米国 GAO 情報技術とサイバーセキュリティ：省庁の法定要件の実施を監視するためのスコアカードの使用

こんにちは、丸山満彦です。

米国のGAOが、ハイリスクリストに含まれているITマネジメントとサイバーセキュリティに対して、2010年以降、報告した5,300件の勧告のうち、2022.06現在で解決されているのは約77%と言うことのようです。23％（約1,200件）は完全には実施されていないと言うことですね。。。

そのうち、重要な項目については、ITマネジメントについては約300件、サイバーセキュリティについては600件以上が実施されていないと言うことです。。。

● U.S. Government Accountability Office; GAO

・2022.07.28 Information Technology and Cybersecurity:Using Scorecards to Monitor Agencies' Implementation of Statutory Requirements

 

・[PDF] Highlights

 

・[PDF] Full Report

 

Information Technology and Cybersecurity:Using Scorecards to Monitor Agencies' Implementation of Statutory Requirements	情報技術とサイバーセキュリティ：省庁の法定要件の実施を監視するためのスコアカードの使用
GAO-22-106105	GAO-22-106105
Fast Facts	基本情報
The federal government annually spends more than $100 billion on IT and cyber investments—many of which have been ineffectively managed. Congress passed laws to address these issues, including the Federal Information Technology Acquisition Reform Act (FITARA).	連邦政府は毎年1000億ドル以上をITおよびサイバー投資に費やしているが、その多くは効果的に管理されていない。連邦議会は、連邦情報技術取得改革法（FITARA）を含む、これらの問題に対処するための法律を可決した。
Since 2015, Congress has issued scorecards to monitor agencies' implementation of FITARA and key IT topics. We testified that the scorecards have evolved and served as effective oversight tools.	2015年以降、議会はFITARAと主要なITトピックの各省庁の実施状況を監視するためにスコアカードを発行している。我々は、スコアカードが進化し、効果的な監視ツールとして機能していることを証言した。
Both IT management and cybersecurity are on our High Risk List. About 77% of the 5,300 recommendations we've made in these areas since 2010 have been implemented.	ITマネジメントとサイバーセキュリティの両方が「高リスクリスト」に含まれています。2010年以降、これらの分野で行った5,300件の勧告のうち、約77%が実施されている。
Planned FY 2023 Federal Spending on Information Technology Investments, as of June 2022	2023年度連邦政府情報技術投資支出予定額（2022年6月現在
Highlights	ハイライト
What GAO Found	GAOが発見したこと
Since November 2015, this Subcommittee has issued scorecards as an oversight tool to monitor agencies' progress in implementing various statutory IT provisions and addressing other key IT issues. The selected provisions are from laws such as the Federal Information Technology Acquisition Reform Act (commonly referred to as FITARA), Making Electronic Government Accountable by Yielding Tangible Efficiencies Act of 2016, the Modernizing Government Technology Act, and the Federal Information Security Modernization Act of 2014. The scorecards have assigned each covered agency a letter grade (i.e., A, B, C, D, or F) based on components derived from statutory requirements and additional IT-related topics. As of July 2022, fourteen scorecards had been released (see figure).	2015年11月以降、本小委員会は、様々な法定IT条項の実施やその他の重要なIT問題への対処における各省庁の進捗状況を監視するための監視ツールとして、スコアカードを発行している。選定した条項は、連邦情報技術取得改革法（通称FITARA）、2016年有形効率化法による電子政府の説明責任化法、政府技術近代化法、2014年連邦情報セキュリティ近代化法などの法律から選ばれたものである。スコアカードは、法定要件と追加のIT関連トピックから導き出された構成要素に基づいて、各対象機関にレターグレード（すなわち、A、B、C、D、またはF）を割り当てている。2022年7月現在、14枚のスコアカードが発表されている（図参照）。
Scorecards Release Timeline with Associated Components	スコアカードのリリーススケジュールと関連するコンポーネント
As reflected above, additional important components have been added over time. Initial components were specific to FITARA provisions related to incremental development, risk management, cost savings and data centers. The scorecards then evolved to include additional statutory provisions and related IT topics, such as telecommunications.	上記のように、時間の経過とともに重要なコンポーネントが追加されている。当初の構成要素は、FITARA条項のうち、インクリメンタル開発、リスク管理、コスト削減、データセンターに関するものに特化したものであった。その後、スコアカードは、追加の法令条項や、電気通信などの関連するITトピックを含むように発展してきた。
