« 日本公認会計士協会 「保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」及びIT委員会研究報告第55号「保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」に係るQ&A」」の公表とIT委員会実務指針第2号「Trustサービスに係る実務指針(中間報告)」 IT委員会実務指針第5号「ITに係る保証業務等の実務指針(一般指針)」等の廃止について | Main | NISTIR 8356 (Draft) デジタルツイン技術と新しい標準に関する考慮事項 »

2021.04.17

U.S. GAO 連邦政府は、ITおよびサイバー関連に年間1,000億ドル(11兆円)以上の投資をしているが、多くは失敗またはパフォーマンスが低く、管理が不十分で、セキュリティ上の弱点がある。

こんにちは、丸山満彦です。

U.S. GAOが、連邦政府は、ITおよびサイバー関連に年間1,000億ドル(11兆円)以上の投資をしているが、多くは失敗またはパフォーマンスが低く、管理が不十分で、セキュリティ上の弱点があると報告していますね。。。

(これに限りませんが)こういうことを全世界に公表できるGAOはすごいし、それを当然と考えている米国民はすごいなぁ、と思います。。。

● U.S. GAO

・2021.04.16 Information Technology and Cybersecurity:Significant Attention Is Needed to Address High-Risk Areas

・[PDF] Highlits

・[PDF] INFORMATION TECHNOLOGY AND CYBERSECURITY: Significant Attention Is Needed to Address High-Risk Areas

20210417-144443

Fast Facts 概要
The federal government spends more than $100 billion on IT and cyber-related investments annually—but many of them have failed or performed poorly, have been poorly managed, and have security weaknesses. 連邦政府は、ITおよびサイバー関連の投資に年間1,000億ドル(10兆円)以上を費やしていますが、その多くが失敗したり、パフォーマンスが低かったり、管理が不十分だったり、セキュリティ上の弱点を抱えています。
Improving IT acquisitions and operations management and ensuring cybersecurity have been on our High Risk List since 2015 and 1997, respectively. We testified that little progress has been made. IT取得・運用管理の改善とサイバーセキュリティの確保は、それぞれ2015年と1997年からハイリスクリストに掲載されています。GAOは、それがほとんど進展していないと証言しました。
The federal government and agencies must take action. For example, the government should develop and execute a comprehensive cybersecurity strategy. 連邦政府と各省庁は対策を講じる必要があります。例えば、政府は、包括的なサイバーセキュリティ戦略を策定し、実行する必要があります。
Agencies have yet to implement many of our critical recommendations in these areas. 各省庁は、これらの分野における我々の重要な提言の多くをまだ実施していません。
   
