sector group should consider establishing an
民間セクター(PRIVATE SECTORS)
information sharing and analysis center (ISAC) that
should cooperate with other ISACs. The Federal R3-15 各セクターグループは、情報共有分析センター(ISAC)の確立を検
government will explore linking the ISACs with
討すべきであり、またこのセンターは他の情報共有分析センター
appropriate cybersecurity warning-and-analysis centers
(ISAC)と協力すべきである。連邦政府は、要請に応じて ISAC と
21
upon request, and could facilitate the provision of
information related to critical infrastructure protection
when necessary.
適 切 な サ イ バ ー セ キ ュ リ テ ィ 警 告 分 析 セ ン タ ー ( cybersecurity
warning-and-analysis centers)との連係(linking)を探求する予定
であり、また必要に応じて重要インフラの保護に関連する情報提供の
推進を実施し得る。
R3-16 Each sector group should consider conducting a
technology and R&D gap analysis, in conjunction with R3-16 各セクターグループは、識別された格差(gaps)を処理するために
連邦サイバーセキュリティ研究を優先させるという科学技術政策局
OSTP efforts to prioritize Federal cybersecurity research
(OSTP)の取り組みと合わせて、技術及び R&D ギャップ分析の実
to address identified gaps. The sectors and OSTP should
施を検討すべきである。このセクターと科学技術政策局(OSTP)
coordinate on the conduct of such research.
は、そのような研究の実施にあたり連携をとるべきである。
R3-17 Each critical infrastructure sector group should consider
developing best practices for cybersecurity and, where
R3-17 各重要インフラのセクターグループは、サイバーセキュリティのた
appropriate, guidelines for the procurement of secure IT
めのベストプラクティス、かつ適切な場合には、セキュアな IT 製品
products and services.
及びサービス獲得に関するガイドラインの開発を検討すべきである。
R3-18 Each sector group should consider working together on
sector specificinformation security awareness campaigns.
R3-18 各セクターグループは、セクターごとの情報セキュリティ啓蒙キャ
ンペーン(information security awareness campaigns)に共同で取
R3-19 Each sector should consider establishing mutual
り組むことを検討すべきである。
assistance programs for cybersecurity emergencies. The
Department of Justice and the Federal Trade Commission R3-19 各セクターは、サイバーセキュリティ緊急時における相互援助プロ
should work with the sectors to address any barriers with
グラム(mutual assistance programs)の確立を検討すべきである。
such cooperation.
司法省及び連邦取引委員会(Federal Trade Commission)は、その
ような連携に対する障害を処理するために各セクターと協同で作業を
実施すべきである。
LEVEL 4: NATIONAL PRIORITIES
SECURING THE MECHANISMS OF THE INTERNET
レベル 4:国家的優先課題(NATIONAL PRIORITIES)
R4-1 A public-private partnership should refine and accelerate
インターネットメカニズムの安全確保
the adoption of improved security for Border Gateway
(SECURING THE MECHANSMS OF THE INTERNET)
Protocol, Internet Protocol, Domain Name System, and R4-1 官民パートナーシップは、改善されたボーダーゲートウェイプロトコ
others.
ル(Border Gateway Protocol = BGP)
、インターネットプロトコル
( Internet Protocol = IP )、 ド メ イ ン ネ ー ム シ ス テ ム ( Domain
Name System = DNS)等におけるセキュリティの採用を改善し
(refine)
、かつ推進すべきである。
R4-2 A public-private partnership should perfect and accelerate
22
the adoption of more secure router technology and R4-2 官民パートナーシップは、よりセキュアなルーター技術と、帯域外マ
management, including out-of-band management.
ネジメント(out-of-band management)を含むマネジメントの採用
を徹底し(perfect)
、これを促進すべきである。
R4-3 Internet service providers, beginning with Tier 1
companies or major access providers, should consider R4-3 インターネットサービスプロバイダーは、Tier 1 企業又は主要なアク
セスプロバイダーを始めとして、セキュリティ関連の相互連携を含
adopting a “code of good conduct” governing their
む 、 自 身 の サ イ バ ー セ キ ュ リ テ ィ 慣 行 を 規 定 す る ”code of good
cybersecurity practices, including their security-related
conduct”(
「行動倫理規範」)の採用を検討すべきである。
cooperation with one another.
R4-4 A public-private partnership should identify and address
R4-4 官民パートナーシップは、あるいは既存のプログラムを活用し、また
fundamental technology needs for the Internet, possibly
この活動のための基金を設立するなどして、インターネットにおける
making use of the existing programs and potentially
基本的技術に対するニーズを明確にし、処理すべきである。
establishing a fund for such activities.