The Subcommittee-assigned grades have shown steady improvement and resulted in the scorecards serving as effective oversight tools. For example, during 2020 and 2021, all 24 agencies received A grades for two components (software licensing and data center optimization initiative), resulting in removal of these components from the scorecard. Notwithstanding the improvements made through the use of the scorecard, the federal government's difficulties acquiring, developing, managing, and securing its IT investments remain.	小委員会が指定した評点は着実に改善され、スコアカードが効果的な監視ツールとして機能するようになった。例えば、2020年から2021年にかけて、2つのコンポーネント（ソフトウェアライセンスとデータセンター最適化イニシアチブ）で24機関すべてがAグレードを獲得し、スコアカードからこれらのコンポーネントが削除されることになった。スコアカードの活用による改善にもかかわらず、連邦政府のIT投資の取得、開発、管理、安全確保は依然として困難な状況にある。
GAO has long recognized the importance of addressing these difficulties by including improving the management of IT acquisitions and operations as well as ensuring the cybersecurity of the nation as areas on its high-risk list. Continued oversight by Congress to hold agencies accountable for implementing statutory provisions and addressing longstanding weaknesses is essential. Implementation of outstanding GAO recommendations can also be instrumental in delivering needed improvements.	GAOは以前から、ITの取得・運用管理の改善や国家のサイバーセキュリティの確保を高リスク分野に含めることで、こうした困難に対処することの重要性を認識してきた。法的規定の実施と長年の弱点への対処について各省庁の責任を問うため、議会による継続的な監視が不可欠である。また、GAOの未解決の勧告を実施することも、必要な改善を実現する上で重要である。
Why GAO Did This Study	GAOがこの調査を行った理由
Congress has long recognized that IT systems provide essential services critical to the health, economy, and defense of the nation. In support of these systems, the federal government annually spends more than $100 billion on IT and cyber-related investments.	米国議会は、ITシステムが国家の健康、経済、防衛に不可欠なサービスを提供していることを長い間認識してきた。これらのシステムを支えるため、連邦政府は毎年1000億ドル以上をITおよびサイバー関連投資に費やしている。
However, many of these investments have suffered from ineffective management. Further, recent high profile cyber incidents have demonstrated the urgency of addressing cybersecurity weaknesses.	しかし、これらの投資の多くは、効果的でない管理に悩まされてきた。さらに、最近の著名なサイバー事件により、サイバーセキュリティの弱点への対処が緊急であることが証明された。
To improve the management of IT, Congress and the President enacted FITARA in December 2014. FITARA applies to the 24 agencies subject to the Chief Financial Officers Act of 1990, although with limited applicability to the Department of Defense.	ITの管理を改善するために、議会と大統領は2014年12月にFITARAを制定した。FITARAは、国防総省への適用は限定的であるが、1990年の最高財務責任者法の対象となる24の機関に適用される。
GAO was asked to provide an overview of the scorecards released by this Subcommittee. The scorecards have been used for oversight of agencies' efforts to implement statutory provisions and other IT-related topics. For this testimony, GAO relied on its previously issued products.	GAOは、本小委員会が公表したスコアカードの概要を提供するよう要請された。スコアカードは、法令規定の実施に向けた各省庁の取り組みや、その他のIT関連テーマの監視に利用されてきた。この証言のために、GAOは過去に発行された報告に依拠した。
Since 2010, GAO has made approximately 5,300 recommendations to improve IT management and cybersecurity. As of June 2022, federal agencies have fully implemented about 77 percent of these. However, many critical recommendations have not been implemented—nearly 300 on IT management and more than 600 on cybersecurity.	2010年以降、GAOはIT管理およびサイバーセキュリティの改善に向け、約5,300件の勧告を行ってきた。2022年6月現在、連邦政府機関はこれらのうち約77％を完全に実施している。しかし、多くの重要な勧告は実施されておらず、ITマネジメントについては約300件、サイバーセキュリティについては600件以上となっている。

 

