米国連邦議会上院 国土安全保障・政府問題委員会 「アメリカのデータは危険にさらされている」
こんにちは、丸山満彦です。
米国連邦議会上院の国土安全保障・政府問題委員会が「アメリカのデータは危険にさらされている」と報告していますね。。。
● UNITED STATES SENATE COMMITTEE ON HOMELAND SECURITY AND GOVERNMENTAL AFFAIRS
・2021.08.03 Peters Discusses Cybersecurity Priorities with Top Administration Officials
New Report Follows Portman’s 2019 Report Which Documented a Decade of Negligence by Federal Agencies
・[PDF] FEDERAL CYBERSECURITY: AMERICA’S DATA STILL AT RISK
| EXECUTIVE SUMMARY | エグゼクティブ・サマリー |
| FINDINGS AND RECOMMENDATIONS | 調査結果と提言 |
| A. Findings of Fact | A. 事実関係の確認 |
| B. Recommendations | B. 提言 |
| I. BACKGROUND | I. 背景 |
| A. The Federal Information Security Management Act of 2002 | A. 2002年連邦情報セキュリティ管理法 |
| B. The Federal Information Security Modernization Act of 2014 | B. 2014年連邦情報セキュリティ近代化法 |
| 1. NIST’s Cybersecurity Framework | 1. NISTのサイバーセキュリティフレームワーク |
| 2. OMB and DHS Guidance to Agencies for FISMA Compliance | 2. FISMA遵守のための各省庁に対するOMBおよびDHSのガイダンス |
| 3. Oversight of Agency Compliance with FISMA | 3. FISMA に対する各省庁のコンプライアンスの監視 |
| C. The Federal Cybersecurity Enhancement Act of 2015, National Cybersecurity Protection System, and Continuous Diagnostics and Mitigation Program | C. 2015年連邦サイバーセキュリティ強化法、国家サイバーセキュリティ保護システム、および継続的診断・軽減プログラム |
| 1. National Cybersecurity Protection System | 1. 国家サイバーセキュリティ保護システム |
| 2. Continuous Diagnostics and Mitigation | 2. 継続的診断と緩和策 |
| II. CYBERSECURITY VULNERABILITIES ACROSS THE FEDERAL GOVERNMENT | II. 連邦政府におけるサイバーセキュリティ上の脆弱性 |
| A. The Department of Homeland Security | A. 国土安全保障省 |
| B. The State Department | B. 国務省 |
| C. The Department of Transportation | C. 運輸省(The Department of Transportation) |
| D. The Department of Housing and Urban Development | D. 住宅都市開発省(The Department of Housing and Urban Development |
| E. The Department of Agriculture | E. 農務省(The Department of Agriculture |
| F. The Department of Health and Human Services | F. 保健社会福祉省(The Department of Health and Human Services) |
| G. The Department of Education | G. 教育省(The Department of Education |
| H. The Social Security Administration | H. 社会保障庁(Social Security Administration) |
| III. CONCLUSION | III. おわりに |
| EXECUTIVE SUMMARY | エグゼクティブサマリー |
| In June 2019, the Permanent Subcommittee on Investigations (Subcommittee) issued a bipartisan report titled: Federal Cybersecurity: America’s Data at Risk (the 2019 Report). That report highlighted systemic failures of eight key Federal agencies to comply with Federal cybersecurity standards identified by agencies’ inspectors general. The 2019 Report documented how none of these eight agencies met basic cybersecurity standards and protocols, including properly protecting Americans’ personally identifiable information (PII); maintaining a list of the equipment and programs on agency networks; and promptly installing security patches to remediate vulnerabilities that hackers could exploit. The 2019 Report also highlighted that all eight agencies were operating legacy computer systems, which are costly to maintain and difficult to secure. Based on those findings, the Subcommittee determined that these eight Federal agencies were failing to protect the sensitive data they stored and maintained. | 2019年6月、連邦政府のサイバーセキュリティ調査に関する超党派常設小委員会(小委員会)は、「America's Data at Risk(2019年報告書)」と題した報告書を発表しました。