【要点抽出】EO14028 「国家のサイバーセキュリティの向上に関する大統領令」
EO14028 「国家のサイバーセキュリティの向上に関する大統領令」を読みます。
これは2021年5月12日に発令されたものであり、本note執筆時点で2年以上が経過しています。
ただ、私が米国のサイバーセキュリティの動向を断片的にしか理解できておらず、一連の流れを知りたくなったので、まずはその大元であるEO14028を読んでみようというのが今回のnoteです。
EO14028とは?
EOはExecutive Orderであり、大統領令を意味します。
14028個目の、という意味でよさそうですが、大統領令はジョージ・ワシントンの頃(1789年)から出ていたのに対し、連番が割り振られ始めたのはエイブラハム・リンカーンの奴隷解放令(1862年)からなので、正確には何個目か分かりません。(参考)
バイデン政権の44個目の大統領令が14028であり「Improving the Nation's Cybersecurity」というタイトルです。
20年12月のSolarWind事件、21年3月のExchangeメールサーバへの攻撃、21年5月のコロニアル・パイプライン事件などを背景に「米国のサイバーセキュリティをもっと本気で高めなアカンぞ」と出されたようです。
構成は?
第1~11条で構成されています。本noteでは第8条までを読みます。
各セクション名の日本語訳は以下を参考にさせて頂きました。
http://maruyama-mitsuhiko.cocolog-nifty.com/security/2021/05/post-8976e9.html
第1条 方針
第2条 脅威情報を共有するための障害を取り除く
第3条 連邦政府のサイバーセキュリティの近代化
第4条 ソフトウェア・サプライチェーン・セキュリティの強化
第5条 サイバー安全審査会の設置
第6条 サイバーセキュリティの脆弱性とインシデントに対応するための連邦政府のプレイブックの標準化
第7条 連邦政府のネットワークにおけるサイバーセキュリティの脆弱性およびインシデントの検出の改善
第8条 連邦政府の調査能力および修復能力の向上
第9条 国家安全保障システム
第10条 用語の定義
第11条 一般規定
前置き
今回のnoteをまとめるにあたり、以下を参考にさせて頂きました。
特に1つ目のリンクは、EO14028が出て以降、各政府機関のタスクの進行状況が月次で書かれていて非常に参考になります。
本noteではEO14028の読み解きに加え、その中で命じられている各タスクに対するアウトプットを📜で補記しています。
(この宿題に対して、結局こんなガイドラインが出ました。的な紐づけ)
https://japanese.pillsburylaw.com/sitefiles/35950/legal wire 112.pdf
用語集
私は米政府機関の組織体系がサッパリ分からないので、今回頻出する機関名を調べながら読みました。以下に参考として書いておきます。
(自分なりのゆるい解釈なので、間違ってたらすみません)
FCEB
Federal Civilian Executive Branchの略で「連邦政府文民機関」といった訳です。内務省、商務省、労務省、農務省などが含まれます。
逆にFCEBじゃない省庁は?といえば国防総省(DoD)等が挙げられるようです。
EO14028では、FCEBのシステムのセキュリティレベルを底上げしようとしているようです。
OMB
Office of Management and Budgetの略で「行政管理予算局」といった訳です。大統領令を実現する際にまとまったコストがかかりそうなものがあれば、OMBがそれを取りまとめて予算化する役割のようです。
EO14028では、ゼロトラスト対応やEDR導入にあたってOMBがタスクを受け取り、各省庁に覚書(メモランダム)を発行して実施要件の提示とコストの見積りを求めているようです。
CISA
Cybersecurity and Infrastructure Security Agencyの略で「サイバーセキュリティ・社会基盤安全保障庁」といった訳です。国土安全保障省(DHS)の傘下に位置します。
普段から各政府機関に対してペネトレーションテストを仕掛けていたり、EO14028でも各省庁のインシデント対応に抜け漏れがないか最終チェックさせられたり、サイバーセキュリティの技術的なプロが揃っている印象です。
NIST
こちらでも過去に触れた通り、米国商務省の傘下にある米国国立標準技術研究所です。NIST SP800シリーズ等で見覚えがあると思います。
第1条 方針
サイバーセキュリティ強化するぞ!という宣言に近いので割愛しますが、政府と民間の連携が必要不可欠であることと、段階的な改善ではダメで大胆な変更と多額の投資が必須だ!と言い切っていることが印象的でした。
第2条 脅威情報を共有するための障害を取り除く
政府が契約しているIT・OTサービスプロバイダとCISA、FBI等の機関の間で、サイバーの脅威やインシデントに関する情報をもっと共有させることが目的のセクションです。
その障害になる契約条件を見直すことを求めています。
(以下の箇条書きは大統領令の中でタスク化されているものです。括弧内の組織名は、そのタスクが割り当てられた組織です)
サービスプロバイダーとの契約に関する連邦調達規則(FAR)を見直し、FAR評議会などに勧告(OMB)
上記を受けて、FAR更新案の公表(FAR審議会)
例えば、サービスプロバイダとの契約は以下を求められる内容にすべしとあります。セキュリティイベントに関するデータを政府の要求に沿って収集し、保存させる
