« U.S. CISA 偽情報・誤情報の脅威とその対応方法についての(いかにもアメリカンな)漫画 | Main | ISACA, AICPA&CIMAが共同でブロックチェーンのリスクに関する白書を公開していますね。。。 »

2021.05.04

米国 OMB FISMA Report 2020

こんにちは、丸山満彦です。

米国行政管理局(OMB)が2020年度版政府機関のサイバーセキュリティーに関する報告書(FISMAレポート)を公表していますね。。。

ポイントは次の3つということのようです...

  1. 2020年度には30,819件のインシデントが報告され(前年比8%増)、そのうち6件が重大インシデントとして報告された。
  2. 各省庁は、利用可能なサイバー衛生対策の改善を引き続き示しているが、さらなる努力が必要である。
  3. COVID-19パンデミックの際、各省庁はテレワークへの移行に迅速かつ安全に対応することができた。

 

● OMB

・ 2021.05.02 [PDF] Federal Information Security Modernizaion Act of 2014 - Annual Report to Congress Fiscal Year 2020 

20220113-42100

 

Executive Summary: The State of Federal Cybersecurity エグゼクティブサマリー:連邦政府のサイバーセキュリティの現状
Section I: Federal Cybersecurity Activities I章: 連邦政府のサイバーセキュリティ活動
A.  Roles and Responsibilities A. 役割と責任
B.  Programs and Policy Areas B. プログラムと政策分野
Section II: Federal Cybersecurity Reporting and Analysis II章: 連邦政府のサイバーセキュリティに関する報告と分析
A.  Improvements in Cybersecurity Hygiene A. サイバーセキュリティの衛生状態の改善
B.  Response to the COVID-19 Emergency B. COVID-19緊急事態への対応
C.  FY 2020 Information Security Incidents C. 2020年度情報セキュリティインシデント
D.  Cybersecurity Risk Management D. サイバーセキュリティのリスク管理
Section III: Senior Agency Official for Privacy (SAOP) Performance Measures III章:プライバシー担当上級職員(SAOP)のパフォーマンス指標
A.  Senior Agency Officials for Privacy (SAOPs) and Privacy Programs A. プライバシー担当上級職員(SAOP)とプライバシープログラム
B.  Personally Identifiable Information and Social Security Numbers B. 個人識別情報と社会保障番号
C.  Privacy and the Risk Management Framework C. プライバシーとリスクマネジメントフレームワーク
D.  Information Technology Systems and Investment D. 情報技術システムと投資
E.  Privacy Impact Assessments E. プライバシー影響評価
F.  Workforce Management F.  労働力管理
G.  Breach Response and Privacy G. 情報漏えい対策とプライバシー
Appendix I: Agency Cybersecurity Performance Summaries 附属書I: 各省庁のサイバーセキュリティパフォーマンス要約
Appendix II: Commonly Used Acronyms 附属書II:一般的に使用される略語

 

 