参考

・High Risk List

Current List (2022.08.01)	現在の一覧 (2022.08.01)
Emergency Loans for Small Businesses - NEW	中小企業向け緊急融資 - NEW
National Efforts to Prevent, Respond to, and Recover from Drug Misuse – NEW	薬物乱用の防止、対応、回復のための国家的取り組み - NEW
Decennial Census	10年ごとの国勢調査
Department of Energy's Contract and Project Management for the National Nuclear Security Administration and Office of Environmental Management	エネルギー省による国家核安全保障局および環境管理局の契約およびプロジェクト管理
DOD Approach to Business Transformation	DOD ビジネス変革のためのアプローチ
DOD Business Systems Modernization	DOD ビジネスシステム近代化
DOD Contract Management	DOD 契約管理
DOD Financial Management	DOD 財務管理
DOD Support Infrastructure Management	DOD サポートインフラマネジメント
DOD Weapon Systems Acquisition	DOD 兵器システム取得
Enforcement of Tax Laws	税法の施行
Ensuring the Cybersecurity of the Nation	国家のサイバーセキュリティの確保
Ensuring the Effective Protection of Technologies Critical to U.S. National Security Interests	米国の国家安全保障上の利益にとって重要な技術の効果的な保護の確保
Funding the Nation's Surface Transportation System	国家表面輸送システムの資金調達
Government-wide Personnel Security Clearance Process	政府全体の人事セキュリティ・クリアランス・プロセス
Improving and Modernizing Federal Disability Programs	連邦障害者プログラムの改善と近代化
Improving Federal Management of Programs that Serve Tribes and Their Members	部族とその構成員にサービスを提供するプログラムの連邦政府管理の改善
Improving Federal Oversight of Food Safety	食品安全に対する連邦政府の監視を改善する
Improving the Management of IT Acquisitions and Operations	ITの取得と運用の管理改善
Limiting the Federal Government's Fiscal Exposure by Better Managing Climate Change Risks	気候変動リスク管理の改善による連邦政府の財政負担の抑制
Management of Federal Oil and Gas Resources	連邦政府の石油・ガス資源の管理
Managing Federal Real Property	連邦政府の不動産管理
Managing Risks and Improving VA Health Care	VA ヘルスケアのリスク管理および改善
Medicare Program & Improper Payments	メディケアプログラムと不適切な支払い
Modernizing the U.S. Financial Regulatory System	米国金融規制システムの近代化
NASA Acquisition Management	NASA 調達管理
National Flood Insurance Program	全米洪水保険プログラム
Pension Benefit Guaranty Corporation Insurance Programs	年金給付保証公社の保険プログラム
Protecting Public Health through Enhanced Oversight of Medical Products	医療製品の監視強化による公衆衛生の保護
Resolving the Federal Role in Housing Finance	住宅金融における連邦政府の役割の解決
Strategic Human Capital Management	戦略的人的資本管理
Strengthening Department of Homeland Security Management Functions	国土安全保障省の管理機能強化
Strengthening Medicaid Program Integrity	メディケイドプログラムの整合性強化
Transforming EPA's Process for Assessing and Controlling Toxic Chemicals	EPAの有害化学物質評価・管理プロセスの変革
U.S. Government's Environmental Liability	米国政府の環境責任
USPS Financial Viability	USPSの財務的安定性
VA Acquisition Management	VA 調達管理

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.06.25 米国 GAO 来年度 (FY23) の予算要求額は8億1,030万ドル（約1兆700億円）サイバーセキュリティも強化項目

・2022.02.10 米国 GAOブログ ハッキング事件を機に米国議会と連邦政府機関が今後のサイバーセキュリティリスクを軽減するための取り組みを強化

・2022.01.17 米国 GAO サイバーセキュリティ：SolarWindsおよびMicrosoft Exchangeのインシデントに対する連邦政府の対応

・2022.01.13 米国 GAO ざっとみたところ、各省庁のFISMA要件の実施は各省庁でばらつきがあるようだ...

・2021.12.11 米国 GAO 国防省の委託事業者のサイバーセキュリティについての認証フレームワークの改善

・2021.12.07 米国 GAO サイバーセキュリティ：国の重要インフラをより良く保護するための連邦政府の行動が緊急に求められている

・2021.05.25 米国GAO サイバー保険の加入率も保険料率も上昇？

・2021.05.21 U.S. GAO (blog) コロニアルパイプラインへのサイバー攻撃は、連邦政府および民間部門のサイバーセキュリティへの備えの必要性を認識させた

・2021.04.17 U.S. GAO 連邦政府は、ITおよびサイバー関連に年間1,000億ドル（11兆円）以上の投資をしているが、多くは失敗またはパフォーマンスが低く、管理が不十分で、セキュリティ上の弱点がある。

・2021.03.26 U.S. GAO 電力網サイバーセキュリティ：エネルギー省は彼らの計画が配電システムのリスクに完全に対応していることを確認する必要がある at 2021.03.18

・2021.03.25 U.S. GAO High-Riskシリーズ：連邦政府は主要なサイバーセキュリティの課題に対処するための重要な行動を早急に実施する必要がある

