米国 GAO 核兵器のサイバーセキュリティ：NNSAはサイバーセキュリティの基礎的なリスクマネジメントを完全に実施すべき

こんにちは、丸山満彦です。

米国のGAOというのは、やはり相当な権限がありますね。。。このGAOの強力な権限というのが、議会による政府の監督を実効あらしめ、ひいては国民の信頼を得るという構造に貢献しているのだろうと思いました。。。

 

さて、国家核安全保障局（NNSA）およびその契約先は、6つあるサイバーセキュリティの基礎的なリスクマネジメントのうち、いくつを改善する必要があるということのようです。。。

組織全体のサイバーセキュリティ・リスクマネジメント・プログラムを確立するための基礎的なサイバーセキュリティ・リスクマネジメントの実践

実践 1 リスクマネジメントのためのサイバーセキュリティの役割と責任を特定し、割り当てる。	サイバーセキュリティリスクが組織全体で取り組まれていることを確認するために、米国標準技術局（NIST）の特別刊行物（SP）800-37は、組織が個人またはグループを特定し、特定の役割と責任を割り当てるべきであると述べている。この実践の意図は、サイバーセキュリティリスク活動を組織全体で監督し、利害関係者間の協力とサイバーセキュリティリスクマネジメント戦略の一貫した適用を促進することである。
実践 2 組織のサイバーセキュリティリスクマネジメント戦略を確立し、維持する。	米国行政管理予算局（OMB）Circular A-130、NIST SP 800-37、国家安全保障システム委員会（CNSS）ポリシー22によると、組織はリスクマネジメント戦略を策定し、維持する必要があるとしている。NIST SP 800-37は、リスクマネジメント戦略の9つの要素について説明している。CNSSの命令1253は、組織に対して、少なくとも年1回はリスクマネジメント戦略を見直し、更新することを求めている。さらに、NIST SP 800-53によると、組織は組織の変化に対応するために、戦略を見直し、更新する必要がある。この実践の意図は、サイバーセキュリティリスクを管理するための基盤を構築し、リスクベースの決定のための境界を明確にすることであり、サイバーセキュリティリスクの枠組み、評価、対応、監視の方法を知らせることである。
実践 3 サイバーセキュリティプログラムの方針と計画を文書化し、維持する。	OMB Circular A-130 によると、政府機関は、連邦職員と請負業者が組織のサイバーセキュリティ要件とポリシーを遵守する責任を負うために、組織全体のサイバーセキュリティプログラムと計画を文書化して維持しなければならない。
実践 4 組織全体のサイバーセキュリティリスクを評価し、更新する。	NIST SP 800-37によると、組織は組織全体のサイバーセキュリティリスクを評価し、継続的に結果を更新する必要がある。CNSSポリシー22は、組織にリスク評価を実施し、組織全体の観点からサイバーセキュリティリスクを特定するよう指示している。この実践の意図は、機関がその情報システムの運用と使用から派生するすべてのサイバー関連リスクを考慮することを可能にすることである。
実践 5 情報システムまたはプログラムが継承可能な制御を指定する。	OMB Circular A-130、NIST SP 800-37、CNSSポリシー22によると、組織は、情報システムまたはプログラムが継承できるコントロールを特定し、文書化し、公表する必要がある。この実践の意図は、複数の情報システムまたはプログラムに継承できるコスト効率の良いサイバーセキュリティ能力を提供することである。
実践 6 組織全体のリスクを継続的に監視するための戦略を策定し、維持する。	OMB Circular A-130、NIST SP 800-37、CNSS Policy 22によると、組織は継続的な監視戦略を策定し維持する必要がある。また、同通達は、組織が定義した頻度に従って、戦略を更新することを機関に求めている。さらに、NISTのガイダンスでは、継続的な監視戦略の7つの要素について説明している。この実践の意図は、組織のサイバーセキュリティ態勢を継続的に監視し、新たなサイバー脅威に効率的かつ費用対効果の高い方法で対応することである。

 

● U.S. Government Accountability Office; GAO

・2022.09.22 Nuclear Weapons Cybersecurity:NNSA Should Fully Implement Foundational Cybersecurity Risk Management Practices