LEVEL 4: NATIONAL PRIORITIES
レベル 4:国家的優先課題(NATIONAL PRIORITIES)
DCS/SCADA
DCS/SCADA
R4-5 A public-private partnership should, as a high priority,
R4-5 官民パートナーシップは、最優先事項として、公共施設、製造、及び
develop best practices and new technology to increase
他のネットワークにおいて、ディジタル制御システムと監視制御デー
security of digital control systems and supervisory control
タ収集システム(supervisory control and data acquisition systems
and data acquisition systems (SCADA) in utilities,
= SCADA)のセキュリティを強化するために、ベストプラクティス
manufacturing, and other networks.
及び新技術の開発を検討すべきである。
R4-6 Government and industry, working in partnership, should
determine the most critical DCS/SCADA-related sites and R4-6 政府及び産業界は協同作業を実施し、DCS/SCADA に関連する最重要
develop a prioritized plan for short-term cybersecurity
サイトを決め、それらのサイトにおける短期サイバーセキュリティ改
improvements in those sites. DCS/SCADA users should
善のための優先計画を策定すべきである。DCS/SCADA ユーザー
consider adopting the Department of Energy’s “21 Steps to
は、エネルギー省の”21 Steps to Improve Cybersecurity of SCADA
Improve Cybersecurity of SCADA Networks.”
Networks”(「SCADA ネットワークのサイバーセキュリティ改善の
ための 21 のステップ」)の採用を検討すべきである。
LEVEL 4: NATIONAL PRIORITIES
RESEARCH AND DEVELOPMENT
レベル 4:国家的優先課題(NATIONAL PRIORITIES)
R4-7 The R&D committee of the President’s Critical
研究開発(RESEARCH AND DEVELOPMENT)
Infrastructure Protection Board (PCIPB) should undertake R4-7
大 統 領 重 要 イ ン フ ラ 保 護 委 員 会 ( President’s Critical
a comprehensive review and gap analysis of existing
Infrastructure Protection Board = PCIPB)の R&D 委員会は、
mechanisms for outreach, identification and coordination
学界、産業界、及び政府間における研究開発のアウトリーチ、識
of research and development among academia, industry
23
and government. The committee will complete its work and
present its recommendations on the need to reform,
expand, or establish such mechanisms to the PCIPB in
February 2003.
R4-8 The President’s Critical Infrastructure Protection Board
should coordinate with the Director of OSTP and the
board’s R&D Committee on an annual basis to define a
program of Federal government research and development
including near-term (1-3 years), midterm (3-5 years), and
later (5 years out and longer) IT security research.
R4-9 Federally funded near-term IT security research and
development for FY04 and beyond should include priority
programs identified by OSTP and the R&D Committee.
Existing priorities include among others, intrusion
detection, Internet infrastructure security (including
protocols e.g. BGP, DNS), application security, denial of
service, communications security including SCADA system
encryption and authentication, high assurance systems,
and secure system composition.
R4-10 The private sector should consider including in nearterm research and development priorities, programs for
highly secure and trustworthy operating systems. If such
systems are developed and successfully evaluated, the
Federal government should accelerate procurement of
such systems.
R4-11 Federally and privately funded research and
development should include programs to examine the
security implications of emerging technologies.