インシデントや脅威に関する情報を必要な機関に共有させる
ネットワーク監視などの機能を実装させる
また、情報通信技術(ICT)サービスプロバイダは、契約先の省庁に提供しているソフトウェアやサービスに関するセキュリティインシデントを見つけたらすぐにFCEBやCISAに報告しなければならず、最も深刻なインシデントのは検知から3日以内に報告を求めるとあります。
第3条 連邦政府のサイバーセキュリティの近代化
洗練されたサイバー攻撃に対応するためにゼロトラストアーキテクチャの採用、クラウド活用、セキュリティデータの一元化と分析を求めています。
それらを実現するために以下を命じています。
クラウド活用を優先するために、既存の各機関の計画を更新(各省庁)
ゼロトラストアーキテクチャを実現するための計画策定(各省庁)
FECB向け 連邦クラウドセキュリティ戦略の策定とガイダンスの提供(OMB)
📜OMB M-22-09(2022/1/26)(リンク)(要点抽出)
📜Zero Trust Maturity Model(2021/9/9)(リンク)(要点抽出)FECB向け クラウド移行や各機関のデータ保護のアプローチを示すクラウドセキュリティの技術リファレンスアーキテクチャの発行(CISA) 📜Cloud Security Technical Reference Architecture (2022/6)(リンク)
📜SECURE CLOUD BUSINESS APPLICATIONS (SCUBA) Technical Reference Architecture(2023/6)(リンク)
📜SECURE CLOUD BUSINESS APPLICATIONS(SCUBA) EXTENSIBLE VISIBILITY REFERENCE FRAMEWORK(2023/6)(リンク)FECB向け クラウドサービスガバナンスフレームワークの発行(CISA)
各機関の未分類データの種類と機密性の評価報告(各FECB)
FECBのクラウド技術に関するサイバーセキュリティやインシデント対応を各政府機関とCSP間で協業するためのフレームワークの確立(CISA)
あわせて、各省庁に多要素認証の採用と、保存時および通信時のデータの暗号化を命じています。
この他、米国政府機関におけるクラウドセキュリティの認証制度である「FedRAMP」(日本版でいえばISMAP)の最新化も命じています。
第4条 ソフトウェア・サプライチェーン・セキュリティの強化
この大統領令の中で最もボリュームがあり、何かと話題になっているのがこの第4条です。
商用ソフトウェアは透明性や攻撃に対する考慮が十分でないことが多く、そうした脆弱性をついて攻撃を受けることから「より厳密で予測可能なメカニズムの導入」が必要だと強調しています。
特に、特権を使って動くような「重要なソフトウェア」のセキュリティと完全性に注目しています。
これを実現するために以下を命じています。
ソフトウェアサプライチェーンのセキュリティ強化に関する予備ガイドラインの発行(NIST)
📜NIST Special Publication NIST SP 800-161r1 Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations(2022/5/5)(リンク)ソフトウェアサプライチェーンのセキュリティ強化に関するガイダンスの発行(NIST)
なお、このガイダンスには以下を含むことを求めています。安全なソフトウェア開発環境(独立したビルド環境、多要素認証の採用、開発環境に依存する製品の依存関係の文書化、データの暗号化、インシデント監視と対応)の実現と、その適合性の証明
コードの完全性を確保する仕組み
脆弱性のチェックと是正の仕組み、およびその情報の公開
開発プロセスに存在するソフトウェアの出どころの管理・最新化・監査
SBOMの提供
脆弱性開示プログラムへの参加
利用するOSSの完全性と出どころの証明
📜Software Supply Chain Security Guidance Under Executive Order (EO) 14028 Section 4e (2022/2/4)(リンク)
📜NIST SP 800-218 Secure Software Development Framework (SSDF) Version 1.1(2022/2/3)(リンク)(要点抽出)
更にこのSSDFの補足として以下3つのドキュメントが出ています。
📜SECUREING THE SOFTWARE SUPPLY CHAIN RECOMMENDED PRACTICES GUIDE FOR DEVELOPERS(2022/8)(リンク)(要点抽出)
📜SECUREING THE SOFTWARE SUPPLY CHAIN RECOMMENDED PRACTICES GUIDE FOR SUPPLIERS(2022/9)(リンク)
📜SECUREING THE SOFTWARE SUPPLY CHAIN RECOMMENDED PRACTICES GUIDE FOR CUSTOMERS(2022/10)(リンク)
SBOMの最小要素の公表(NTIA)
📜The Minimum Elements For a Software Bill of Materials (SBOM) (2021/7/12)(リンク)
また、上記の続きとして以下ドキュメントが出ています。
📜Types of Software Bill of Material (SBOM) Documents(2023/4/12)(リンク)
