ページ

2021年1月20日水曜日

重要な悪意のあるサイバー対応活動に関して国家緊急事態に対処するための追加措置を講じることに関する大統領命令

 国際緊急経済権限法(50 USC 1701以降)(IEEPA)、国家緊急法(50 USC 1601以降を含む、憲法およびアメリカ合衆国の法律によって大統領として私に与えられた権限によって)(NEA)、およびタイトル3のセクション301、合衆国法典:

私、ドナルドJ.トランプ、アメリカ合衆国大統領は、2015年4月1日の大統領令13694(プロパティのブロック)で宣言された重大な悪意のあるサイバー対応活動に関連する国家緊急事態に対処するために追加の措置を講じる必要があることを発見しました外国の悪意のあるサイバーアクターによる米国のIaaS(Infrastructure as a Service)製品の使用に対処するために、修正された、重大な悪意のあるサイバー対応活動に従事する特定の人物の割合)。IaaS製品は、サーバーの保守および運用コストに責任を負うことなく、ソフトウェアを実行し、レンタルまたはリース用に提供されたサーバーにデータを保存する機能を提供します。外国の悪意のあるサイバー攻撃者は、知的財産や機密データの盗難を通じて米国経済に害を及ぼし、悪意のあるサイバー対応活動のために米国の重要なインフラストラクチャを標的にすることで国家安全保障を脅かすことを目指しています。外国の攻撃者は、悪意のあるサイバー対応活動を実行するさまざまなタスクに米国のIaaS製品を使用します。そのため、これらの外国の攻撃者が代替インフラストラクチャに移行して証拠を破壊する前に、米国当局が法的手続きを通じて情報を追跡および取得することは非常に困難です。彼らの以前の活動; 米国のIaaS製品の外国の再販業者は、外国の攻撃者がこれらの製品にアクセスし、検出を回避することを容易にします。この命令は、外国取引に関して記録保持義務を課す権限を提供します。これらの脅威に対処し、外国の悪意のあるサイバーアクターによる米国のIaaS製品の使用を阻止し、外国の悪意のあるサイバーアクターが関与するトランザクションの調査を支援するために、米国は、米国のIaaS製品を提供するプロバイダーが個人の身元を確認することを保証する必要があります。これらの製品を提供するためのIaaSアカウント(「アカウント」)を取得し、それらのトランザクションの記録を維持します。適切な状況では、悪意のあるサイバー対応活動からさらに保護するために、米国は特定の外国人アクターの米国IaaS製品へのアクセスも制限する必要があります。さらに、米国は、自発的な情報共有を増やすことを含め、米国のIaaSプロバイダー間のより強力な協力を奨励して、外国の悪意のあるサイバー攻撃者の行動を阻止する取り組みを強化する必要があります。

したがって、私はここに注文します:

セクション1。身元の確認。  この注文の日付から180日以内に、商務長官(事務局長)は、アカウントを取得する外国人の身元を確認することを米国IaaSプロバイダーに要求する通知およびコメント規則を提案するものとします。これらの規制は、少なくとも次のことを行うものとします。

(a)アカウントの開設または既存のアカウントの維持に関連して、外国人の身元を確認するために米国のIaaSプロバイダーが採用しなければならない最低基準を規定します。

(i)これらの製品またはサービスの借主または副借主として行動する外国人の身元を確認するために必要な文書および手順の種類。

(ii)アカウントを取得する外国人に関して、米国のIaaSプロバイダーが安全に保持しなければならない記録(以下を確立する情報を含む)。

(A)そのような外国人の身元、および名前、国民識別番号、住所などの個人の情報。

(B)支払いの手段とソース(関連する金融機関、およびクレジットカード番号、口座番号、顧客ID、トランザクションID、仮想通貨ウォレットまたはウォレットアドレスIDなどの他のIDを含む)。

(C)外国人の身元を確認するために使用される電子メールアドレスおよび電話連絡先情報。そして

(D)アクセスまたは管理に使用されるインターネットプロトコルアドレス、およびそのようなアカウントのそのような外国人の所有権の継続的な検証に関連する、そのような各アクセスまたは管理アクションの日時。そして

