サイト内検索

My Photo
February 2025
Sun Mon Tue Wed Thu Fri Sat
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28  

Recent Trackbacks

連載 (ITmedia)

ウェブページ

« 中国 配車サービス業務等をおこなっている滴滴全球が80億元(1,600億円)以上の罰則を課される | Main | NIST NISTIR 8235 モバイル・ウェアラブル機器の初動対応者のためのセキュリティガイダンス »

2022.07.24

米国 ボランティアをサポートする政府機関(アメリコープス)の侵入テストとフィッシングキャンペーンの評価 (監査報告書)

こんにちは、丸山満彦です。

ボランティアをサポートする政府機関(アメリコープス)の検査官室が外部の監査機関に依頼しておこなった侵入テストとフィッシングキャンペーンの評価 (監査報告書)が公表されています。監査報告書等を作成する際の参考になるかもしれません。。。

 

Oversight.Gov

・2022.07.21 AmeriCorps’ Penetration Testing and Phishing Campaign Evaluation

AmeriCorps’ security program has not been effective in accordance with Federal Information Security Management Act (FISMA) since Fiscal Year 2017. In order to determine its current status, AmeriCorps OIG engaged an independent certified public accounting firm to conduct an internal penetration test of AmeriCorps’ network. The independent auditors tested AmeriCorps’ network to evaluate the effectiveness of its information security program and to identify areas of weakness. This evaluation was comprised of three phases: network penetration testing, a phishing campaign, and the testing the effectiveness of controls in preventing and detecting the execution of malicious code. The independent auditors found two weaknesses related to preventive and detective security controls. AmeriCorps concurred and agreed to implement our recommendations to (1) develop and implement a plan to modify external emails to include information to assist the recipient of the level of risk posed by external email, (2) implement a plan to increase the frequency of behavior training directed at the identification of unwanted spam emails, and (3) implement a process to improve the detection rate to reduce the occurrence of email spam that reaches the users’ inboxes. AmeriCorps Management’s response can be found in Appendix II of the report. アメリコープスのセキュリティプログラムは、2017年度以降、連邦情報セキュリティ管理法(FISMA)に従ってなかった。現状を把握するために、アメリコープス検査官室は、独立監査事務所にアメリコープスのネットワークの内部侵入テストを実施するよう依頼した。独立監査人は、情報セキュリティ・プログラムの有効性を評価し、弱点の領域を特定するために、AmeriCorpsのネットワークをテストした。この評価は、ネットワーク侵入テスト、フィッシング・キャンペーン、悪意あるコードの実行を防止および検出するためのコントロールの有効性のテストの3つのフェーズで構成されている。独立監査人は、予防的および発見的なセキュリティ管理に関する2つの弱点を発見した。アメリコープスは、(1)外部電子メールがもたらすリスクのレベルを受信者に支援するための情報を含む外部電子メールを修正する計画を策定し実施すること、(2)不要なスパムメールの識別に向けた行動訓練の頻度を高める計画を実施すること、(3)ユーザの受信ボックスに届くスパムメールの発生率を減らすために検出率を改善する処理を実施すること、という私たちの推奨事項に同意し、実施することに同意している。アメリコープスの経営陣の回答は、報告書の附属書IIに掲載されている。

 

・[PDF] AMERICORPS PENETRATION TESTING AND PHISHING CAMPAIGN EVALUATION (OIG-EV-22-06)

20220724-63855


仮訳 [PDF] [DOCX]

 

2022.07.24 06:50 in 情報セキュリティ / サイバーセキュリティ, in フィッシング, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 |

« 中国 配車サービス業務等をおこなっている滴滴全球が80億元(1,600億円)以上の罰則を課される | Main | NIST NISTIR 8235 モバイル・ウェアラブル機器の初動対応者のためのセキュリティガイダンス »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 中国 配車サービス業務等をおこなっている滴滴全球が80億元(1,600億円)以上の罰則を課される | Main | NIST NISTIR 8235 モバイル・ウェアラブル機器の初動対応者のためのセキュリティガイダンス »