« デジタル庁 教育データ利活用ロードマップ | Main | 世界経済フォーラム (WEF) The Global Risks Report 2022 17th Edition - 2022年のグローバルリスクのトップは、気候変動への適応の失敗と社会的危機 »

2022.01.13

米国 GAO ざっとみたところ、各省庁のFISMA要件の実施は各省庁でばらつきがあるようだ...

こんにちは、丸山満彦です。

米国のGAOの予備的調査の結果、各省庁のFISMA要件の実施にはばらつきがあると報告書を公表していますね。。。

● U.S. Government Accountability Office

・2022.01.11 Cybersecurity:Preliminary Results Show That Agencies' Implementation of FISMA Requirements Was Inconsistent

・[PDF] Hilights

・[PDF] Full Report

20220113-45928

 

Cybersecurity:Preliminary Results Show That Agencies' Implementation of FISMA Requirements Was Inconsistent サイバーセキュリティ:予備的調査の結果、各省庁のFISMA要件の実施はばらつきがある
Fast Facts 速報
A 2014 law requires federal agencies to have information security programs. We testified about how agencies have implemented their programs: 2014年の法律により、連邦政府機関は情報セキュリティプログラムを持つことが義務付けられています。私たちは、各省庁がどのようにプログラムを実施したかについて証言しました。
・While agencies have reported some progress, 17 of 23 civilian agencies did not fully meet their cybersecurity targets ・各省庁は一定の進展を報告しているものの、23省庁のうち17省庁はサイバーセキュリティの目標を完全には達成していませんでした。
・Inspectors General reported ineffective programs at 16 of 23 civilian agencies ・23省庁うち16省庁の監察官が、プログラムが効果的でないと報告しました。
・Our recent reports also identified major weaknesses in government-wide and agency-specific cybersecurity initiatives ・最近の報告書では、政府全体および各省庁固有のサイバーセキュリティの取り組みに大きな弱点があることも指摘されています。
・Agency officials have identified obstacles to reporting and made suggestions for improvement ・各省庁の担当者は、報告の障害となっているものを特定し、改善のための提案を行いました。
Federal information security has been a topic on our High Risk List since 1997. 連邦政府の情報セキュリティは、1997年以来、連邦政府のハイリスクリストに掲載されているテーマです。
Highlights ハイライト
What GAO Found GAOの調査結果
Based on GAO's preliminary results, in fiscal year 2020, the effectiveness of federal agencies' implementation of requirements set by the Federal Information Security Modernization Act of 2014 (FISMA) varied. For example, more agencies reported meeting goals related to capabilities for the detection and prevention of cybersecurity incidents, as well as those related to access management for users. However, inspectors general (IG) identified uneven implementation of cyber security policies and practices. For fiscal year 2020 reporting, IGs determined that seven of the 23 civilian Chief Financial Officers Act of 1990 (CFO) agencies had effective agency-wide information security programs. The results from the IG reports for fiscal year 2017 to fiscal year 2020 were similar with a slight increase in effective programs for 2020. GAOの予備的調査の結果によると、2020年会計年度において、2014年連邦情報セキュリティ近代化法(FISMA)で設定された要件の連邦政府機関による実施の効果にはばらつきがありました。例えば、より多くの省庁が、サイバーセキュリティインシデントの検知と防止のための能力や、ユーザーのアクセス管理に関連する目標を達成したと報告しました。しかし、監察官(IG)は、サイバーセキュリティポリシーと実践の実施にばらつきがあることを指摘しました。2020会計年度の報告では、IGは、1990年の最高財務責任者法(CFO)に基づく23省庁のうち、7つ省庁が効果的な機関全体の情報セキュリティプログラムを持っていると判断しました。2017年度から2020年度までのIG報告書の結果では、2020年に向けて効果的なプログラムがわずかに増加しています。
Number of 23 Civilian Chief Financial Officers Act of 1990 Agencies with Effective and Not Effective Agency-Wide Information Security Programs, as Reported by Inspectors General for Fiscal Years 2017-2020 2017~2020年度に監察官が報告した、省庁全体の情報セキュリティプログラムが有効および有効でない23の1990年最高財務責任者法対象省庁の数

