« Five Eyes 悪意のある活動の発見と修復のための技術的アプローチ | Main | カリフォルニア州 匿名化された健康情報に関する法案(AB 713)と遺伝的プライバシー情報に関する法案(SB 980)を可決 »

2020.09.02

米国GAO - FedRAMP-連邦政府機関によるクラウドコンピューティングの安全な利用の確保

こんにちは、丸山満彦です。

U.S. GAOのWatch BlogでFedRAMP-連邦政府機関によるクラウドコンピューティングの安全な利用の確保が取り上げられていますね。。。

このWatch Blogはなかなか興味深いです。。。

● U.S. GAO - Watch Blog

・2020.09.01 FedRAMP—Ensuring Safe Use of Cloud Computing by Federal Agencies


Federal agencies increasingly use internet-based (cloud) services to fulfill their missions. However, those services pose cybersecurity risks when agencies don’t effectively implement related security controls.

The 2011 Federal Risk and Authorization Management Program (or FedRAMP) aims to standardize the approach for federal use of cloud services. The FedRAMP program establishes security requirements and guidelines that are intended to help secure cloud computing environments used by agencies, helping protect agencies’ data, which could include information used to support their missions such as protecting public health.

Today’s WatchBlog looks at the FedRAMP policies and how agencies’ compliance with policies are monitored. 


・2019.12.12 CLOUD COMPUTING SECURITY: GAO-20-126: Agencies Increased Their Use of the Federal Authorization Program, but Improved Oversight and Implementation Are Needed

で、次に


Office of Management and Budget monitoring lags 

OMB requires agencies to use the program, but we found that it didn’t effectively monitor agencies’ compliance. This makes it harder to ensure that cloud services agencies are meeting federal security requirements.


管理予算局の監視が遅れている」!!OMBにこれだけ上から目線で言えるのはGAOだけではないかと思ったりもします。。。

簡単に訳すと、、、


OMBは省庁にこのFedRAMPの利用を要求しているが、省庁の遵守状況を効果的に監視していないことがわかった。このため、クラウドサービスを提供する省庁が連邦政府のセキュリティ要件を満たしているかどうかを確認することが難しくなっている。

顧客の視点から見ると、調査対象となった24の連邦政府機関のほぼ半数の職員が、FedRAMPによってデータセキュリティが改善されたと答えている。また、各省庁は、クラウドサービスに対するセキュリティ管理の状況を監視するためのプログラムのプロセスが限られていると報告している。具体的には、継続的な監視を自動化し、各省庁が利用するサービスのセキュリティ状況をリアルタイムに入手できるようにする必要がある。現在、各省庁は、これらのデータの多くを手動で収集し、評価しなければならない。

OMBによる監視を強化し、管理者のガイダンスと監視を改善することを推奨した。また、各省庁がクラウドセキュリティなどを改善するための具体的な勧告を行った。


 

その他関連する報告書

・2018.12.19 DEPARTMENT OF AGRICULTURE: GAO-19-146R: Analysis of Selected Data Centers Did Not Follow Federal Guidance and Leading Practices

・2020.04.04 CLOUD COMPUTING: GAO-19-58: Agencies Have Increased Usage and Realized Benefits, but Cost and Savings Data Need to Be Better Tracked

・2020.03.25 INFORMATION SECURITY: GAO-20-265: FCC Made Significant Progress, but Needs to Address Remaining Control Deficiencies and Improve Its Program 

 


 

■ 参考 (クラウド以外のセキュリティ関連)

まるちゃんの情報セキュリティ気まぐれ日記

・2020.08.19 米国GAO 国土安全保障省と特定の機関は、ネットワーク監視プログラムの実装上の欠点に対処する必要がある

・2020.08.06 US-GAO GAOがOMBにIT管理、サイバーセキュリティの監査結果を伝えていますが結構厳しい・・・

・2020.06.05 米国行政管理局(OMB)が2019年度版政府機関のサイバーセキュリティーに関する報告書(FISMAレポート)を公表していますね。。。

・2020.05.17 GAO 重要インフラ保護:国土安全保障省はリスクが高い化学施設のサイバーセキュリティにもっと注意を払え

・2020.04.15 GAO 国防総省はサイバー衛生を改善する必要があるので7つの推奨事項を作ったよ!という報告書

・2020.03.22 GAO CRITICAL INFRASTRUCTURE PROTECTION: Additional Actions Needed to Identify Framework Adoption and Resulting Improvements

 

 

|

« Five Eyes 悪意のある活動の発見と修復のための技術的アプローチ | Main | カリフォルニア州 匿名化された健康情報に関する法案(AB 713)と遺伝的プライバシー情報に関する法案(SB 980)を可決 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« Five Eyes 悪意のある活動の発見と修復のための技術的アプローチ | Main | カリフォルニア州 匿名化された健康情報に関する法案(AB 713)と遺伝的プライバシー情報に関する法案(SB 980)を可決 »