米国 GAOブログ ハッキング事件を機に米国議会と連邦政府機関が今後のサイバーセキュリティリスクを軽減するための取り組みを強化

こんにちは、丸山満彦です。

米国の政府検査院（GAO）がブログに「ハッキング事件を機に米国議会と連邦政府機関が今後のサイバーセキュリティリスクを軽減するための取り組みを強化」という記事を載せていますね。。。

● U.S. Government Accountability Office - WatchBlog 

・2022.02.08 Hacks Bring New Urgency to Moves by Congress and Agencies to Reduce Future Cybersecurity Risks

 

Hacks Bring New Urgency to Moves by Congress and Agencies to Reduce Future Cybersecurity Risks	ハッキング事件を機に、米国議会と連邦政府機関が今後のサイバーセキュリティリスクを軽減するための取り組みを強化
After two recent high-profile cyber incidents that affected federal IT systems—the SolarWinds and Microsoft  Exchange Server hacks—Congress and federal agencies are moving with renewed urgency to take actions that would improve the security of U.S. government IT systems from cyberattacks. But they have a lot more work to do to make these systems secure.	連邦政府のITシステムに影響を与えた最近の2つの有名なサイバー事件（SolarWindsとMicrosoft Exchange Serverのハッキング）を受けて、議会と連邦政府機関は、サイバー攻撃から米国政府のITシステムのセキュリティを向上させるための対策を講じることを新たに急いでいます。しかし、これらのシステムを安全なものにするためには、まだまだやるべきことがたくさんあります。
In today’s WatchBlog post, we look at our latest work on how Congress and federal agencies are addressing risks within the federal IT systems.	本日のウォッチブログでは、連邦政府のITシステムにおけるリスクに対して、議会や連邦機関がどのように対処しているかについて、最新の情報をご紹介します。
What is FISMA and how is it addressing cybersecurity risks?	FISMAとは何か、そしてそれはどのようにサイバーセキュリティリスクに対処しているのか？
The Federal Information Security Modernization Act of 2014 (FISMA) requires agencies to develop, document, and implement agency-wide information security programs. Under FISMA, inspectors general (IGs) must report to the Office of Management and Budget annually on the effectiveness of the information security policies, procedures, and practices around cybersecurity of their parent agency.	2014年の連邦情報セキュリティ近代化法（FISMA）は、各省庁に対し、省庁全体の情報セキュリティプログラムを開発し、文書化し、実施することを求めています。FISMAでは、監察官（IG）は、親機関のサイバーセキュリティに関する情報セキュリティポリシー、手順、慣行の有効性について、毎年行政管理予算局に報告しなければなりません。
There are currently several efforts underway in Congress to update FISMA, including legislation introduced in Senate and House.	現在、米国議会では、上院と下院で提出された法案を含め、FISMAを更新するためのいくつかの取り組みが行われています。
On January 11, we testified before Congress on GAO’s ongoing work on FISMA. We noted that, in FY 2020, IGs determined that only seven of 23 civilian agencies reviewed had effective agency-wide information security programs. In our testimony, we described our interviews of officials from 24 agencies, conducted for the ongoing FISMA work.  All of them told us that FISMA had enabled them to improve the effectiveness of their information security programs.	1月11日、私たちは議会で、FISMAに関するGAOの進行中の作業について証言しました。我々は、2020年度において、IGは、レビューした23の民間機関のうち7つの機関のみが効果的な機関全体の情報セキュリティプログラムを持っていると判断したことを指摘しました。今回の証言では、現在進行中のFISMA作業のために実施した、24省庁の担当者へのインタビューについて説明しました。その結果、すべての関係者が、FISMAによって情報セキュリティプログラムの有効性を向上させることができたと語りました。
But, officials also told us there were, in some cases, impediments to implementing FISMA, such as a lack of resources, and suggested ways to improve the FISMA reporting process. The suggestions included updating FISMA metrics to increase their effectiveness, improving the IG evaluation and rating process, and increasing the use of automation in report data collection.	しかし、当局者は、場合によっては、リソースの不足など、FISMAを実施する上での障害があるとも語り、FISMAの報告プロセスを改善する方法を提案しました。提案には、FISMAの評価基準を更新してその有効性を高めること、IGの評価・格付けプロセスを改善すること、報告データ収集における自動化の利用を増やすことなどが含まれていました。
Federal agencies’ responses include sustained coordination and communication	連邦政府機関の対応には、持続的な調整とコミュニケーションが含まれる
Last month, we reported on the federal response to the SolarWinds and Microsoft Exchange Server cyberattacks. Part of this response included the formation of two temporary Cyber Unified Coordination Group (UCGs). One of the temporary UCGs worked on responding to the SolarWinds attack, and the other on the Microsoft Exchange breach.	先月、私たちは、SolarWindsとMicrosoft Exchange Serverのサイバー攻撃に対する連邦政府の対応について報告しました。この対応の一環として、2つの臨時サイバー統一調整グループ（UCG）が設置されました。臨時UCGの1つはSolarWindsの攻撃への対応に、もう1つはMicrosoft Exchangeの侵害への対応に取り組みました。
The two UCGs issued directives and guidance to federal agencies, including advisories, alerts, and tools, to aid agencies in conducting their own investigations and securing their networks. In addition, the Cybersecurity and Infrastructure Security Agency (CISA) issued emergency directives to inform federal agencies of the vulnerabilities and describe what actions to take in response to the incidents.	2つのUCGは、連邦政府機関が独自に調査を行い、ネットワークを保護するのを支援するために、勧告、アラート、ツールなどの指示やガイダンスを連邦政府機関に発行しました。また、サイバーセキュリティ・重要インフラセキュリティ庁（CISA）は、連邦政府機関に脆弱性を通知し、インシデントに対応してどのような行動を取るべきかを説明する緊急指令を発行しました。
The UCGs were dissolved in April 2021, but CISA, and certain agencies affected by the incidents, are continuing to work together to respond to the SolarWinds incident. Agencies have completed steps to respond to the Microsoft Exchange incident.	UCGは2021年4月に解散しましたが、CISAと、インシデントの影響を受けた一部の機関は、SolarWindsのインシデントに対応するために引き続き協力しています。各省庁は、Microsoft Exchangeのインシデントに対応するための手順を完了しました。
In addition, federal agencies have reported to CISA about the actions they took to mitigate the threats introduced by the SolarWinds and Microsoft Exchange Server incidents, as well as information on network activity and each incident’s impact.	また、連邦政府機関は、SolarWindsとMicrosoft Exchange Serverのインシデントによってもたらされた脅威を軽減するために行った行動や、ネットワーク活動と各インシデントの影響に関する情報をCISAに報告しています。
Agencies identified multiple lessons they learned from these incidents. For instance:	各省庁は、これらのインシデントから学んだ複数の教訓を確認しました。例えば、以下のようなものです。
coordinating with the private sector led to greater efficiencies in agency incident response efforts;	民間企業との連携により、インシデント対応の効率化を図ることができた。
providing a centralized forum for interagency and private sector discussions led to improved coordination among agencies and with the private sector;	省庁間および民間企業との話し合いの場を設けることで、省庁間および民間企業との連携が強化された。
sharing of information among agencies was often slow, difficult, and time consuming and;	省庁間での情報共有には時間がかかり、困難で時間のかかるものでした。
collecting evidence was limited due to varying levels of data preservation at agencies.	各省庁のデータ保存のレベルが異なるため、証拠の収集には限界があった。
Want to learn more about federal efforts to detect and prevent cyberattacks? We’ve designated cybersecurity as a High Risk area and have made thousands of recommendations for addressing it. Find out more by visiting our key issue page on cybersecurity.	サイバー攻撃を検知・防止するための連邦政府の取り組みについて、さらに詳しく知りたい方は、こちらをご覧ください。連邦政府は、サイバーセキュリティを高リスク分野に指定し、それに対処するための数多くの提言を行っています。詳細については、サイバーセキュリティに関する重要課題のページをご覧ください。