その報告書では、主要な8つの連邦機関が、各機関の監察官によって特定された連邦サイバーセキュリティ基準を遵守していないという組織的な失敗が取り上げられました。2019年レポートでは、これら8つの機関が、アメリカ人の個人識別情報(PII)を適切に保護すること、機関のネットワーク上の機器やプログラムのリストを維持すること、ハッカーが悪用する可能性のある脆弱性を修正するためのセキュリティパッチを速やかにインストールすることなど、基本的なサイバーセキュリティの基準やプロトコルを満たしていないことを記録しました。また、8つの機関すべてが、維持費がかかり、安全性の確保が難しいレガシーコンピュータシステムを運用していることも明らかになりました。これらの調査結果に基づき、小委員会は、これら8つの連邦機関が保管・維持している機密データの保護を怠っていると判断しました。 |
| This report revisits those same eight agencies two years later. What this report finds is stark. Inspectors general identified many of the same issues that have plagued Federal agencies for more than a decade. Seven agencies made minimal improvements, and only DHS managed to employ an effective cybersecurity regime for 2020. As such, this report finds that these seven Federal agencies still have not met the basic cybersecurity standards necessary to protect America’s sensitive data. | 今回の報告書では、2年後に同じ8つの機関を再調査しました。今回の報告書で判明したことは明白です。 監察官は、10年以上にわたって連邦政府機関を悩ませてきた同じ問題の多くを指摘しました。7つの機関は最小限の改善しか行っておらず、2020年に向けて効果的なサイバーセキュリティ体制を採用できたのはDHSのみでした。このように、本報告書では、これら7つの連邦機関が、米国の機密データを保護するために必要な基本的なサイバーセキュリティ基準をいまだに満たしていないことを明らかにしています。 |
| * * * * * * * * * * * | * * * * * * * * * * * |
| The current state of cyber espionage. In the past two years, state-sponsored hackers have perpetrated some of the largest and most damaging cyber-attacks in our history. In December 2020, we learned that the Russian Foreign Intelligence Service used a sophisticated supply chain vulnerability to corrupt a security patch for SolarWinds network management software. This allowed hackers to infiltrate nine Federal agencies, including DHS, State, Energy, and Treasury. Russia’s cyber-spies remained undetected in those Federal agencies’ systems for at least nine months. The Federal Government only became aware of the attack after it was discovered by a private cybersecurity firm, FireEye, which was also breached. The Federal Government is still working to understand exactly what information and data Russia accessed during those nine months. | サイバースパイの現状:過去2年間で、国家が支援するハッカーは、我々の歴史の中で最大かつ最も損害を与えるサイバー攻撃を行ってきました。2020年12月には、ロシア対外情報庁が高度なサプライチェーンの脆弱性を利用して、ネットワーク管理ソフトウェア「SolarWinds」のセキュリティパッチを破損させたことが判明しました。これにより、ハッカーは国土安全保障省、国務省、エネルギー省、財務省など9つの連邦機関に侵入することができました。 ロシアのサイバースパイは、少なくとも9ヶ月間、これらの連邦機関のシステムに検知されないままでした。連邦政府がこの攻撃に気づいたのは、同じく侵入された民間のサイバーセキュリティ企業であるFireEye社が発見した後でした。連邦政府は、この9カ月間にロシアがどのような情報やデータにアクセスしたのかを正確に把握しようとしています。 |
| In April 2021, we learned Chinese hackers breached multiple Federal agencies through a vulnerability in a widely used remote access product called Pulse Connect Secure. A Chinese state-sponsored hacking group exploited vulnerabilities in Pulse Connect Secure products allowing hackers to bypass passwords and multifactor authentication to access agencies’ data. | 2021年4月、中国のハッカーが、「Pulse Connect Secure」という広く使われているリモートアクセス製品の脆弱性を利用して、複数の連邦政府機関に侵入したことが分かりました。中国の国家支援を受けたハッキンググループは、Pulse Connect Secure製品の脆弱性を悪用し、ハッカーがパスワードや多要素認証を回避して機関のデータにアクセスできるようにしました。 |