R4-8
別、及び調整に関する既存のメカニズムについて、総合レビュレ
ビューとギャップ分析を実施すべきである。当該委員会は、
2003 年 2 月にこの作業を終えるとともに、そのようなメカニズ
ムを改善し、拡大し、又は確立する必要性に関する勧告
(recommendations)を PCIPB に提示する予定である。
大統領重要インフラ保護委員会は、短期(1~3年)、中期(3~5
年)
、及び長期(5 年以上)の IT セキュリティ研究を含む連邦政府の
研究開発プログラムを策定するために、年間ベースで科学技術政策局
( OSTP ) の 局 長 及 び 取 締 役 会 の R&D 委 員 会 ( board’s R&D
Committee)と連携をとるべきである。
R4-9 2004 年度以降における連邦政府資金による短期の IT セキュリティ研
究開発には、科学技術政策局(OSTP)及び R&D 委員会が明確にし
た優先プログラムを含めるべきである。既存の優先事項としては、侵
入検出、インターネットインフラセキュリティ(BGP、DNS 等のプ
ロトコルを含む)、アプリケーションのセキュリティ、サービスの拒
否、SCADA システムの暗号化及び認証を含む通信秘密保全、高度な
保証システム、及びセキュアなシステム構成などが挙げられる。
R4-10
民間セクターは、短期研究開発の優先事項のなかに、安全性の高い
(highly secure)信頼に足るオペレーティングシステムのプログラム
を含めることを検討すべきである。そのようなシステムが開発され評
価に合格した場合には、連邦政府は当該システムの調達を促進すべき
である。
R4-11
連邦政府資金及び民間資金による研究開発には、新たな技術のセキュ
リティに対する影響(implications)を調査するためのプログラムを
含めるべきである。
LEVEL 4: NATIONAL PRIORITIES
レベル 4:国家的優先課題(NATIONAL PRIORITIES)
SECURING EMERGING SYSTEMS
R4-12 Federal departments and agencies must be especially 新たなシステムの安全確保(SECURING EMERGING SYSTEMS)
mindful of security risks when using wireless R4-12 連邦政府機関(Federal departments and agencies)は、ワイヤレス
技術を使用する場合、特にセキュリティリスクに注意しなければなら
technologies. Federal agencies should consider installing
24
ない。連邦政府機関(Federal agencies)は、自身のネットワークに
systems that continuously check for unauthorized
connections to their networks. Agencies should carefully
対する無許可の接続を絶えずチェックするシステムのインストールを
review the recent NIST report on the use of wireless
検討すべきである。政府機関は、ワイヤレス技術の使用に関する最近
technologies
and
take
into
account
NIST
の NIST レポートを注意深くレビューし、NIST の勧告及び所見を考
recommendations and findings. In that regard, agency
慮すべきである。その点において、政府機関のポリシー及び手順は、
policy and procedures should reflect careful consideration
追加のリスク軽減対策に対してなされる慎重な考慮結果を反映したも
of additional risk reduction measures including the use of
のであるべきである。これには、強力な暗号化、双方向認証、シール
strong encryption, bi-directional authentication, shielding
ディング規格、及び他の技術的なセキュリティ上考慮すべき事柄の使
standards and other technical security considerations,
用、コンフィギュレーション管理、侵入検出、事件・事故の処理、並
configuration management, intrusion detection, incident
びにコンピュータセキュリティ教育及び啓蒙プログラムが含まれる。
handling, and computer security education and awareness
programs.
R4-13 Government and industry should actively promote
R4-13 政府及び産業界は、これらワイヤレス技術、特に 802.11b 規格及び
awareness for individuals, enterprises, and government of
関連規格を使用する技術の採用に関連するセキュリティ問題につい
the security issues involved in the adoption of wireless
て、積極的に個人、企業及び政府における認識向上を図るべきであ
technologies, especially those utilizing the 802.11b
る。産業界及び政府は、組み込み式の、トランスペアレントな(ユー
standard and related standards. Industry and government
ザーから見えない)セキュリティを有するワイヤレス LAN に関する
should work closely together to promote the continued
規格及びプロトコルの継続的な開発・改善を促進するために密接な連
development of improved standards and protocols for
携をとるべきである。
wireless LANs that have built-in, transparent security.
LEVEL 4: NATIONAL PRIORITIES
VULNERABILITY REMEDIATION
レベル 4:国家的優先課題(NATIONAL PRIORITIES)
R4-14 A voluntary, industry-led, national effort should consider
脆弱性の改善(VULNERABILITY REMEDIATION)
developing a clearinghouse for promoting more effective R4-14 任意による業界主導の国家的取り組みでは、より効果的なソフト
software patch implementation. Such an effort may
ウェアパッチの実行(implementation)を促進するためのクリアリ
include increased exchange of data about the impact that
ングハウス設置を検討すべきである。このような取り組みには、実施
patches may have on commonly used software systems,
可能な場合には、テストの結果を含む、一般に使用されているソフト
including, where practicable, the results of testing.
ウェアシステムにパッチが及ぼす影響に関するデータを、よりいっそ
う頻繁に交換することが含まれるかもしれない。
R4-15 The software industry should consider promoting more
secure “out-of-the-box” installation and implementation R4-15 ソフトウェア業界は、自身の製品のよりセキュアで”out-of-the-box”
of their products, including increasing: (1) user awareness
(「 独 創 的 」) な イ ン ス ト ー ル ( installation ) 及 び 実 行
of the security features in products; (2) ease-of-use for
(implementation)を推し進めることを検討すべきである。これに
25
security functions; and, (3) where feasible, promotion of
industry guidelines and best practices that support such
efforts.