Highlights ハイライト
What GAO Found GAOの調査結果
In its March 2021 high-risk series update, GAO reported that significant attention was needed to improve the federal government's management of information technology (IT) acquisitions and operations, and ensure the nation's cybersecurity. Regarding management of IT, overall progress in addressing this area has remained unchanged. Since 2019, GAO has emphasized that the Office of Management and Budget (OMB) and covered federal agencies need to continue to fully implement critical requirements of federal IT acquisition reform legislation, known as the Federal Information Technology Acquisition Reform Act (FITARA), to better manage tens of billions of dollars in IT investments. For example: GAOは、2021年3月のハイリスクシリーズの更新で、連邦政府の情報技術(IT)の取得と運用の管理を改善し、国のサイバーセキュリティを確保するために、重要な注意が必要であると報告しました。ITの管理については、全体的な取り組みの進捗状況は変わっていません。2019年以降、GAOは、数百億ドル規模のIT投資をよりよく管理するために、連邦情報技術取得改革法(FITARA)として知られる連邦IT取得改革法の重要な要件を、行政管理予算局(OMB)と対象となる連邦機関が引き続き完全に実施する必要があることを強調してきました。例えば、以下のようなものがあります。
・OMB continued to demonstrate leadership commitment by issuing guidance to implement FITARA statutory provisions, but sustained leadership and expanded capacity were needed to improve agencies' management of IT. ・OMBは、FITARAの法的規定を実施するためのガイダンスを発行し、引き続きリーダーシップを発揮しましたが、各省庁のIT管理を改善するためには、持続的なリーダーシップと能力の拡大が必要でした。
・Agencies continued to make progress with reporting FITARA milestones and plans to modernize or replace obsolete IT investments, but significant work remained to complete these efforts. ・各省庁は、FITARA のマイルストーンの報告や、老朽化した IT 投資の近代化や置き換えの計画について、引き続き進展がありましたが、これらの取り組みを完了させるには大きな課題が残っていました。
・Agencies improved the involvement of their agency Chief Information Officers in the acquisition process, but greater cost savings could be achieved if IT acquisition shortcomings, such as reducing duplicative IT contracts, were addressed. ・各省庁は、取得プロセスにおける省庁の最高情報責任者の関与を改善しましたが、重複するIT契約の削減など、IT取得の欠点に取り組めば、より大きなコスト削減が可能です。
In March 2021, GAO reiterated the need for agencies to address four major cybersecurity challenges facing the nation: (1) establishing a comprehensive cybersecurity strategy and performing effective oversight, (2) securing federal systems and information, (3) protecting cyber critical infrastructure, and (4) protecting privacy and sensitive data. GAO identified 10 actions for agencies to take to address these challenges. However, since 2019, progress in this area has regressed—GAO's 2021 rating of leadership commitment declined from met to partially met. To help address the leadership vacuum, in January 2021, Congress enacted a statute establishing the Office of the National Cyber Director. Although the director position has not yet been filled, on April 12 the President announced his intended nominee. Overall, the federal government needs to move with a greater sense of urgency to fully address cybersecurity challenges. In particular: 2021年3月、GAOは、国家が直面している4つの主要なサイバーセキュリティの課題に各省庁が取り組む必要性を改めて指摘しました。(1)包括的なサイバーセキュリティ戦略の確立と効果的な監督の実行、(2)連邦政府のシステムと情報の保護、(3)サイバー重要インフラの保護、(4)プライバシーと機密データの保護。GAOは、これらの課題に対処するために各機関が取るべき10の行動を特定しました。しかし、2019年以降、この分野での進捗は後退しており、GAOの2021年の評価では、リーダーシップのコミットメントが「満たされている」から「部分的に満たされている」に低下した。リーダーシップの空白に対処するため、2021年1月、議会は国家サイバー長官室を設立する法令を制定しました。局長職はまだ任命されていませんが、4月12日に大統領が候補者を発表しました。全体として、連邦政府は、サイバーセキュリティの課題に完全に対処するために、より大きな緊急性を持って動く必要があります。具体的には
・Develop and execute a more comprehensive federal strategy for national cybersecurity and global cyberspace. In September 2020, GAO reported that the cyber strategy and implementation plan addressed some, but not all, of the desirable characteristics of national strategies, such as goals and resources needed. ・国家的なサイバーセキュリティとグローバルなサイバースペースのための、より包括的な連邦戦略を策定し、実行する。2020年9月、GAOは、サイバー戦略と実行計画は、目標や必要なリソースなど、国家戦略の望ましい特性のすべてではないが、一部に対応していると報告した。
・Mitigate global supply chain risks. In December 2020, GAO reported that few of the 23 civilian federal agencies it reviewed implemented foundational practices for managing information and communication technology supply chain risks. ・グローバルなサプライチェーンのリスクを軽減する。2020年12月、GAOは、レビューした23の文民連邦機関のうち、情報通信技術のサプライチェーンリスクを管理するための基礎的なプラクティスを実施しているところは少ないと報告した。
・Enhance the federal response to cyber incidents. In July 2019, GAO reported that most of 16 selected federal agencies had deficiencies in at least one of the activities associated with incident response processes. ・サイバーインシデントに対する連邦政府の対応を強化する。2019年7月、GAOは、選択した16の連邦機関のほとんどが、インシデント対応プロセスに関連する活動の少なくとも1つに不備があると報告した。
Why GAO Did This Study GAOがこの調査を行った理由
The effective management and protection of IT has been a longstanding challenge in the federal government. Each year, the federal government spends more than $100 billion on IT and cyber-related investments; however, many of these investments have failed or performed poorly and often have suffered from ineffective management. ITを効果的に管理・保護することは、連邦政府の長年の課題となっています。毎年、連邦政府はITやサイバー関連の投資に1,000億ドル以上を費やしていますが、これらの投資の多くは失敗したり、パフォーマンスが低下したりしており、しばしば効果的でない管理に悩まされています。
Accordingly, GAO added improving the management of IT acquisitions and operations as a high-risk area in February 2015. Information security has been on the high-risk area since 1997. In its March 2021 high-risk update, GAO reported that significant actions were required to address IT acquisitions and operations. Further, GAO noted the urgent need for agencies to take 10 specific actions on four major cybersecurity challenges. そのため、GAOは2015年2月に、ITの取得と運用の管理を改善することを高リスク分野として追加しました。情報セキュリティは1997年から高リスク領域に入っています。GAOは、2021年3月のハイリスクアップデートで、ITの取得と運用に対応するために重要なアクションが必要であると報告した。さらにGAOは、サイバーセキュリティの4つの主要な課題について、各機関が10の具体的な行動をとることが急務であると指摘しました。
GAO was asked to testify on federal agencies' efforts to address the management of IT and cybersecurity. For this testimony, GAO relied primarily on its March 2021 high-risk update and selected prior work across IT and cybersecurity topics. GAOは、ITとサイバーセキュリティの管理に対処する連邦政府機関の取り組みについて証言するよう求められました。この証言のために、GAOは主に2021年3月のハイリスク・アップデートと、ITとサイバーセキュリティのトピックにわたる厳選された先行研究に依拠した。 