| These were just two of the most damaging attacks. Indeed, for 2020, the White House reported 30,819 information security incidents across the Federal Government—an 8 percent increase from the prior year. | これらは、最も被害の大きかった2つの攻撃に過ぎません。実際、2020年のホワイトハウスの報告によると、連邦政府全体で30,819件の情報セキュリティインシデントが発生しており、これは前年から8%増加しています。 |
| The 2019 Subcommittee Report. It was no surprise that Federal agencies fell victim to these cyber-attacks. In June 2019, the Subcommittee reported the failures of eight Federal agencies to comply with basic cybersecurity standards. The 2019 Report analyzed a decade (2008–2018) of inspector general audit reports evaluating compliance with Federal statutory cybersecurity standards for eight agencies: the Departments of (1) Homeland Security (DHS); (2) State (State); (3) Transportation (DOT); (4) Housing and Urban Development (HUD); (5) Agriculture (USDA); (6) Health and Human Services (HHS); (7) Education (ED); and (8) the Social Security Administration (SSA). | 2019年の小委員会報告書:連邦政府機関がこれらのサイバー攻撃の犠牲になるのは当然のことでした。2019年6月、小委員会は8つの連邦機関が基本的なサイバーセキュリティ基準を遵守していないことを報告しました。2019年レポートでは、(1)国土安全保障省(DHS)、(2)国務省(State)、(3)運輸省(DOT)、(4)住宅都市開発省(HUD)、(5)農務省(USDA)、(6)保健社会福祉省(HHS)、(7)教育省(ED)、(8)社会保障庁(SSA)の8つの機関について、連邦法定のサイバーセキュリティ基準の遵守を評価した10年間(2008年~2018年)の監察官監査報告書を分析しました。 |
| The 2019 Report found similar vulnerabilities identified by inspectors general across the eight agencies. In short, inspectors general found: | 2019年の報告書では、8つの機関で監察官が指摘した同様の脆弱性が発見されました。つまり、監察官は次のことを発見していました。 |
| (1) Seven agencies failed to provide for the adequate protection of PII. | (1) 7機関が、PIIの適切な保護を規定していなかった。 |
| (2) Five agencies failed to maintain accurate and comprehensive IT asset inventories. | (2) 5機関が、正確かつ網羅的なIT資産目録を維持できなかった。 |
| (3) Six agencies failed to timely install security patches and other vulnerability remediation actions designed to secure the application. | (3) 6機関が、アプリケーションの安全性を確保するために設計されたセキュリティパッチやその他の脆弱性是正措置を適時にインストールしていなかった。 |
| (4) All eight agencies used legacy systems or applications that are no longer supported by the vendor with security updates resulting in cyber vulnerabilities for the system or application. | (4) 8機関すべてが、ベンダーによるセキュリティアップデートのサポートが終了したレガシーシステムまたはアプリケーションを使用していたため、システムまたはアプリケーションにサイバー脆弱性が生じていた。 |
| Two years later, seven agencies still fail at effectively securing data. In 2021, the Committee sought to determine if the eight agencies made any advancements in their cybersecurity posture over the past two years. Just as before, the Committee reviewed the annual audit findings by the eight agencies’ inspectors general for fiscal year 2020. While several of the agencies made minimal improvements in one or more areas, inspectors general found essentially the same failures as the prior 10 years. Only DHS had an effective cybersecurity program for 2020; every other agency failed to implement an effective cybersecurity program. | 2年経った今でも、7機関が効果的なデータ保護に失敗しています。2021年、当委員会は、8機関が過去2年間でサイバーセキュリティの態勢に何か進歩があったかどうかを確認しようとしました。前回と同様に、委員会は8機関の監察官による2020年度の年次監査結果を確認しました。いくつかの機関は1つまたは複数の分野で最小限の改善を行ったものの、監察官は過去10年間と基本的に同じ失敗を発見しました。2020年に向けて効果的なサイバーセキュリティプログラムを実施していたのはDHSのみで、他のすべての機関は効果的なサイバーセキュリティプログラムを実施できていませんでした。 |
