« 中国 習近平国家主席のダボス会議でのスピーチ | Main | Coinhive事件の最高裁判決 »

2022.01.20

米国 消費者製品安全委員会監察官室 NISTサイバーセキュリティフレームワーク実装の評価

こんにちは、丸山満彦です。

米国の消費者製品安全委員会 (Consumer Product Safety Commission)  の監察官室 (Office of Inspector General; OIG) が消費者製品安全委員会はFISMAに従っていないという報告書を出していますね。。。

連邦政府では、内部監査をして、その結果を公開し、さらにGAOによる監査もあり、それも公開されてと、国民に対するAccountabilityが日本に比べて格段に果たされていて、すごいなぁと思います。。。

 

Oversight.gov

・2022.01.17 Evaluation of the CPSC's NIST Cybersecurity Framework Implementation

・[PDF

20220120-164604

3章が結論部分ですが。。。

3. FINDING:  The CPSC Has Not Implemented the NIST CSF    3. FINDING  CPSCは、NIST CSFを実施していない。  
Overall, based on the evaluation procedures performed, Williams Adley has determined that the CPSC has not implemented the NIST CSF in accordance with requirements.  Each of the related conditions are documented below.   全体として、実施した評価手続きに基づき、ウィリアムズ・アドリーは、CPSCが要求事項に沿ってNIST CSFを実施していないと判断した。 関連する各条件を以下に文書化します。 
Cybersecurity Framework Conditions   サイバーセキュリティフレームワークの条件  
The CPSC Office of Information Technology (EXIT) is responsible for implementing the NIST CSF and related practices in support of their responsibility for implementing the agency’s cybersecurity program.  EXIT originally generated a high-level action plan and timely submitted this plan to OMB in 2017, however, the action plan was not implemented.  Williams Adley noted that EXIT has not:   CPSCの情報技術局(EXIT)は、CPSCのサイバーセキュリティプログラムを実施する責任をサポートするために、NIST CSFと関連するプラクティスを実施する責任があります。 EXITは当初、ハイレベルなアクションプランを作成し、このプランを2017年にOMBにタイムリーに提出しましたが、アクションプランは実施されませんでした。 ウィリアムズ・アドリーは、EXITが以下のことを行っていないと指摘しています。 
・defined a NIST CSF current profile  ・NIST CSF のカレントプロファイルを定義していない。
・completed a risk assessment that identified, measured, and assigned values to potential cybersecurity risks to determine if the CPSC has considered the costs and benefits of reducing cybersecurity risks  ・CPSC がサイバーセキュリティリスクを低減するためのコストとベネフィットを考慮しているかどうかを判断するために、潜在的なサイバーセキュリティリスクを特定し、測定し、値を割り当てるリスクアセスメントを完了した。
・completed a NIST CSF target profile  ・NIST CSF の目標プロファイルを完成させた。
・performed an assessment to identify current state and target state gaps and used this analysis to update its NIST CSF Action Plan  ・現在の状態と目標状態のギャップを特定するための評価を実施し、この分析結果に基づいて NIST CSF アクションプランを更新した。
・implemented a NIST CSF Action Plan  ・NIST CSFアクションプランを実施した。
Cause   原因  
The CPSC did not complete the actions as prescribed by the NIST CSF, and as documented in their original action plan, because the CPSC focused their resources on other priorities.  The CPSC asserts that it did not complete this because the CPSC focused its limited resources on addressing an unprecedented number of Department of Homeland Security Emergency Directives, Binding Operational Directives, critical security advisories, and cyber threats during the period in question.  CPSCは、他の優先事項に資源を集中させたため、NIST CSFで規定され、当初の行動計画で文書化された通りの行動を完了しなかった。 CPSCは、当該期間中に前例のない数の国土安全保障省の緊急指令、拘束力のある運用指令、重要なセキュリティ勧告、サイバー脅威への対応に限られた資源を集中させたため、これを完了しなかったと主張しています。
Effect  効果 
By not implementing the NIST CSF, the CPSC missed a powerful opportunity to leverage government and industry best practices when prioritizing cybersecurity efforts, thus increasing the ongoing cybersecurity risk to its mission to keep consumers safe.  NIST CSFを実施しなかったことにより、CPSCは、サイバーセキュリティの取り組みを優先する際に政府や業界のベストプラクティスを活用する強力な機会を逃し、消費者の安全を守るという使命に対する継続的なサイバーセキュリティのリスクを増大させた。
Recommendations  推奨事項 
Below we have provided a list of recommendations that the CPSC must implement to meet NIST CSF requirements.   以下に、NIST CSFの要件を満たすためにCPSCが実施すべき提言をまとめました。 
1. Complete a National Institute of Standards and Technology (NIST) Cybersecurity Framework current profile in accordance with NIST guidance.   1. NISTのガイダンスに従って、米国標準技術研究所(NIST)のサイバーセキュリティフレームワークの最新プロファイルを完成させる。 
2. Conduct an assessment to identify the highest risks to the CPSC’s security profile based on the information learned while completing the National Institute of Standards and Technology Cybersecurity Framework current profile exercise.   2. 米国標準技術研究所(NIST)サイバーセキュリティフレームワークの現行プロファイル演習を完了する際に学んだ情報に基づいて、CPSCのセキュリティプロファイルに対する最も高いリスクを特定するための評価を実施すること。 
3. Complete a National Institute of Standards and Technology (NIST) Cybersecurity Framework target profile in accordance with NIST guidance.   3. NISTのガイダンスに従って、米国標準技術研究所(NIST)のサイバーセキュリティフレームワークのターゲットプロファイルを完成させる。 
4. Perform an assessment to identify gaps between the current and target National Institute of Standards and Technology Cybersecurity Framework profiles.   4. 米国標準技術局(National Institute of Standards and Technology)のサイバーセキュリティフレームワークの現行プロファイルと目標プロファイルの間のギャップを特定するための評価を行う。 
5. Update and implement the CPSC Framework Implementation Action Plan.  5. CPSC フレームワーク実施行動計画を更新し、実施する。

 

 

 

 

 

|

« 中国 習近平国家主席のダボス会議でのスピーチ | Main | Coinhive事件の最高裁判決 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 中国 習近平国家主席のダボス会議でのスピーチ | Main | Coinhive事件の最高裁判決 »