U.S. GAO High-Riskシリーズ：連邦政府は主要なサイバーセキュリティの課題に対処するための重要な行動を早急に実施する必要がある

こんにちは、丸山満彦です。

U.S. GAOが連邦政府は主要なサイバーセキュリティの課題に対処するための重要な行動を早急に実施する必要があると報告していますね。。。

「主要なサイバーセキュリティの課題に対処するための重要な行動」は”Four Major Cybersecurity Challenges and 10 Associated Critical Actions”で、2018年の報告書で指摘されていた件ですね。。。

● U.S. GAO

・2021.03.24 High-Risk Series:Federal Government Needs to Urgently Pursue Critical Actions to Address Major Cybersecurity Challenges

・[PDF] Hilight

 

・[PDF] Full Report

 

What GAO Found	GAOの見解
GAO reiterates the importance of addressing the four major cybersecurity challenges and the 10 associated critical actions listed below.	GAOは、以下の4つの主要なサイバーセキュリティの課題と、それに関連する10の重要な行動に取り組むことの重要性を繰り返し述べています。
Four Major Cybersecurity Challenges and 10 Associated Critical Actions	4つの主要なサイバーセキュリティの課題と10の関連する重要な行動

 

Establishing a comprehensive cybersecurity strategy and performing effective oversight	包括的なサイバーセキュリティ戦略の確立と効果的な監視の実行
1. Develop and execute a more comprehensive federal strategy for national cybersecurity and global cyberspace.	1. 国家のサイバーセキュリティとグローバルなサイバースペースのための、より包括的な連邦戦略を策定し、実行する。
2. Mitigate global supply chain risks (e.g., installation of malicious software or hardware).	2. グローバルなサプライチェーンのリスク（悪意のあるソフトウェアやハードウェアのインストールなど）を軽減する。
3. Address cybersecurity workforce management challenges.	3. サイバーセキュリティ人材管理の課題に対処する。
4. Ensure the security of emerging technologies (e.g., artificial intelligence and Internet of Things).	4. 新興技術（例：人工知能やIoT）のセキュリティを確保する。
Securing federal systems and information	連邦政府のシステムと情報の保護
5. Improve implementation of government-wide cybersecurity initiatives.	5. 政府全体のサイバーセキュリティ・イニシアチブの実施を改善する。
6. Address weaknesses in federal agency information security programs.	6. 連邦政府機関の情報セキュリティプログラムの脆弱性に対処する。
7. Enhance the federal response to cyber incidents.	7. サイバーインシデントに対する連邦政府の対応を強化する。
Protecting cyber critical infrastructure	サイバー重要インフラの保護
8. Strengthen the federal role in protecting the cybersecurity of critical infrastructure (e.g., electricity grid and telecommunications networks).	8. 重要インフラ（電力網や通信ネットワークなど）のサイバーセキュリティを保護するための連邦政府の役割を強化する。
Protecting privacy and sensitive data	プライバシーと機密データの保護
9. Improve federal efforts to protect privacy and sensitive data.	9. プライバシーとセンシティブなデータを保護するための連邦政府の取り組みを改善する。
10. Appropriately limit the collection and use of personal information and ensure that it is obtained with appropriate knowledge or consent.	10. 個人情報の収集と使用を適切に制限し、適切な知識や同意を得た上で取得するようにする。

 

