●概要

　ホワイトハウスが、5月12日に”Executive order on improving the nation's cybersecurity” と題する大統領令を発表した。（原文へのリンクおよび拙訳は記事最下部）

 

　昨今、高度化するサイバー攻撃、特にインフラやサプライチェーンに対する攻撃や、ランサムウェアを用いた企業などへの攻撃、更には連邦政府の情報システムへの侵入、情報窃取等の攻撃が頻発する中、連邦政府としてのサイバーセキュリティを強化することを目的とした大統領令が発表された。

　奇しくも5月にはコロニアル社がランサムウェアによる攻撃を受け、東海岸の主要な石油パイプラインが操業を停止するというインシデントが発生し、国民生活に直接目に見える形でサイバー攻撃の影響が現れることが明らかとなった。昨年末から今年にかけても、Solarwinds社製品やMicrosoft Exchange Server の脆弱性に付け入った大規模なインシデントが発生し、連邦政府の情報セキュリティ管理体制の綻びが露わとなった。

　本大統領令は、それらの脅威、「継続的かつ益々洗練されつつあるサイバー攻撃キャンペーン」（本文より）に対応するため、連邦政府各機関やそれらに対しサービスを提供する事業者が取るべき具体的行動を示したものである。

　本文は、下記の構成からなっている。

●セクション１　政策

●セクション２　脅威情報共有の促進

●セクション３　連邦政府の管理策の現代化

●セクション４　ソフトウェアのサプライチェーンセキュリティ強化

●セクション５　サイバー空間の安全に関する審査委員会の設立

●セクション６　連邦政府のサイバーセキュリティインシデント及び脆弱性に対するプレイブックの統一化

●セクション７　連邦政府のネットワークのサイバーセキュリティインシデント及び脆弱性の検知の改善

●セクション８　連邦政府のインシデントに対する捜査、事態復旧能力の改善

●セクション９　国家安全保障のシステム

●セクション10　用語の定義

●セクション11　総則

 

【評価】

　昨今のインシデントを踏まえつつ本内容を概観すると、幾つかのポイントを指摘することができる。

　第１は、広範なサプライチェーンの脆弱性及びそれに対する攻撃への対象の必要性である。第２は、活用が進展するクラウドへのセキュリティ対策の強化の必要性である。そして第３は、政府の情報システムのゼロトラスト設計への対応の必要性である。

　これらは上記のインシデントにおいて問題となった事項であるだけでなく、今後のサイバーセキュリティ政策を推進するうえで重要なテーマとなる。

　これらの項目は、当然ながら同様の脅威に直面する我が国の情報セキュリティにおいても重要なテーマとなる。日本は米国と同盟関係にあるだけでなく、密接な経済関係を有し、その観点からも今後の対応が求められていくであろう。今後、米国政府各機関と関連企業の対策実施の動向を注視していく必要がある。

 

 

●関連資料

・　ホワイトハウスHP　大統領令　2021.5.12

　　Executive Order on Improving the Nation's Cybersecurity | The White House

・　内閣サイバーセキュリティセンター　

　　次期サイバーセキュリティ戦略骨子　2021.5.13

　　サイバーセキュリティ戦略本部 (nisc.go.jp)

 

●拙訳（全文）

　本文を翻訳いています。実際の内容については原文を参照して下さい。

　また、万が一用語の不備等ありましたらご指摘いただければ幸いです。

 

憲法およびアメリカ合衆国の法律によって大統領として私に与えられた権限により、ここに次のように命じる：

セクション1.方針

米国は、公的部門、民間部門、そして最終的には米国民のセキュリティとプライバシーを脅かす、持続的で益々洗練された悪意のあるサイバーキャンペーンに直面している。連邦政府は、これらの行動や行為者を特定、抑止、保護、検出、対応するための取り組みを改善する必要がある。連邦政府はまた、重大なサイバーインシデントの際に生起した事象を慎重に検証し、得られた教訓を適用する必要がある。しかし、サイバーセキュリティには政府の行動以上のものが必要である。悪意のあるサイバー攻撃者から私たちの国家を守るには、連邦政府と民間部門とが提携する必要がある。民間部門は、絶えず変化する脅威環境に適応し、その製品が安全に製造および運用されていることを保証し、より安全なサイバースペースを築くために連邦政府と協力する必要がある。結局のところ、私たちがデジタルインフラストラクチャに置く信頼は、そのインフラストラクチャの信頼性と透明性、そしてその信頼が誤りであった場合に我々が負うであろう結果と整合されたものでなければならない。わずかばかりの改善によっては必要なセキュリティを確保することは出来ない。その代わり、連邦政府は、アメリカの生活様式を支える重要な制度を守るため、大胆な改革と多額の投資を行う必要がある。連邦政府は、クラウドベース、オンプレミス、ハイブリッドのいずれにおいても、コンピュータシステムを保護および保護するために、それが持つあらゆる権限と資源を集中させて臨む必要がある。保護とセキュリティの範囲には、データを処理するシステム（情報技術（IT））と、我々の安全を確保する重要な機械を運行するシステム（運用技術（OT））を含める必要がある。サイバーインシデントの防止、検知、評価、および修復は国家および経済の安全に不可欠な最優先事項であることということは、我が政権の方針である。連邦政府は実例をもって模範を示す必要がある。全ての連邦情報システムは、本大統領令において示され、それに基づき発行された、あるいはそれ以上の水準のサイバーセキュリティの基準と要件を満たすものである必要がある。

 

セクション2.脅威情報共有における障壁の除去    

(a）連邦政府は、連邦情報システムにおいて一連の日常的な機能を実行するためにITおよびOTサービス事業者と契約を締約する。クラウドサービス事業者を含むこれらのサービス事業者は、連邦情報システムのサイバー脅威およびインシデント情報に対して独自のアクセス及び洞察を有する。同時に、現在の契約条件または規制により、サイバーセキュリティおよびインフラストラクチャセキュリティエージェンシー（CISA）などのサイバーインシデントの調査または修正を担当する、連邦捜査局（FBI）、およびインテリジェンスコミュニティ（IC）その他の執行部門および機関との脅威またはインシデント情報の共有が制限される場合がある。これらの契約上の障壁を取り除き、脅威、インシデント、およびリスクに関する情報の共有を増やすことは、インシデントの抑止、防止、および対応の取り組みを加速するとともに、連邦政府により収集、処理、保管される情報及び各機関のシステムのより効果的な防御を可能にするために必要なステップである。