Executive Summary: The State of Federal Cybersecurity  エグゼクティブサマリー:連邦政府のサイバーセキュリティの現状 
Cybersecurity remains a significant challenge in the Federal Information Technology (IT) landscape. In December 2020, it was discovered that a sophisticated supply chain attack was used to gain access to a large number of information systems across several Federal Government agencies and U.S.-based companies. Commonly associated with the SolarWinds software that was among those exploited, this protracted attack was perpetrated by wellresourced actors spanning several months and is one of many reasons that the President has made cybersecurity one of the top priorities of his Administration. These events serve as a reminder that the Federal Government must continually invest in defensive capabilities in order to reduce the impact of cybersecurity incidents on our Nation.   サイバーセキュリティは、連邦政府の情報技術(IT)の状況において、依然として大きな課題となっています。2020年12月、高度なサプライチェーン攻撃を利用して、複数の連邦政府機関および米国に拠点を置く企業の多数の情報システムへのアクセスが行われたことが判明しました。一般的には、SolarWinds社のソフトウェアが悪用されたと考えられていますが、この長期にわたる攻撃は、十分なリソースを持った関係者によって数ヶ月間にわたって行われたものであり、大統領がサイバーセキュリティを政権の最優先事項の一つとしている理由の一つでもあります。これらの出来事は、連邦政府がサイバーセキュリティインシデントによる国家への影響を軽減するために、継続的に防御能力に投資しなければならないことを思い出させてくれます。 
Agencies reported 30,819 cybersecurity incidents in fiscal year (FY) 2020, an 8% increase over the 28,581 incidents that agencies reported in FY 2019. This trend highlights the everincreasing threats within the digital landscape and the need for the Federal Government to take action to reduce the impact of cybersecurity incidents. With respect to this same time period, agencies reported six major incidents to the Office of Management and Budget (OMB), Cybersecurity and Infrastructure Security Agency (CISA), and Congress. The incidents covered in this document were reported to CISA during FY 2020, which spans October 1, 2019 to September 30, 2020. Incidents related to the compromise of SolarWinds software are not directly covered in this report because they were first reported in December 2020, after the FY 2020 reporting period. Those incidents, for which facts continue to evolve, will be more directly addressed in the FY 2021 FISMA report.   2020年度に各省庁が報告したサイバーセキュリティインシデントは30,819件で、2019年度に各省庁が報告した28,581件に比べて8%増加しました。この傾向は、デジタルランドスケープ内の脅威がますます増大していることと、サイバーセキュリティインシデントの影響を軽減するために連邦政府が対策を講じる必要があることを浮き彫りにしています。この同時期に関して、各機関は6つの主要なインシデントを行政管理予算局(OMB)、サイバーセキュリティ・重要インフラセキュリティ庁(CISA)、および議会に報告しました。本書で取り上げるインシデントは、2019年10月1日から2020年9月30日までの期間である2020年度にCISAに報告されたものです。SolarWindsソフトウェアの侵害に関連するインシデントは、2020年度の報告期間後の2020年12月に初めて報告されたため、本報告書では直接取り上げていません。これらのインシデントは、事実関係が引き続き進展しているため、2021年度のFISMA報告書でより直接的に取り上げられる予定です。 
The coronavirus disease 2019 (COVID-19) pandemic National emergency was also a significant factor in information security during FY 2020. This report highlights successful agency efforts during FY 2020 to rapidly transition the Federal enterprise to a telework posture during the ongoing pandemic.  コロナウイルス病2019(COVID-19)パンデミック国家緊急事態は、2020年度の情報セキュリティにおいても重要な要因となりました。本報告書では、現在進行中のパンデミック中に、連邦企業をテレワーク態勢に迅速に移行させるために、2020年度に成功した各省庁の取り組みを紹介しています。
Due to the consistency in reporting metrics between FY 2017 and FY 2020, this report is able to demonstrate the longterm improvement of cybersecurity hygiene across the Federal Government. This report also highlights Government-wide programs and initiatives as well as agencies’ progress to enhance Federal cybersecurity over the past year; however, the work of cybersecurity is never done, as adversaries constantly evolve and so must the defenders. Included in this report are a series of findings and actions for the Administration derived from data collected from departments and agencies.   2017年度と2020年度の間で報告指標が一貫しているため、本報告書では、連邦政府全体のサイバーセキュリティ衛生状態が長期的に改善されていることを示すことができます。また、本報告書では、政府全体のプログラムやイニシアチブ、および各省庁の過去1年間の連邦サイバーセキュリティ強化の進捗状況を紹介しています。しかし、敵対者は常に進化しており、防御側も同様に進化しなければならないため、サイバーセキュリティの仕事に終わりはありません。本報告書では、各省庁から収集したデータをもとに、行政機関に対する一連の所見と行動をまとめています。 
In addition to the focus on cybersecurity, this report offers insight into agencies’ privacy performance through their responses to Senior Agency Official for Privacy (SAOP) metrics. While privacy and cybersecurity are independent and separate disciplines, coordination between them is critical to agencies’ efforts to protect the information entrusted to them.  本報告書では、サイバーセキュリティに加えて、SAOP(Senior Agency Official for Privacy:プライバシー担当上級職員)メトリクスに対する各省庁の回答を通じて、各省庁のプライバシーに関するパフォーマンスについても考察しています。プライバシーとサイバーセキュリティは独立した別個の分野ですが、各省庁が委託された情報を保護するためには、両者の連携が不可欠です。
FY 2020 Report Key Takeaways:  2020年度報告書の主なポイント 
・30,819 incidents were reported in FY 2020 (8% increase over previous year), six of which were reported as major incidents.  ・2020年度には30,819件のインシデントが報告され(前年比8%増)、そのうち6件が重大インシデントとして報告された。
・Agencies continue to show improvements in available cyber hygiene measures; however, more work is necessary.  ・各省庁は、利用可能なサイバー衛生対策の改善を引き続き示しているが、さらなる努力が必要である。
・Agencies were able to quickly and   securely respond to the shift to telework during the COVID-19 pandemic.  ・COVID-19パンデミックの際、各省庁はテレワークへの移行に迅速かつ安全に対応することができた。