📜Minimum Requirements for Vulnerability Exploitability eXchange (VEX) (2023/4/12)(リンク)「重要なソフトウェア」の定義(NIST)
📜Definition of Critical Software Under Executive Order (EO) 14028(2021/6/25)(リンク)各省庁向け 使用中の重要なソフトウェアの一覧の提供(CISA)
「重要なソフトウェア」のセキュリティ対策ガイダンスの提供(NIST)
📜Security Measures for “EO-Critical Software” Use Under Executive Order (EO)14028 (2021/7/9)(リンク)各省庁が上記ガイダンスを遵守することを要求(OMB)
📜OMB M-21-30(2021/8/10)(リンク)
📜OMB M-22-18(2022/9/14)(リンク)
📜OMB M-23-16(2023/6/9)(リンク)
📜Implementation of Software Supply Chain Security Guidance Under Executive Order (EO) 14028 Section 4(k) (2022/3/7)(リンク)米政府の調達規則であるFARの改正(DHSとFAR審議会)
#FAR改正後は、規則を満たさないソフトウェアを廃棄することを要求ベンダー向け ソフトウェアのソースコードのテストに関する最小基準を推奨するガイドラインの提供(NIST)
📜Guidelines on Minimum Standards for Developer Verification of Software (2021/7/9)(リンク)消費者向け ラベリングプログラムのためのIoTサイバーセキュリティ基準の特定(NIST)
セキュアなソフトウェア開発の慣行または消費者向けソフトウェアのラベリングプログラムの基準の特定(NIST)
📜Recommended Criteria for Cybersecurity Labeling of Consumer Software(2022/2/4)(リンク)
📜Recommended Criteria for Cybersecurity Labeling for Consumer Internet of Things (IoT) Products(2022/2/4)(リンク)
第5条 サイバー安全審査会の設置
FCEBや非連邦システムに深刻な影響を与えるセキュリティインシデントの分析や改善勧告を行うサイバー安全審査会の設置を命じています。
この審査会からは、設置移行、以下のレポートが出ています。
📜Review of the December 2021 Log4j Event(2022/7/11)(リンク)
📜REVIEW OF THE ATTACKS ASSOCIATED WITH LAPSUS$ AND RELATED THREAT GROUPS(2023/7/24)(リンク)
第6条 サイバーセキュリティの脆弱性とインシデントに対応するための連邦政府のプレイブックの標準化
従来、各省庁でバラバラだった脆弱性やセキュリティインシデントの対応プロセスを標準化することを命じています。
FCEBのシステムにおける脆弱性やインシデント対応の計画・実施に向けた標準的なプレイブックの策定(CISA)
📜Federal Government Cybersecurity Incident & Vulnerability Response Playbooks(2021/11)(リンク)各省庁向け プレイブックの使用に関するガイダンスの発行(OMB)
→ドキュメントは見つけられず。ここは実施期限が切られておらず、よく分かりません。
また、インシデント対応が終わった後に、本当に攻撃者によるバックドアがないか?をCISAが検証することも求めています。
第7条 連邦政府のネットワークにおけるサイバーセキュリティの脆弱性およびインシデントの検出の改善
連邦政府のNW上の脆弱性やインシデントを早期に発見するために、EDRの導入を命じています。EDR導入後、能動的なサイバーハンティングや、インシデント発生後の封じ込めと修復に役立てることを求めるものです。
EDRを採用するための要件の策定(OMB)
📜OMB M-22-01(2021/10/8)(リンク)CISAが各政府機関のオブジェクトレベルのデータにアクセスし、継続的な診断や脅威検出の活動権を与えるための覚書の締結(各省庁)
CISAが上記権限の行使についての報告書(CISA)
#システムの安定稼働を阻害しないための方策、脆弱性の通知方法、テスト時に利用する技術の範囲も含む
第8条 連邦政府の調査能力および修復能力の向上
政府機関や契約しているサービスプロバイダーに対して、セキュリティインシデント対応に必要な場合は各種ログをCISAやFBIに提出することを命じています。
ログの保持要件の勧告をOMBに提出(CISA)
#必要なログの種類、保持期間、保護方法を含む各省庁向け ログの保持要件を策定(OMB)
📜OMB M-21-31(2021/8/27)(リンク)(要点抽出)
また、上記の支援ガイダンスとして以下のドキュメントが出ています。
📜Guidance for Implementing M-21-31:Improving the Federal Government’s Investigative and Remediation Capabilities(2023/2/27)(リンク)(要点抽出)
その他参考