| This has not always been the case for DHS. In FY 2019—the most recent FISMA report available for the Committee to review—the DHS Inspector General assigned the lowest possible rating to DHS for three of the five areas reviewed. To be clear, in FY 2019 the agency responsible for implementing cybersecurity standards across the Federal Government received a failing grade for its own cybersecurity posture. As an example, the DHS Inspector General identified 26 “high vulnerabilities” at three DHS components because it had not applied security patches. High vulnerabilities are considered entry points for hackers to breach an agency’s network and significantly impact operations. The DHS IG has identified the failure to properly apply security patches at DHS for the last 12 years. | これは、DHSにとって常にそうだったわけではありません。委員会がレビューできる最新のFISMAレポートである2019年度に、DHS監察官は、レビューした5つの分野のうち3つの分野でDHSに最低の評価を与えました。2019年度には、連邦政府全体のサイバーセキュリティ基準を実施する責任を負う機関が、自らのサイバーセキュリティ態勢に対して不合格の評価を受けたのです。一例として、DHS監察官は、セキュリティパッチを適用していなかったため、DHSの3つのコンポーネントで26の「高脆弱性」を確認しました。高脆弱性は、ハッカーが機関のネットワークに侵入し、業務に大きな影響を与える入口とみなされます。DHS IGは、過去12年間にわたり、DHSでセキュリティパッチが適切に適用されていないことを指摘しています。 |
| Other concerning findings from the FY 2020 inspector general audits include: | 2020年度の監察官監査で判明したその他の気になる点は以下の通りです。 |
| • The State Department could not provide documentation for 60 percent of the sample employees tested who had access to the agency’s classified network and left thousands of accounts active after an employee left the agency for extended periods of time on both its classified and unclassified networks. | ・ 国務省は、テストしたサンプルの従業員のうち60%が省庁の機密ネットワークにアクセスでき、従業員が省庁を離れた後も、機密ネットワークと非機密ネットワークの両方で何千ものアカウントを長期間にわたって有効なままにしていたことについて、文書を提供できませんでした。 |
| • The Department of Transportation (DOT) Inspector General found 14,935 IT assets belonging to the Department, including 7,231 mobile devices, 4,824 servers, and 2,880 workstations of which the Department had no record. | ・運輸省(DOT)の監察官は、同省に帰属する14,935件のIT資産を発見しました。その中には、同省が記録を残していない7,231台のモバイル機器、4,824台のサーバー、2,880台のワークステーションが含まれていました。 |
| • The Department of Housing and Urban Development (HUD) Inspector General found unauthorized “shadow IT” on the agency’s network that the agency “may not learn of the existence of . . . until it fails or is breached.” | ・住宅都市開発省(HUD)の監察官は、同省のネットワーク上に未承認の「シャドーIT」が存在していることを発見しましたが、これは「障害や侵入が発生するまでその存在を知ることができない」ものでした。 |
| • The Department of Agriculture (USDA) Inspector General found a significant number of high vulnerabilities on the agency’s public facing websites that were unknown to the agency. | ・農務省(USDA)の監察官は、同省が公開しているウェブサイトに、同省が把握していない高い脆弱性が相当数存在することを発見しました。 |
