« IPA ビジネスメール詐欺(BEC)対策特設ページ | Main | 欧州委員会 AI責任指令案 »

2022.09.30

米国 OMB FISMA Report 2021

こんにちは、丸山満彦です。

米国行政管理局(OMB)が2021年度版政府機関のサイバーセキュリティーに関する報告書(FISMAレポート)を公表していますね。。。

ポイントは次の3つということのようです...

  1. 2021年度には32,543件のインシデントが報告された(前年度比6%増)。7件が重大インシデントとして報告され、そのうちのいくつかはSolarWindsの攻撃に関連するものであった。
  2. 各機関はサイバー衛生の改善を示しているが、さらなる取り組みが必要。
  3. 各機関は、民間セクターのパートナーと協力して、サイバー攻撃を軽減し、連邦政府のインフラへのリスクを低減する努力を続けている。

 

ちなみに、2020年度のポイントは次の3つでした。。。..

  1. 2020年度には30,819件のインシデントが報告され(前年比8%増)、そのうち6件が重大インシデントとして報告された。
  2. 各機関は、利用可能なサイバー衛生対策の改善を引き続き示しているが、さらなる努力が必要である。
  3. COVID-19パンデミックの際、各省庁はテレワークへの移行に迅速かつ安全に対応することができた。

 

● OMB

・ 2022.09 [PDF] Federal Information Security Modernizaion Act of 2014 - Annual Report to Congress Fiscal Year 2021

20230101-223358

 

目次...

Executive Summary: The State of Federal Cybersecurity エグゼクティブ・サマリー:連邦政府のサイバーセキュリティの現状
Section I: Federal Cybersecurity Activities I章:連邦政府のサイバーセキュリティ活動
A.   Building a Modern Cybersecurity Infrastructure A. 最新のサイバーセキュリティインフラの構築
Office of the National Cyber Director (ONCD) 国家サイバー長官室(ONCD)
Executive Order 14028 (EO 14028) 大統領令14028号 (EO 14028)
B.   Programs and Policy Areas B. プログラムおよび政策分野
Continuous Diagnostics and Mitigation (CDM) 継続的診断・軽減(CDM)
National Cybersecurity Protection System (NCPS) 国家サイバーセキュリティ保護システム(NCPS)
Coordinated Vulnerability Disclosure (CVD) 協調型脆弱性情報開示(CVD)
High Value Assets (HVAs) 高付加価値資産(HVA)
Trusted Internet Connections (TIC) 信頼できるインターネット接続(TIC)
Supply Chain Risk Management サプライチェーン・リスクマネジメント
Binding Operational Directives (BODs) and Emergency Directives (EDs) 拘束力のある運用指示書(BOD)と緊急指示書(ED)
Section II: Federal Cybersecurity Reporting and Analysis II章:連邦政府のサイバーセキュリティ報告および分析
A.   Improvements in Cybersecurity Hygiene A. サイバーセキュリティの衛生面の改善
Cybersecurity Cross-Agency Priority (CAP) Goal Performance サイバーセキュリティの省庁横断的な優先事項 (CAP) 目標の実績
Risk Management Assessments (RMAs) リスクマネジメントアセスメント(RMA)
Independent Assessments 第三者評価 
B.   FY 2021 Information Security Incidents B. 2021年度 情報セキュリティインシデント
Incidents by Vector ベクトル別インシデント 
Incidents by NCISS Priority Level NCISSの優先度別インシデント
Major Incidents 主なインシデント
C.   Cybersecurity Risk Management C. サイバーセキュリティのリスクマネジメント
Integration of Cyber and ERM Programs サイバーとERMの統合プログラム
FY2021 Priority IG Metrics Pilot 2021年度優先IG指標パイロット版
Supply Chain Risk Management IG Assessment サプライチェーンリスクマネジメントIGアセスメント
Overall Cyber Risk Management Summary サイバーリスクマネジメントの全体像
Section III: Senior Agency Official for Privacy (SAOP) Performance Measures III章:プライバシー担当上級機関職員の業績評価指標
A.   Senior Agency Officials for Privacy (SAOPs) and Privacy Programs A. プライバシー担当上級機関職員(SAOPs)とプライバシープログラム
B.   Personally Identifiable Information and Social Security Numbers B. 個人を特定できる情報および社会保障番号
C.   Privacy and the Risk Management Framework C. プライバシーとリスクマネジメントのフレームワーク
D.   Information Technology Systems and Investment D. 情報技術システム・投資
E.   Privacy Impact Assessments E. プライバシー影響評価
F.   Workforce Management F. ワークフォースマネジメント
G.   Breach Response and Privacy G. 情報漏えいへの対応とプライバシー
Appendix I: Agency Cybersecurity Performance Summaries 附属書 I:各機関のサイバーセキュリティパフォーマンスサマリー
CIO Self-Assessments and CIO Ratings CIOセルフアセスメントとCIOレーティング
Independent Assessments and IG Ratings 第三者評価とIGレーティング
Appendix II: Commonly Used Acronyms 附属書IIよく使われる略語