(iii)このサブセクションに記載されている情報へのすべての第三者アクセスを制限する方法。ただし、そのようなアクセスがこの命令と一致し、適用法の下で許可されている場合を除きます。

(b)米国のIaaSプロバイダーによって維持されているアカウントの種類、アカウントの開設方法、およびそのような製品を使用して外国の悪意のあるサイバー攻撃者を特定し、過度の押し付けを回避する目的を達成するために利用可能な識別情報の種類を考慮に入れます。そのようなプロバイダーの負担; そして

(c)国防長官が国防長官、司法長官、国土安全保障長官、および国家情報長官と協議して定めた基準および手順に従って、米国を免除することを長官に許可する。このセクションに従って発行された規制の要件からのIaaSプロバイダー、または特定のタイプのアカウントまたは借主。このような標準と手順には、プロバイダー、アカウント、または借主がIaaS製品の悪用を阻止するためのセキュリティのベストプラクティスに準拠しているという長官の認定が含まれる場合があります。

Sec。2.特定の外国の管轄区域または外国人のための特別措置(a)この命令の日付から180日以内に、長官は、米国IaaSプロバイダーが、長官が協議した場合、このセクションのサブセクション(d)に記載されている特別措置のいずれかをとることを要求する通知およびコメント規則を提案するものとします。国務長官、財務長官、国防長官、司法長官、国土安全保障長官、国家情報長官、そして長官が適切とみなす場合は、他の執行部門および機関(機関)の長と)、検索:

(i)外国の管轄区域には、悪意のあるサイバー対応活動に使用される米国IaaS製品を提供するかなりの数の外国人、またはで使用するために米国IaaS製品を直接入手するかなりの数の外国人がいると結論付ける合理的な根拠が存在するこのセクションのサブセクション(b)に従った、悪意のあるサイバー対応アクティビティ。または

(ii)外国人が、悪意のあるサイバー対応活動に使用される米国IaaS製品を提供する、または悪意のあるサイバー対応活動に使用する米国IaaS製品を直接入手する行動パターンを確立したと結論付ける合理的な根拠が存在すること。

(b)悪意のあるサイバー対応活動における米国IaaS製品の使用について、このセクションのサブセクション(a)に基づく調査結果を作成する際、長官は、長官が関連すると判断した情報、および以下に関連する情報を検討するものとします。要因:

(i)以下を含む特定の外国の管轄に関連する要因:

(A)外国の悪意のあるサイバーアクターが、その外国の管轄区域で米国のIaaS製品を提供する人物から米国のIaaS製品を入手したという証拠。これには、そのようなアクターがリセラーアカウントを通じてそのようなIaaS製品を入手したかどうかも含まれます。

(B)その外国の管轄区域が悪意のあるサイバー対応活動の発生源である程度。そして

(C)米国がその外国の管轄区域との刑事共助条約を締結しているかどうか、およびそのような外国の管轄区域で発生またはルーティングされた米国のIaaS製品に関連する活動に関する情報を入手した米国の法執行官および規制当局の経験。そして

(ii)以下を含む特定の外国人に関連する要因:

(A)外国人が米国のIaaS製品を使用して、悪意のあるサイバー対応活動を実施、促進、または促進する程度。

(B)外国人によって提供された米国のIaaS製品が、悪意のあるサイバー対応活動を促進または促進するために使用される範囲。

(C)外国人によって提供された米国のIaaS製品が、管轄区域内で合法的なビジネス目的で使用される範囲。そして

(D)米国のIaaS製品を提供する外国人が関与する取引に関して、このセクションのサブセクション(d)に基づく特別措置の賦課に満たない行動が、悪意のあるサイバー対応活動から保護するのに十分な程度。

