米国 GAO サイバーセキュリティ：国の重要インフラをより良く保護するための連邦政府の行動が緊急に求められている

こんにちは、丸山満彦です。

米国のGAOがサイバーセキュリティ：国の重要インフラをより良く保護するための連邦政府の行動が緊急に求められているという報告書を公表していますね。。。

CISAの権限が高まっていくと同時に、GAOからの業務改善の指摘がでてくることで、バランスが取れるという側面もあるのでしょうね。。。

権威主義陣営ではなく、民主主義陣営に加わるというのであれば、議会ももちろんそうですが、米国のこういう仕組みは参考にすべきかもしれません。ちなみに、米国のGAOは１００周年ですが、GAOより、日本の会計検査院のほうが歴史は長いです。。。

● GAO

・2021.12.02 Cybersecurity:Federal Actions Urgently Needed to Better Protect the Nation's Critical Infrastructure

Cybersecurity:Federal Actions Urgently Needed to Better Protect the Nation's Critical Infrastructure	サイバーセキュリティ：国の重要インフラをより良く保護するための連邦政府の行動が緊急に求められている
Fast Fact	ポイント
Recent events—including the ransomware attack on a major U.S. fuel pipeline—illustrate the need to strengthen the cybersecurity of the nation's critical infrastructure.	米国の主要な燃料パイプラインに対するランサムウェアの攻撃を含む最近の出来事は、国家の重要インフラのサイバーセキュリティを強化する必要性を明示しています。
We testified on the need for the federal government to develop and execute a comprehensive national cyber strategy, and to strengthen the role that it plays in protecting the cybersecurity of critical infrastructure. Ensuring the cybersecurity of the nation is on our High Risk List, and we have urged federal agencies to act on it.	私たちは、連邦政府が包括的な国家サイバー戦略を策定・実行し、重要インフラのサイバーセキュリティを守るために果たす役割を強化する必要性について証言しました。国家のサイバーセキュリティを確保することは、我々のハイリスクリストに入っており、連邦政府機関に行動を起こすよう促しています。
If the federal government doesn't act with greater urgency, the security of our nation's critical infrastructure will be in jeopardy.	連邦政府がより緊急に行動しなければ、国の重要インフラのセキュリティは危険にさらされます。
High Lights	要約
What GAO Found	GAOの調査結果
GAO has previously reported on major cybersecurity challenges facing the nation and the critical federal actions needed to address them (see figure).	GAOはこれまでに、国家が直面している主要なサイバーセキュリティの課題と、それらに対処するために必要な連邦政府の重要な行動について報告しています（図参照）。
Four Major Cybersecurity Challenges and 10 Associated Critical Actions	4つの主要なサイバーセキュリティの課題とそれに関連する10の重要な行動
To address critical infrastructure cybersecurity, key actions the federal government needs to take include (1) developing and executing a comprehensive national cyber strategy and (2) strengthening the federal role in protecting the cybersecurity of critical infrastructure.	重要インフラのサイバーセキュリティに対処するために、連邦政府が取るべき重要な行動は、（1）包括的な国家サイバー戦略の策定と実行、（2）重要インフラのサイバーセキュリティを保護する連邦政府の役割の強化、です。
Develop and execute a comprehensive national cyber strategy. In September 2020, GAO reported that the White House's 2018 National Cyber Strategy and related implementation plan addressed some, but not all, of the desirable characteristics of national strategies, such as goals and resources. GAO also reported that it was unclear which official within the executive branch ultimately maintained responsibility for coordinating the execution of the National Cyber Strategy. Accordingly, GAO recommended that the National Security Council update the cybersecurity strategy and for Congress to consider legislation to designate a position in the White House to lead such an effort.	包括的な国家サイバー戦略の策定と実行 2020年9月、GAOは、ホワイトハウスの2018年国家サイバー戦略とそれに関連する実行計画は、目標やリソースなどの国家戦略の望ましい特徴の一部には対応しているが、すべてではないと報告しました。また、GAOは、国家サイバー戦略の実行を調整する責任を最終的に維持する行政府内の担当者が不明であると報告しました。そのため、GAOは、国家安全保障会議がサイバーセキュリティ戦略を更新すること、および議会がホワイトハウス内にそのような取り組みを主導する役職を指定するための法案を検討することを提言しました。