は(1)製品のセキュリティ特性に関するユーザーの認識向上、(2)
セキュリティ機能の使い易さの向上、(3)適する場合には、そのよう
な取り組みを支援する業界のガイドライン及びベストプラクティスの
推進を含む。
R4-16 A national public-private effort should promulgate best
practices and methodologies that promote integrity, R4-16 官民による国家的な取り組み(national public-private effort)に
よって、ベストプラクティス及びソフトウェアコード開発の完全
security and reliability in software code development,
性、安全性、及び信頼性を高める方法の普及を図るべきである。
including processes and procedures that diminish the
possibilities of erroneous code, malicious code, or trap
これには、開発中に間違ったコード、悪質なコード、及びトラッ
doors that could be introduced during development.
プドアが導入される可能性を減じるプロセス及び手順を含む。
LEVEL 4: NATIONAL PRIORITIES
レベル 4:国家的優先課題(NATIONAL PRIORITIES)
AWARENESS
認識(AWARENESS)
R4-17 The President’s Critical Infrastructure Protection
R4-17 大 統 領 重 要 イ ン フ ラ 保 護 委 員 会 の 意 識 向 上 委 員 会 ( President’s
Board’s Awareness Committee, in cooperation with lead
Critical Infrastructure Protection Board’s Awareness Committee)
agencies, should foster a public- private partnership to
は、主導政府機関と協力して、年次の認識向上トレーニング
develop and disseminate cybersecurity awareness
(awareness training)のためのオーディエンスを特定したツール及
materials, such as audience-specific tools and resources
び資源などサイバーセキュリティに対する認識向上のための教材
for annual awareness training.
(materials)を開発し、かつその普及を図るために官民パートナー
シップを推進すべきである。
R4-18 The StaySafeOnline campaign should be expanded to
include national advertising aimed at several audience R4-18 安全保障キャンペーン(StaySafeOnline campaign)を、複数の
groups. It should also develop materials for schools and
オーディエンスグループを対象とした全国広告を含むよう拡大すべき
companies.
である。このキャンペーンではまた、学校及び企業のための教材の開
発を実施すべきである。
LEVEL 4: NATIONAL PRIORITIES
TRAINING AND EDUCATION
レベル 4:国家的優先課題(NATIONAL PRIORITIES)
R4-19 States should consider creating Cyber Corps
トレーニング及び教育(TRAINING AND EDUCATION)
scholarship-for-service programs at State universities, to
fund the education of undergraduate and graduate R4-19 各州は、州立大学において IT セキュリティを専攻し、米国のために
students specializing in IT security and willing to repay
働くことによって補助金を返済する意思のある学部生及び大学院生の
their grants by working for the States. The existing Cyber
教育に資金を提供するためのサイバー隊サービス奨学金プログラム
Corps scholarship-for-service program should be expanded
(Cyber Corps Scholarship-for-service programs)の創設を検討す
26
to additional universities, with both faculty development
and scholarship funding. The program should also add a
faculty and program development effort for community
colleges.
べきである。既存のサイバー隊サービス奨学金プログラムを、学部の
設立(faculty development)及び奨学資金の提供とともに拡大し、
さらに多くの大学を対象に含めるべきである。本プログラムではさら
に、コミュニティカレッジにおける学部の設立及びプログラム開発の
ために取り組むべきである。
R4-20 The CIO Council and Federal agencies with
cybersecurity training expertise should consider R4-20 CIO 協議会(CIO Council)及び連邦政府機関は、サイバーセキュリ
ティトレーニングの専門家とともに、連邦政府のサイバーセキュリ
establishing a Cyberspace Academy, which would link
ティ Federal cybersecurity)とコンピュータ犯罪科学トレーニング
Federal cybersecurity and computer forensics training
プログラム(computer forensics training programs)をつなぐサイ
programs.
バースペースアカデミー(Cyberspace Academy)の設立を検討すべ
きである。
R4-21 Public and private research labs across the nation
should explore the benefits of establishing programs like
the Cyber Defenders Program at the Department of R4-21 全国にわたる官民の研究所は、エネルギー省サンディア国立研究所
(Department of Energy’s Sandia National Laboratory)における
Energy’s Sandia National Laboratory.
the Cyber Defenders Program のようなプログラム創設の便益を探求
すべきである。
R4-22 The PCIPB’s Committee on Training should explore the
potential benefits of establishing a multi-department R4-22 トレーニングに関する PCIPB 委員会は、革新的、効率的、かつ
corps of IT and cybersecurity specialists taking maximum
柔軟な人的資源プログラムプログラムを最大限に利用した、複数
advantage of innovative, efficient, and flexible human
の政府機関により編成される IT 及びサイバーセキュリティ専門
resource programs.
