米国 GAO 重要インフラ保護：各省庁はサイバーセキュリティガイダンスの採用を評価する必要がある

こんにちは、丸山満彦です。

米国の政府検査院（GAO）が「重要インフラ保護：各省庁はサイバーセキュリティガイダンスの採用を評価する必要がある」という報告書を公表していますね。。。

● U.S. Government Accountability Office

・2022.02.09 Critical Infrastructure Protection: Agencies Need to Assess Adoption of Cybersecurity Guidance

 

Critical Infrastructure Protection: Agencies Need to Assess Adoption of Cybersecurity Guidance	重要インフラ保護：各省庁はサイバーセキュリティガイダンスの採用を評価する必要がある
Fast Facts	速報
The U.S. has 16 critical infrastructure sectors that provide clean water, gas, banking, and other essential services. To help protect them, in 2014 the National Institute of Standards and Technology developed cybersecurity standards and procedures that organizations within these sectors may voluntarily use. Federal agencies are charged with leading efforts to improve sector security.	米国には、上水道、ガス、銀行などの重要なサービスを提供する16の重要インフラ分野があります。これらを保護するために、米国標準技術研究所 (NIST) は2014年、これらの分野に属する組織が自主的に使用できるサイバーセキュリティの基準と手順を策定しました。連邦政府機関は、これらの分野のセキュリティを向上させるための取り組みを主導する役割を担っています。
We found agencies have measured the adoption of these standards and procedures for 3 of 16 sectors and have identified improvements across 2 sectors. For example, the EPA found a 32% increase in the use of recommended cybersecurity controls at 146 water utilities.	我々は、各機関が16分野のうち3分野でこれらの基準と手順の採用を測定し、2分野で改善を確認していることを確認した。例えば、米国環境保護庁（EPA）は、水道事業者146社において、推奨されるサイバーセキュリティ管理策の利用が32％増加したことを明らかにしました。
Highlights	ハイライト
What GAO Found	GAOの発見事項
Federal agencies with a lead role to assist and protect one or more of the nation's 16 critical infrastructures are referred to as sector risk management agencies (SRMAs). The SRMAs for three of the 16 have determined the extent of their sector's adoption of the National Institute of Standards and Technology's (NIST) Framework for Improving Critical Infrastructure Cybersecurity (framework). In doing so, lead agencies took actions such as developing sector surveys and conducting technical assessments mapped to framework elements. SRMAs for four sectors have taken initial steps to determine adoption (see figure). However, lead agencies for nine sectors have not taken steps to determine framework adoption.	国の16の重要インフラの1つ以上を支援・保護する役割を担う連邦政府機関は、セクターリスク管理機関（SRMA）と呼ばれています。16のうち3分野のSRMAは、米国標準技術研究所（NIST）の「重要インフラのサイバーセキュリティ向上のためのフレームワーク」（以下、フレームワーク）の採用度合いを決定しました。その際、主管省庁は、フレームワークの要素に対応したセクター調査や技術評価の実施などを行いました。4分野のSRMAは、採用を決定するための最初のステップを踏みました（図参照）。しかし、9分野の主管庁は、フレームワークの採用を決定するためのステップを踏んでいません。
Status of Framework Adoption by Critical Infrastructure Sector	重要インフラ部門のフレームワーク採用状況
Regarding improvements resulting from sector-wide use, five of the 16 critical infrastructure sectors' SRMAs have identified or taken steps to identify sector-wide improvements from framework use, as GAO previously recommended. For example, the Environmental Protection Agency identified an approximately 32 percent overall increase in the use of framework-recommended cybersecurity controls among the 146 water utilities that requested and received voluntary technical assessments. In addition, SRMAs for the government facilities sector identified improvements in cybersecurity performance metrics and information standardization resulting from federal agencies' use of the framework. However, SRMAs for the remaining 11 sectors did not identify improvements and were not able to describe potential successes from their sectors' use of the framework.	セクター全体での使用による改善については、16の重要インフラ分野のSRMAのうち5分野のSRMAが、GAOが以前に提言したように、フレームワークの使用によるセクター全体の改善を特定したり、特定するためのステップを踏んだりしています。例えば、環境保護庁は、自主的な技術評価を依頼して受けた146の水道事業体において、フレームワークが推奨するサイバーセキュリティ管理策の使用が全体で約32％増加したことを確認しました。また、政府施設部門のSRMAは、連邦政府機関がフレームワークを使用した結果、サイバーセキュリティのパフォーマンス指標や情報の標準化が改善されたことを確認しました。しかし、残りの11セクターのSRMAは、改善点を特定できず、各セクターがフレームワークを使用したことによる潜在的な成功例を説明できませんでした。