（b）本大統領令発令日付から60日以内に、行政管理予算局（OMB）局長は、国防長官、司法長官、国土安全保障長官、および国家情報長官との協議の上、連邦調達規則（FAR）および国防連邦調達規則補足の契約要件とITおよびOTサービス事業者との契約の文言を精査し、FAR評議会およびその他の適切な機関に対しその更新を推奨するものとする。その推奨事項には、提案された契約内容の対象となる請負業者についての説明が含まれる。

(c) 本項のサブセクション(b)に記載されている推奨される契約言語および要件は、下記の通り

　(i)サービス事業者が、政府機関の要件に従って、政府機関に代わって運用されるシステムを含む、サイバーセキュリティイベントの防止、検出、対応、および管理対象となるすべての情報システムに関する情報、情報、および報告に関連するデータ、情報、および報告を収集および保存することを保証するように設計するものとする。

　 (ⅱ)サービス事業者は、契約した機関に関連するサイバーインシデントまたは潜在的なインシデントに関連して、直接的にはOMB局長と、また国防長官、司法長官、国土安全保障長官、国家情報長官との協議のもと、該当するプライバシー法、規制、およびポリシーに従って適切と判断去れる範囲においてデータ、情報、報告を共有する。

　（iii）サービス事業者は、連邦政府のサイバーセキュリティもしくは捜査機関と協力し、連邦政府の情報システムにおけるインシデントまたは潜在的なインシデントへの調査と対応を実施する。これには、必要に応じて彼らが支援するする機関と協力して脅威主体のネットワークを監視する等の技術的機能を実装することを含む。そして、

　（ⅳ）サービス事業者は、サイバー脅威及びインシデント情報を各機関と共有し、可能であれば、インシデント対応と復旧のため関連業界で認められた形式で共有する。

(d）本項のサブセクション(b)に記載された勧告を受領してから90日以内に、FAR理事会は、提案された契約言語および条件を検討するとともに、必要に応じて、FARに対してなされた更新の提案についてのパブリックコメントを公表しなければならない。

(e）本大統領令発令から120日以内に、国土安全保障長官とOMB局長は、連邦政府がサイバー脅威、インシデント、およびリスクに対応するために必要な場合に、サービス事業者の各機関、CISA、およびFBIとのデータ共有を最大限担保するための適切な措置を講じる。

(f）連邦政府の方針は、次の通り

　（i）各機関と契約を結ぼうとする情報通信技術 (ICT) サービス事業者がそのような機関に提供されるソフトウェア製品またはサービス、及びそれらのためのサポートシステムに関連するサイバーインシデントを発見した場合、当該機関に速やかに報告しなければならない

　（ii）ICTサービス事業者は、本項のサブセクション(f)(i)の規定により連邦民間行政機関(FCEB)に報告を行う際はCISAに対しても直接報告する必要があり、CISAはそのような情報を一元的に収集して管理する必要がある。

そして、

　（III）国家安全保障システムに関する報告書は、この命令の第10(h)項で定義されているように、本項のサブセクション(g)(i)(E)の下で決定される適切な機関によって受け取られ、管理されなければならない。

(g）本項のサブセクション（f）に定める方針を実施するために：

 （i）本大統領令発令日付から45日以内に、国土安全保障長官は、国防長官との協議のもと、国家安全保障局（NSA）、司法長官、およびOMBの局長は、以下を特定するFAR評議会の契約言語を推奨するものとする。

　　（A）報告を要するサイバーインシデントの性質

　　（B）効果的なサイバーインシデントへの対応と復旧を促進するために報告が必要とされる、サイバーインシデントに関する情報の種類

　　（C）プライバシーと市民の自由の適切かつ効果的な保護

　　（D）インシデントの重大性に応じた段階的基準に基づく、請負業者がサイバーインシデントを報告しなければならない期間的期限。特に最も重大なサイバーインシデントについては、検知から3日以内に報告されなければならない。

　　（E）国家安全保障システムの報告要件

及び

　　（F）提案された契約の対象となる契約者や関連サービス事業者がどのようなものであるか

 

　（ii）本セクションのサブセクション(g)(i)に記載されている勧告を受領してから90日以内に、FAR理事会は勧告を検討し、FARに対する更新の提案についてのパブリックコメントを公表しなければならない。

　（iii）本大統領令発令日から90日以内に、NSA長官、司法長官、国土安全保障長官、国家情報長官を通じ国防長官は、サイバーインシデントに関する報告が迅速かつ適切に機関間で共有されることを保証するための手続きを共同で確立する。

(h）クラウドサービスのサイバーセキュリティ要件を含む、非機密システムの契約に対する現行のサイバーセキュリティ要件は、大部分が各機関固有の政策および規制を通じて実施されている。各機関の間でサイバーセキュリティ契約に係る共通の要件を標準化することで、ベンダーと連邦政府のコンプライアンスを合理化し、改善することが出来る。

　(i) 本大統領令発令日から60日以内に、CISA長官を通じ国土安全保障長官は、NSA長官を通じ国防長官、OMB局長、および総務局局長との協議のもと、現在法律、政策、または契約の問題として存在する各機関固有のサイバーセキュリティ要件を見直し、FAR理事会に対し適切なサイバーセキュリティ要件のための標準化された契約言語を勧告しなければならない。そのような勧告には、提案された契約における契約者および関連するサービス事業者の範囲についての考慮が含まれる。

 (j) 本項のサブセクション(i)に基づいて確立された勧告を受け取ってから60日以内に、FAR理事会は当該勧告を見直し、FARに対する更新の提案についてのパブリックコメントを公表しなければならない。

(k) 本項のサブセクション(j)に記載されているパブリックコメントの公募期間後にFAR理事会がFARの更新を行った場合、各機関は、該当するFARの更新箇所と重複する要件を削除するために、各機関固有のサイバーセキュリティ要件を更新するものとする。

(l) OMB局長は、本項の下で確立されたすべての勧告についてのコスト分析を年間の予算プロセスに組み込むものとする。

 

セクション3.連邦政府のサイバーセキュリティの近代化

(a) 今日の動的で高度化するサイバー脅威環境に対応するため、連邦政府は、プライバシーと市民の自由の保護と両立しつつ、脅威に対する連邦政府の可視性を高めることも含め、サイバーセキュリティへの取り組みを近代化するための決定的な措置を講じる必要がある。連邦政府はまた、セキュリティのベストプラクティスを採用する必要がある。それは、ゼロトラストアーキテクチャに向けた前進、サービスとしてのソフトウェア(SaaS)・サービスとしてのインフラストラクチャ(IaaS)・並びにサービスとしてのプラットフォーム(PaaS)を含む安全なクラウドサービスへの移行の加速、サイバーセキュリティリスクの特定・管理のための分析を推進することを目的としたサイバーセキュリティに関するデータへのアクセスの集約と合理化、そしてこれらの近代化の目標を達成するための技術と人員の両面への投資である。

