サイバーセキュリティ・情報システム情報分析センター

この記事には宣伝的な内容が含まれています。宣伝的な表現や不適切な外部リンクを削除し、中立的な視点から書かれた百科事典的な文章を追加することで、記事の改善にご協力ください。（2014年4月）（このメッセージを削除する方法とタイミングについてはこちらをご覧ください）

サイバーセキュリティ・情報システム情報分析センター（CSIAC）は、米国国防総省（DoD）の情報分析センター（IAC）であり、国防技術情報センター（DTIC）が後援しています。CSIACは、ソフトウェア向けデータ・分析センター（DACS）、情報保証技術IAC（IATAC）、モデリング・シミュレーションIAC（MSIAC）の3つの前身IACを統合し、知識管理と情報共有の技術分野が加わったものです。^{[ 1 ]}

CSIACは、DTICが後援する3つのIACのうちの1つであり、^{[ 2 ]}国防総省の研究、開発、試験及び評価（RDT&E）及び調達コミュニティのニーズに適用される任務と目的を達成するために必要な基本運用センター（BCO）機能を実行します。^{[ 3 ]}これらの活動は、科学技術情報（STI） の収集、分析、統合、処理、及び普及に重点を置いています。

BCO 機能、特に STI の収集と配布により、CSIAC のコアテクノロジー領域 (サイバーセキュリティ、情報保証、ソフトウェアエンジニアリング、モデリングとシミュレーション、知識管理/情報共有) におけるいくつかの貴重なリソース (レポート、ツールデータベース、データ収集など) が生成されます。

CSIACの使命は、国防総省に情報保証とサイバーセキュリティのための中心的なアクセスポイントを提供し、システムの脆弱性、研究開発、モデル、分析における新興技術を取り込み、情報戦争攻撃に対する効果的な防御の開発と実装を支援することです。^{[ 4 ]}

CSIAC は、サイバー セキュリティと情報技術に関する政府、業界、学界のベスト プラクティスと専門知識を活用することを目的としています。

米国は、様々なインフラがタイムリーかつ正確な情報サービスに依存しているため、情報戦攻撃に対して脆弱である可能性があります。国防総省の情報システムが、認可されたユーザーと潜在的な敵対者の両方がアクセスできる商用または専用ネットワークに依存していることで、この状況はさらに複雑になっています。情報インフラ内のクリティカルパスと脆弱性を特定することは複雑な作業であり、近年の情報技術の進歩により、情報システムはより使いやすく、より安価になり、幅広い潜在的な敵対者にとってより利用しやすくなっ ています。

国家の安全保障は、国防総省の情報システムの生存性、信頼性および継続性にかかっている。これらのシステムは、商用システムへの必然的な依存とインターネットの利用増加により、外部からの攻撃に対して脆弱である。国防総省の情報システムの生存性、信頼性および継続性は、戦闘員にとって極めて重要である。情報戦活動への懸念および迅速な対応が求められる状況が増大する中、すべての適切な機関および組織が情報戦攻撃から保護し、対応し、防御するための知識およびツールを確実に備えていることは困難である。CSIACは、国防技術情報センターの指導の下、国防研究技術担当次官補（ASDR&E）、国防総省ネットワークおよび情報統合担当次官補、および統合参謀本部の総合的な後援を受けて設立された。^{[ 5 ]}

CSIACは、国家防衛に不可欠な情報システムの生存性、真正性、運用継続性を支援するため、サイバーセキュリティの脆弱性に関するデータ、情報、方法論、モデル、および新興技術の分析を一元的に提供しています。CSIACは、1998年2月11日付国防総省指令3200.12「国防総省科学技術情報プログラム（STIP）」におけるDTICサービスを補完する専門分野の窓口として機能しています。^{[ 6 ] [ 5 ]}

米国は、タイムリーかつ正確な情報サービスに依存しているため、情報戦攻撃に対して脆弱です。また、近年の技術進歩により、潜在的な敵対勢力が重要インフラにアクセスしやすくなっています。国家の安全保障は、外部からの攻撃に対して脆弱な国防総省の情報システムの生存性、信頼性、そして継続性にかかっています。CSIACは、国家防衛にとって重要な情報システムの継続性を確保するために、サイバーセキュリティの脆弱性に関する一元的なデータとサポートを提供しています。

