« NISC サイバーセキュリティ研究・産学官連携戦略 ワーキンググループ最終報告〜研究開発の国際競争力を躍進させる 産学官エコシステムの構築〜 | Main | U.S. GAO 2022年度予算要求「複雑なサイバー・セキュリティの開発をレビューする能力を高める」 »

2021.03.16

U.S. GAO CISAに対して組織変革を確実に遂行するために11の勧告をしたようですね。。。(CISAも同意済み)

こんにちは、丸山満彦です。

GAOがCISAに対して組織変革を確実に遂行するために11の勧告をしたようですね。これについては、CISAも同意済みのようです。。。

● GAO

・2021.03.10 GAO-21-236 Cybersecurity and Infrastructure Security Agency: Actions Needed to Ensure Organizational Changes Result in More Effective Cybersecurity for Our Nation

[PDF] Full Report

20210316-13615

[PDF] Highlights Page



A 2018 federal law established the Cybersecurity and Infrastructure Security Agency to help protect critical infrastructure from cyber and other threats—but it isn't fully up and running yet. 2018年に制定された連邦法により、重要インフラをサイバー攻撃などの脅威から守るための「Cybersecurity and Infrastructure Security Agency」が設立されましたが、まだ完全には稼働していません。
CISA completed 2 of 3 phases in its organization plan, including defining an organizational structure. It also completed about a third of the tasks planned for the final phase by its December 2020 milestone. CISAは、組織構造の策定など、組織計画の3段階のうち2段階を完了しました。また、2020年12月のマイルストーンまでに、最終フェーズで予定していたタスクの約3分の1を完了しました。
Until CISA updates its milestones and fully implements its plans, it may be difficult for it to identify and respond to cybersecurity incidents, such as the major cyberattack reported in December 2020 that affected both government and private industry. CISAがマイルストーンを更新し、計画を完全に実施するまでは、2020年12月に報告された政府と民間企業の両方に影響を与えた大規模なサイバー攻撃のような、サイバーセキュリティインシデントを特定して対応することが困難になる可能性があります。

 

発見事項、推奨事項はこちら...

 

 