(b)本大統領令発令から 60 日以内に、各機関の責任者は、下記の事項を実施する。

　(i)関連するOMB 指針に概略記載されている通り、クラウドテクノロジーの導入と使用に関するリソースの優先順位を定めている既存の各機関計画の更新

　(ii) ゼロトラストアーキテクチャを実施するため、商務省内の国立標準技術研究所(NIST)が標準規格と指針で概定した移行手順を適宜組み込んだ計画を策定し、セキュリティに対して最も直接的な影響を及ぼす活動を特定するとともに、既に完了した手順と実施に向けたスケジュールを含めて記載する。

　(iii)OMB局長と大統領・国家安全保障担当補佐官(APNSA)に対する報告を実施し、本項のサブセクション(b)(i)および(ii)に従い必要となる計画について協議を実施する。

(c) 各機関がクラウド技術を使用し続ける場合において、連邦政府がサイバーインシデントを防止、検知、評価、復旧することを可能にする、協調的かつ計画的な方法で使用するものとする。このアプローチを容易なものとするため、クラウドテクノロジーへの移行は、実行可能な限りゼロトラストアーキテクチャを採用する。CISAは、現在のサイバーセキュリティプログラム、サービス、能力を、ゼロトラストアーキテクチャに適応したクラウドコンピューティング環境において完全に機能するように近代化する。CISA長官を通じて職務を遂行する国土安全保障長官は、クラウドセキュリティに関するセキュリティ評価・認証統一ガイドライン(FedRAMP)に基づき職務を遂行するサービス管理者と協議し、クラウドサービス事業者(CSP)を管理するセキュリティの原則を策定し、その成果を各機関のセキュリティ管理策の近代化に取り入れなければならない。この作業を容易にするために、下記を実施する。

　(i)本大統領令発令日から90日以内に、OMB局長は、CISA長官を通じて職務を遂行する国土安全保障長官およびFedRAMPに基づき職務を遂行する総務局局長との協議のもと、連邦クラウドセキュリティ戦略を策定し、それに基づき各機関に指針を提供する。このような指針は、クラウドベースのサービスを使用する連邦文民行政機関に対するリスクが広く理解され、効果的に対処され、連邦文民行政機関がゼロトラストアーキテクチャの構築に近づくことを保証することを目指す。

　(ii) 本大統領令発令日から90日以内に、CISA長官を通じて職務を遂行する国土安全保障長官は、OMB局長及びFedRAMPを通じて職務を遂行する総務局局長との協議のもと、連邦文民行政機関を対象として、クラウド移行への推奨アプローチと各機関のデータ収集および報告に際してのデータ保護の準拠となるクラウドセキュリティ技術参照アーキテクチャ文書を策定し、発行する。

　(iii) 本大統領令発令日から60日以内に、CISA長官を通じて職務を遂行する国土安全保障長官は、連邦文民行政機関を対象としてクラウドサービスガバナンスの枠組みを策定、発行する。その枠組みは、インシデントの重大度に基づいて、機関が利用できるサービスと保護の範囲を明らかにする。その枠組みはまた、それらのサービスおよび保護に関連するデータおよびその処理活動を識別する。

　(iv) 本大統領令発令日から90日以内に、連邦文民行政機関の長は、CISA長官を通じて職務を遂行する国土安全保障長官との協議のもと、それぞれの機関の非機密データの種類と重要性を評価し、CISA長官およびOMB局長を通じて国土安全保障長官に報告を実施しなければならない。評価においては、各機関が最も機密性が高くかつ最大の脅威にさらされていると考えられる非機密データの識別と、それらのデータに対する適切な処理およびストレージの管理が最優先されるべきである。

(d) 本大統領令発令日付から180日以内に、政府機関は、連邦記録法及びその他関連する法律に適合する最大限の範囲内で、多要素認証の採用並びに保管状態及び移管中のデータの暗号化を実施するものとする。そのために、下記の事項を実施する。

　(i)連邦文民行政機関の長は、CISA長官、OMB局長、および国家安全保障担当大統領補佐官を通じて国土安全保障長官に、多要素認証の採用並びに保管状態及び移管中のデータの暗号化に係る各機関の進捗状況に関する報告を提供しなければならない。該当する各機関は、本大統領令発令後、機関全体での多要素認証への適応とデータ暗号化が完全に終了するまで、60日ごとに上記の報告を実施する。

　(ii) CISAは、機関ごとの実施状況において明らかとなったギャップに基づき、保管中および移管中のデータに対して多要素認証および暗号化を実装するための連邦文民行政機関による技術、手続きの採用を最大化するために適切な措置を講じる。

　(iii) 本大統領令発令日から180日以内に多要素認証への適応とデータ暗号化を完了することができない連邦文民行政機関の長は、上記期間の終了時に、CISA長官、OMB局長、および国家安全保障担当大統領補佐官を通じて国土安全保障長官に理由書を書面で提出しなければならない。

(e) 本大統領令発令日から90日以内に、CISA長官を通じ国土安全保障長官は、司法長官、FBI長官、及びFedRAMPの長を通じて職務を遂行する総務局局長との協議のもと、各機関間および機関とクラウドサービス事業者間の効果的な情報共有を確保するために、連邦文民行政機関のクラウド技術に関連するサイバーセキュリティおよびインシデント対応活動に関する協力の枠組みを確立しなければならない。

(f)本大統領令発令日から60日以内に、総務局局長は、OMB局長および他の機関の長との協議のもと、総務局局長が適切と判断する場合に、下記の事項を通じてFedRAMPの近代化を開始するものとする。

　(i)  各機関が、FedRAMPに定められた要件を管理するため効果的なトレーニングと必要な装備を施されていることを確約するためのトレーニングプログラムの策定、並びにオンデマンドのビデオプログラムを含む教材へのアクセスの提供

　(ii) 認証の各段階におけるメッセージの自動化と標準化を通じたクラウドサービス事業者との意思疎通の改善。これらの通信には、ステータスの更新、ベンダーの現在の段階を完了するための要件、次のステップ、質問の窓口などが含まれる。

　(iii) 評価、承認、継続的な監視、コンプライアンスを含むFedRAMP のライフサイクル全体にわたる自動化の組み込み

　(iv) オンラインアクセスや事前入力フォームを含む、ベンダーに完成が求められるドキュメント作成のデジタル化および合理化

　(v) 関連するコンプライアンスの枠組みの特定及びFedRAMPの認証プロセスの要件上の位置づけの明確化を通じ、必要に応じてそれらのフレームワークが承認プロセスの関連部分を代替し得ることを担保