 

 

■ 関連

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.03.25 U.S. GAO High-Riskシリーズ:連邦政府は主要なサイバーセキュリティの課題に対処するための重要な行動を早急に実施する必要がある

・2021.03.16 U.S. GAO 2022年度予算要求「複雑なサイバー・セキュリティの開発をレビューする能力を高める」

・2021.03.16 U.S. GAO CISAに対して組織変革を確実に遂行するために11の勧告をしたようですね。。。(CISAも同意済み)

・2021.03.08 U.S. GAO 国防省に兵器システムについてサイバーセキュリティ要件を購買プログラム契約で定義し、作業を承認または拒否するための基準と、要件が満たされていることを政府が確認する方法についての基準を確立する必要があると指摘

・2021.03.07 U.S. GAO ハイリスクリスト 2021 (サイバーセキュリティはリスクが高まっているという評価のようです...)

・2020.12.27 U.S. GAO 国防省の15のシステム開発を監査してみて・・・開発手法やセキュリティについてコメント付けてます

・2020.11.21 米国GAOが国防省のJoint Cyber Warfighting Architectureについて相互運用性目標を定義することを推奨していますね。。。

・2020.10.14 米国GAOは連邦航空局がアビオニクスのリスクベースのサイバーセキュリティ監視を強化するための仕組みを入れる必要があると推奨していますね。。。

・2020.09.29 米国GAO が「国家サイバー戦略」の完全実施のためにリーダーシップを明確にするために議会がリーダーを指名するように提案していますね。

・2020.09.24 U.S. GAO サイバー空間安全保証・新興技術局の設立計画の策定に関連する連邦機関を関与させていない

・2020.09.18 米国GAO 財務省は金融セクターのサイバーセキュリティリスク軽減の取り組みについての追跡調査を改善する必要がある

・2020.09.02 米国GAO - FedRAMP-連邦政府機関によるクラウドコンピューティングの安全な利用の確保

・2020.08.19 米国GAO 国土安全保障省と特定の機関は、ネットワーク監視プログラムの実装上の欠点に対処する必要がある

・2020.08.06 US-GAO GAOがOMBにIT管理、サイバーセキュリティの監査結果を伝えていますが結構厳しい・・・

・2020.07.20 US GAO 連邦政府のIT人材のニーズの優先順位付け

2020.06.23 GAO GreenbookとOMB Circular No. A-123

・2020.06.22 US-GAO 米空軍は強化されたエンタープライズリスクマネジメントと内部統制評価を通じてミッションクリティカルな資産に対する説明責任を向上させることができる

・2020.06.05 米国行政管理局(OMB)が2019年度版政府機関のサイバーセキュリティーに関する報告書(FISMAレポート)を公表していますね。。。

・2020.05.17 GAO 重要インフラ保護:国土安全保障省はリスクが高い化学施設のサイバーセキュリティにもっと注意を払え

・2020.04.15 GAO 国防総省はサイバー衛生を改善する必要があるので7つの推奨事項を作ったよ!という報告書

・2020.03.22 GAO CRITICAL INFRASTRUCTURE PROTECTION: Additional Actions Needed to Identify Framework Adoption and Resulting Improvements

・2016.09.20 US GAO "Federal Chief Information Security Officers: Opportunities Exist to Improve Roles and Address Challenges to Authority"

 

 

|

« 日本公認会計士協会 「保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」及びIT委員会研究報告第55号「保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」に係るQ&A」」の公表とIT委員会実務指針第2号「Trustサービスに係る実務指針(中間報告)」 IT委員会実務指針第5号「ITに係る保証業務等の実務指針(一般指針)」等の廃止について | Main | NISTIR 8356 (Draft) デジタルツイン技術と新しい標準に関する考慮事項 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 日本公認会計士協会 「保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」及びIT委員会研究報告第55号「保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」に係るQ&A」」の公表とIT委員会実務指針第2号「Trustサービスに係る実務指針(中間報告)」 IT委員会実務指針第5号「ITに係る保証業務等の実務指針(一般指針)」等の廃止について | Main | NISTIR 8356 (Draft) デジタルツイン技術と新しい標準に関する考慮事項 »