家 の 部 隊 ( multi-department corps of IT and cybersecurity
specialists)設立について、その潜在的な便益を探求すべきであ
R4-23 State, local and private organizations should consider
る。
developing programs and guidelines for primary and
secondary school students in cyber ethics, safety, and R4-23 州、地方、市の組織は、小学生及び中学生を対象としたサイバー上
の倫理、安全、及びセキュリティに関するプログラム及びガイドライ
security.
ンの開発を検討すべきである。
LEVEL 4: NATIONAL PRIORITIES
CERTIFICATION
レベル 4:国家的優先課題(NATIONAL PRIORITIES)
R4-24 IT security professionals, and IT security associations
認証(CERTIFICATION)
and organizations, should explore approaches to, and the
feasibility of, establishing a rigorous certification
R4-24 IT セキュリティ専門家と、IT セキュリティ団体及び組織は、継続的
program, including a continuing education and retesting
27
program.
な教育と再試験プログラムを含む、厳格な認証プログラム確立への取
LEVEL 4: NATIONAL PRIORITIES
り組み方法及びその実現可能性を探求すべきである。
INFORMATION SHARING
レベル 4:国家的優先課題(NATIONAL PRIORITIES)
R4-25 The Congress and the Executive Branch should work
情報共有(INFORMATION SHARING)
together to remove impediments to information sharing
about cybersecurity and infrastructure vulnerabilities R4-25 連邦議会及び行政府は、官民セクター間でのサイバーセキュリティ
及びインフラの脆弱性に関する情報共有にあたり、その障害の除去に
between the public and private sectors.
対し共同で取り組むべきである。
LEVEL 4: NATIONAL PRIORITIES CYBERCRIME
R4-26 Appropriate Federal agencies should develop a strategy
レベル 4:国家的優先課題 サイバー犯罪
to encourage citizens and corporations to report incidents
(NATIONAL PRIORITIES CYBERCCRIME)
of cybercrime, cyber attacks and unauthorized intrusions.
R4-26 適切な連邦政府機関は、国民及び法人に対しサイバー犯罪、サイ
In addition, this strategy could also explore mechanisms
バー攻撃、及び無許可の侵入に関する事件・事故を報告するよう勧め
which facilitate such reporting.
るための戦略を立てるべきである。さらに、この戦略は、そのような
報告を促す構造を探るものでもあり得る。
R4-27 The FBI and Secret Service should continue to improve
coordination
of
their
field
offices’
cybercrime R4-27 連邦捜査局(FBI)及び財務省検察局(Secret Service)は、自身の
investigations and consider expanding pilot Joint Task
地方局のサイバー犯罪調査における協調を引き続き改善することが望
Forces.
ましく、また試験的な共同対策本部(Joint Task Forces)の拡張を検
R4-28 Improve information sharing and investigative
討すべきである。
coordination within the Federal, State, and local law
enforcement community working on critical infrastructure R4-28 重要インフラとサイバースペースセキュリティの問題に取り組み、
and cyberspace security matters, and with other agencies
また他の政府機関及び民間セクターと連携して活動している連邦、
and the private sector.
州、及び地方の法執行機関内(law enforcement community)におい
て、情報共有と捜査協力とを改善すること。
R4-29 The Federal government should collect survey data
regarding victims of cybercrime (i.e., businesses, R4-29 連邦政府は、問題に対する基本的理解をより深めるため、また今
後の実効性を評価するために、サイバー犯罪の被害者(すなわ
organizations, and individuals) in order to better establish
ち、企業、組織、及び個人)に関する調査データを収集すべきで
a baseline understanding of the problem and measure
future effectiveness.
ある。
R4-30 The Federal government should review the level of
training and funding for Federal, State and local law R4-30 連邦政府は、重要インフラの事件・事故及びサイバー犯罪を処理す
enforcement for forensic and investigative efforts to
るための犯罪科学捜査と調査に取り組む連邦、州、及び地方の警察組
28
織(law enforcement)に対するトレーニングと資金拠出のレベルに
address critical infrastructure incidents and cybercrime.