1. タイムリーで正確な情報サービスへの依存：現代において、タイムリーで正確な情報は、政府運営、金融システム、通信ネットワークなど、社会の様々な側面において不可欠です。情報システムへの依存は、これらのシステムを妨害または操作する攻撃に対して国を脆弱にしています。偽情報キャンペーンや重要インフラへのサイバー攻撃は、広範囲に及ぶ影響を及ぼす可能性があります。
2. 技術の進歩：技術の進歩は、国家安全保障にとって機会と課題の両方をもたらしてきました。技術はコミュニケーション、効率性、利便性を向上させる一方で、潜在的な敵対者が脆弱性を悪用する新たな手段も生み出しました。サイバー攻撃は遠隔から実行できるため、悪意のある攻撃者は物理的な拠点を持たない重要インフラを標的とすることが容易になっています。
3. 国防総省情報システムのセキュリティ：国防総省（DoD）は、国防に不可欠な広大な情報システムネットワークを運用しています。これらのシステムには機密情報や機密情報が含まれており、サイバー攻撃の格好の標的となっています。DoD情報システムのセキュリティ、真正性、そして継続性を確保することは、国家安全保障にとって極めて重要です。
4. 外部攻撃に対する脆弱性：国防総省の情報システムは、国家支援を受けたハッカー、サイバー犯罪者、ハクティビストなどによる外部からのサイバー攻撃の影響を受けやすい。これらの攻撃は、軍事作戦を妨害し、機密情報を漏洩させ、国防努力を阻害する可能性がある。
5. CSIACの役割：サイバーセキュリティ・情報システム情報分析センター（CSIAC）は、サイバーセキュリティの脆弱性データを一元管理し、国防上重要な情報システムの継続性を維持するための支援を提供するという重要な役割を担っています。CSIACのような組織は、脅威情報の収集と分析、脆弱性の特定、ベストプラクティスの普及を通じて、国のサイバーセキュリティ体制の強化に貢献しています。

これらの脆弱性と脅威に対処するため、米国はサイバーセキュリティ政策、防衛戦略、脅威情報の共有、技術と人材への投資を含む多面的なアプローチを採用しています。情報戦による攻撃から国を守り、国家安全保障を確保するためには、継続的な警戒、政府機関間の連携、民間セクターの協力、そして国際的なパートナーシップが不可欠です。

国防環境の変化と最近の議会の指針を踏まえ、国防技術情報センター（DTIC）は、国防総省のミッションニーズへの対応を強化するためにIACを再編する機会があると認識しました。その結果、DTICはIACプログラム構造の再編と統合を行い、以下の目標を達成しています。

• IACプログラムの範囲を拡大し、関連技術分野間の相乗効果を高める
• 中小企業の機会を増やす
• IACを通じてアクセス可能な産業基盤を拡大する^{[ 7 ]}米国サイバーコマンドを参照

これらの目標を達成するため、DTICは新たに統合されたIAC基本運用センター（BCO）を設立します。BCOは産業界と学界の双方によって運営されます。国防総省は、サイバーセキュリティや情報システムといった戦略的に重要な分野にIAC BCOを設置しています。IAC BCOは技術コミュニティの中心として機能し、コミュニティ内のすべての主要な関係者との連携を維持し、進行中の活動、最新情報、将来の戦略、そして情報ニーズを把握する必要があります。

この使命は、新しいIAC構造においても変わりません。しかし、新たなアプローチは、国防環境の進化に伴い、活動範​​囲の拡大、技術情報ニーズへの重点化、そして機敏性の向上をもたらします。

BCOは引き続き科学技術情報（STI）の分析と統合を行います。さらに、約60億ドル規模の技術分野タスク（TAT）の評価と策定を通じて、プログラムの分析と統合においてもより広範な役割を担うことになります。TATはIACプログラムの付随プログラムであり、DTICは産業界と学界の優秀な人材を活用して研究と分析を行い、最も困難な要件に対する革新的なソリューションを開発しています。IACのBCOは、TATが顧客のニーズと国防総省のより広範な要請の両方に迅速に対応できるよう支援することで、先行研究やその他の進行中の作業との一貫性を確保し、重複を削減します。また、BCOはTATの結果を適切に文書化し、広く公開できるようにする必要があります。このアプローチはコスト削減とリスク軽減の両方を実現し、予算が縮小し要件が変化する時代に、国防コミュニティが利用可能なあらゆる知識を活用して革新的なソリューションを特定し、実装することを可能にします。

