« ISACAとCSAがクラウドの監査に関する戦略的パートナーシップを締結したようですね。。。 | Main | NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 »

2020.08.19

米国GAO 国土安全保障省と特定の機関は、ネットワーク監視プログラムの実装上の欠点に対処する必要がある

こんにちは、丸山満彦です。

米国GAOが「国土安全保障省(DHS)と特定の機関は、ネットワーク監視プログラムの実装上の欠点に対処する必要がある」と報告していますね。推奨事項は15項目あります。。。

● U.S. GAO
・2020.08.18 DHS and Selected Agencies Need to Address Shortcomings in Implementation of Network Monitoring Program

・[PDF] Highliths

・[PDF] Full Report

2013年にDHSは、政府のネットワークやシステムのサイバーセキュリティを強化するために、政府機関が政府のネットワークを継続的に監視するためのツールを提供し、運用する「継続的な診断・緩和プログラム(Continuous Diagnostics and Mitigation (CDM) program
)※1」を作ったのですが、運用コストも含めると2031年までに約109億ドル(約1兆2000億円)かかるようです※2。これは、各省庁が脆弱性を特定し、優先順位をつけて緩和するための機能を各省庁に提供するものです。ところが、15も推奨事項もあったということですね。。。

Continuous Diagnostics and Mitigation Program Data Flow from Agencies to the Federal Dashboard

Continuous Diagnostics and Mitigation Program Data Flow from Agencies to the Federal Dashboard

 

※1 CDM Program

DHS - CISA
・2013.08.12 CONTINUOUS DIAGNOSTICS AND MITIGATION (CDM)

● DHS - CISA - US-CERT
Continuous Diagnostics and Mitigation (CDM)

U.S. General Services Administration
Continuous Diagnostics & Mitigation (CDM) Program

-----


 

※2

・[PDF] Full Report (6-7 /52 pages)

To establish the CDM program, in August 2013, DHS, in partnership with the General Services Administration (GSA), implemented a contracting vehicle intended to provide a government-wide set of continuous monitoring tools and services at a reduced cost to participating agencies. 
As of January 2020, DHS estimated that the total costs of the CDM program through 2031 would be $10.9 billion.
The $10.9 billion estimate includes costs for DHS to manage the CDM program and costs for agencies to operate and maintain tools.
CDMプログラムを確立するために、2013年8月、DHSは一般サービス庁(GSA)と協力して、政府全体の継続的な監視ツールとサービスのセットを参加機関に低コストで提供することを目的とした契約手段を導入しました。
2020年1月の時点で、DHSは、2031年までのCDMプログラムの総コストを109億ドルと見積もっています。
この109億ドルの見積もりには、DHSがCDMプログラムを管理するための費用とツールを運用・維持するための機関のコストが含まれる。

 


 

Original 日本語仮訳
1 The Secretary of Homeland Security should ensure that integrators' solutions provide unique identifiers for hardware on selected agencies' networks. 国土安全保障省長官は、システム・インテグレータのソリューションが、選択された省庁のネットワーク上のハードウェアに対して一意の識別子を提供することを保証すべきである。
2 The Secretary of Homeland Security should ensure that FAA's system integrator records FISMA system information in the agency's CDM tools. 国土安全保障省長官は、連邦航空局のシステム・インテグレータが、FISMAシステム情報を省庁のCDMツールに記録することを保証すべきである。
3 The Secretary of Homeland Security should ensure that IHS's system integrator records FISMA system information in the agency's CDM tools. 国土安全保障省長官は、先住民保険サービスのシステム・インテグレータが、省庁のCDMツールにFISMAシステム情報を記録していることを確認すべきである。
4 The Secretary of Homeland Security should ensure that FAA's system integrator establishes a process to integrate all vulnerability information in the agency's CDM tools, including the time a vulnerability was remediated. 国土安全保障省長官は、連邦航空局のシステム・インテグレータが、脆弱性が修正された時期を含め、すべての脆弱性情報を省庁のCDMツールに統合するプロセスを確立することを確実にすべきである。
5 The Secretary of Homeland Security should ensure that IHS's system integrator establishes a process to integrate all vulnerability information in the agency's CDM tools, including the time a vulnerability was remediated. 国土安全保障省長官は、先住民保険サービスのシステム・インテグレータが、脆弱性が修正された時期を含め、すべての脆弱性情報を省庁のCDMツールに統合するプロセスを確立することを保証すべきである。
6 The Secretary of Homeland Security should ensure that SBA's system integrator establishes a process to integrate all vulnerability information in the agency's CDM tools, including the time a vulnerability was remediated. 国土安全保障省長官は、中小企業庁のシステム・インテグレータが、脆弱性が是正された時期を含め、すべての脆弱性情報を省庁のCDMツールに統合するためのプロセスを確立することを保証すべきである。
7 The FAA Administrator should commit to a time frame to complete the agency's effort to associate hardware with its FISMA systems. 連邦航空局の管理者は、ハードウェアをFISMAシステムに関連付けるための省庁の努力を完了させるための時間枠を確約すべきである。
8 The FAA Administrator should document agency-specific variations from federal core configuration benchmarks for each operating system on its network. 連邦航空局の管理者は、ネットワーク上の各オペレーティングシステムについて、連邦政府のコア構成ベンチマークからの省庁固有の差異を文書化すべきである。
9 The FAA Administrator should configure its CDM tools to compare configuration settings against federal core benchmarks and agency-specific variations applicable to its environment. 連邦航空局の管理者は、CDMツールを構成して、構成設定を連邦政府のコアベンチマークおよびその環境に適用される省庁固有のバリエーションと比較するべきである。
10 The Director of IHS should document approved hardware inventory information by associating FISMA systems with the hardware on its network in a format that can be readily integrated into its CDM tools.  先住民保険サービス長官は、CDMツールに容易に統合できる形式で、FISMAシステムとネットワーク上のハードウェアを関連付けることにより、承認されたハードウェアのインベントリ情報を文書化するべきである。
11 The Director of IHS should document agency-specific variations from federal core configuration benchmarks for each operating system on its network.  先住民保険サービス長官は、ネットワーク上の各オペレーティング・システムについて、連邦政府のコア構成ベンチマークからの省庁固有の差異を文書化するべきである。
12 The Director of IHS should configure its CDM tools to compare configuration settings against federal core benchmarks applicable to its environment.  先住民保険サービス長官は、その環境に適用される連邦政府のコアベンチマークと構成設定を比較するために、CDMツールを構成すべきである。
13 The SBA Administrator should commit to a time frame to complete the agency's effort to associate hardware with its FISMA systems.  中小企業庁の管理者は、ハードウェアをFISMAシステムに関連付けるための努力を完了させるための時間枠を約束すべきである。
14 The SBA Administrator should document agency-specific variations from federal core configuration benchmarks for each operating system on its network.  中小企業庁の管理者は、ネットワーク上の各オペレーティング・システムについて、連邦政府のコア設定ベンチマークからの省庁固有の変化を文書化すべきである。
15 The SBA Administrator should configure its CDM tools to compare configuration settings against agency-specific benchmarks applicable to its environment.  中小企業庁の管理者は、CDMツールを構成して、その環境に適用される省庁固有のベンチマークと構成設定を比較すべきである。

|

« ISACAとCSAがクラウドの監査に関する戦略的パートナーシップを締結したようですね。。。 | Main | NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 »

Comments

Post a comment



(Not displayed with comment.)




« ISACAとCSAがクラウドの監査に関する戦略的パートナーシップを締結したようですね。。。 | Main | NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 »