R4-31 The Federal government should continue to assess the
関して、レビューを実施すべきである。
Federal sentencing guidelines to see if they are adequate
R4-31 連 邦 政 府 は 、 連 邦 量 刑 ガ イ ド ラ イ ン ( Federal sentencing
for cybercrime.
guidelines)がサイバー犯罪に適しているかを見るために、このガイ
ドラインの評価を継続して行うべきである。
LEVEL 4: NATIONAL PRIORITIES
MARKET FORCES
レベル 4:国家的優先課題(NATIONAL PRIORITIES)
R4-32 The President’s Board, working with OMB and in
市場の力(MARKET FORCES)
partnership with the private sector and State
R4-32
大統領委員会は(President’s
Board)、行政管理予算局(OMB)と
governments, should review Federal and States
連携して民間セクター及び州政府と協力し、市場の力がサイバーセ
regulations and laws that impede market forces from
キュリティ強化に貢献するのを妨害している連邦及び州の法規
contributing to enhanced cybersecurity.
(regulations and laws)を見直すべきである。
R4-33 The PCIPB’s Financial and Banking Information
Infrastructure Committee (FBIIC), working with the
R4-33
PCIPB 金融・銀行情報インフラ委員会 (PCIPB’s Financial and
insurance industry, should explore the options for
Banking Information Infrastructure Committee = FBIIC)は、保険
developing an effective risk-transfer mechanism for
業界と協力して、リスクモデリングの改善及び消失したデータの入手
cybersecurity, including improving risk modeling and
可能性を含む、サイバーセキュリティに関する効果的なリスク転嫁の
availability of loss data.
構造構築のための選択肢を探るべきである。
R4-34 Corporations should consider annually disclosing the
identity of their IT security audit firm and the general R4-34 企業は、自身の IT セキュリティ監査会社の名称とその全般的な業務
scope of its work, the corporate and board governance
範囲、IT セキュリティに関する企業及び取締役会の統治システム、
system for IT security, company adherence to IT security
IT セキュリティのベストプラクティス又は規格の厳守、並びに ISAC
best practices or standards, and corporate participation in
及び他の IT セキュリティプログラムへの参加について、年次に公開
ISACs and other IT security programs.
することを検討すべきである。
R4-35 The President’s Critical Infrastructure Protection Board,
working with the Institute of Internal Auditors and R4-35 大統領重要インフラ保護委員会は、内部監査人協会及び企業取締役
Corporate Board Members Association and similar groups
会 委 員 団 体 ( the Institute of Internal Auditors and Corporate
should continue and enhance the effectiveness of
Board Members Association)並びにこれと同様のグループと協力し
programs of awareness and best practices.
て、認識及びベストプラクティス向上プログラムを継続的に実施し、
その実効性を高めるべきである。
LEVEL 4: NATIONAL PRIORITIES
PRIVACY AND CIVIL LIBERTIES
R4-36 The Executive Branch should consult regularly with
レベル 4:国家的優先課題(NATIONAL PRIORITIES)
privacy advocates, industry representatives and other
29
interested organizations to facilitate consideration of
プライバシー及び人権擁護(PRIVACY AND CIVIL LIBERTIES)
privacy and civil liberties concerns in the implementation R4-36 行政府は、国家戦略(National Strategy)の実施に関わるプライバ
of the National Strategy, and to achieve solutions that
シー及び人権擁護に関する事項の検討を促進するため、またネット
protect privacy while enhancing network and host
ワークとホストのセキュリティを強化する一方でプライバシーを保護
security.
する解決策を得るために、人権擁護派、業界の代表者、及び他の関連
R4-37 As part of the annual departmental IT security audits,
組織と定期的に協議すべきである。
agencies should include a review of IT related privacy
R4-37 年次の部門別 IT セキュリティ監査の一環として、政府機関は IT 関
regulation compliance.
連のプライバシー規制への準拠に関するレビューを実施すべきであ
R4-38 The appropriate Federal agencies should conduct
る。
reviews of the IT security issues related to the
implementation of the Gramm, Leach, Bliley Financial
Modernization Act and the Health Insurance Portability R4-38 適切な連邦政府機関は、グラム・リーチ・ブライリー金融近代化法
(Gramm, Leach, Bliley Financial Modernization Act)及び医療保
and Accountability Act.