CSIACのBCOは、DTICの新体制下で初めて認定されたBCOです。その名称が示すように、CSIACの主な技術的焦点はサイバーセキュリティと情報システムです。CSIACは、DACSのソフトウェアエンジニアリング技術分野、MSIACのモデリング＆シミュレーション技術分野、そしてIATACの情報保証技術分野を統合します。また、知識管理と情報共有という2つの新たな技術重点分野にも取り組みます。さらに、CSIACは他の重要分野にも事業を拡大し、新たな技術の出現を綿密に監視していきます。^{[ 8 ]}

CSIACは、政府運営委員会の指示の下で運営されています。委員会は、政府、国防総省、研究開発（R&D）コミュニティから19名で構成されており、国防情報保証プログラム（DIAP）、グローバルネットワーク作戦統合任務部隊（JTF-GNO）、国家安全保障局（NSA）、海軍大学院（NPS） 、国防長官室（OSD）、ノーフォーク海軍情報作戦司令部などからの代表者が含まれています。運営委員会は年に1回会合を開き、CSIACの活動、特に情報収集と発信活動に関する意見やフィードバックを提供しています。また、CSIACの執筆者が執筆する技術報告書のテーマは、運営委員会によって決定されます。^{[ 5 ]}

サイバーセキュリティ・情報システム情報分析センター（CSIAC）は、米国国防総省の情報分析センター（IAC）であり、国防技術情報センター（DTIC）と国防総省研究技術担当次官補（ASDR&E）が後援しています。CSIACは、Quanterion Solutions Incorporatedがホストしています。

CSIAC チーム メンバーは、BCO、Tier 1 チーム メンバー、および Tier 2 チーム メンバーで構成されます。

ニューヨーク州ユティカの中小企業であるクォンタリオン・ソリューションズ社は、 2012年秋にCSIACの契約を獲得しました。^{[ 9 ]}

• [1] AEgis Technologies
• 確実な情報セキュリティ（AIS）
• SRC
• シラキュース大学
• ジョージ・メイソン大学
• 南カリフォルニア大学

CSIACチームには、Tier 1チームメンバーに加えて、Tier 2組織が含まれます。Tier 2組織は、技術的な問い合わせ、最新技術レポート（SOAR）、コア分析タスク（CAT）を支援する分野別専門家（SME）によるリーチバックサポートを提供します。CSIACチームのTier 2組織には、以下のものがあります。

• サービスエンジニアリング会社^{[ 10 ]}
• 濡れた石^{[ 11 ]}
• アプティマ^{[ 12 ]}
• ミネルバエンジニアリング^{[ 13 ]}
• グリフィス研究所^{[ 14 ]}
• ニューヨーク州立大学工科大学（SUNY IT）
• ユティカ大学

CSIACは、3つのIAC（DACS、IATAC、MSIAC）の拡大された範囲、および知識管理と情報共有の新しい分野に対処するための戦略として、サイバーセキュリティと情報システムコミュニティのための実践コミュニティ（CoP）を構築し、促進することを目指しています。^{[ 8 ]}

CSIACウェブサイト（www.thecsiac.com）は、CoPの基盤を提供し、触媒としての役割を果たしています。CSIACウェブサイトは会員主導で運営されており、CSIACのリソースと活動に支えられたCSIACコミュニティからの参加を促しています。このウェブサイトは、CSIACのリソースと会員の統合を重視し、変換と連携を支援しています。^{[ 8 ]}

CoPは、情報の収集、分析、発信を含むCSIACの運営全体をサポートします。^{[ 8 ]}

CSIACの分野別専門家（SME）ネットワークは、ユーザーコミュニティにとって最も貴重なリソースの一つです。彼らは様々な手段を通じて、センターに豊富な知識と情報を提供しています。例えば、SMEはジャーナル論文やウェビナーのプレゼンテーションの主要な寄稿者です。また、問い合わせへの対応、最先端レポート（SOAR）の作成支援、コア分析タスク（CAT）を支援する調査・分析も行っています。^{[ 15 ]}

CSIAC SMEとは、CSIACの技術分野（サイバーセキュリティ、情報保証、ソフトウェアエンジニアリング、モデリング＆シミュレーション、ナレッジマネジメント／情報共有など）における専門家とみなされる個人を指します。専門家とみなされる基準は一つではなく、以下の要素を含む複数の要素の組み合わせによって決定されます。