SRMAs reported various challenges to determining framework adoption and identifying sector-wide improvements. For example, they noted limitations in knowledge and skills to implement the framework, the voluntary nature of the framework, other priorities that may take precedence over framework adoption, and the difficulty of developing precise measurements of improvement were challenges to measuring adoption and improvements. To help address challenges, NIST launched an information security measurement program in September 2020 and the Department of Homeland Security has an information network that enables sectors to share best practices. Implementing GAO's prior recommendations on framework adoption and improvements are key factors that can lead to sectors pursuing further protection against cybersecurity threats.	SRMAは、フレームワークの採用を決定し、セクター全体の改善点を特定するための様々な課題を報告した。例えば、フレームワークを実施するための知識やスキルの制限、フレームワークの任意性、フレームワークの採用よりも優先される可能性のある他の優先事項、改善の正確な測定方法の開発の難しさなどが、採用や改善を測定する上での課題として挙げられています。課題に対処するために、NISTは2020年9月に情報セキュリティ測定プログラムを開始し、国土安全保障省はセクターがベストプラクティスを共有できるような情報ネットワークを持っています。フレームワークの採用と改善に関するGAOの事前提言を実施することは、セクターがサイバーセキュリティの脅威に対してさらなる保護を追求することにつながる重要な要素です。
Why GAO Did This Study	GAOがこの調査を行った理由
The nation's 16 critical infrastructure sectors provide essential services such as banking, electricity, and gas and oil distribution. However, increasing cyber threats—like the May 2021 ransomware cyberattack on an American oil pipeline system that led to regional gas shortages—represent a significant national security challenge. To better protect against cyber threats, NIST facilitated, as required by federal law, the development of a voluntary framework of cybersecurity standards and procedures for sectors to use.	米国の16の重要インフラ分野は、銀行、電力、ガスや石油の配給などの必須サービスを提供しています。しかし、2021年5月にアメリカの石油パイプラインシステムがランサムウェアによるサイバー攻撃を受け、地域的なガス不足に陥ったように、サイバー脅威の増加は国家安全保障上の重大な課題となっています。サイバー脅威からの保護を強化するために、NISTは連邦法の要請に応じて、各分野が利用できるサイバーセキュリティの基準と手順の自主的なフレームワークの開発を促進しました。
The Cybersecurity Enhancement Act of 2014 included provisions for GAO to review aspects of the framework. GAO's report addresses the extent to which SRMAs have (1) determined framework adoption by entities within their respective sectors and (2) identified improvements resulting from sector-wide use. GAO analyzed documentation, such as requests for information, polls, and survey instruments. It also conducted interviews with agency officials from each SRMA and NIST.	2014年のサイバーセキュリティ強化法には、GAOがフレームワークの側面をレビューする規定が含まれていました。GAOの報告書は、SRMAが（1）各分野の企業によるフレームワークの採用を決定し、（2）分野全体での使用による改善点を特定した程度を取り上げています。GAOは、情報提供の要請、世論調査、調査票などの文書を分析した。また、各SRMAとNISTの関係者にインタビューを行いました。
Recommendations	推奨事項
In prior reports, GAO recommended that the nine SRMAs (1) develop methods for determining the level and type of framework adoption by entities across their respective sectors and (2) collect and report sector-wide improvements. Most agencies have not yet implemented these recommendations.	以前のレポートでGAOは、9分野のSRMAに対し、(1)各セクターの企業によるフレームワークの採用レベルと種類を判断する方法を開発すること、(2)セクター全体の改善点を収集して報告すること、を提言しました。ほとんどの機関はこれらの提言をまだ実施していません。

 

・[PDF] Full Report

 

・[PDF] Highlights