 

 

---

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.01.17 米国 GAO サイバーセキュリティ：SolarWindsおよびMicrosoft Exchangeのインシデントに対する連邦政府の対応

・2022.01.13 米国 GAO ざっとみたところ、各省庁のFISMA要件の実施は各省庁でばらつきがあるようだ...

・2021.12.11 米国 GAO 国防省の委託事業者のサイバーセキュリティについての認証フレームワークの改善

・2021.12.07 米国 GAO サイバーセキュリティ：国の重要インフラをより良く保護するための連邦政府の行動が緊急に求められている

・2021.05.25 米国GAO サイバー保険の加入率も保険料率も上昇？

・2021.05.21 U.S. GAO (blog) コロニアルパイプラインへのサイバー攻撃は、連邦政府および民間部門のサイバーセキュリティへの備えの必要性を認識させた

・2021.04.17 U.S. GAO 連邦政府は、ITおよびサイバー関連に年間1,000億ドル（11兆円）以上の投資をしているが、多くは失敗またはパフォーマンスが低く、管理が不十分で、セキュリティ上の弱点がある。

・2021.03.26 U.S. GAO 電力網サイバーセキュリティ：エネルギー省は彼らの計画が配電システムのリスクに完全に対応していることを確認する必要がある at 2021.03.18

・2021.03.25 U.S. GAO High-Riskシリーズ：連邦政府は主要なサイバーセキュリティの課題に対処するための重要な行動を早急に実施する必要がある