・2021.03.16 U.S. GAO 2022年度予算要求「複雑なサイバー・セキュリティの開発をレビューする能力を高める」

・2021.03.16 U.S. GAO CISAに対して組織変革を確実に遂行するために11の勧告をしたようですね。。。（CISAも同意済み）

・2021.03.08 U.S. GAO 国防省に兵器システムについてサイバーセキュリティ要件を購買プログラム契約で定義し、作業を承認または拒否するための基準と、要件が満たされていることを政府が確認する方法についての基準を確立する必要があると指摘

・2021.03.07 U.S. GAO ハイリスクリスト 2021 （サイバーセキュリティはリスクが高まっているという評価のようです...）

・2020.12.27 U.S. GAO 国防省の15のシステム開発を監査してみて・・・開発手法やセキュリティについてコメント付けてます

・2020.11.21 米国GAOが国防省のJoint Cyber Warfighting Architectureについて相互運用性目標を定義することを推奨していますね。。。

・2020.10.14 米国GAOは連邦航空局がアビオニクスのリスクベースのサイバーセキュリティ監視を強化するための仕組みを入れる必要があると推奨していますね。。。

・2020.09.29 米国GAO が「国家サイバー戦略」の完全実施のためにリーダーシップを明確にするために議会がリーダーを指名するように提案していますね。

・2020.09.24 U.S. GAO サイバー空間安全保証・新興技術局の設立計画の策定に関連する連邦機関を関与させていない

・2020.09.18 米国GAO 財務省は金融セクターのサイバーセキュリティリスク軽減の取り組みについての追跡調査を改善する必要がある

・2020.09.02 米国GAO - FedRAMP-連邦政府機関によるクラウドコンピューティングの安全な利用の確保

・2020.08.19 米国GAO 国土安全保障省と特定の機関は、ネットワーク監視プログラムの実装上の欠点に対処する必要がある

・2020.08.06 US-GAO GAOがOMBにIT管理、サイバーセキュリティの監査結果を伝えていますが結構厳しい・・・

・2020.07.11 US-GAOの報告書　サイバーセキュリティに関する10-Kの開示は一般的な内容が多くあまり参考にならないので追加の開示を希望している by 年金基金代表者

・2020.05.17 GAO 重要インフラ保護：国土安全保障省はリスクが高い化学施設のサイバーセキュリティにもっと注意を払え

・2020.04.15 GAO 国防総省はサイバー衛生を改善する必要があるので7つの推奨事項を作ったよ！という報告書

・2020.03.22 GAO CRITICAL INFRASTRUCTURE PROTECTION: Additional Actions Needed to Identify Framework Adoption and Resulting Improvements

 

少し遡って...

・2016.09.20 US GAO "Federal Chief Information Security Officers: Opportunities Exist to Improve Roles and Address Challenges to Authority"

 

さらに遡って...

・2009.07.21 GAO Agencies Continue to Report Progress, but Need to Mitigate Persistent Weaknesses

・2009.05.09 GAO Federal Information System Controls Audit Manual (FISCAM)　表

・2009.05.08 GAO GAO Federal Information System Controls Audit Manual (FISCAM)

・2007.06.14 米国会計検査院 連邦政府機関の情報セキュリティ管理は依然として不十分

・2006.11.30 米国会計検査院 省庁に情報セキュリティに関する定期的な検査のための適切な方針の開発と導入が必要

・2005.07.21 米国会計検査院　国土安全保障省のサイバーセキュリティへの対応は不十分

・2005.07.13 米国会計検査院 国土安全保障省はセキュリティプログラムを実施していない

・2005.06.16 米国会計検査院 米国政府機関はネット上の脅威に対し無防備と警告

・2005.05.31 米国会計検査院　国土安全保障省はサイバーセキュリティに無防備と批判

・2005.04.22 米国の会計検査院は情報セキュリティ監査でがんばっている

 

 

その他、GAOを理解する上で参考となる情報

・2021.04.03 U.S. Office of Inspectors General（連邦監察官室）

・2021.04.01 GAO 連邦政府の財務諸表に監査意見を付与することができない・・・その理由は・・・

・2021.02.22 U.S. GAOが技術評価ハンドブックを公表していますね

・2020.06.23 GAO GreenbookとOMB Circular No. A-123

・2020.06.22 US-GAO 米空軍は強化されたエンタープライズリスクマネジメントと内部統制評価を通じてミッションクリティカルな資産に対する説明責任を向上させることができる

・2020.04.15 GAO 国防総省はサイバー衛生を改善する必要があるので7つの推奨事項を作ったよ！という報告書

・2011.02.20 会計検査院の権限

・2006.07.30 内部統制の構成要素比較

・2006.06.23 パブリックセクターの内部統制

・2005.03.29 会計検査院のウェブページ