 

4.ソフトウェアサプライチェーンセキュリティの強化

(a) 連邦政府が使用するソフトウェアのセキュリティは、連邦政府が重要な機能を果たすための能力を保持する上で極めて重要である。商用ソフトウェアの開発は、多くの場合、透明性、攻撃に抵抗するソフトウェアの能力への十分な注目、悪意のあるアクターによる改ざんを防ぐための適切なコントロールを欠いている。製品が意図したとおりに安全に機能するように、より厳格で予測可能なメカニズムを実装する必要がある。"重要なソフトウェア" 、すなわち信頼のために重要な機能(システム特権の昇格や要求、ネットワークやコンピューティングリソースへの直接アクセスなど) を実行するソフトウェアのセキュリティと整合性は、特に懸念事項である。したがって、連邦政府は、重要なソフトウェアへの対応を優先して、ソフトウェアサプライチェーンのセキュリティと整合性を迅速に改善するための行動を取る必要がある。

(b) 本大統領令発令日から30日以内に、商務長官はNIST長官を通じ、連邦政府、民間、学界、その他の適切な関係者からの意見を求め、本項サブセクション(e)の標準、手順、または基準を遵守するため、基準、ツール、ベストプラクティスのうち既存のものを特定するか新たに策定する。ガイドラインには、ソフトウェアのセキュリティを評価する基準、及び開発者と供給者自身のセキュリティに関する慣行を評価する基準を含め、かつセキュリティを担保する慣行との適合性を実証するための革新的なツールまたは方法を明らかにする。

(c) 本大統領令発令日から180日以内に、NIST長官は、本項のサブセクション(b)に記載された協議に基づくとともに既存の文書において実行可能な場合、ソフトウェアサプライチェーンのセキュリティを強化し、本項の要件を満たすための予備的なガイドラインを公表する。

(d) 本大統領令発令日から360日以内に、NIST長官は、本項のサブセクション(c)に記載されているガイドラインの定期的な見直しと更新の手順を含む追加のガイドラインを公表しなければならない。

(e) 本項のサブセクション(c)に基づく予備ガイドラインの公表後90日以内に、商務長官はNIST長官を通じ、NIST長官が適切と判断する機関の長との協議のもと、ソフトウェアサプライチェーンのセキュリティを強化する慣行を明らかにする指針を発行しなければならない。この指針には、本項のサブセクション (c) および (i) に従い公開されるガイドラインが組み込まれる場合がある。この指針には下記を含む。

　(i) 安全なソフトウェア開発環境

　　(A) 安全に分離されるよう管理された開発環境の使用

　　(B) 信頼関係の監査

　　(C) 企業全体での多要素認証、リスクベースの認証と条件付きアクセスへの適応

　　(D) ソフトウェアの開発、構築、および編集に使用される開発環境の一部である製品への依存関係の文書化、最小限化

　　(E) データの暗号化

　　(F) 操作とアラートの監視、意図して引き起こされるであろう実際のサイバーインシデントへの対応

　(ii) 本項のサブセクション(e)(i)に記載されているプロセスに適合していることを示す成果物の作成、購入者から要求された場合に提供

　(iii) 信頼できるソースコードのサプライチェーンを維持し、コードの整合性を確保するために、自動化されたツールまたは同等のプロセスの採用

　(iv) 日常的にもしくは少なくとも製品、バージョン、または更新プログラムのリリース前に、既知の脆弱性や潜在的な脆弱性をチェック、修正する自動化されたツール、または同等のプロセスの採用

　(v) 購入者から要請された場合、本セクションのサブセクション(e)(iii)および(iv)に記載されているツールおよびプロセスの成果物を提供し、評価および軽減されたリスクの概要を含むこれらの行動の完了に関する概要情報の公開

　(vi) 正確かつ最新のデータ、ソフトウェアコードまたはコンポーネントの由来(すなわち起源)、及びソフトウェア開発プロセスに存在する内部および第三者のソフトウェアコンポーネント、ツール、サービスの管理の維持、並びにこれらの管理に関する監査と監督が反復されていること

　(vii) 購入者に対する製品ごとのソフトウェア部品表 (SBOM) の直接の提供、またはウェブサイト上での公開

　(viii) 報告および開示プロセスを含む脆弱性開示プログラムへの参加

　(ix) 安全なソフトウェア開発慣行への適合の証明

　(x) 実行可能な範囲で、製品の全ての部分で使用されるオープンソースソフトウェアの完全性と真正性の保証、証明

(f) 本大統領令発令日から60日以内に、商務長官は、通信情報担当大統領補佐官および国家電気通信情報局長と連携し、SBOMの最低限の要素について公表しなければならない。

(g) 本大統領令発令日から45日以内に、商務長官はNIST長官を通じ、NSA長官、CISA長官、OMB局長、国家情報長官を通じ国土安全保障長官との協議のもと、本項のサブセクション(e)に基づいて発行された指針内に「重要なソフトウェア」という用語の定義を明記しなければならない。その定義は、そのソフトウェアに求められる権限もしくはアクセス権、他のソフトウェアとの統合および依存関係、ネットワーキングおよびコンピューティングリソースへの直接のアクセス、信頼を得るために不可欠な性能、および攻撃された場合の潜在的な影響の度合いを反映するものとする。

(h) 本項のサブセクション(g)で求められる定義が公表されてから30日以内に、国土安全保障長官はCISA長官を通じ、NIST長官を通じ商務長官との協議のもと、本項のサブセクション(g)の重要なソフトウェアの定義に沿う形で、使用もしくは取得の過程にあるソフトウェアおよびソフトウェア製品のカテゴリのリストを特定し、各機関に提供する必要がある。

(i) 本大統領令発令日から60日以内に、商務長官は、NIST長官を通じ、CISA長官およびOMB局長を通じ国土安全保障長官との協議のもと、本項のサブセクション(g)に定義されている重要なソフトウェアのセキュリティ対策を概説する指針を公表しなければならない。

(j) 本項のサブセクション(i)に記載の指針が公表されてから30日以内に、OMB局長は、OMB電子政府局長を通じ、各機関にその指針に従うよう要求するための適切な措置を講じなければならない。

(k) 本項のサブセクション(e)に記載の指針が公表されてから30日以内に、OMB局長は、OMB電子政府局長を通じ、本大統領令発令日付以降に調達されたソフトウェアに関して、各機関がガイドラインを遵守することを要求する適切な措置を講じなければならない。