What GAO Found GAOの発見事項
To implement the requirements of the Cybersecurity and Infrastructure Security Agency (CISA) Act of 2018, CISA leadership within the Department of Homeland Security launched an organizational transformation initiative. The act elevated CISA to agency status; prescribed changes to its structure, including mandating that it have separate divisions on cybersecurity, infrastructure security, and emergency communications; and assigned specific responsibilities to the agency. (See figure 1 below.) CISA completed the first two of three phases of its organizational transformation initiative, which resulted in, among other things, a new organization chart, consolidation of multiple incident response centers, and consolidation of points of contact for infrastructure security stakeholders. Phase three is intended to fully implement the agency's planned organizational changes. 2018年のCISA(Cybersecurity and Infrastructure Security Agency)法の要件を実施するために、国土安全保障省内のCISAのリーダーシップは、組織変革の取り組みを開始した。同法は、CISAを機関に昇格させ、サイバーセキュリティ、インフラセキュリティ、緊急通信に関する独立した部門を持つことを義務付けるなど、その構造の変更を規定し、機関に特定の責任を割り当てた。CISAは、組織改革の3つのフェーズのうち最初の2つのフェーズを完了し、その結果、新しい組織図、複数のインシデント対応センターの統合、インフラセキュリティ関係者の連絡先の統合などが行われた。フェーズ3は、CISAが計画した組織改革を完全に実施することを目的としている。
While CISA intended to fully implement the transformation by December 2020, it had completed 37 of 94 planned tasks for phase three by mid-February 2021. Among the tasks not yet completed, 42 of them were past their most recent planned completion dates. Included in these 42 are the tasks of finalizing the mission-essential functions of CISA's divisions and issuing a memorandum defining incident management roles and responsibilities across CISA. Tasks such as these appear to be critical to CISA's transformation initiative and accordingly its ability to effectively and efficiently carry out its cyber protection mission. In addition, the agency had not established an updated overall deadline for completing its transformation initiative. Until it establishes updated milestones and an overall deadline for its efforts, and expeditiously carries out these plans, CISA will be hindered in meeting the goals of its organizational transformation initiative. This in turn may impair the agency's ability to identify and respond to incidents, such as the cyberattack discovered in December 2020 that caused widespread damage. CISAは、2020年12月までに変革を完全に実施することを意図していたが、2021年2月中旬までに、フェーズ3で計画された94のタスクのうち37のタスクを完了した。まだ完了していないタスクのうち、42のタスクが直近の計画完了日を過ぎていた。この42件の中には、CISAの各部門のミッションに不可欠な機能を最終的に決定するタスクや、CISA全体のインシデント管理の役割と責任を定義する覚書を発行するタスクが含まれている。このような作業は、CISAの変革に不可欠であり、それに伴い、サイバー保護の任務を効果的かつ効率的に遂行する能力を高めることになると思われる。また、CISAは、変革イニシアティブを完了するための最新の全体的な期限を設定していなかった。CISAが最新のマイルストーンと全体的な期限を設定し、これらの計画を迅速に実行するまで、CISAは組織変革イニシアチブの目標を達成することができないと思われる。その結果、2020年12月に発見された広範な被害をもたらしたサイバー攻撃のようなインシデントを特定して対応する同機関の能力が損なわれる可能性がある。
Of 10 selected key practices for effective agency reforms previously identified by GAO, CISA’s organizational transformation generally addressed four, partially addressed five, and did not address one. For example, CISA generally addressed practices related to using data and evidence to support its planned reforms and engaging its employees in the organizational change process. The agency partially addressed practices related to, for example, defining goals and outcomes and conducting workforce planning. Workforce planning is especially important for CISA, given the criticality of hiring and retaining experts who, among other things, can help identify and respond to complex attacks. CISA did conduct an initial assessment of its cybersecurity workforce in 2019; however, it is still working on analyzing capability gaps and determining how to best fill those gaps. Finally, CISA did not address the practice of ensuring that its employee performance management system was aligned with its new organizational structure and transformation goals. Until it fully addresses workforce planning and the five other practices that are either partially or not addressed, CISA’s ability to leverage its organizational changes to effectively carry out its mission will be hindered. GAOが以前に指摘した効果的な機関改革のための10のキープラクティスのうち、CISAの組織改革は4つに概ね対応し、5つに部分的に対応し、1つには対応していなかった。例えば、CISAは、計画した改革をサポートするためのデータや証拠の活用、組織改革プロセスへの従業員の参加に関する実践に概ね取り組んでいた。また、CISAは、目標と成果の定義や人員計画の実施などに関する実践を部分的に行っていた。CISAは、複雑な攻撃を特定して対処できる専門家を雇用し、維持することが重要であるため、人員計画は特に重要である。CISAは2019年にサイバーセキュリティ人材の初期評価を実施したが、能力ギャップの分析とそのギャップを埋める最善の方法の決定にはまだ取り組み中である。最後に、CISAは、職員のパフォーマンス管理システムが新しい組織構造や変革目標に沿っているかどうかを確認するという業務に取り組んでいない。人的リソース計画や、部分的にしか対応していない、あるいは対応していない他の5つの業務に完全に取り組むまでは、CISAが組織変更を活用して効果的に任務を遂行する能力は妨げられるだろう。
Selected government and private-sector stakeholders from the 16 sectors considered to be critical infrastructures, such as banking and financial institutions, telecommunications, and energy, reported a number of challenges in coordinating with CISA. (See figure 2.) 銀行・金融機関、通信、エネルギーなど、重要インフラとされる16のセクターから選ばれた政府と民間の関係者は、CISAとの調整において多くの課題があると報告している。図2参照)。
CISA has activities under way to mitigate some of these challenges, including tracking stakeholder inquiries to monitor the timeliness of responses and delivering briefings with intelligence tailored to stakeholder needs. However, it has not developed strategies to clarify changes to its organizational structure, have consistent stakeholder involvement in the development of guidance, and distribute information to all key stakeholders. Organizational structure and information distribution are both considered new challenges associated with the reorganization of CISA. Developing strategies to mitigate these challenges could help provide CISA with assurance that its stakeholders are receiving the information and support needed to make decisions about risks facing the nation's critical infrastructures. CISAは、ステークホルダーからの問い合わせを追跡して回答の適時性を監視したり、ステークホルダーのニーズに合わせて情報を提供したりするなど、これらの課題を軽減するための活動を行っている。しかし、組織体制の変更を明確にしたり、ガイダンスの作成にステークホルダーが一貫して関与したり、主要なステークホルダー全員に情報を配信したりするための戦略は策定されていない。組織構造と情報発信は、いずれもCISAの再編成に伴う新たな課題と考えられる。これらの課題を軽減するための戦略を策定することで、CISAのステークホルダーが、国の重要インフラが直面するリスクについて意思決定を行うために必要な情報やサポートを受けていることを保証することができる。
   
