« ENISA テレコム業界における利用者へのサイバー脅威の支援活動 (2022.03.10) | Main | 米国 司法省監察局 独占禁止法部門、麻薬取締局のFISMAに基づく内部監査結果 »

2022.03.17

英国 会計監査院ブログ 公共分野のサイバーセキュリティに挑む (2022.03.08)

こんにちは、丸山満彦です。

英国の会計検査院(国家監査室というのが直訳ですかねぇ・・・)のブログの記事です。日本政府についても少しは参考になることがありますでしょうかね。。。

National Audit Office: NAO

Taking on the challenge of public sector cyber security 公共分野のサイバーセキュリティに挑む
The government recently published its new Cyber Security Strategy specifically aimed at building a cyber resilient public sector. Resilience is key in underpinning its vision to make the UK a cyber power in a world increasingly shaped by technologies that offer many benefits but also pose risks. The strategy reiterates that government remains an attractive target for a broad range of malicious actors with 40% of incidents 2020-21 affecting the public sector.  政府は最近、特にサイバーレジリエントな公共分野を構築することを目的とした、新しいサイバーセキュリティ戦略を発表しました。多くの利益をもたらしますが、リスクもまたもたらすテクノロジーによって形作られる世界において、英国をサイバー大国にするというビジョンを支える鍵は、レジリエンスにあります。この戦略では、2020-21年のインシデントの40%が公共分野に影響を与えるため、政府は依然として幅広い悪意ある行為者にとって魅力的な標的であることを改めて強調しています。 
The main benefits highlighted are the need to protect key UK assets and the uninterrupted continuation of vital services. The strategy also aims to enable the development of skills and capability in cyber awareness and risk management.    主な利点は、英国の重要な資産を保護し、重要なサービスを中断することなく継続する必要性があることです。また、この戦略は、サイバー認識とリスク管理に関するスキルと能力の開発を可能にすることも目的としています。   
This has been a major theme in our work, we recently published our good practice guide, aimed at Audit Committees, on cyber and information security where we set out the type of risk and capability management in relation to cyber security we would expect to see in organisations.  最近、私たちは監査委員会を対象としたサイバー・セキュリティと情報セキュリティに関するグッドプラクティス・ガイドを発行し、私たちが組織に期待するサイバー・セキュリティに関するリスクと能力管理の種類を示しました。 
In order to harden government to cyber-attack and build the required resilience in the public sector by 2030, the Cyber Security strategy has two main pillars and five objectives:   2030年までに、政府のサイバー攻撃への対応力を強化し、公共部門に必要なレジリエンスを構築するため、サイバーセキュリティ戦略は2つの主要な柱と5つの目標を掲げています。  
Pillar 1 – Build organisational cyber resilience 柱1:組織的なサイバー耐性の構築
Objective 1: Manage cyber security risk 目標1:サイバーセキュリティのリスクを管理する
Objective 2: Protect against cyber attack 目標2:サイバー攻撃から身を守る
Pillar 2 – ‘Defend as one’ 柱2:一丸となって守れ
Objective 3: Detect cyber security events 目的3:サイバーセキュリティ事象の検知
Objective 4: Minimise the impact of cyber security incidents 目標4:サイバーセキュリティインシデントの影響を最小化する
Objective 5 – Develop the right cyber security skills, knowledge, and culture 目標5:適切なサイバーセキュリティのスキル、知識、文化を身につける
Each objective has a range of outcomes to be achieved in two stages, the first tranche by 2025, and the next by 2030. The government plans to invest £2.6 bn in cyber and legacy IT over the spending review 2021 period and will devise a number of key performance indicators to measure progress.  各目標は、2025年までに最初のトランシェ(一切れ)を、2030年までに次のトランシェを、という2段階で達成するためのさまざまな成果を持っています。政府は、2021年の歳出見直しの期間中に、サイバーとレガシーITに26億ポンドを投資する計画で、進捗を測定するための多くの重要業績評価指標を考案する予定です。 
The strategy is ambitious and welcomed given the increasing threat environment the UK government is facing. In order to succeed, it will need to overcome a range of challenges that we have come across in our work on digital and cyber security. From our point of view, two of the key ones are:  英国政府が直面している脅威の増大という環境を考えると、この戦略は野心的で歓迎すべきものです。しかし、この戦略を成功させるためには、私たちがデジタルとサイバーセキュリティの分野で直面してきたさまざまな課題を克服しなければなりません。私たちの観点では、重要なものは2つです。 
The public sector will need to overcome known legacy and data issues in a situation where IT assets are not always catalogued or risk assessed; and where data quality varies with expanding and interconnecting supplier systems that increase the likelihood of vulnerabilities.  公共部門は、IT資産が必ずしもカタログ化されておらず、リスク評価もされていない状況において、既知のレガシーとデータの問題を克服する必要がある。また、データの質が、拡大し相互接続しているサプライヤーシステムによって変化し、脆弱性の可能性が高まっている。 
Cyber risk management with effective escalation and mitigation, in and across departments, will need to be established – whilst also aligning disparate central and arms-length bodies across government to focus on the right things, in the right way at the right time.  効果的なエスカレーションと緩和を伴うサイバーリスク管理を省庁間で確立する必要があります。また、政府内の中央・地方行政機関のばらつきを調整し、正しいことに、正しい方法で、正しい時間に集中できるようにする必要があります。 
Our Cyber and information security: Good practice guide addresses these and a number of other challenges. It enables Audit Committees to ask the right questions of organisations to help them start aligning themselves to the new Cyber Security Strategy.   私たちのサイバー・セキュリティと情報セキュリティ。グッドプラクティス・ガイドは、これらの課題およびその他の多くの課題に対応しています。このガイドにより、監査委員会が組織に対して適切な質問を行い、新しいサイバーセキュリティ戦略への対応を開始することができます。  

 

 

Nao

 

このブログでもとりあげていますが、再度...