• 教育（学部、大学院、博士号など）
• 職務経験（当該分野での勤務年数、役職、過去のプログラムなど）
• 出版物^{[ 15 ]}

このデータベースには、様々な背景を持つ幅広い中小企業が登録されています。その中には、CSIACの技術スタッフ、チームメンバー組織の主要人物、退役軍人の上級幹部、一流の学術研究者、そして業界の幹部などが含まれます。

CSIACは、ユーザーの最も緊急性の高い技術的な質問に回答するため、最大4時間の無料技術調査を提供しています。オンラインで提出された技術的な質問は、アナリストに直接送信され、アナリストが質問に最適な回答者、CSIACチームメンバー、または分野別専門家（SME）を特定します。完成した回答はユーザーに送信されます。回答には最大10営業日かかる場合がありますが、通常はそれよりも早く届きます。^{[ 16 ]}

基本的な調査の範囲を超える（例えば、4時間以上の調査を必要とする）困難な技術的問題は、コア分析タスク（CAT）を開始することで解決できます。CATは、CSIACの基本的な製品およびサービスとは別に資金提供される作業です。CATプログラムを通じて、CSIACは契約手段として活用され、国防総省は特定のプロジェクトに特化した支援を受けることができます。ただし、これらのプロジェクトはCSIACの技術分野（サイバーセキュリティ、情報保証、ソフトウェアエンジニアリング、モデリング＆シミュレーション、知識管理／情報共有）の範囲内でなければなりません。^{[ 17 ]}

IAC CAT プログラムの利点は次のとおりです。

• 着工までの遅延を最小限に抑える – CSIACは国防総省やその他の機関に契約手段を提供するだけでなく、事前競争入札による単一受注のCPFF IDIQでもあります。発注後、最短4～6週間でプロジェクトを開始できます。
• 広範な技術分野 – CSIAC の幅広い範囲 (サイバーセキュリティ、情報保証、ソフトウェア エンジニアリング、モデリングとシミュレーション、知識管理/情報共有) は、潜在的なプロジェクトに多数のリソースを提供し、特に複数の分野にまたがる取り組みに価値があります。
• 主題専門家 (SME) ネットワーク – CSIAC は、CSIAC スタッフ、チーム メンバー、またはより広範なコミュニティの技術専門家を含む広範な SME ネットワークからのリーチバック サポートを活用して、CAT やその他のプロジェクトを完了することができます。
• 科学技術情報 (STI) リポジトリ – 3 つの前身 IAC を統合した CSIAC には、CAT の完了をサポートする豊富なデータと情報があります。
• 最新の調査結果を適用する – 国防総省全体の機関を対象に実施された最新の調査結果を活用します。すべてのCSIAC CATおよびSNIM技術領域タスク（TAT）の結果は収集、保存され、CSIACの将来の取り組みをサポートするために使用されます。^{[ 17 ]}

CSIACは、IA/DIO関連のSTIを収集し、国防総省、他の連邦機関、その請負業者、そして研究・エンジニアリング（R&E）コミュニティと共有します。STIプログラムは、国防総省指令3200.12「国防総省STIプログラム」に準拠しています。^{[ 18 ]}

CSIACは、数千に及ぶIA/DIO関連文書を技術リポジトリに保管しています。^{[ 19 ]}このコレクションには、機密文書と非機密文書の両方が含まれています。CSIACの文書はすべて、 DTICオンラインアクセス制御（DOAC）にアップロードされています。DOACは、DTICのすべてのIACからのSTI（科学技術情報）を保管するオンラインリポジトリです。^{[ 20 ]}

CSIACの図書館は、多様なグループや組織間での知識共有を促進し、すべてのSTIは分類と二次配布指示の範囲内でIA/DIOコミュニティに容易にアクセス可能です。^{[ 21 ]}

CSIACが収集するすべてのSTIは、IA/CSの研究、開発、エンジニアリング、試験、評価、製造、運用、使用、または保守に関連しています。STIは、テキストベースのドキュメント、マルチメディア、リッチメディアファイルなど、様々な形式で収集されます。トピック領域には、生体認証、コンピュータネットワーク攻撃、コンピュータネットワーク防御、サイバーテロリズム、ハッキング、情報戦、ネットワーク中心戦、悪意のあるコード、製品評価などがあります。CSIACは、IA/CSコミュニティ全体から非機密扱いの投稿を収集しています。