(l) 機関は、本項のサブセクション(k)に基づく要件に準拠するための期限の延期を要求することができる。そのような要求は、OMB局長が案件ごとに検討し、要件に準拠するための計画を伴う場合にのみ認められる。OMB局長は許可された全ての延長を特定し、四半期ごとにAPNSAに対し報告書を提出しなければならない。

(m) 各機関は、本項のサブセクション(k)に基づく要件に関して、免除を要求することができる。免除は、OMB局長がAPNSAとの協議のもと、案件ごと検討し、例外的な状況および限られた期間においてのみ、かつ潜在的なリスクを軽減するための付随する計画がある場合にのみ付与されるものとする。

(n) 国土安全保障長官は、本大統領令発令日から1年以内に、国防長官、司法長官、OMB局長、およびOMB電子政府局長との協議のもと、FAR理事会の契約言語に対し、各機関がソフトウェアを購入し得る全ての供給者に対し本項のサブセクション(g) (k)に基づく全ての要件を遵守しかつそのことを証明することを要求するよう勧告する。

(o) 本項のサブセクション(n)に記載の勧告を受けた後、FAR理事会は当該勧告を検討し、適用法令に従いかつ適切な範囲内において、FARを改正しなければならない。

(p) 本項のサブセクション(o)に記載されているFAR改正のための最終的な規則の発行に引き続き、各機関は、適用法令に従い、改正されたFARの要件を満たさないソフトウェア製品を概定数量未確定契約、連邦供給スケジュール、連邦政府全体の買収契約、包括的購入契約、および複数者との個別発注契約から削除するものとする。

(q) OMB局長は、OMB電子政府局長を通じ、本大統領令発令以前に開発および調達されたソフトウェア(レガシーソフトウェア)を採用している機関に対し、本項のサブセクション(k)に基づく要件に準拠するか、またはそれらの要件を遵守するよう是正するための行動の概要をしめす計画の概要を要求する。さらに、本項のサブセクション(l)または(m)に従って延長または放棄が認められる場合を除き、レガシーソフトウェアを含むソフトウェア契約の更新を意図する各機関に対し、本項のサブセクション(k)に基づく要件を遵守することを要求する。

 (r) 本大統領令発令日から60日以内に、商務長官はNIST長官を通じ、NSA長官を通じ国防長官との協議のもと、手動または自動化されたテスト(コードレビューツール、静的および動的分析、ソフトウェア構成ツール、侵入テストなど)における推奨タイプなどを含む、ベンダーのソフトウェアソースコードのテストのための最低限の基準を勧告するガイドラインを公表しなければならない。

 (s) 商務長官は、NIST長官を通じ、NIST長官が適切と判断する他の機関の代表者と連携し、既存の消費者製品ラベリングプログラムが周知するパイロットプログラムを開始し、公衆に対しIoTデバイスおよびソフトウェア開発慣行のセキュリティ機能に関する教育を行うとともに、製造業者および開発者に対しこれらのプログラムへの参加を奨励する方法を検討しなければならない。

(t) 本大統領令発令日から270日以内に、商務長官は、NIST長官を通じ、連邦取引委員会(FTC)委員長およびNIST長官が適切と判断する他の機関の代表者と協力して、消費者表示プログラムのIoTサイバーセキュリティ基準を明らかにし、そのような消費者表示プログラムが政府の適用法令と一貫した政府のプログラムと連携して動作するかまたはその内容に倣ったものであるかどうかを検討するものとする。この基準は、製品が受けたであろうテスト及び評価を幅広く反映し、製造業者が自社製品のセキュリティについて消費者に周知するために使用する既存の表示スキームを使用するかまたは互換性があるものとする。NIST長官は、関連する情報、表示、およびインセンティブプログラムをすべて調査し、ベスト・プラクティスを採用する。この調査は、消費者の利便性と、産業界の参画を最大限にするための対策の決定に焦点を当てる。 

(u) 本大統領令発令日から270日以内に、NIST長官を経て、FTCの議長および他機関の代表者と連携して、NIST長官が適切と判断し、消費者ソフトウェアラベリングプログラムの安全なソフトウェア開発慣行または基準を特定し、そのような消費者ソフトウェアラベリングプログラムが既存の同様の法律と連携して動作するか、または適用される既存の法律の後でモデル化することができるかどうかを検討する。基準は、ベースラインレベルの安全な慣行を反映するものとし、実行可能であれば、製品が受けた可能性のあるテストと評価のレベルをますます包括的に反映する必要がある。NIST長官は、関連するすべての情報、ラベル作成、およびインセンティブプログラムを調査し、ベストプラクティスを採用し、推奨ラベル、または実用的であれば階層化されたソフトウェアセキュリティ評価システムを特定、変更、または開発するものとする。このレビューは、消費者の使いやすさと、参加を最大化するためにどのような措置を講じることができるかを決定することに焦点を当てる。

(v) これらのパイロットプログラムは、OMBサーキュラーA-119およびNIST特別刊行2000-02(連邦機関の適合性評価に関する考慮事項)と一致する方法で実施される。

(w) 本大統領令発令日から1年以内に、NIST長官は、パイロットプログラムの見直しを行い、民間および関係機関との協議のもとプログラムの有効性を評価し、今後どのような改善が可能かを判断し、要約報告書をAPNSAに提出する。

(x) 本大統領令発令日から1年以内に、商務長官は、商務長官が適切と判断する他機関の長との協議のもと、APNSAを通じて、本項の進捗状況を確認し、ソフトウェアサプライチェーンを確保するために必要な追加の措置を概説する報告書を通じて、大統領に提供しなければならない。                                                                                  

セクション5.サイバー安全審査委員会の設置

(a) 国土安全保障長官は、司法長官との協議のもと、2002年の国土安全保障法第871条(合衆国法典6編 451条に従い、サイバー安全審査委員会(理事会)を設置しなければならない。

(b) 理事会は、重要なサイバーインシデント(2016年7月26日の大統領政策指令第41(米国サイバーインシデント調整)( PPD-41))に関して、連邦文民行政機関情報システムまたは非連邦システムに影響を及ぼす、脅威活動、脆弱性、緩和活動、および各機関の対応に関して検討および評価する。

(c) 国土安全保障長官は、PPD-41の第V(B)(2)の規定に従い重大なサイバーインシデントの発生によりサイバー統一調整グループ(UCG)が設置された場合、または国家安全保障担当大統領補佐官を通じた大統領の指示によりもしくは国土安全保障長官が必要と判断した場合、理事会を招集するものとする。

(d) 理事会は当初、2020年12月にUCGの設立を促したサイバーインシデントに関する検討を行う。理事会は設置後後90日以内に、本項サブセクション(i)に従い、サイバーセキュリティとインシデント対応の慣行を是正するための勧告を国土安全保障長官に提出する。