 

エグゼクティブサマリー...

Executive Summary: The State of Federal Cybersecurity  エグゼクティブ・サマリー:連邦政府のサイバーセキュリティの現状 
President Biden took office in January 2021, amid an unprecedented series of large-scale cyber-attacks against software supply chains, key Federal systems, and critical infrastructure. Fiscal Year (FY) 2021 began with the discovery of the SolarWinds software supply chain attack that had been ongoing since FY 2020. A series of Microsoft Exchange Server attacks was discovered less than 2 months after President Biden’s inauguration, and that was followed by the Colonial Pipeline ransomware attack. By the end of FY 2021, Federal agencies had reported a 6% increase in cyber incidents when compared against those reported in FY 2020.  バイデン大統領が就任した2021年1月は、ソフトウェアのサプライチェーン、連邦政府の重要システム、重要インフラに対する前例のない一連の大規模なサイバー攻撃が発生中であった。2021年度は、2020年度から続いていたSolarWindsのソフトウェアサプライチェーン攻撃の発覚で始まりまった。バイデン大統領の就任から2カ月も経たないうちにMicrosoft Exchange Serverへの一連の攻撃が発覚し、それに続いてColonial Pipelineのランサムウェア攻撃も発生した。2021年度末までに、連邦政府機関は、2020年度に報告されたものと比較して、サイバーインシデントが6%増加したと報告している。 
The President responded quickly by moving to strengthen our cybersecurity posture through a series of bold actions. These actions included Executive Order (EO) 14028, as well as a series of subsequent actions by the Office of Management and Budget (OMB), the National Security Council (NSC), and the Cybersecurity and Infrastructure Security Agency (CISA) to protect our digital infrastructure. EO 14028, in particular, represents a paradigm shift for the U.S. Government and recognizes that previous approaches to securing Federal systems have been insufficient.  大統領はこれに素早く対応し、一連の大胆な行動を通じてサイバーセキュリティの態勢を強化するために動き出した。これらの行動には、大統領令(EO)14028や、それに続く行政管理予算局(OMB)、国家安全保障会議(NSC)、サイバーセキュリティおよびインフラセキュリティ局(CISA)によるデジタルインフラ保護のための一連のアクションが含まれている。特に EO 14028 は、米国政府にとってパラダイムシフトを意味し、連邦政府のシステムを保護するためのこれまでのアプローチが不十分であったことを認識するものである。 
Implementation of EO 14028 has upgraded the security posture of Federal civilian executive branch (FCEB) agencies. Leading security practices like zero trust architecture (ZTA), phishing-resistant multi-factor authentication (MFA), and secure software development frameworks are now core parts of FCEB agencies’ digital security strategies.  EO 14028の施行により、連邦政府民間行政機関(FCEB)のセキュリティ態勢は向上した。ゼロ・トラスト・アーキテクチャー(ZTA)、フィッシングに強い多要素認証(MFA)、安全なソフトウェア開発フレームワークなどの先進的なセキュリティ慣行は、現在FCEB機関のデジタルセキュリティ戦略の中核を成している。 
Privacy and cybersecurity are separate but related disciplines, making coordination critical. This report also reflects agencies’ reporting on their privacy performance through their responses to the Senior Agency Official for Privacy (SAOP) metrics.   プライバシーとサイバーセキュリティは別のものであるが、関連する分野であるため、連携が重要である。また、この報告書は、プライバシー担当上級機関職員(SAOP)の測定基準への回答を通じて、各機関がプライバシーのパフォーマンスについて報告したことを反映している。  
FY 2021 Report Key Takeaways:  2021年度報告書 主要なポイント 
32,543 incidents were reported in FY 2021 (6% increase over previous year). Seven were reported as major incidents, several related to the SolarWinds attack.  2021年度には32,543件のインシデントが報告された(前年度比6%増)。7件が重大インシデントとして報告され、そのうちのいくつかはSolarWindsの攻撃に関連するものであった。 
Agencies show improvements in cyber hygiene; however, more work is necessary.  各機関はサイバー衛生の改善を示しているが、さらなる取り組みが必要。 
Agencies continue to work with private sector partners to mitigate cyber attacks and reduce the risk to federal infrastructure.  各機関は、民間セクターのパートナーと協力して、サイバー攻撃を軽減し、連邦政府のインフラへのリスクを低減する努力を続けている。 

