US-GAO GAOがOMBにIT管理、サイバーセキュリティの監査結果を伝えていますが結構厳しい・・・

こんにちは、丸山満彦です。

米国連邦政府は、日本政府もお手本にするほど(?)、IT管理、サイバーセキュリティ対策は進めているように見えるのですが、それでもGAOの指摘は厳しいように思います。。。

そもそも、GAOは2010年度以降に1,376件のIT管理関連の勧告をし、3,409件のセキュリティ関連の勧告をしています。年間平均130件、340件ということです。すごい活動量ですよね。。。

そして連邦政府もIT関連の勧告の64％、サイバーセキュリティ関連の勧告は79％を完全に実施しているとGAOに言わせるだけでもすごいです。それぞれ880件、2,690件の対応をしているわけですよ。。。

でも、GAOは「まだまだやぞ、、、それぞれ500件、720件ほどできてないやろ。。。継続的に改善しろよ。。。」という感じですね。。。

● GAO

・2020.08.03 INFORMATION TECHNOLOGY : Federal Agencies and OMB Need to Continue to Improve Management and Cybersecurity

• [PDF] Highlights
• [PDF] Full Report

 

---

The federal government has spent billions on information technology projects that have failed or performed poorly. Some agencies have had massive cybersecurity failures. These IT efforts often suffered from ineffective management.

We testified about 2 issues on our High Risk List: 1) IT acquisitions and operations management and 2) cybersecurity.

Since 2010, agencies have implemented

• 64% of our 1,376 recommendations on IT acquisitions and operations
• 79% of our 3,409 recommendations on cybersecurity

Much remains to be done. For example, most agencies have not assigned key IT responsibilities to the chief information officer, as required.

---

残された課題として５つの領域を挙げていますね。。。しかし、上の４つはIT管理に関する話で、サイバーは最後の１つやね。。。3,409件を全部まとめて１つか。。。

- 最高情報責任者（CIO）の責任
- CIOによるIT取得時のレビュー
- データセンターの集約化
- ソフトウェアライセンスの管理
- 国家のサイバーセキュリティの確保