(e) 理事会の会員資格には、連邦行政機関の職員および関連する民間団体の代表者が含まれる。理事会は、国防総省、司法省、CISA、NSA、FBIの代表者、ならびに国土安全保障長官の決定に従い選出された適切な民間のサイバーセキュリティ企業またはソフトウェア供給者の代表者で構成される。OMBの代表者は、検討中のインシデントが連邦文民行政機関の情報システムに関わる場合、国土安全保障長官の決定に基づき理事会活動に参加しなければならない。国土安全保障長官は、検討中のインシデントの性質に鑑み、必要に応じて他の参加者を招待することができる。

(f) 国土安全保障長官は、理事会の構成員の中から、官民1人ずつを含むように理事会議長と副議長を隔年で指名しなければならない。

(g) 理事会は、理事会が共有を受けた法執行、サイバーセキュリティに関する活動、ビジネスおよび他の分野に係る機密情報を、適用法令に従い適切に保全しなければならない。

(h) 国土安全保障長官は、該当するインシデントについての理事会による検討が完了したならば、サイバーセキュリティおよびインシデント対応の慣行および政策を是正するための全ての助言、情報、または勧告について、国家安全保障担当大統領補佐官を通じて大統領に提出しなければならない。

(i) 本項のサブセクション(d)に記載された最初の検討が完了してから30日以内に、国土安全保障長官は、当該検討に基づく勧告を、国家安全保障担当大統領補佐官を通じて大統領理事会に提出しなければならない。これらの勧告は下記を記載するものとする。

　(i)理事会の構成または権限の必要性との乖離及びその他の選択肢

　(ii) 理事会に期待される使命、活動範囲、責任

　(iii) 民間代表者の会員資格の基準

　(iv) 行政部門と大統領府との連携の在り方を含む理事会のガバナンス体制

　(v) 評価対象となるサイバーインシデントの種類に関するしきい値及び基準

　(vi) 関連法令及び政策に適合する範囲内において、理事会に提供されるべき情報資料

　(vii) 理事会のインシデントへの検討のため、理事会に提供された情報の保護、並びにインシデントの影響を受ける個人および団体の協力を確保するための方策

　(viii)取締役会の運営に必要な管理および予算上の考慮事項

(j) 国土安全保障長官は、司法長官及び国家安全保障担当大統領補佐官との協議のもと、本項のサブセクション(i)に従い、国家安全保障担当大統領補佐官を通じ大統領に提出された勧告について検討し、必要に応じて実施するための措置を講じなければならない。(k) 国土安全保障長官は、国土安全保障長官が適切と判断しかつ大統領の特段の指示がない場合、2002年施行の国土安全保障法第871条の規定に従い、において理事会設置の期限を2年毎に延長するものとする。

 

セクション6.サイバーセキュリティに係る脆弱性及びインシデント対応に関する連邦政府のプレイブックの標準化

(a) システムに影響を及ぼす脆弱性及びインシデントの特定、復旧、および現状回復のために用いられる対応手順は、現在、各機関によって異なることから、脆弱性やインシデントをより包括的かつ機関横断的に分析するための指導力発揮を妨げている。

対応プロセスを標準化し、より調整された一元的なインシデントの分類と各機関の進捗状況の追跡を可能にすることで、インシデント対応を成功裏に導くことができる。

(b) 本大統領令発令から120日以内 に、国土安全保障長官はCISA長官を通じ、OMB局長、連邦情報会議、連邦情報安全保証理事会との協議のもと、NSA長官、司法長官、国家情報長官を通じ国防長官と協力して、サイバーセキュリティに係る脆弱性及びインシデント対応に用いられる運用手順(プレイブック)の標準的な一例を策定しなければならない。プレイブックは、下記の項目を満たすものとする。

　(i)全ての適切なNIST規格の組み込み

　(ii) 連邦文民行政機関による利用

　(iii) 各種のインシデント対応に利用可能な柔軟性を保持しつつ、インシデント対応のすべての段階の進捗と完了の明確化、

(c) OMB局長は、各機関に向けプレイブックの利用に関する指針を発行するものとする。

(d) サイバーセキュリティに係る脆弱性を有しかつ上記のプレイブックと異なるインシデント対応手順を有する機関は、OMBおよび国家安全保障担当大統領補佐官との協議のもと、これらの手順がプレイブックが提示するかもしくはそれ以上の基準を満たすことを証明した後にのみ、その手順を使用することができる。

(e) CISA長官は、NSA長官との協議のもと、プレイブックの見直し及び更新を毎年行うとともに、これらのうち指針の更新に取り入れられる取り組みついての情報をOMB局長に提供する。

(f) インシデント対応活動の包括性を確保し、サイバー空間における不正な主体が連邦文民行政機関の情報システムに対しアクセスできないという信頼性を確立するため、プレイブックでは、関連法令と整合しつつ、CISA局長が連邦文民行政機関のインシデント対応および復旧結果を当該機関がインシデント対応を完了した時点で検討、確証するという要件が提示される。CISA長官は、必要に応じて、別の機関または第三者のインシデント対応チームの活用を推奨することができる。

(g) サイバーインシデントと当該機関のサイバーセキュリティの現状に関する共通理解を確保するために、プレイブックは、主要な用語を定義し、法的定義との一貫性のもとにその用語を使用し、実行可能な範囲でプレイブックを使用する機関間での共有語彙を提供する。 

 

セクション7.連邦政府ネットワークにおけるサイバーセキュリティの脆弱性とインシデントの検知の改善

(a) 連邦政府は、ネットワーク上のサイバーセキュリティの脆弱性およびインシデントを最大限早期に発見するために、あらゆる適切な資源と権限を運用する。

その方策には、連邦政府のサイバーセキュリティのための取り組みを強化するため、サイバーセキュリティに係る脆弱性や各機関のネットワークに対する脅威に対する可視性と検知の強化が含まれる。

(b)連邦文民行政機関は、エンドポイント検知及び対応(ＥＤＲ)イニシアチブを導入し、連邦政府のインフラ内でのサイバーセキュリティインシデントの積極的な検知、サイバーハンティング、封じ込めと復旧、インシデント対応を支援する。

(c) 本大統領令発令日から30日以内に、国土安全保障長官はCISA長官を通じ、連邦文民行政機関情報システムに関するホストレベルの可視性、攻撃主体の特定、およびインシデント対応を支援するために中核的役割を果たすEDRイニシアチブを実施するためのオプションに関する勧告をOMB局長に提供しなければならない。