| • Two components at the Department of Health and Human Services (HHS) had not fully implemented DHS’s flagship cybersecurity programs—a cyber-intrusion detection system known as “EINSTEIN” that identifies known threats to the network and has been required by law for five years, and a program called Continuous Diagnostics and Mitigation, which the Department asserted it could not force its subordinate components to implement. | ・保健社会福祉省(HHS)の2つの部門では、DHSの主要なサイバーセキュリティプログラムが完全に実施されていませんでした。そのプログラムとは、ネットワークに対する既知の脅威を特定する「EINSTEIN」と呼ばれるサイバー侵入検知システムで、法律で5年間の実施が義務付けられています。また、「継続的診断と軽減」と呼ばれるプログラムは、同省が下位の部門に実施を強制することはできないと主張しています。 |
| • In a test of the Department of Education’s security, the Inspector General was able to exfiltrate hundreds of sensitive PII files, including 200 credit card numbers without the agency detecting or blocking it. | ・ 教育省のセキュリティをテストしたところ、監察官は、教育省が検知したりブロックしたりすることなく、200件のクレジットカード番号を含む数百件の機密PIIファイルを持ち出せることができました。 |
| • Auditors found SSA did not sufficiently protect PII or apply appropriate access management controls—this includes the failure to implement several requirements in the Federal Cybersecurity Enhancement Act of 2015. | ・社会保険庁(SSA)がPIIを十分に保護しておらず、適切なアクセス管理を適用していないことを監査役が発見しました。これには、2015年の連邦サイバーセキュリティ強化法のいくつかの要件を実施していないことが含まれています。 |
| At least seven of the eight agencies still operated unsupported legacy systems. Only one agency’s inspector general did not cite it for continuing to operate legacy information technology in FY 2020, HHS, and the Government Accountability Office has historically noted at least three legacy systems at HHS, including its Medicare Beneficiary Enrollment system. | また、8つの機関のうち少なくとも7つの機関が、サポートされていないレガシーシステムを依然として運用していました。監察官が2020年度もレガシー情報技術を運用しているとして指摘しなかったのはHHSのみであり、政府説明責任局はこれまでもHHSにおいてメディケア受益者登録システムを含む少なくとも3つのレガシーシステムを指摘してきた。 |
| The inspectors general each assigned a rating to their respective agencies’ cybersecurity practices. A rating of 1 is the lowest, which this report defines as an “F.” A rating of 5 is the highest, defined in the report as an “A.” HUD, USDA, and HHS received Cs. State, DOT, Education, and SSA all received Ds. The highest grade received was a B, awarded to DHS. | 各監察官は、それぞれの機関のサイバーセキュリティ対策に評価をつけた。評価1は最低で、本レポートでは "F "と定義しています。5は最高評価で、本報告書では「A」と定義しています。HUD、USDA、HHSは「C」。HUD、USDA、HHSは「C」、State、DOT、Education、SSAは「D」となりました。最も高い評価を受けたのは、DHSの「B」でした。 |
| It is clear that the data entrusted to these eight key agencies remains at risk. As hackers, both state-sponsored and otherwise, become increasingly sophisticated and persistent, Congress and the executive branch cannot continue to allow PII and national security secrets to remain vulnerable. | これら8つの主要機関に託されたデータが依然として危険にさらされていることは明らかです。国が関与しているか否かにかかわらず、ハッカーがますます巧妙かつ執拗になる中、議会と行政府は、個人情報や国家安全保障上の秘密が脆弱なままであることを許し続けることはできません。 |
FISMAレポートについては、こちらにまとめています。。。
● まるちゃんの情報セキュリティ気まぐれ日記
・2020.06.05 米国行政管理局(OMB)が2019年度版政府機関のサイバーセキュリティーに関する報告書(FISMAレポート)を公表していますね。。。
OIGについては、こちらにまとめています。。。
・2021.04.03 U.S. Office of Inspectors General(連邦監察官室)
ぜひ見ておいてくださいませ。。。
Comments