As described below, although the federal government has made selected improvements, it needs to move with a greater sense of urgency commensurate with the rapidly evolving and grave threats to the country.	以下のように、連邦政府はいくつかの改善を行ってきましたが、国に対する急速に進化する重大な脅威に見合った、より大きな緊急性を持って行動する必要があります。
Establishing a comprehensive cybersecurity strategy and performing effective oversight. The prior administration's September 2018 national cybersecurity strategy and the June 2019 implementation plan detail the executive branch's approach to managing the nation's cybersecurity. In September 2020 GAO reported that the national strategy and implementation plan addressed some, but not all, of the desirable characteristics of national strategies, such as goals and resources needed. The new administration needs to either update the existing strategy and plan or develop a new comprehensive strategy that addresses those characteristics.	包括的なサイバーセキュリティ戦略の確立と効果的な監視の実行。 前政権が2018年9月に発表した国家サイバーセキュリティ戦略と2019年6月の実施計画は、国のサイバーセキュリティを管理するための行政府のアプローチを詳述しています。2020年9月にGAOは、国家戦略と実施計画は、目標や必要なリソースなど、国家戦略の望ましい特性のすべてではなく、一部に対応していると報告しました。新政権は、既存の戦略と計画を更新するか、それらの特性に対応した新しい包括的な戦略を策定する必要があります。
GAO also highlighted the urgent need to clearly define a central role for leading the implementation of the national strategy. Accordingly, it recommended that the Congress consider legislation to designate a position in the White House to lead such an effort. In January 2021, the Congress did so by establishing the Office of the National Cyber Director within the Executive Office of the President. Once the position is filled, the federal government will be better situated to direct activities to overcome the nation's cyber threats and challenges, and to perform effective oversight.	GAOはまた、国家戦略の実施を主導する中心的な役割を明確に定義することが急務であると強調した。そこでGAOは、このような取り組みを主導するホワイトハウス内の役職を指定する法案を検討するよう、議会に提言しました。2021年1月、議会は大統領府内に国家サイバー長官室を設置しました。この役職が設置されれば、連邦政府は、国家のサイバー脅威や課題を克服するための活動を指揮し、効果的な監視を行う上で有利な立場となります。
Although establishing the Cyber Director position is an essential step forward, critical risks remain on supply chains, workforce management, and emerging technologies. For example, in December 2020, GAO reported that none of the 23 agencies in its review had fully implemented key foundational practices for managing information and communications technology supply chains. It made a total of 145 recommendations to the agencies to implement such practices in their approaches to supply chain management.	国家サイバー長官の設置は重要な前進ですが、サプライチェーン、人材管理、新技術については重大なリスクが残っています。例えば、2020年12月、GAOは、情報通信技術のサプライチェーンを管理するための重要な基礎的実践を実施した機関は、調査対象となった23機関の中にはなかったと報告しました。また、サプライチェーン管理へのアプローチにおいて、そのようなプラクティスを実施するよう、各省庁に対して合計145件の提言を行いました。
Securing federal systems and information. The federal government has made some progress in securing systems. Nevertheless, federal agencies continue to have numerous cybersecurity weaknesses due in large part to ineffective information security programs. Further, cyber incidents are increasingly posing a threat to government and private sector entities. The seriousness of the threat was reinforced by the December 2020 discovery of a cyberattack that has had widespread impact on government agencies, critical infrastructures, and the private sector. In 2019 GAO reported that most of the 16 agencies reviewed had incident response processes with key shortcomings thereby limiting the ability to minimize damage from attacks.	連邦政府のシステムと情報の保護。 連邦政府は、システムの安全性確保において一定の成果を上げています。それにもかかわらず、連邦政府機関は、効果のない情報セキュリティプログラムが大きな原因となって、数多くのサイバーセキュリティ上の弱点を抱えています。さらに、サイバーインシデントは、政府機関や民間企業にとってますます脅威となっています。その脅威の深刻さは、2020年12月に、政府機関、重要インフラ、民間企業に広範な影響を与えるサイバー攻撃が発見されたことで、さらに強まりました。2019年にGAOは、調査した16機関のほとんどが重要な欠点を持つインシデント対応プロセスを持っており、それによって攻撃による被害を最小限に抑える能力が制限されていると報告しました。
Protecting cyber critical infrastructure. The nation's critical infrastructure includes both public and private systems vital to national security and other efforts including providing the essential services that underpin American society. Since 2010, GAO has made nearly 80 recommendations to enhance infrastructure cybersecurity; for example, GAO recommended that agencies better measure the adoption of the National Institute of Standards and Technology framework of voluntary cyber standards and correct sector-specific weaknesses. However, most of these recommendations (nearly 50) have not been implemented. As a result, the risks of unprotected infrastructures being harmed are heightened.	サイバー重要インフラの保護。 米国の重要インフラストラクチャには、米国社会を支える基本的なサービスの提供など、国家安全保障やその他の取り組みに不可欠な公共および民間のシステムが含まれます。2010年以降、GAOはインフラのサイバーセキュリティを強化するために80件近くの提言を行っています。例えば、GAOは各機関に対し、米国標準技術研究所（National Institute of Standards and Technology）のフレームワークである自主的なサイバー標準の採用状況をより正確に測定し、セクターごとの弱点を修正するよう提言しました。しかし、これらの提言のほとんど（約50件）は実施されていません。その結果、保護されていないインフラが被害を受けるリスクが高まっています。