20220112-180556
GAO has also routinely reported on agencies' inconsistent implementation of federal cybersecurity policies and practices. Since 2010, GAO has made about 3,700 recommendations to agencies aimed at remedying cybersecurity shortcomings; about 900 were not yet fully implemented as of November 2021. More recent GAO reviews have identified weaknesses regarding access controls, configuration management, and the protection of data shared with external entities. GAO has made numerous recommendations to address these. GAOは、各省庁が連邦政府のサイバーセキュリティ政策や実務を一貫性なく実施していることについても定期的に報告してきました。2010年以降、GAOはサイバーセキュリティの欠点を改善することを目的とした約3,700件の提言を各省庁に行ってきましたが、2021年11月時点で約900件がまだ完全に実施されていません。最近のGAOのレビューでは、アクセス制御、構成管理、外部と共有するデータの保護に関する弱点が指摘されています。GAOはこれらに対処するため、数多くの提言を行っています。
Based on interviews with agency officials, such as chief information security officers, GAO's preliminary results show that officials at 14 CFO Act agencies stated that FISMA enabled their agencies to improve information security program effectiveness to a great extent. Officials at the remaining 10 CFO Act agencies said that FISMA had improved their programs to a moderate extent. The officials also identified impediments to implementing FISMA, such as a lack of resources. Agency officials suggested ways to improve the FISMA reporting process, such as by updating FISMA metrics to increase their effectiveness, improving the IG evaluation and rating process, and increasing the use of automation in report data collection. 最高情報セキュリティ責任者などの省庁関係者へのインタビューに基づいたGAOの予備的調査の結果によると、CFO法適用省庁14の関係者は、FISMAによって省庁の情報セキュリティプログラムの有効性がかなり改善されたと述べています。残りの10のCFO法対象省庁の担当者は、FISMAによってプログラムが中程度に改善されたと述べています。また、担当者は、リソースの不足など、FISMA を実施する上での障害を指摘しています。各省庁の担当者は、FISMA の報告プロセスを改善する方法を提案しました。例えば、FISMA の評価基準を更新してその有効性を高めたり、IGの評価・格付けプロセスを改善したり、報告書のデータ収集における自動化の利用を増やしたりしました。
Why GAO Did This Study GAOがこの調査を行った理由
Federal systems are highly complex and dynamic, technologically diverse, and often geographically dispersed. Without proper safeguards, computer systems are increasingly vulnerable to attack. As such, since 1997, GAO has designated information security as a government-wide high-risk area. 連邦政府のシステムは、非常に複雑で動的であり、技術的にも多様で、地理的にも分散していることが多いです。適切なセーフガードがなければ、コンピュータ・システムはますます攻撃されやすくなります。そのため、1997年以降、GAOは情報セキュリティを政府全体の高リスク分野に指定しています。
FISMA was enacted to provide federal agencies with a comprehensive framework for ensuring the effectiveness of information security controls. FISMA requires federal agencies to develop, document, and implement an information security program to protect the information and systems that support the operations and assets. It also includes a provision for GAO to periodically report on agencies' implementation of the act. FISMAは、情報セキュリティ管理の有効性を確保するための包括的なフレームワークを連邦政府機関に提供するために制定されました。FISMAは、連邦政府機関に対し、業務や資産を支える情報やシステムを保護するための情報セキュリティプログラムを策定し、文書化し、実施することを求めている。また、GAOが各省庁の同法の実施状況を定期的に報告する規定も含まれています。
This testimony discusses GAO's preliminary results from its draft report in which the objectives were to (1) describe the reported effectiveness of federal agencies' implementation of cybersecurity policies and practices and (2) evaluate the extent to which relevant officials at federal agencies consider FISMA to be effective at improving the security of agency information systems. この証言は、GAOの報告書ドラフトの予備的な結果について述べたもので、その目的は、(1)連邦政府機関のサイバーセキュリティポリシーとプラクティスの実施について報告された有効性を説明すること、(2)連邦政府機関の関係者が、FISMAが機関の情報システムのセキュリティを向上させるのに有効であると考えている程度を評価することでした。
To do so, GAO reviewed the 23 civilian CFO Act agencies' FISMA reports, agency-reported performance data, past GAO reports, and OMB documentation and guidance. GAO also interviewed agency officials from the 24 CFO Act agencies (i.e., the 23 civilian CFO Act agencies and the Department of Defense). そのためにGAOは、CFO法対象23省庁のFISMAレポート、省庁が報告したパフォーマンスデータ、過去のGAOレポート、OMBの文書とガイダンスをレビューしました。またGAOは、CFO法対象省庁24(CFO法対象省庁23社と国防総省)の省庁担当者にインタビューを行いました。

 

 


FISMAの評価指標等はCISAのページにあります。。。

CISA

FEDERAL INFORMATION SECURITY MODERNIZATION ACT

 

 

■ このブログ

・2021.05.04 米国 OMB FISMA Report 2020

・2020.06.05 米国行政管理局(OMB)が2019年度版政府機関のサイバーセキュリティーに関する報告書(FISMAレポート)を公表していますね。。。

2011.05.29 NIST 2010 Computer Security Division Annual Report

2009.12.25 連邦機関による年次FISMAレポートのメトリックに関するコメントを要求するOMB

2009.05.08 GAO GAO Federal Information System Controls Audit Manual(FISCAM)

・2008.05.23 米国政府 セキュリティ評価関係 2007(2) 総合評価はC <= C-

・2008.04.15 米国政府 セキュリティ評価関係 2007

・2007.06.14 米国会計検査院 連邦政府機関の情報セキュリティ管理は依然として不十分

・2007.04.15 米国政府 情報セキュリティ通知簿2006

・2007.04.01 米国政府 セキュリティ評価関係

・2006.03.18 米国政府 情報セキュリティ通知簿2005 2

・2006.03.18 米国政府 OMB Releases Annual FISMA Report

・2006.03.17 米国政府 情報セキュリティ通知簿2005

・2005.02.23 米国政府 情報セキュリティ通知簿2

・2005.02.23 米国政府 情報セキュリティ通知簿

2004.12.08 国家セキュリティ体制 米国の状況・・・

 

-----

・報告書 [Downloded]

 


|

« デジタル庁 教育データ利活用ロードマップ | Main | 世界経済フォーラム (WEF) The Global Risks Report 2022 17th Edition - 2022年のグローバルリスクのトップは、気候変動への適応の失敗と社会的危機 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« デジタル庁 教育データ利活用ロードマップ | Main | 世界経済フォーラム (WEF) The Global Risks Report 2022 17th Edition - 2022年のグローバルリスクのトップは、気候変動への適応の失敗と社会的危機 »