米国政府は、新たな国家サイバーインシデント対応計画(NCIRP)のドラフトを公開し、サイバーインシデント発生時における公的部門および民間部門の組織の役割と責任を示した。
サイバーセキュリティ・インフラセキュリティ庁(CISA)は、このドラフトに対する意見募集を行っており、パブリックコメント期間は2025年1月15日に終了する。
今回のドラフト公表は、2016年版NCIRPの更新を受けたものであり、この更新はホワイトハウスの2023年国家サイバーセキュリティ戦略で求められ、また以前に2021年5月の大統領政策指令41(PPD-41)でも示されていた。
CISAによれば、この更新は、サイバー脅威環境、連邦法および政策の変化、ならびに新たな組織能力に対応するものだという。
同庁は、NCIRPは対応活動の進め方を段階的に示す手順書ではなく、サイバー攻撃を受けた後に連邦・州・地方政府が企業とどのように連携するのかを理解できるようにする、柔軟な枠組みを提供するものだと強調した。
NCIRPが対象とするのは、サイバーインシデント重大度スキーマにおいてレベル2以上の重大度を持つサイバーインシデントである。これは、公衆衛生または安全、国家安全保障、経済安全保障、対外関係、市民的自由、または公共の信頼に影響を及ぼし得るインシデントを意味する。
政府がインシデント対応をどのように支援するか
提案されているドラフトでは、サイバーインシデント対応のライフサイクル全体にわたる4つの取り組みの柱が示されており、それぞれに調整メカニズム、主要な意思決定ポイント、優先活動が含まれている。
これらの取り組みの柱は、検知と対応という2つの主要な対応フェーズをカバーしている。
- 資産対応(Asset Response)。 これは、政府機関が影響を受けた組織に対し、資産の保護、脆弱性の緩和、サイバーインシデントの影響低減のための技術支援をどのように提供できるかに関するものだ。このプロセスには、セクターまたは地域への連鎖的影響の可能性を評価し、これらのリスクを緩和する戦略を策定することも含まれる。CISAがこれらの取り組みの主導機関となる。
- 脅威対応(Threat Response)。 これらの活動には、証拠収集や情報収集など、影響を受けた組織の現場において適切な法執行および国家安全保障上の捜査活動を実施することが含まれる。さらに、この作業には、追加の影響を受けた組織の特定や、脅威の追跡および阻止の機会の特定も含まれる。司法省およびFBIは、脅威対応を策定・実施する主要な法執行機関の一つである。
- 情報対応(Intelligence Response)。 この領域の活動は、状況に応じた脅威認識の構築と、脅威の傾向や事象、ならびに敵対者の脅威能力を低下させる/緩和する方法を含む関連情報の共有に重点を置く。国家情報長官室が、サイバーインシデントへの対応として調整された情報支援を主導する。
- 被害組織対応(Affected Entity Response)。 これは、業務継続の維持、不利な財務影響への対処、法的・規制上の要件の遵守など、サイバーインシデントの影響管理に関するものだ。サイバーインシデントが民間組織に影響を与える場合、連邦政府は通常この取り組みの柱において役割を担わないが、被害組織の対応活動については把握し続ける。連邦政府に対する攻撃の場合、影響を受けた当該機関が、CISAと連携しつつ、自らのサイバーインシデント対応を主導し、必要なリソースを確保する責任を負う。
CISAは次のように記した。「サイバーインシデントに対する包括的な国家的備えには、NCIRPだけでは提供できない、より具体的な課題やステークホルダー・コミュニティに対応するための追加的な計画が必要である。CISAは、これらのニーズを満たすための追加の計画文書を策定し、支援する。CISAは、NCIRPを更新・維持し、演習を実施するという法定責務を果たすため、定期的な改訂サイクルを実施する予定である。」
翻訳元: https://www.infosecurity-magazine.com/news/us-cyber-incident-response-plan/