National Audit Office: NAO

・2021.10.28 Cyber and information security: Good practice guide

Cyber and information security: Good practice guide サイバー・情報セキュリティ:グッドプラクティスガイド
Audit committees should be scrutinising cyber security arrangements. To aid them, this guidance complements government advice by setting out high-level questions and issues for audit committees to consider. 監査委員会は、サイバー・セキュリティの仕組みを精査する必要があります。本指針は、監査委員会が検討すべきハイレベルな質問と課題を示し、政府の助言を補完するものです。
Audit committees should gain the appropriate assurance for the critical management and control of cyber security and information risk.   監査委員会は、サイバーセキュリティと情報リスクの重要な管理・統制について、適切な保証を得るべきです。  
Cyber security is the activity required to protect an organisation’s data, devices, networks and software from unintended or unauthorised access, change or destruction via the internet or other communications systems or technologies. Effective cyber security relies on people and management of processes as well as technical controls.  サイバー・セキュリティとは、組織のデータ、機器、ネットワーク、ソフトウェアを、インターネットやその他の通信システム・技術を介した意図しない、または不正なアクセス、変更、破壊から保護するために必要な活動です。効果的なサイバーセキュリティは、技術的な管理だけでなく、人材やプロセスの管理にも依存しています。 
Our guide supports audit committees to work through this complexity, being able to understand and question the management of cyber security and information risk.   本ガイドは、監査委員会がこの複雑さを克服し、サイバーセキュリティと情報リスクの管理を理解し、疑問を持つことができるよう支援します。  
It takes into account several changes which affect the way in which we interact with and manage our information and can drive increased risk. These include changes to the way we work and live due to the COVID-19 pandemic and the ongoing demand to digitise and move to cloud-based services.    本ガイドでは、私たちの情報との関わり方や管理方法に影響を与え、リスクを増大させる可能性のあるいくつかの変化を考慮しています。これらの変化には、COVID-19パンデミックによる仕事や生活の仕方の変化、デジタル化やクラウドベースのサービスへの移行が求められていることなどが含まれます。   
The strategic advice, guidance and support provided by government has also been updated to keep pace with these changes, detailing the impact and risks on the management of cyber security and information risk.   政府が提供している戦略的なアドバイス、ガイダンス、サポートもこれらの変化に対応するために更新され、サイバーセキュリティと情報リスクの管理に与える影響とリスクについて詳しく説明しています。  
The guide provides a checklist of questions and issues covering:  このガイドでは、以下をカバーする質問と問題点のチェックリストを提供しています。 
・The overall approach to cyber security and risk management  ・サイバーセキュリティとリスク管理に対する全体的なアプローチ 
・Capability needed to manage cyber security  ・サイバーセキュリティを管理するために必要な能力 
・Specific aspects, such as information risk management, engagement and training, asset management, architecture and configuration, vulnerability management, identity and access management, data security, logging and monitoring and incident management.   ・情報リスク管理、エンゲージメントとトレーニング、資産管理、アーキテクチャと構成、脆弱性管理、アイデンティティとアクセス管理、データセキュリティ、ログとモニタリング、インシデント管理などの特定の側面  
Our guidance is based on our previous work and our detailed systems audits, which have identified a high incidence of access-control weaknesses. It also provides links to other government guidance and NAO resources.  本ガイダンスは、これまでの調査や詳細なシステム監査に基づいており、アクセス制御の脆弱性が多く見られることが確認されています。また、他の政府指針やNAOのリソースへのリンクも掲載しています。 

 

・[PDF

20220115-03006

目次...

Introduction はじめに
Why this issue requires attention なぜこの問題に注意が必要なのか
Why audit committees need to monitor cyber risks なぜ監査委員会がサイバー・リスクを監視する必要があるのか
What we have found through our work 何が監査委員会の調査で分かったか
How government policy has changed in this area どのようにこの分野における政府の方針が変化したのか
Our guidance 我々の指針
How this guidance links to other standards どのように本指針が他の基準と連携しているのか
What this guidance covers 何を本指針は述べているのか
High-level questions ハイレベルな質問
More detailed areas to explore より詳細な検討事項
Further resources その他のリソース

 


 

まるちゃんの情報セキュリティ気まぐれ日記

NAO関係...

・2022.01.27 英国 会計検査院 モデルをレビューするためのフレームワーク

・2022.01.15 英国 会計検査院 NAO Blog サイバーセキュリティ:パンデミックは何を変えたか?

・2021.10.30 英国 会計検査院 サイバー・情報セキュリティ:グッドプラクティスガイド

・2021.07.24 U.K. 国立監査院 (National Audit Office: NAO) が「デジタル変革を実施する上での課題」を公表していますね。。。

・2021.05.26 U.K. National Audit Office (会計監査院)が「効果的な規制の原則」を公表していますね。。。

・2021.05.01 U.K. 国立監査院 (National Audit Office: NAO) がクラウドサービスに関する監査委員会のガイダンスを更新しましたね。。。

 

古いですが、、、

・2006.06.23 パブリックセクターの内部統制

 

|

« ENISA テレコム業界における利用者へのサイバー脅威の支援活動 (2022.03.10) | Main | 米国 司法省監察局 独占禁止法部門、麻薬取締局のFISMAに基づく内部監査結果 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« ENISA テレコム業界における利用者へのサイバー脅威の支援活動 (2022.03.10) | Main | 米国 司法省監察局 独占禁止法部門、麻薬取締局のFISMAに基づく内部監査結果 »