Protecting privacy and sensitive data. The federal government and private sector have struggled to protect privacy and sensitive data. Advances in technology have made it easy to correlate information about individuals and ubiquitous internet connectivity has facilitated sophisticated tracking of individuals and their activities. The vast number of individuals affected by various data breaches has underscored concerns that personally identifiable information is not adequately being protected. GAO's reviews of agency practices to protect sensitive data have identified weaknesses and made numerous recommendations at agencies such as the Department of Housing and Urban Development, Department of Education, and Internal Revenue Service.	プライバシーと機密データの保護。 連邦政府と民間企業は、プライバシーと機密データの保護に苦心してきました。技術の進歩により、個人に関する情報を簡単に相関させることができるようになり、ユビキタスなインターネット接続により、個人とその活動の高度な追跡が容易になりました。様々なデータ漏洩の影響を受けた膨大な数の個人は、個人を特定できる情報が適切に保護されていないという懸念を強めています。GAOは、機密データを保護するための機関の実践をレビューし、住宅都市開発省、教育省、内国歳入庁などの機関で弱点を指摘し、多くの提言を行ってきました。
In January 2019, GAO reported that the United States did not have a comprehensive internet privacy law governing the collection, use, and sale or other disclosure of consumers' personal information. Accordingly, GAO recommended that the Congress consider developing legislation on internet privacy that, among other things, would enhance consumer protections.	2019年1月、GAOは、米国には消費者の個人情報の収集、使用、販売またはその他の開示を規定する包括的なインターネットプライバシー法がないと報告しました。したがって、GAOは、消費者保護を強化することなどを目的としたインターネット・プライバシーに関する法律の策定を検討するよう、議会に勧告しました。
Why GAO Did This Study	GAOがこの調査を行った理由
Federal agencies and the nation's critical infrastructures—such as energy, transportation systems, communications, and financial services—are dependent on information technology systems to carry out operations. The security of these systems and the data they use is vital to public confidence and national security, prosperity, and well-being.	連邦政府機関や、エネルギー、輸送システム、通信、金融サービスなどの国の重要なインフラは、業務を遂行するために情報技術システムに依存しています。これらのシステムとそれらが使用するデータのセキュリティは、国民の信頼と国家の安全、繁栄、幸福にとって不可欠です。
GAO first designated information security as a government-wide high-risk area in 1997. This was expanded to include protecting (1) cyber critical infrastructure in 2003 and (2) the privacy of personally identifiable information in 2015.	GAOは、1997年に初めて情報セキュリティを政府全体の高リスク分野に指定しました。これを拡大して、2003年には （1）サイバー重要インフラストラクチャの保護、2015年には （2）個人を特定できる情報のプライバシーの保護が含まれるようになりました。
In 2018, GAO reported that the federal government needed to address four major cybersecurity challenges: (1) establishing a comprehensive cybersecurity strategy and performing effective oversight, (2) securing federal systems and information, (3) protecting cyber critical infrastructure, and (4) protecting privacy and sensitive data. Within these four challenges are 10 actions critical to successfully dealing with the serious cybersecurity threats facing the nation (see the figure at right identifying the four challenges and 10 actions).	2018年、GAOは、連邦政府がサイバーセキュリティの4つの主要な課題に取り組む必要があると報告しました。 （1）包括的なサイバーセキュリティ戦略の確立と効果的な監視の実行、 （2）連邦政府のシステムと情報の保護、 （3）サイバー重要インフラの保護、 （4）プライバシーと機密データの保護。 これら4つの課題の中には、国が直面する深刻なサイバーセキュリティの脅威にうまく対処するために必要な10の行動が含まれています（4つの課題と10の行動を示す右図を参照）。
This report provides an update on the progress that the federal government has made in addressing GAO's recommendations for the four major cybersecurity challenges, as of December 2020.	本報告書は、2020年12月時点で、サイバーセキュリティの4つの主要な課題に対するGAOの提言に連邦政府が対応した進捗状況を示すものです。
In performing its work, GAO generally reviewed the cybersecurity-related products it had issued since September 2018. It also assessed actions taken on prior GAO recommendations, and determined which recommendations had not yet been implemented. Further, GAO identified its relevant ongoing cybersecurity work. Finally, GAO reviewed cybersecurity findings from agency inspector general reports, and analyzed the recommendations of the U.S. Cyberspace Solarium Commission.	作業を行うにあたり、GAOは、2018年9月以降に発行したサイバーセキュリティ関連のプロダクトを全般的にレビューしました。また、過去のGAO勧告について実施された行動を評価し、どの勧告がまだ実施されていないかを判断しました。さらに、GAOは、関連する進行中のサイバーセキュリティ作業を特定しました。最後に、GAOは各省庁の監察官報告書からサイバーセキュリティに関する知見を確認し、米国サイバースペース・ソラリウム委員会の提言を分析しました。