険の携行性と責任に関する法律(Health Insurance Portability and
Accountability Act)の施行に関連する IT セキュリティ問題のレ
LEVEL 4: NATIONAL PRIORITIES
ビューを実施すべきである。
CYBERSPACE ANALYSIS AND WARNING
R4-39 ISPs, hardware and software vendors, IT securityレベル 4:国家的優先課題(NATIONAL PRIORITIES)
related companies, computer emergency response teams,
サイバースペース分析及び警告
and the ISACs, together, should consider establishing a
(CYBERSPACE
ANALYSIS AND WARNING)
Cyberspace Network Operations Center (Cyberspace
NOC), physical or virtual, to share information and R4-39 ISP、ハードウェア及びソフトウェアのベンダー、IT セキュリティ
関連会社、コンピュータ緊急対応チーム、及び ISAC は、物理的又は
ensure coordination to support the health and reliability
バーチャルに情報を共有するため、かつ米国におけるインターネット
of Internet operations in the United States. Although it
オペレーションの健全性及び信頼性を支援するための協調を確実なも
would not be a government entity and would be managed
のとするために、共同でサイバースペースネットワークオペレーショ
by a private board, the Federal government should explore
ン セ ン タ ー ( Cyberspace Network Operations Center =
the ways in which it could cooperate with the Cyberspace
Cyberspace
NOC)の設立を検討すべきである。
NOC.
R4-40 The Federal government should complete the
installation of the Cyber Warning Information Network
(CWIN) to key government and nongovernment R4-40 連邦政府は、政府と非政府のサイバーセキュリティ関連ネットワー
cybersecurity-related network operation centers, to
クオペレーションセンターを合わせる(key)ため、分析と警告に関
disseminate analysis and warning information and
する情報を広めるため、並びに緊急時に連携して活動するため、サイ
perform crisis coordination.
バー警告情報ネットワーク(Cyber Warning Information Network =
30
CWIN)の導入を完了すべきである。
LEVEL 4: NATIONAL PRIORITIES CONTINUITY OF
OPERATIONS, RECOVERY, AND RECONSTITUTION
R4-41 Industry, in voluntary partnership with the Federal
government, should complete and regularly update
cybersecurity crisis contingency plans, including a
recovery plan for Internet functions.
レベル 4:国家的優先課題(NATIONAL PRIORITIES)
オペレーション、復旧、及び復興の継続
(CONTINUITY OF OPERATIONS, RECOVERY, AND
RECONSTRUCTION)
R4-41
産業界は、自発的に連邦政府と協力して、インターネット機能復旧
R4-42 The Federal government should review emergency
計画を含むサイバーセキュリティ緊急対策計画(cybersecurity crisis
authorities and determine if the existing authorities are
contingency plans)を完成させ、定期的にこれを更新すべきであ
sufficient to support Internet recovery.
る。
R4-42 連邦政府は、緊急時特別機関をレビューし、既存の機関がインター
LEVEL 4: NATIONAL PRIORITIES
ネットの復旧を支援するのに十分なものかどうかを判断すべきであ
NATIONAL SECURITY
る。
R4-43 The United States should establish a vigorous program
to counter cyber-based intelligence collection against U.S.
レベル 4:国家的優先課題(NATIONAL PRIORITIES)
government, industry, and university sites.
国家的セキュリティ(NATIONAL SECURITY)
R4-43
米国は、米国の政府、産業界、及び大学のサイトに対するサイバー
R4-44 The National Security Council should lead a study to
ベースの情報収集に対抗するために、強力なプログラムを確立すべき
improve understanding of incident response coordination
である。
for significant cyber attacks among law enforcement
agencies, national security agencies, and defense agencies. R4-44 国家安全保障会議(National Security Council)は、率先して研究
を実施し、法執行機関(law enforcement agencies)、国家安全保障
局、及び防衛機関(defiance agencies)において、サイバー攻撃に関
R4-45 The United States should continue to improve its ability
する重大な事件・事故への対応の際の協調に対する理解を改善すべき
to quickly attribute the source of threatening attacks or
である。
actions, seeking to develop the capability to suppress
threats before attacks occur.
R4-45 米国は、攻撃を受ける前に脅威を食い止める能力の開発に努め、脅
R4-46 The United States should continue to reserve the right
威となる攻撃又は活動源を迅速に突き止める能力を引き続き改善すべ
to respond in an appropriate manner when its vital
きである。
interests are threatened by nation-states or terrorist
R4-46 米国は、自らの重要な利益がサイバー攻撃に従事する民族国家又は
groups engaged in cyber attacks.