(c)このセクションの下で取るべき特別な措置を選択する際に、長官は以下を考慮しなければならない。

(i)特別な措置を課すことにより、米国のIaaSプロバイダーにとって、コンプライアンスに関連する過度のコストや負担など、重大な競争上の不利益が生じるかどうか。

(ii)特別措置の賦課または特別措置のタイミングが、特定の外国の管轄区域または外国人が関与する合法的な事業活動に重大な悪影響を与える程度。そして

(iii)米国の国家安全保障、法執行機関の調査、または外交政策に対する特別措置の影響。

(d)サブセクション(a)、(b)、およびサブセクションで言及されている特別措置

このセクションの(c)は次のとおりです。

(i)特定の外国の管轄区域内のアカウントの禁止または条件:長官は、見つかった外国の管轄区域にいる外国人による、リセラーアカウントを含むアカウントの米国IaaSプロバイダーの開設または維持に条件を禁止または課すことができます。悪意のあるサイバー対応活動に使用される米国のIaaS製品を提供するかなりの数の外国人、または外国人のために、または外国人に代わって米国のIaaSプロバイダーによって使用されること。そして

(ii)特定の外国人に対する禁止または条件:長官は、外国人のために、または外国人に代わって、米国のIaaSプロバイダーによる、再販業者アカウントを含むアカウントの米国での開設または維持に関する条件を禁止または課すことができます。 、そのようなアカウントに、悪意のあるサイバー対応活動で使用される米国IaaS製品を提供している、または悪意のあるサイバー対応活動で使用する米国IaaS製品を直接入手していることが判明した外国人が含まれる場合。

(e)長官は、米国IaaSプロバイダーに対して、この命令のセクション1に記載されている最終規則の発行後180日より前に、このセクションのサブセクション(d)に記載されている特別措置を講じる要件を課してはなりません。

Sec。3.米国のIaaS製品の乱用を阻止するための協力的な取り組みに関する推奨事項(a)この命令の日付から120日以内に、司法長官および国土安全保障長官は、長官と協力し、司法長官および国土安全保障長官が適切とみなす場合、他の機関の長を務めるものとする。このセクションのサブセクション(b)に基づく推奨事項を通知するために、IaaSプロバイダー間およびIaaSプロバイダーと機関間の情報共有とコラボレーションを強化する方法について業界からのフィードバックを求めます。

(b)この命令の日付から240日以内に、司法長官および国土安全保障長官は、長官と調整し、司法長官および国土安全保障長官が適切とみなす場合、他の機関の長は、以下を奨励するための推奨事項を含む報告書を作成し、大統領に提出する。

(i)米国のIaaSプロバイダー間での自発的な情報共有とコラボレーション。そして

(ii)米国へのさらなる危害を防止する目的で、事件、犯罪、および国家安全保障に対するその他の脅威の報告を含む、米国のIaaSプロバイダーと適切な機関との間の情報共有。

(c)このセクションのサブセクション(b)に基づいて提供されるレポートと推奨事項は、サイバーセキュリティ情報共有法(6 USC 1503以降を含む、そのような共有とコラボレーションの既存のメカニズムを考慮し、現行法のギャップを特定するものとします。ポリシー、または手順。レポートには以下も含まれます。

(i)外国の悪意のあるサイバーアクターの操作、そのようなアクターが米国内でIaaS製品を使用する手段、悪意のある機能およびトレードクラフト、および米国内の人が侵害された、または無意識のうちにそのような行為に関与した程度に関連する情報アクティビティ;

(ii)米国のIaaSプロバイダーが相互に、および米国政府と情報を共有することを奨励するために必要となる可能性のある、既存の法律の規定を超える責任保護に関する推奨事項。そして

(iii)アカウントおよび外国の悪意のあるサイバー攻撃者が関与する活動の検出と識別を容易にするための推奨事項。

Sec。4.実装のための十分なリソースの確保事務局長は、事務局長が適切とみなす機関の長と協議して、この順序で説明されている取り組みをサポートするための資金要件を特定し、行政管理予算局への年間予算提出にそのような要件を組み込むものとします。

Sec。5.定義この注文の目的のために、以下の定義が適用されます。

(a)「エンティティ」という用語は、パートナーシップ、協会、信託、合弁事業、企業、グループ、サブグループ、またはその他の組織を意味します。

(b)「外国の管轄」という用語は、米国の民事または軍事管轄の対象となる国、地方の領土、または地域を意味し、個人または個人のグループが事実上の主権または司法権を行使します。 、そのような個人または個人のグループが米国によって承認されているかどうかにかかわらず、個人または個人のグループが政府の権限を行使することを想定しているそのような国、準国の領土、または地域を含む;