 

---

■  参考

● U.S. GAO

・HIGH RISK AREA　Ensuring the Cybersecurity of the Nation

・Cybersecurity Challenges Facing the Nation – High Risk Issue

・2020.09.22 Cybersecurity:Clarity of Leadership Urgently Needed to Fully Implement the National Strategy

2018年の報告書

・2018.07.25 High-Risk Series:Urgent Actions Are Needed to Address Cybersecurity Challenges Facing the Nation

 

● まるちゃんの情報セキュリティ気まぐれ日記

特に関係がありそうなもの...

・2021.03.16 U.S. GAO 2022年度予算要求「複雑なサイバー・セキュリティの開発をレビューする能力を高める」

・2021.03.07U.S. GAO ハイリスクリスト 2021 （サイバーセキュリティはリスクが高まっているという評価のようです...）

・2021.03.16 U.S. GAO CISAに対して組織変革を確実に遂行するために11の勧告をしたようですね。。。（CISAも同意済み）

・2021.03.08 U.S. GAO 国防省に兵器システムについてサイバーセキュリティ要件を購買プログラム契約で定義し、作業を承認または拒否するための基準と、要件が満たされていることを政府が確認する方法についての基準を確立する必要があると指摘

・2021.01.13 米国 ポンペオ国務長官がサイバー空間安全保障・新興技術局（CSET）の創設を国務省に指示

・2020.12.27 U.S. GAO 国防省の15のシステム開発を監査してみて・・・開発手法やセキュリティについてコメント付けてます

・2020.10.14 米国GAOは連邦航空局がアビオニクスのリスクベースのサイバーセキュリティ監視を強化するための仕組みを入れる必要があると推奨していますね。。。

・2020.09.29 米国GAO が「国家サイバー戦略」の完全実施のためにリーダーシップを明確にするために議会がリーダーを指名するように提案していますね。

・2020.09.18 米国GAO 財務省は金融セクターのサイバーセキュリティリスク軽減の取り組みについての追跡調査を改善する必要がある

・2020.09.02 米国GAO - FedRAMP-連邦政府機関によるクラウドコンピューティングの安全な利用の確保

・2020.08.19 米国GAO 国土安全保障省と特定の機関は、ネットワーク監視プログラムの実装上の欠点に対処する必要がある

・2020.08.06 US-GAO GAOがOMBにIT管理、サイバーセキュリティの監査結果を伝えていますが結構厳しい・・・

・2020.05.17 GAO 重要インフラ保護：国土安全保障省はリスクが高い化学施設のサイバーセキュリティにもっと注意を払え

・2020.04.15 GAO 国防総省はサイバー衛生を改善する必要があるので7つの推奨事項を作ったよ！という報告書

・2020.03.22 GAO CRITICAL INFRASTRUCTURE PROTECTION: Additional Actions Needed to Identify Framework Adoption and Resulting Improvements

 

ソラリウム委員会関係

・2021.01.06 米国 2021年度 National Defense Authorization Act (NDAA) （国防権限法）成立　サイバー関係も・・・

・2020.10.04 サイバースペース・ソラリウム委員会