EO14028のまとめはここまでです。
この大統領令を幹に様々なガイドラインやガイダンスが作られた全体像が分かったので、次回以降はそれぞれのドキュメントを読み進めます。
また、本noteでは割愛していますが、上記すべてのタスクについて誰が・いつまでに(60日以内や90日以内)やれと明記しているところに「言いっぱなし」ではない力強さを感じました。
(EOは一般的にこうなのかも?でも日本が見習うべきところですね)
最後に、EO14028との直接的な関係は読み取れなかったものの、2021年以降に出たドキュメントを列挙しておきます。
以下は国家セキュリティ戦略関連です。
CPG Cross-Sector Cybersecurity Performance Goals(2023/3)(リンク)
#CISAによる、戦略内で参照される最新のサイバーセキュリティパフォーマンス目標 (CPG) の発行NATIONAL CYBERSECURITY STRATEGY IMPLEMENTATION PLAN(2023/7/13)(リンク)
また、上記を受けてNIST CSF2.0改訂の動きにつながっています。
NIST CSWP 29 (Initial Public Draft) The NIST Cybersecurity Framework 2.0(2023/8/8)(リンク)(要点抽出)
以下はクラウド関連です。
NIST IR 8320 Hardware-Enabled Security: Enabling a Layered Approach to Platform Security for Cloud and Edge Computing Use Cases(2022/5)(リンク)
NISTIR 8320B Hardware-Enabled Security: Policy-Based Governance in Trusted Container Platforms(2022/4)(リンク)
Draft NISTIR 8320C Hardware Enabled Security: Machine Identity Management and Protection(2022/4草案)(リンク)
NIST SPECIAL PUBLICATION 1800-19 Trusted Cloud: Security Practice Guide for VMware Hybrid Cloud Infrastructure as a Service (IaaS) Environments(2022/4)(リンク)
以下はIoT関連です。
NIST Special Publication 800-213 IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements(2021/11)(リンク)
NIST Special Publication 800-213A IoT Device Cybersecurity Guidance for the Federal Government: IoT Device Cybersecurity Requirement Catalog(2021/11)(リンク)
NIST Internal Report NIST IR 8425 Profile of the IoT Core Baseline for Consumer IoT Products(2022/9/20)(リンク)
以下はSBOM関連です。
SBOM Myths vs. Facts(2021/11)(リンク)
以下はゼロトラスト関連です。
NIST SP 1800-35 Implementing a Zero Trust Architecture(2023/7/19)(リンク)
DoD Zero Trust Starategy(2022/11/22)(リンク)
以下は国家セキュリティ システム (NSS) の要件関連です。
Memorandum on Improving the Cybersecurity of National Security, Department of Defense, and Intelligence Community Systems(2022/1/19)(リンク)
Department of Defense (DoD) Cybersecurity Reference Architecture(2023/1/30)(リンク)
以下はDevSecOps関連です。
SOFTWARE SUPPLY CHAIN AND DEVOPS SECURITY PRACTICES Implementing a Risk-Based Approach to DevSecOps(2022/11/19)(リンク)
以下は分類不明ですが気になったものです。
OMBメモランダム
M-23-03 Fiscal Year 2023 Guidance on Federal Information Security and Privacy Management Requirements(2022/12/2)(リンク)Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-byDesign and -Default (2023/4/13)(リンク)
#CISAなどによる、ソフトウェアメーカーと顧客向けにセキュリティ・バイ・デザインおよびセキュリティ・バイ・デフォルト原則の実装に関する国際ガイダンス
***はじめての方へ***
これは何のnoteだ?と思われた方はこちらをご覧ください。
これまでにまとめたガイドライン類の一覧はこちら