« 米国 官民共同パートナーシップである産業用制御システム(ICS)サイバーセキュリティ・イニシアチブを水分野に拡大 | Main | 防衛省 防衛研究所 イスラエルにおける重要インフラのサイバー防衛組織と課題 »

2022.01.28

米国 商務省 監察官監査 システム・セキュリティ評価と継続的な監視プログラムを改善する必要がある

こんにちは、丸山満彦です。

商務省の監察官監査は、セキュリティ・コントロールが一貫して実施され、効果的であることを保証するために、システム・セキュリティ評価および継続的モニタリング・プログラムを改善する必要があると報告していますね。。。

実際のところはわからないですが、期待されているレベルが高いように感じます。。。

 

Oversight.GOV

・2022.01.25 The Department Needs to Improve Its System Security Assessment and Continuous Monitoring Program to Ensure Security Controls Are Consistently Implemented and Effective

The Department Needs to Improve Its System Security Assessment and Continuous Monitoring Program to Ensure Security Controls Are Consistently Implemented and Effective 米国商務省は、セキュリティ管理が一貫して実施され、効果的であることを保証するために、システムセキュリティ評価および継続的監視プログラムを改善する必要があります
For our final report on our audit of the U.S. Department of Commerce's (the Department's) system security assessment process, our objective was to assess the effectiveness of the Department's system security assessment and continuous monitoring program to ensure security deficiencies were identified, monitored, and adequately resolved. We found the Department did not effectively execute its continuous monitoring and system assessment process. Specifically, we found the following:  米国商務省のシステムセキュリティ評価プロセスの監査に関する最終報告書において、我々の目的は、セキュリティ上の欠陥が識別され、監視され、適切に解決されることを保証するために、商務省のシステムセキュリティ評価および継続的監視プログラムの有効性を評価することでした。我々は、同省が継続的な監視とシステム評価のプロセスを効果的に実行していないことを発見しました。具体的には、以下のことがわかりました。
I. the Department did not effectively plan for system assessments;  I. 省庁は、システム評価を効果的に計画していなかった、
II. the Department did not consistently conduct reliable system assessments;  II. 省庁は、信頼できるシステム評価を一貫して実施していなかった、
III. the Department did not resolve security control deficiencies within defined completion dates; and  III. 省庁は、定義された完了日内にセキュリティ管理の欠陥を解決していなかった、
IV. the Department’s security system of record—i.e., the cyber security asset and management tool—did not provide accurate and complete assessment and plan of action & milestone data. IV. 省庁のセキュリティ記録システム(サイバーセキュリティ資産および管理ツール)は、正確で完全な評価および行動計画とマイルストーンのデータを提供していなかった。

 

・[PDF] OIG-22-017.pdf

20220128-170336

目次

Objective, Findings, and Recommendations 目的、所見、および推奨事項
I. The Department Did Not Effectively Plan for System Assessments I. システムアセスメントの計画を効果的に行っていない
A. Assessment planning was inconsistent and did not provide a reliable foundation to conduct assessments A. 評価計画は一貫性がなく、評価を実施するための信頼できる基盤を提供していなかった。
B. System security plans (SSPs) do not accurately relay critical security information B. システム・セキュリティ・プラン(SSP)は、重要なセキュリティ情報を正確に伝えていない。
Recommendation 推奨事項
II. The Department Did Not Consistently Conduct Reliable System Assessments II. 当局は信頼できるシステムアセスメントを一貫して実施していない
A. The Department did not consistently assess core minimum security controls for its high- and moderate-category systems A. 同省は、高カテゴリーおよび中カテゴリーのシステムについて、コア・ミニマム・セキュリティ・コントロールを一貫して評価していなかった。
B. Documentation supporting system assessment results was not always available for review, limiting the Department’s potential for oversight and quality control B. システム評価の結果を裏付ける文書が常に確認できるわけではなく、省庁の監視と品質管理の可能性を制限していた。
Recommendations 推奨事項
III. The Department Did Not Resolve Security Control Deficiencies Within Defined Completion Dates III. セキュリティ管理の不備を定義された完了日内に解決しなかった
Recommendations 推奨事項
IV. The Department’s Security System of Record—i.e., the CSAM Tool—Did Not Provide Accurate and Complete Assessment and POA&M Data IV. 部局のセキュリティ記録システム(CSAM ツール)は、正確で完全な評価および POA&M データを提供していない。
Recommendations 推奨事項
Summary of Agency Response and OIG Comments 省庁の対応とOIGのコメントのまとめ
Appendix A: Objective, Scope, and Methodology 附属書A:目的、範囲、および方法論
Appendix B: The Risk Management Framework 附属書B:リスクマネジメントの枠組み
Appendix C: Facts and Figures 附属書C:事実と数字
Appendix D: Agency Response 附属書D:省庁の対応

 

同様な情報となりますが、商務省の監察官室のウェブページ

Office of Inspector General

・2022.01.25 The Department Needs to Improve Its System Security Assessment and Continuous Monitoring Program to Ensure Security Controls Are Consistently Implemented and Effective

​[PDF] Report​

・[PDF] Abstract

20220128-170509

・[PDF] Announcement

 

 

 

|

« 米国 官民共同パートナーシップである産業用制御システム(ICS)サイバーセキュリティ・イニシアチブを水分野に拡大 | Main | 防衛省 防衛研究所 イスラエルにおける重要インフラのサイバー防衛組織と課題 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 米国 官民共同パートナーシップである産業用制御システム(ICS)サイバーセキュリティ・イニシアチブを水分野に拡大 | Main | 防衛省 防衛研究所 イスラエルにおける重要インフラのサイバー防衛組織と課題 »