In January 2021, a federal statute established the Office of the National Cyber Director within the Executive Office of the President. In June 2021, the Senate confirmed a Director to lead this new office. In October 2021, the National Cyber Director issued a strategic intent statement, outlining a vision for the Director's planned high-level lines of efforts. The establishment of a National Cyber Director is an important step toward positioning the federal government to better direct activities to address the nation's cyber threats. Nevertheless, GAO's recommendation to develop and execute a comprehensive national cyber strategy is not yet fully implemented. As a result, a pressing need remains to provide a clear roadmap for addressing the cyber challenges facing the nation, including its critical infrastructure.	2021年1月、連邦法により、大統領執行部内に国家サイバー長官室が設置されました。2021年6月、上院は、この新しいオフィスを率いる長官を承認しました。2021年10月、国家サイバー長官は戦略的意図声明を発表し、長官が計画しているハイレベルな取り組みのビジョンを明らかにしました。国家サイバー長官の設置は、連邦政府が国家のサイバー脅威に対処するための活動をより適切に指揮するための重要なステップです。とはいえ、包括的な国家サイバー戦略を策定・実行するというGAOの提言は、まだ完全には実施されていません。そのため、重要インフラを含む国家が直面しているサイバー課題に対処するための明確なロードマップを提供することが急務となっている。
Strengthen the federal role in protecting the cybersecurity of critical infrastructure. Pursuant to legislation enacted in 2018, the Cybersecurity and Infrastructure Security Agency (CISA) within the Department of Homeland Security (DHS) was charged with responsibility for, among other things, enhancing the security of the nation's critical infrastructure in the face of both physical and cyber threats. In March 2021, GAO reported that DHS needed to complete key activities related to the transformation of CISA, including finalizing the agency's mission-essential functions and completing workforce planning activities. GAO also reported that DHS needed to address challenges identified by selected critical infrastructure stakeholders, including having consistent stakeholder involvement in the development of related guidance (see figure). Accordingly, GAO made 11 recommendations to DHS. As of November 2021, DHS had not yet implemented them, though it stated its intent to do so.	重要インフラのサイバーセキュリティを守るための連邦政府の役割を強化する。 2018年に制定された法律に従い、国土安全保障省（DHS）内のサイバーセキュリティ・インフラセキュリティ庁（CISA）は、物理的な脅威とサイバー的な脅威の両方に直面している国の重要インフラのセキュリティを強化することなどの責任を負っていました。2021年3月、GAOは、DHSがCISAの変革に関連する主要な活動を完了させる必要があると報告した。これには、CISAのミッション必須機能の最終決定や、労働力計画活動の完了が含まれる。また、GAOは、関連ガイダンスの策定にステークホルダーが一貫して関与することなど、特定の重要インフラのステークホルダーが指摘する課題にDHSが取り組む必要があると報告した（図参照）。したがって、GAOはDHSに対して11の提言を行った。2021年11月現在、DHSはそれらを実施する意向を表明しているものの、まだ実施していない。
Cybersecurity and Infrastructure Security Agency (CISA) Coordination Challenges Reported by Stakeholders Representing the 16 Critical Infrastructure Sectors	重要インフラ16部門を代表するステークホルダーが報告したサイバーセキュリティ・インフラセキュリティ庁（CISA）の調整の課題
Regarding specific critical infrastructure sectors, since 2010 GAO has made about 80 recommendations to enhance the cybersecurity of these sectors and subsectors, including within the aviation and pipeline industries. In October 2020, GAO reported that, although the Federal Aviation Administration had established a process for certification and oversight of U.S. commercial airplanes, it had not prioritized risk-based cybersecurity oversight or included periodic testing as part of its monitoring process, among other things. In July 2021, GAO testified that the Transportation Security Administration had not fully addressed pipeline cybersecurity-related weaknesses that GAO had previously identified, such as aged protocols for responding to pipeline security incidents. Until GAO's recommendations to address issues such as these are fully implemented, federal agencies will not be effectively positioned to ensure critical infrastructure sectors are adequately protected from potentially harmful cybersecurity threats.	