Why GAO Did This Study GAOがこの調査を行った理由
Threats to the nation's critical infrastructures and the information technology systems that support them require a concerted effort among federal agencies; state, local, tribal, and territorial governments; and the private sector to ensure their security. The seriousness of the threat was reinforced by the December 2020 discovery of a cyberattack that has had widespread impact on government agencies, critical infrastructures, and private-sector companies. 米国の重要インフラとそれを支える情報技術システムに対する脅威は、その安全性を確保するために、連邦政府機関、州・地方・部族・群政府、民間企業が一丸となって取り組む必要がある。その脅威の深刻さは、2020年12月に政府機関、重要インフラ、民間企業に広範な影響を与えるサイバー攻撃が発覚したことで、さらに深まりました。
Federal legislation enacted in November 2018 established CISA to advance the mission of protecting federal civilian agencies' networks from cyber threats and to enhance the security of the nation's critical infrastructures in the face of both physical and cyber threats. To implement this legislation, CISA undertook a three-phase organizational transformation initiative aimed at unifying the agency, improving mission effectiveness, and enhancing the workplace experience for CISA employees. 2018年11月に制定された連邦法で、連邦民間機関のネットワークをサイバー脅威から守り、物理的脅威とサイバー脅威の両方に直面している国の重要インフラのセキュリティを強化するという使命を進めるために、CISAが設立された。この法律を実施するために、CISAは、機関の統一、ミッションの有効性の向上、CISA従業員の職場体験の向上を目的とした3段階の組織改革を行った。
GAO was asked to review CISA's organizational transformative initiative and its ability to coordinate effectively with stakeholders. The objectives of GAO's review were to (1) describe CISA's organizational transformation initiative, (2) assess the current progress of the initiative, (3) determine the extent to which CISA's transformation efforts align with key practices for effective agency reform, and (4) identify any challenges in CISA's coordination with stakeholders, and assess strategies the agency has developed to address such challenges. GAOは、CISAの組織変革の取り組みと、利害関係者との効果的な調整能力をレビューするよう求められた。GAOのレビューの目的は、(1)CISAの組織変革イニシアチブについて説明すること、(2)同イニシアチブの現在の進捗状況を評価すること、(3)CISAの変革努力が効果的な機関改革のための主要な慣行にどの程度合致しているかを判断すること、(4)CISAの利害関係者との調整における課題を特定し、そのような課題に対処するために機関が策定した戦略を評価することであった。
To do this, GAO reviewed relevant information on CISA's efforts to develop an organizational transformation initiative to meet the requirements of the CISA Act of 2018. To assess the progress of CISA's efforts, GAO analyzed agency documentation to determine the status of activities related to the three phases of the organizational transformation and reasons for any delays in its progress. GAO also assessed CISA's efforts against selected key practices identified by GAO that can contribute to the effectiveness of agency reform efforts. In addition, GAO interviewed selected stakeholders related to CISA's primary mission areas to identify any pertinent challenges and analyzed strategies CISA developed to address these challenges. このため、GAOは、2018年のCISA法の要件を満たすための組織変革の取り組みを展開するCISAの取り組みに関する関連情報をレビューした。CISAの取り組みの進捗状況を評価するため、GAOは、組織変革の3つのフェーズに関連する活動の状況と、その進捗が遅れている理由を把握するために、機関の文書を分析した。また、GAOが特定した機関改革の取り組みの効果に寄与する主要な実践方法に照らして、GAOはCISAの取り組みを評価した。さらにGAOは、CISAの主要な任務分野に関連する利害関係者にインタビューを行い、関連する課題を特定し、これらの課題に対処するためにCISAが策定した戦略を分析した。
   