CSIACは、会員の関心事に関連するイベントのオンラインカレンダーを管理しています。イベントカレンダーは、CSIACのウェブサイトからRSSフィードまたはHTML形式でも閲覧可能です。^{[ 22 ]}

ソフトウェアとシステムのコストとパフォーマンス分析ツールキット (S ² CPAT)は、完了したソフトウェアプロジェクトからソフトウェア エンジニアリング データを収集して分析し、以下の改善に活用することを目的とした Web ベースのツールキットです。

• ソフトウェア集約型システムの品質
• ソフトウェア集約型システムの開発における労力とスケジュールを予測する能力^{[ 8 ]}

S ² CPAT では現在、ユーザーが類似のソフトウェア プロジェクトを検索し、そのデータを使用して次のことをサポートできます。

• ソフトウェア開発の労力とスケジュールの大まかな見積もり
• プロジェクト計画と管理: ライフサイクル モデル情報、主なリスク、教訓、テンプレート、見積もりヒューリスティック
• ソフトウェア工学研究^{[ 8 ]}

S ² CPATリポジトリには、米国空軍から提供されたソフトウェアリソースデータレポート（SRDR）データが含まれています。このデータは国防総省によって公開用にサニタイズされ、国防総省の資金提供を受けた学術研究チームによって検証されています。^{[ 23 ]}

CSIAC は、現在のサイバーセキュリティと情報システムのトピックに関する 3 種類のレポートを発行しています。

1. 最先端レポート（SOAR）は、IA問題の進展を調査します。過去のSOARのトピックには、内部脅威、^{[ 24 ] [ 25 ]}ソフトウェアセキュリティ保証、^{[ 26 ]}市販の情報通信技術サプライチェーンのリスク管理、^{[ 27 ]}サイバーセキュリティと情報保証の測定^{[ 28 ]などがあります。}
2. 批判的レビューと技術評価（CR/TA）は、最近の研究開発成果から得られた最新の入手可能な情報を評価・統合するものです。特定の技術的特性に基づいて、技術や方法論の比較評価を提供します。^{[ 29 ]}対象となるトピックには、無線広域ネットワーク（WWAN）セキュリティ、ネットワーク中心の戦争、バイオテクノロジーなどがあります。
3. ツールレポートは、現在の技術の概要と現在利用可能な製品の客観的なリストを提供します。^{[ 29 ]}ツールレポートのトピックには、ファイアウォール、脆弱性評価、侵入検知システム、マルウェアが含まれます。

CSIACの『サイバーセキュリティ＆情報システムジャーナル』は、国防総省の観点から執筆される季刊技術誌で、以下の内容が掲載されています。新たに入手した重要な報告書や論文の概要と批評、新しい研究開発プログラムの開始概要、今後の会議、シンポジウム等のリストまたはカレンダー、重要な技術革新と重要な新技術の応用の概要、その他の注目すべき開発のハイライト。国防総省の他の組織にとって興味深いと思われる、国防総省CSIACの様々なプログラムからのニュースも掲載される場合があります。このジャーナルは、CSIACの登録購読者に印刷版と電子版で無料で配布されており、CSIACのウェブサイトから閲覧およびダウンロードできます。^{[ 30 ]}

ジャーナルへの投稿には、直接の招待、論文募集の告知、そして自主的な投稿があります。直接の招待は最も一般的な方法で、通常は会議発表者に連絡を取り、発表内容に基づいた論文を執筆してもらえるよう依頼します。著者には、ジャーナルのテーマに関連する専門知識や経験が求められます。

CSIACの情報保証（IA）ダイジェストは、グローバル情報グリッド（GIG）を保護する情報保証およびソフトウェア信頼性の専門家向けに、隔週で配信されるニュースサマリーです。HTML形式のメールで配信され、サイバーセキュリティ、情報保証、情報システムに関する幅広いトピックの記事やニュースサマリーへのリンクを提供しています。^{[ 30 ]}

• CSIACホームページ
• 国防総省情報分析センターホームページ
• 国防総省研究エンジニアリング事業ホームページ
• 国防総省最高情報責任者ホームページ
• 朝鮮戦争の航空機損失データベース