特定の重要インフラ部門に関して、GAOは2010年以降、航空業界やパイプライン業界を含むこれらの部門やサブセクターのサイバーセキュリティを強化するために約80件の提言を行っています。2020年10月、GAOは、連邦航空局が米国の民間航空機の認証と監視のためのプロセスを確立していたものの、リスクベースのサイバーセキュリティの監視に優先順位をつけていなかったり、定期的なテストを監視プロセスの一部に含めていなかったりすることなどを報告しました。2021年7月、GAOは、パイプラインのセキュリティ事故に対応するプロトコルの老朽化など、GAOが以前に指摘したパイプラインのサイバーセキュリティ関連の弱点に、運輸保安局が十分に対処していないことを証言しました。これらのような問題に対処するためのGAOの提言が完全に実施されるまでは、連邦政府機関は、重要なインフラ部門が潜在的に有害なサイバーセキュリティの脅威から適切に保護されていることを保証するための効果的な立場にはないでしょう。
Why GAO Did This Study	GAOがこの調査を行った理由
Federal agencies and the nation's critical infrastructure—such as transportation systems, energy, communications, and financial services—are dependent on information technology systems to carry out operations. The security of these systems and the data they use is vital to public confidence and national security, prosperity, and well-being.	連邦政府機関や、交通システム、エネルギー、通信、金融サービスなどの国の重要インフラは、業務を遂行するために情報技術システムに依存しています。これらのシステムとそれらが使用するデータのセキュリティは、国民の信頼と国家の安全、繁栄、幸福にとって不可欠です。
GAO first designated information security as a government-wide high-risk area in 1997. This was expanded to include protecting (1) cyber critical infrastructure in 2003 and (2) the privacy of personally identifiable information in 2015.	GAOは、1997年に初めて情報セキュリティを政府全体の高リスク分野に指定しました。これを拡大して、2003年には（1）サイバー重要インフラストラクチャの保護、2015年には（2）個人を特定できる情報のプライバシーの保護が含まれるようになりました。
In 2018, GAO reported that the federal government needed to address four major cybersecurity challenges: (1) establishing a comprehensive cybersecurity strategy and performing effective oversight, (2) securing federal systems and information, (3) protecting cyber critical infrastructure, and (4) protecting privacy and sensitive data. Within these four challenges are 10 actions critical to successfully dealing with the serious cybersecurity threats facing the nation (see the figure identifying the four challenges and 10 actions).	2018年、GAOは、連邦政府がサイバーセキュリティの4つの主要な課題に取り組む必要があると報告しました。(1）包括的なサイバーセキュリティ戦略の確立と効果的な監視の実行、（2）連邦政府のシステムと情報の保護、（3）サイバー重要インフラの保護、（4）プライバシーと機密データの保護。これら4つの課題の中には、国家が直面している深刻なサイバーセキュリティの脅威にうまく対処するために重要な10の行動が含まれています（4つの課題と10の行動を示す図を参照）。
GAO was asked to testify on the federal government's efforts to address critical infrastructure cybersecurity. For this testimony, GAO relied on selected products it previously issued.	GAOは、重要インフラのサイバーセキュリティに対する連邦政府の取り組みについて証言するよう求められました。この証言のために、GAOは以前に発行した報告書を参考にしました。
Recommendations	提言
Since 2010, GAO has made about 3,700 recommendations to agencies aimed at remedying cybersecurity shortcomings. As of November 2021, about 900 of those recommendations were not yet implemented.	2010年以降、GAOはサイバーセキュリティの欠点を改善することを目的とした約3,700件の提言を各機関に行ってきました。2021年11月の時点で、これらの勧告のうち約900件がまだ実施されていません。

 

重要インフラ16部門を代表するステークホルダーが報告したサイバーセキュリティ・インフラセキュリティ庁（CISA）の調整の課題

・[PDF] Highlights Page

 

・[PDF] Full Report

・[PDF] Accessible PDF