(c)「外国人」という用語は、米国人ではない人を意味します。

(d)「サービスアカウントとしてのインフラストラクチャ」または「アカウント」という用語は、そのようなトランザクションの詳細が記録されている人にIaaS製品を提供するために確立された正式なビジネス関係を意味します。

(e)「サービス製品としてのインフラストラクチャ」という用語は、無料または「トライアル」製品を含む、消費者に提供される、処理、ストレージ、ネットワーク、またはその他の基本的なコンピューティングリソースを提供する製品またはサービスを意味します。オペレーティングシステムやアプリケーションなど、事前定義されていないソフトウェアを展開して実行できる。コンシューマーは通常、基盤となるハードウェアのほとんどを管理または制御しませんが、オペレーティングシステム、ストレージ、および展開されたアプリケーションを制御します。この用語には、プロバイダーがシステム構成または保守の一部の側面に責任を負う「管理対象」の製品またはサービスと、プロバイダーが製品を利用できるようにすることのみに責任を負う「管理対象外」の製品またはサービスが含まれます。消費者。

(f)「悪意のあるサイバー対応活動」という用語は、コンピューター、情報、または通信システムの機密性、完全性、または可用性を侵害または損なうことを目的とした、米国の法律によって承認された、またはそれに従って許可された活動以外の活動を指します。ネットワーク、コンピューターまたは情報システムによって制御される物理的または仮想的なインフラストラクチャ、またはそれらに常駐する情報。

(g)「人」という用語は、個人または団体を意味します。

(h)「リセラーアカウント」という用語は、IaaS製品を提供するために確立されたサービスアカウントとしてのインフラストラクチャを意味し、その後、それらの製品の全部または一部をサードパーティに提供します。

(i)「サービス製品としての米国インフラストラクチャ」という用語は、米国人が所有する、またはアメリカ合衆国の領域内で運用されるサービス製品としてのインフラストラクチャを意味します。

(j)「サービスプロバイダーとしての米国インフラストラクチャ」という用語は、サービス製品としてのインフラストラクチャを提供する米国人を意味します。

(k)「米国人」という用語は、米国市民、移民国籍法で定義されている米国の合法的な永住者、米国の法律に基づいて組織された事業体、または米国内の管轄区域(を含む)を意味します。外国支店)、または米国に所在する人。

Sec。6.報告承認の修正大統領令13694のセクション(9)は、修正されたとおり、次のようにさらに修正されています。

秒。9財務長官は、国務長官、司法長官、および商務長官と協議して、第401条に従い、この順序で宣言された国家緊急事態に関する定期的かつ最終的な報告を議会に提出する権限をここに与えられます。 (c)NEA(50 USC 1641(c))およびIEEPAのセクション204(c)(50 USC 1703(c))。

Sec。7.一般規定(a)事務局長は、事務局長が適切とみなす他の機関の長と協議して、規則および規制の公布を含むそのような行動をとることをここに許可され、IEEPAによって大統領に与えられたすべての権限を使用することができる。この注文の目的を実行するために必要です。事務局長は、適用法に従い、これらの職務のいずれかを商務省内の他の役員に再委任することができます。これにより、米国政府のすべての部門および機関は、この命令の規定を実行するために、その権限の範囲内ですべての適切な措置を講じるように指示されます。

(b)この順序のいかなるものも、以下を損なう、またはその他の影響を与えると解釈されてはならない。

(i)法により執行部門または機関、あるいはその長に付与された権限。または

(ii)行政管理予算局の局長の、予算、行政、または立法の提案に関連する機能。

(c)この命令は、適用法に準拠し、予算枠の利用可能性を条件として実施されるものとします。

(d)この順序のいかなるものも、国家安全保障または公安活動を促進するために、許可された諜報活動、軍隊、法執行機関、またはその他の活動を禁止または制限するものではありません。

(e)この命令は、米国、その部門、機関、または団体、その役員、従業員に対して、法律または衡平法で執行可能な、実質的または手続き的な権利または利益を生み出すことを意図しておらず、また作成するものでもありません。 、またはエージェント、または他の人。

ドナルド・J・トランプ

0 件のコメント:

コメントを投稿