Recommendations 推奨事項
1. The Director of CISA should establish expected completion dates for those phase three tasks that are past their completion dates, with priority given to those tasks critical to mission effectiveness.  1. CISA長官は、ミッションの有効性に重要なタスクを優先して、完了日を過ぎたフェーズ3のタスクの完了予定日を設定すべきである。
2. The Director of CISA should establish an overall deadline for the completion of the transformation initiative.  2. CISA長官は、変革イニシアチブの完了に向けた全体的な期限を設定すべきである。
3. The Director of CISA should establish plans, including time frames, for developing outcome-oriented performance measures to gauge the extent to which the agency's efforts are meeting the goals of the organizational transformation.  3. CISA長官は、CISAの取り組みが組織変革の目標をどの程度達成しているかを測るために、成果重視の業績評価指標を開発するための時間枠を含む計画を確立すべきである。
4. The Director of CISA should collect input to ensure that organizational changes are aligned with the needs of stakeholders, taking into account coordination challenges identified in this report.  4. CISA長官は、本報告書で指摘された調整上の課題を考慮して、組織変更が利害関係者のニーズに沿ったものであることを確認するために、意見を収集すべきである。
5. The Director of CISA should establish processes for monitoring the effects of efforts to reduce fragmentation, overlap, and duplication including identifying potential cost savings.  5. CISA長官は、潜在的なコスト削減の特定を含む、断片化、重複、および重複を削減するための努力の効果を監視するためのプロセスを確立すべきである。
6. The Director of CISA should establish an approach, including time frames, for measuring outcomes of the organizational transformation, including customer satisfaction with organizational changes.  6. CISA長官は、組織変更に対する顧客満足度を含む、組織変更の成果を測定するための時間枠を含むアプローチを確立すべきである。
7. The Director of CISA should develop a strategy for comprehensive workforce planning.  7. CISA長官は、包括的な労働力計画のための戦略を策定すべきである。
8. The Director of CISA should take steps to align the agency's employee performance management system with its organizational changes and associated goals.  8. CISA長官は、CISAの従業員パフォーマンス管理システムを、組織変更と関連する目標に合わせるための措置をとるべきである。
9. The Director of CISA should communicate relevant organizational changes to selected critical infrastructure stakeholders to ensure that these stakeholders know with whom they should be coordinating in CISA's organization.  9. CISA長官は、選択された重要インフラ関係者に関連する組織変更を伝え、これらの関係者がCISAの組織で誰と調整すべきかを確実に知るようにすべきである。
10. The Director of CISA should take steps, with stakeholder input, to determine how critical infrastructure stakeholders should be involved with the development of guidance for their sector.  10. CISA長官は、重要インフラの利害関係者がその分野のガイダンスの策定にどのように関与すべきかを決定するために、利害関係者の意見を聞きながら手順を踏むべきである。
11. The Director of CISA should assess the agency's methods of communicating with its critical infrastructure stakeholders to ensure that appropriate parties are included in distribution lists or other communication channels.  11. CISA長官は、適切な関係者が配布リストや他の通信手段に含まれていることを確認するために、重要インフラの利害関係者とのコミュニケーションの方法を評価すべきである。

|

« NISC サイバーセキュリティ研究・産学官連携戦略 ワーキンググループ最終報告〜研究開発の国際競争力を躍進させる 産学官エコシステムの構築〜 | Main | U.S. GAO 2022年度予算要求「複雑なサイバー・セキュリティの開発をレビューする能力を高める」 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« NISC サイバーセキュリティ研究・産学官連携戦略 ワーキンググループ最終報告〜研究開発の国際競争力を躍進させる 産学官エコシステムの構築〜 | Main | U.S. GAO 2022年度予算要求「複雑なサイバー・セキュリティの開発をレビューする能力を高める」 »