(d) 本項のサブセクション(c)に記載の勧告を受けてから90日以内に、OMB局長は、国土安全保障長官との協議のもと、連邦文民行政機関が連邦政府規模のEDRアプローチを採用する際の要件を発行しなければならない。これらの要件は、国務長官がCISA長官を通じ、サイバーハンティング、検知、およびインシデントへの対応活動に従事する能力を支援しなければならない。

(e) OMB局長は、国土安全保障長官および各機関の長と協力して、各機関が本項のサブセクション(d)に従って発行された要件を遵守するために充分な資源を確保できるよう保証する。

(f) 連邦文民行政の情報システムを防衛するため、国土安全保障長官はCISA長官を通じ、脅威および脆弱性分析並びにアセスメントおよび脅威ハンティングの目的のため、各機関が保有する必要なデータにアクセスできる必要がある。本大統領令発令日付から75日以内に、各機関は、MOAで定義されているオブジェクトレベルのデータが利用可能でありかつ適用法令に従いCISAがアクセスできるように、継続的な診断および緩和プログラムのためのCISAとの契約覚書(MOA)を起案または更新しなければならない。

(g) 本大統領令発令から45日以内に、国家安全保障システムの責任者(国家の管理者)としてのNSA長官は、国防長官、国家情報長官、国家安全保障システム委員会(CNSS)に対して、EDRのアプローチに関する勧告やそのような措置が各機関ごと運営されるべきかあるいはNSA長官が集中的に管理して提供されるべきかに関する勧告を含み、関連法令で許可される範囲内において国家安全保障システムに影響を及ぼすサイバーインシデントの検知を改善するためにとられるべき措置、適切に実施しなければならない。

(h) 本大統領令発令日から90日以内に、国防長官、国家情報長官、およびCNSSは、本項のサブセクション(g)に基づく勧告について検討し、必要に応じ、適用法令の範囲内において、それらの勧告を有効なものとする政策を策定しなければならない。

(i) 本大統領令発令日から90日以内に、CISA長官は、OMB局長と国家安全保障担当大統領補佐官に対し、公法第1705条に基づいて権限を付与された当局が機関からの事前の許可なしに連邦文民行政機関のネットワークに対する脅威ハンティング活動を行う方法について記述する報告書を提出しなければならない。この報告書はまた、任務遂行にとって重要なシステムが中断されないようにするための手順、脆弱性を有する政府の情報システムの所有者にその旨を通知する手順、および連邦文民行政機関情報システムの試験に使用できる技術の範囲についても勧告を行う。CISA長官は、公法116-283の1705条に基づく行動に関して、国家安全保障担当大統領補佐官とOMB局長に対し四半期報告書毎に報告書を提供しなければならない。

(j) 国防総省情報ネットワーク(DODIN)と連邦文民行政機関情報システムの間の提携を保証するため、 国防長官と国土安全保障長官は、OMB局長との協議のもと下記を実施する。

　(i)本大統領令発令日から60日以内に、国防総省と国土安全保障省は、国防総省インシデント対応規則もしくは国土安全保障省緊急対応規則と、それぞれの情報ネットワークに適用される拘束力のある運用上の指令を速やかに共有するための手続きを確立する。　

　(ii) 機密情報の共有に関する規制と一致する形で、他の部門が発行する命令または指令に含まれる指針を採用すべきか否かを評価する。

　(iii) 本項のサブセクション(j)(i)に基づいて定める手続きに基づいて発行された命令または指令の通知を受けてから7日以内に、他の機関から発行された指針を適用するかどうかの決定、その根拠、適用までの業務予定を含む、本項のサブセクション(j)(ii)に記載された評価について、国家安全保障担当大統領補佐官及びOMB内電子政府局局長に提出しなければならない。

 

セクション8.連邦政府の捜査、復旧能力の向上

(a) 連邦情報システムのネットワークおよびシステムログからの情報(ホストするオンプレミスシステムとCSPなどの第三者を通じた接続の双方)は、操作と修復の目的のため不可欠である。

各機関と空らが契約するITサービス事業者は、このようなデータを収集、維持するとともに、連邦文民行政機関情報システム上のサイバーインシデントに対処するために必要な場合、要求に基づきCISA長官を通じて国土安全保障長官に、またFBIに、適用法令に従いつつそれらを提供することが不可欠である。

(b) 本大統領令発令日から14日以内に、国土安全保障長官は、司法長官およびOMB内の電子政府局局長との協議のもと、機関のシステムおよびネットワーク内でのイベントログの記録及び他の関連データの保存に係る要件について、OMB局長に勧告を提供しなければならない。このような推奨事項には、保存するログの種類、ログおよびその他の関連データの保存期間、各機関が推奨されるログ及びセキュリティの要件を満たすための期間、およびログを保護する方法が含まれる。ログは、一度収集されたならば完全性を担保するために暗号化により保護され、かつ定期的にその全体がハッシュにより検証されるものとする。データは、全ての個人情報に関する適用法令および規制に合致するようなやり方で保管される。このような勧告は、本大統領令第２セクションに従い規則を公布する際、FAR理事会によっても検討される。

(c) OMB局長は、本項のサブセクション(b)に記載する勧告を受けてから90日以内に、商務長官および国土安全保障長官との協議のもと、各機関の最高レベルのセキュリティオペレーションセンターの一元的なアクセスと可視性を確保する、ログ取得、ログ保存、およびログ管理に係る要件を確立するための各機関の方針を策定しなければならない。

(d) OMB局長は、各機関が本項のサブセクション(c)で明らかにされた要件を遵守するために十分な資源を有していることを担保するために、各機関の長と協力しなければならない。

(e) 潜在的なものを含むサイバーリスクやインシデントに対処するために、本項のサブセクション(b)に基づいて発行される勧告には、各機関が要請に基づき、CISA長官を通じ国土安全保障長官及びFBI長官に適用法令に沿ってログを提供することを保証するための要件が含まれる。これらの要件は、各機関が必要に応じかつ適切な範囲内において、サイバーリスクやインシデントに関するログ情報を他の連邦政府機関と共有できるように設計されなければならない。

 

セクション９.国家安全保障システム

(a) 本大統領令発令日から60日以内に、国防長官は国家管理者（NSA長官）を通じ、国家情報長官及びCNSSと連携し、国家安全保障担当大統領補佐官との協議のもと、本大統領令に規定されるサイバーセキュリティ要件と同等またはそれ以上の水準の国家安全保障システム要件を採用し、それに満たない場合は採用を見合わせる。それらの要件は、ミッション固有のニーズによって必要とされる状況では例外を伴う可能性がある。それらの要件は、国家安全保障覚書(NSM)に定める。NSMが発行されるまで、本大統領令に従い定めるプログラム、基準、または要件は、国家安全保障システムに関しては適用されない。