 

セキュリティインシデントの状況

NCISSのプライオリティレベル  FY 2019  FY 2020 
未分類
NCISS優先度を提供するために十分な情報が収集されなかったインシデント。
471 177
ベースライン - 無視できる (White)
国民の健康や安全、国家安全保障、経済安全保障、外交関係、市民的自由、国民の信頼に影響を与える可能性が極めて低い。しかし、影響を与える可能性は存在し、さらなる精査が必要である。
19,850 19,039
ベースライン - マイナー (Blue)
国民の健康や安全、国家安全保障、経済安全保障、外交関係、市民的自由、社会的信頼に影響を与える可能性は極めて低い。
7,316 10,765
低 (Green)
国民の健康や安全、国家安全保障、経済安全保障、対外関係、市民的自由、社会的信頼に影響を与える可能性が低い。 
938 831
中 (Yellow)
国民の健康や安全、国家安全保障、経済安全保障、外交関係、市民的自由、社会的信頼に影響を与える可能性がある。
6 7
高 (Orange)
国民の健康や安全、国家安全保障、経済安全保障、外交関係、市民的自由、社会的信頼に実証可能な影響をもたらす可能性が高い。
0 0
重大 (Red)
国民の健康や安全、国家安全保障、経済安全保障、外交関係、市民的自由に重大な影響を与える可能性が高い。
0 0
緊急事態 (Black)
広範な重要インフラサービスの提供、国家政府の安定、または米国人の生命に差し迫った脅威をもたらす。
0 0
合計  28,581 30,819

 

 


FISMAの評価指標等はCISAのページにあります。。。

CISA

FEDERAL INFORMATION SECURITY MODERNIZATION ACT

 

 

■ このブログ

・2020.06.05 米国行政管理局(OMB)が2019年度版政府機関のサイバーセキュリティーに関する報告書(FISMAレポート)を公表していますね。。。

2011.05.29 NIST 2010 Computer Security Division Annual Report

2009.12.25 連邦機関による年次FISMAレポートのメトリックに関するコメントを要求するOMB

2009.05.08 GAO GAO Federal Information System Controls Audit Manual(FISCAM)

・2008.05.23 米国政府 セキュリティ評価関係 2007(2) 総合評価はC <= C-

・2008.04.15 米国政府 セキュリティ評価関係 2007

・2007.06.14 米国会計検査院 連邦政府機関の情報セキュリティ管理は依然として不十分

・2007.04.15 米国政府 情報セキュリティ通知簿2006

・2007.04.01 米国政府 セキュリティ評価関係

・2006.03.18 米国政府 情報セキュリティ通知簿2005 2

・2006.03.18 米国政府 OMB Releases Annual FISMA Report

・2006.03.17 米国政府 情報セキュリティ通知簿2005

・2005.02.23 米国政府 情報セキュリティ通知簿2

・2005.02.23 米国政府 情報セキュリティ通知簿

2004.12.08 国家セキュリティ体制 米国の状況・・・

 

-----

・報告書 [Downloded]

 

|

« U.S. CISA 偽情報・誤情報の脅威とその対応方法についての(いかにもアメリカンな)漫画 | Main | ISACA, AICPA&CIMAが共同でブロックチェーンのリスクに関する白書を公開していますね。。。 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« U.S. CISA 偽情報・誤情報の脅威とその対応方法についての(いかにもアメリカンな)漫画 | Main | ISACA, AICPA&CIMAが共同でブロックチェーンのリスクに関する白書を公開していますね。。。 »