・2021.03.16 U.S. GAO 2022年度予算要求「複雑なサイバー・セキュリティの開発をレビューする能力を高める」

・2021.03.16 U.S. GAO CISAに対して組織変革を確実に遂行するために11の勧告をしたようですね。。。（CISAも同意済み）

・2021.03.08 U.S. GAO 国防省に兵器システムについてサイバーセキュリティ要件を購買プログラム契約で定義し、作業を承認または拒否するための基準と、要件が満たされていることを政府が確認する方法についての基準を確立する必要があると指摘

・2021.03.07 U.S. GAO ハイリスクリスト 2021 （サイバーセキュリティはリスクが高まっているという評価のようです...）

・2020.12.27 U.S. GAO 国防省の15のシステム開発を監査してみて・・・開発手法やセキュリティについてコメント付けてます

・2020.11.21 米国GAOが国防省のJoint Cyber Warfighting Architectureについて相互運用性目標を定義することを推奨していますね。。。

・2020.10.14 米国GAOは連邦航空局がアビオニクスのリスクベースのサイバーセキュリティ監視を強化するための仕組みを入れる必要があると推奨していますね。。。

・2020.09.29 米国GAO が「国家サイバー戦略」の完全実施のためにリーダーシップを明確にするために議会がリーダーを指名するように提案していますね。

・2020.09.24 U.S. GAO サイバー空間安全保証・新興技術局の設立計画の策定に関連する連邦機関を関与させていない

・2020.09.18 米国GAO 財務省は金融セクターのサイバーセキュリティリスク軽減の取り組みについての追跡調査を改善する必要がある

・2020.09.02 米国GAO - FedRAMP-連邦政府機関によるクラウドコンピューティングの安全な利用の確保

・2020.08.19 米国GAO 国土安全保障省と特定の機関は、ネットワーク監視プログラムの実装上の欠点に対処する必要がある

・2020.08.06 US-GAO GAOがOMBにIT管理、サイバーセキュリティの監査結果を伝えていますが結構厳しい・・・

・2020.07.11 US-GAOの報告書　サイバーセキュリティに関する10-Kの開示は一般的な内容が多くあまり参考にならないので追加の開示を希望している by 年金基金代表者

・2020.05.17 GAO 重要インフラ保護：国土安全保障省はリスクが高い化学施設のサイバーセキュリティにもっと注意を払え

・2020.04.15 GAO 国防総省はサイバー衛生を改善する必要があるので7つの推奨事項を作ったよ！という報告書

・2020.03.22 GAO CRITICAL INFRASTRUCTURE PROTECTION: Additional Actions Needed to Identify Framework Adoption and Resulting Improvements

 

少し遡って...

・2016.09.20 US GAO "Federal Chief Information Security Officers: Opportunities Exist to Improve Roles and Address Challenges to Authority"

 

さらに遡って...

・2009.07.21 GAO Agencies Continue to Report Progress, but Need to Mitigate Persistent Weaknesses

・2009.05.09 GAO Federal Information System Controls Audit Manual (FISCAM)　表

・2009.05.08 GAO GAO Federal Information System Controls Audit Manual (FISCAM)

・2007.06.14 米国会計検査院 連邦政府機関の情報セキュリティ管理は依然として不十分

・2006.11.30 米国会計検査院 省庁に情報セキュリティに関する定期的な検査のための適切な方針の開発と導入が必要

・2005.07.21 米国会計検査院　国土安全保障省のサイバーセキュリティへの対応は不十分

・2005.07.13 米国会計検査院 国土安全保障省はセキュリティプログラムを実施していない

・2005.06.16 米国会計検査院 米国政府機関はネット上の脅威に対し無防備と警告

・2005.05.31 米国会計検査院　国土安全保障省はサイバーセキュリティに無防備と批判

・2005.04.22 米国の会計検査院は情報セキュリティ監査でがんばっている

 

 

その他、GAOを理解する上で参考となる情報

・2021.04.03 U.S. Office of Inspectors General（連邦監察官室）

・2021.04.01 GAO 連邦政府の財務諸表に監査意見を付与することができない・・・その理由は・・・

・2021.02.22 U.S. GAOが技術評価ハンドブックを公表していますね

・2020.06.23 GAO GreenbookとOMB Circular No. A-123

・2020.06.22 US-GAO 米空軍は強化されたエンタープライズリスクマネジメントと内部統制評価を通じてミッションクリティカルな資産に対する説明責任を向上させることができる

・2020.04.15 GAO 国防総省はサイバー衛生を改善する必要があるので7つの推奨事項を作ったよ！という報告書

・2011.02.20 会計検査院の権限

・2006.07.30 内部統制の構成要素比較

・2006.06.23 パブリックセクターの内部統制

・2005.03.29 会計検査院のウェブページ