(b) 本大統領令のいかなる部分も、1990年7月5日の国家安全保障指令第42(国家安全保障情報システムの国家政策)(NSD-42)に規定されている国家安全保障システムに関する国家管理者（NSA長官）の権限を変更するものではない。連邦文民行政機関のネットワークは、を通じて職務を遂行する国土安全保障長官がCISA長官を通じその権限の範囲内に置き続ける。

 

セクション10.用語の定義

本大統領令の目的のために、下記のように用語を定義する。

(a)　用語「機関」は、44 U.S.C. 3502で定義された意味を有する。

(b) 「信頼関係の監査」とは、資産の保護に関する安全な相互作用、振る舞い、および結果についての基準によって管理される、2つ以上のシステム要素間の合意された関係を意味する。

(c) 「サイバーインシデント」という用語は、44 U.S.C 3552(b)(2)で定義された意味を有する。

(d) 「連邦民間執行機関」または「連邦文民行政機関」という用語には、国防総省を除くすべての行政機関と情報機関が含まれる。

(e) 「連邦民間行政機関情報システム」または「FCEB情報システム」という用語は、連邦民間執行部機関が運営する情報システムを意味するが、国家安全保障システムは含まれない。

(f) 「連邦情報システム」とは、連邦文民行政機関情報システムや国家安全保障システムを含む、各機関または各機関の請負業者または当該機関を代行する他の組織によって使用または運営される情報システムを意味する。

(g) 「インテリジェンスコミュニティ」または「IC」という用語は、55 U.S.C 3003(4)において定義された意味を有する。

(h) 「国家安全保障システム」とは、44U.S.C 3552(b)(6)、3553(e)(2)、および3553(e)(3)で定義された情報システムを意味する。

(i) 「ログ」という用語は、組織のシステムおよびネットワーク内で発生したイベントの記録を意味する。ログはログエントリで構成され、各エントリには、システムまたはネットワーク内で発生した特定のイベントに関連する情報が含まれる。

(j) 「ソフトウェア部品表」または「SBOM」とは、ソフトウェアの構築に使用される各種コンポーネントの詳細およびサプライチェーン関係を含む正式レコードを意味する。ソフトウェア開発者やベンダーは、多くの場合、既存のオープンソースおよび商用ソフトウェア構成品を組み立てて製品を製造する。SBOM は、製品内のこれらの構成品を列挙する。これは、食品包装上の成分のリストに対比される。SBOM は、ソフトウェアを開発または製造する者、ソフトウェアを選択または購入する者、およびソフトウェアを操作する者にとって有用である。開発者は、多くの場合、製品を作成するために、利用可能なオープンソースおよび第三者のソフトウェア構成品を使用する。SBOMは、開発者がそれら構成品が最新の状態であることを確認するとともに新しい脆弱性に迅速に対応できることを可能にする。購入者は SBOM を利用して、製品のリスク評価に利用可能な脆弱性分析やライセンス分析を実行できる。ソフトウェアを操作する者は、SBOMを利用して、新たに発見された脆弱性による潜在的なリスクに晒されているかどうかを迅速かつ簡易に判断できる。広く使用されている機械可読式のSBOMは、自動化とツール統合により、より大きな恩恵をもたらす。SBOM は、他のアプリケーションやシステムから簡易に照会可能なリポジトリに一括して格納すれば、より大きな価値を持つようになる。ソフトウェアのサプライチェーンを理解し、SBOM を取得し、それを利用して既知の脆弱性を分析することは、リスク管理においてきわめて重要である。

(k) 「ゼロトラストアーキテクチャ」とは、脅威が従来型のネットワーク境界の内外に存在するという認識に基づく、セキュリティモデル、システム設計についての一連の原則、および協調的なサイバーセキュリティとシステム管理戦略を意味する。ゼロトラストセキュリティモデルは、いかなる要素、ノード、またはサービスに対する暗黙の信頼も排除し、その代わりに、アクセス権付与とその他のシステムの応答を決定するための、複数のソースからのリアルタイム情報を介した運用ピクチャの継続的な認証を要求する。

基本的に、ゼロトラストアーキテクチャでは、ユーザーは必要な全てのアクセスを認可されるが、それはユーザーの職務を遂行するために必要な最低限の範囲内においてである。デバイスが侵害された場合でも、ゼロトラストでは被害を最小限に食い止めることができる。ゼロトラストアーキテクチャのセキュリティモデルでは、侵入は避けられないか、既に発生している可能性が高いと仮定するため、常にアクセスを必要最低限に制限し、異常なアクティビティや悪意のあるアクティビティを見つけ出そうとする。ゼロトラストアーキテクチャは、リスクベースの仔細に至るアクセス制御、刻々と変化する脅威環境下における常続的なデータ保護に集中するためのインフラストラクチャのあらゆる側面における協調的なシステムセキュリティの自動化など、包括的なセキュリティ監視を内包する。このデータ中心のセキュリティモデルは、サーバー群から構成されるリソースへのアクセスを適切に許可または拒否するために、誰が・何に・いつ・どこで・どのようにアクセスすべきかという問題が非常に重要となる全てのアクセス決定の場面において、最小特権アクセスの概念の適用を可能にする。　　

 

セクション11.　一般規定

(a) 本大統領令を構成する規定は、国家サイバーディレクター(NCD)の任命および大統領府内の関連部門の設立に関し、公法116-283の第1752条に従い、NCDがその義務と責任を完全に遂行できるように修正することができる。

(b) 本大統領令のいかなる部分も、下記を損なうか悪影響を及ぼすものではない。 

　(i)　省庁、各機関又はその長たる者に法律によって付与された権限

　(ii)　予算、行政、または立法案に関する行政管理予算局長の機能

(c) 本大統領令は、適用法令に従い、かつ配分可能な予算の範囲内において実施するものとする。

(d) 本大統領令は、米国およびその省、機関、団体、その構成員及び従業員、その他の人物に敵対するいかなる党派によっても、法律もしくは法令等により実行可能な、実体上のもしくは手続き上の権利や利益を生み出すことは意図せず、またそうすることはない。

(e) 本大統領令のいかなる記述も、刑事上のまたは国家安全保障に関する捜査、逮捕、捜索、押収、妨害活動に介入または指示する権限、あるいは刑事上または国家安全保障上の捜査の過程で得た情報を保全することを各機関に要求する法規則を改変する権限を政府機関に付与するものではない。

 

（以上）