 

NCISSのプライオリティレベル  FY 2019  FY 2020  FY2021
未分類
NCISS優先度を提供するために十分な情報が収集されなかったインシデント。
     
471 177 2,384
ベースライン - 無視できる (White)
国民の健康や安全、国家安全保障、経済安全保障、外交関係、市民的自由、国民の信頼に影響を与える可能性が極めて低い。しかし、影響を与える可能性は存在し、さらなる精査が必要である。
     
19,850 19,039 16,783
ベースライン - マイナー (Blue)
国民の健康や安全、国家安全保障、経済安全保障、外交関係、市民的自由、社会的信頼に影響を与える可能性は極めて低い。
     
7,316 10,765 12,766
低 (Green)
国民の健康や安全、国家安全保障、経済安全保障、対外関係、市民的自由、社会的信頼に影響を与える可能性が低い。 
     
938 831 593
中 (Yellow)
国民の健康や安全、国家安全保障、経済安全保障、外交関係、市民的自由、社会的信頼に影響を与える可能性がある。
     
6 7 14
高 (Orange)
国民の健康や安全、国家安全保障、経済安全保障、外交関係、市民的自由、社会的信頼に実証可能な影響をもたらす可能性が高い。
     
0 0 3
重大 (Red)
国民の健康や安全、国家安全保障、経済安全保障、外交関係、市民的自由に重大な影響を与える可能性が高い。
     
0 0 0
緊急事態 (Black)
広範な重要インフラサービスの提供、国家政府の安定、または米国人の生命に差し迫った脅威をもたらす。
     
0 0 0
合計  28,581 30,819 32,543

 

FISMAの評価指標等はCISAのページにあります。。。

CISA

FEDERAL INFORMATION SECURITY MODERNIZATION ACT

 

 

■ このブログ

・2022.09.30 米国 OMB FISMA Report 2021

・2022.08.02 米国 GAO 情報技術とサイバーセキュリティ:省庁の法定要件の実施を監視するためのスコアカードの使用

・2022.03.17 米国 司法省監察局 独占禁止法部門、麻薬取締局のFISMAに基づく内部監査結果

・2022.01.13 米国 GAO ざっとみたところ、各省庁のFISMA要件の実施は各省庁でばらつきがあるようだ...

・2021.05.04 米国 OMB FISMA Report 2020

・2020.06.05 米国行政管理局(OMB)が2019年度版政府機関のサイバーセキュリティーに関する報告書(FISMAレポート)を公表していますね。。。

2011.05.29 NIST 2010 Computer Security Division Annual Report

2009.12.25 連邦機関による年次FISMAレポートのメトリックに関するコメントを要求するOMB

2009.05.08 GAO GAO Federal Information System Controls Audit Manual(FISCAM)

・2008.05.23 米国政府 セキュリティ評価関係 2007(2) 総合評価はC <= C-

・2008.04.15 米国政府 セキュリティ評価関係 2007

・2007.06.14 米国会計検査院 連邦政府機関の情報セキュリティ管理は依然として不十分

・2007.04.15 米国政府 情報セキュリティ通知簿2006

・2007.04.01 米国政府 セキュリティ評価関係

・2006.03.18 米国政府 情報セキュリティ通知簿2005 2

・2006.03.18 米国政府 OMB Releases Annual FISMA Report

・2006.03.17 米国政府 情報セキュリティ通知簿2005

・2005.02.23 米国政府 情報セキュリティ通知簿2

・2005.02.23 米国政府 情報セキュリティ通知簿

2004.12.08 国家セキュリティ体制 米国の状況・・・

 

・報告書 [Downloded]

|

« IPA ビジネスメール詐欺(BEC)対策特設ページ | Main | 欧州委員会 AI責任指令案 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« IPA ビジネスメール詐欺(BEC)対策特設ページ | Main | 欧州委員会 AI責任指令案 »