テロリストグループによって脅威にさらされた場合に適切な方法で対
31
応する権利を留保すべきである。
LEVEL 4: NATIONAL PRIORITIES
レベル 4:国家的優先課題(NATIONAL PRIORITIES)
INTERDEPENDENCIES AND PHYSICAL SECURITY
相互依存及び物理的セキュリティ
R4-47 Public-private partnerships should identify cross(INDEPENDENCIES AND PHYSICAL SECURITY)
sectoral interdependencies both cyber and physical. They
should develop plans to reduce related vulnerabilities, in
conjunction with programs proposed in the National R4-47 官民パートナーシップは、セクター間のサイバー的・物理的な相互
Strategy for Homeland Security. The National
依 存 ( cross-setoral independencies ) を明 確 にす べ きで あ る。 ま
Infrastructure Simulation and Analysis Center should
た、国土安全保障戦略(National Strategy for Homeland Security)
support these efforts.
で提案されているプログラムと併せて、関連する脆弱性を低減するた
めの計画を策定すべきである。全米インフラシミュレーション分析セ
ンター(National Infrastructure Simulation and Analysis Center)
R4-48 Owners and operators of information system networks
は、これらの取り組みを支援すべきである。
and network data centers should consider developing
remediation and contingency plans to reduce the R4-48 情報システムネットワーク及びネットワークデータセンターの所有
者及び運用者は、そのようなネットワークを支える施設に対しての大
consequences of large-scale physical damage to facilities
規模に及ぶ物理的な損害を軽減するために、復旧及び障害対策計画の
supporting such networks. Where requested, the Federal
government could help coordinate such efforts and provide
策定を検討すべきである。要求のある場合には、連邦政府はそのよう
technical assistance.
な取り組みの調整を支援し、技術的な援助を提供することが可能であ
る。
R4-49 Owners and operators of information system networks
should, possibly working with the Federal government on R4-49 情報システムネットワークの所有者及び運用者は、あるいは任意で
連邦政府と共同作業を実施し、重要な施設へのアクセスを制限する適
a voluntary basis, develop appropriate procedures for
切な手順を策定すべきである。
limiting access to critical facilities.
LEVEL 5: GLOBAL
R5-1 The Federal government, in coordination with the private
レベル 5:グローバル(GLOBAL)
sector, should work with individual nations and with R5-1 連邦政府は、民間セクターと協調して、サイバー攻撃が発生した際に
nongovernmental and international organizations to foster
こ れ ら 攻 撃 を 検 出 し 防 ぐ た め の 国 内 的 ・ 国 際 的 な Watch-andthe establishment of national and international watch-andwarning networks(監視警告ネットワーク)の確立を促進するため
warning networks to detect and prevent cyber attacks as
に、個々の国家及び非政府の国際組織と協同で作業を実施すべきであ
they emerge. In addition, such networks could help support
る。さらに、そのようなネットワークは、これら攻撃について調査し
efforts to investigate and respond to those attacks.
対応するための取り組みを手助けするものとなり得る。
R5-2 The United States should encourage nations to accede to
32
the Council of Europe (COE) Convention on Cybercrime or R5-2
to ensure that their laws and procedures are at least as
comprehensive.
R5-3 The United States should work together with Canada and
Mexico to identify and implement best practices for R5-3
securing the many shared critical North American
information infrastructures.
米国は、各国に対して、欧州評議会(COE)のサイバー犯罪条約
(Council of Europe (COE) Convention on Cybercrime)へ同意
することを奨励するか又は、自国の法律及び手順が少なくとも包括的
なものであるものであるとの確認を行うこと(ensure)を奨励すべき
である。
米国は、共有している多くの重要な北米情報インフラの安全確保
のためのベストプラクティスを明確にし、かつこれを導入
(implement)するために、カナダ及びメキシコと協同で作業を
実施すべきである。
R5-4 The United States should work through international R5-4 米国は、国際組織を通じて、また産業界と協力して、情報インフラ保
organizations and in partnership with industry to facilitate
護に関する外国の官民セクター間の対話及び協調(dialogue and
dialogue and partnership between foreign public and
partnership)の促進と、国際的な”culture of security’’(「セキュリ
private sectors on information infrastructure protection,
ティ文化」
)の推進に取り組むべきである。
and to promote a global “culture of security.”
R5-5 Each country should be urged to appoint a national R5-5 各 国 は 、 国 家 サ イ バ ー ス ペ ー ス コ ー デ ィ ネ ー タ ー ( national
cyberspace coordinator ) を 選 任 す る よ う と の 勧 告 を 受 け る ( be
cyberspace coordinator.
urged to)べきである。
R5-6 The United States should draw upon the global science
and technology base by pursuing collaborative research R5-6 米国は、サイバーセキュリティの共同研究開発を推進することによっ
て、国際的な科学技術の基盤(base)形成を促す(draw upon)すべ
and development in cybersecurity.
きである。
33
Fly UP