Nuclear Weapons Cybersecurity: NNSA Should Fully Implement Foundational Cybersecurity Risk Management Practices	核兵器のサイバーセキュリティ：NNSAはサイバーセキュリティの基礎的なリスクマネジメントを完全に実施すべき
GAO-22-104195	GAO-22-104195
Fast Facts	概要
The National Nuclear Security Administration (NNSA) is increasingly relying on advanced computers and integrating digital systems into weapons and manufacturing equipment. But, these systems could be hacked.	国家核安全保障局（NNSA）は、高度なコンピュータへの依存度を高め、兵器や製造装置にデジタルシステムを組み込んでいる。しかし、これらのシステムはハッキングされる可能性がある。
Federal laws and policies suggest 6 key practices to set up a cybersecurity management program, such as assigning risk management responsibilities. However, NNSA and its contractors haven't fully implemented these practices.	連邦法および政策は、リスクマネジメントの責任を割り当てるなど、サイバーセキュリティ管理プログラムを設定するための6つの重要な実践方法を提案している。しかし、NNSAとその請負業者は、これらの実践を完全に実施していない。
Additionally, NNSA and its contractors rely on subcontractors for services and equipment, but we found that oversight of subcontractors' cybersecurity was inconsistent. Our recommendations address these issues.	さらに、NNSAとその請負業者は、サービスや機器を下請け業者に依存していますが、下請け業者のサイバーセキュリティに対する監視は一貫していないことが分かった。我々の提言は、これらの問題に対処するものである。
National Nuclear Security Administration Digital Environments	国家核安全保障局のデジタル環境
Highlights	ハイライト
What GAO Found	GAOの発見事項
The National Nuclear Security Administration (NNSA) and its contractors have not fully implemented six foundational cybersecurity risk practices in its traditional IT environment. NNSA also has not fully implemented these practices in its operational technology and nuclear weapons IT environments.	国家核安全保障局（NNSA）とその請負業者は、従来のIT環境において6つの基本的なサイバーセキュリティ・リスクの実践を完全には行っていない。NNSAはまた、運用技術や核兵器のIT環境でも、これらの実践を十分に実施していない。
Organization-wide Foundational Practices to Manage Cybersecurity Risk	サイバーセキュリティリスクをマネジメントするための組織的な基礎的実践
Practice 1 Identify and assign cybersecurity roles and responsibilities for risk management.	実践 1 リスクマネジメントのためのサイバーセキュリティの役割と責任を特定し、割り当てる。
Practice 2 Establish and maintain a cybersecurity risk management strategy for the organization.	実践 2 組織のサイバーセキュリティリスクマネジメント戦略を確立し、維持する。
Practice 3 Document and maintain policies and plans for the cybersecurity program.	実践 3 サイバーセキュリティプログラムの方針と計画を文書化し、維持する。
Practice 4 Assess and update organization-wide cybersecurity risks.	実践 4 組織全体のサイバーセキュリティリスクを評価し、更新する。
Practice 5 Designate controls that are available for information systems or programs to inherit.	実践 5 情報システムまたはプログラムが継承可能な制御を指定する。
Practice 6 Develop and maintain a strategy to monitor risks continuously across the organization.	実践 6 組織全体のリスクを継続的に監視するための戦略を策定し、維持する。
Source: GAO analysis based on Office of Management and Budget, National Institute of Standards and Technology, and Committee on National Security Systems guidance. | GAO-22-104195	出典 管理予算局、米国標準技術研究所、国家安全保障システム委員会のガイダンスに基づくGAOの分析。| 参考資料：GAO-22-104195
The traditional IT environment includes computer systems used for weapons design. NNSA fully implemented four of six practices and partially implemented two. NNSA contractors had fully implemented three of six practices and did not fully implement three. For example, both NNSA and its contractors had not fully implemented a continuous monitoring strategy because their strategy documents were missing key recommended elements. Without such elements, NNSA and its contractors lack a full understanding of their cybersecurity posture and are limited in their ability to effectively respond to emerging cyber threats.	従来のIT環境には、兵器設計に使用されるコンピュータシステムも含まれる。NNSAは、6つの実践のうち4つを完全に実施し、2つを部分的に実施した。NNSAの請負業者は、6つの実践のうち3つを完全に実施し、3つを完全に実施していなかった。例えば、NNSAとその請負業者の両方は、戦略文書に重要な推奨要素が欠けていたため、継続的監視戦略を十分に実施していなかった。このような要素がなければ、NNSAとその請負業者はサイバーセキュリティの姿勢を完全に理解することができず、新たなサイバー脅威に効果的に対応する能力が制限される。
The operational technology environment includes manufacturing equipment and building control systems with embedded software to monitor physical devices or processes. NNSA has not yet fully implemented any foundational risk management practices in this environment, and it is still developing specific guidance for contractors. This is partially because NNSA has not yet determined the resources it needs to implement practices and develop guidance.	運用技術環境には、物理デバイスやプロセスを監視するためのソフトウェアが組み込まれた製造装置やビル制御システムなどがある。NNSAは、この環境における基礎的なリスクマネジメントをまだ完全に実施しておらず、請負業者向けの具体的なガイダンスもまだ開発中である。これは部分的には、NNSAが実践の実施とガイダンスの作成に必要なリソースをまだ決定していないためである。
The nuclear weapons IT environment includes IT in or in contact with weapons. NNSA has implemented or taken action consistent with implementing most of the practices in this environment and is developing specific guidance for contractors. However, NNSA has not developed a cyber risk management strategy to address nuclear weapons IT-specific threats. The absence of such a strategy likely constrains NNSA's awareness of and responses to such threats.	核兵器のIT環境には、兵器に含まれる、あるいは兵器と接触するITが含まれる。NNSAは、この環境における実践のほとんどを実施、または実施と一致する行動をとっており、請負業者向けの具体的なガイダンスを開発しているところである。しかし、NNSAは、核兵器IT特有の脅威に対処するためのサイバーリスクマネジメント戦略を策定していない。このような戦略がないため、NNSAはこのような脅威に対する認識と対応に制約があると思われる。
NNSA's cybersecurity directive requires contractors to oversee their subcontractors' cybersecurity measures, but contractors' efforts to provide such oversight are mixed, and three of seven contractors do not believe it is a contractual responsibility. An NNSA official proposed adding an evaluation of such oversight to its annual contractor performance evaluation process, but NNSA could not provide evidence that it had done so. These oversight gaps, at both the contractor and NNSA level, leave NNSA with little assurance that sensitive information held by subcontractors is effectively protected.	NNSAのサイバーセキュリティ指令は、請負業者に下請け業者のサイバーセキュリティ対策を監督するよう求めているが、請負業者のこうした監督への取り組みはまちまちで、7社中3社は、それが契約上の責任だとは考えていない。NNSAの担当者は、請負業者の年次業績評価プロセスにそのような監督の評価を加えることを提案したが、NNSAはそれを行ったという証拠を提供できなかった。請負業者とNNSAの両レベルにおけるこれらの監視のギャップにより、NNSAは、下請け業者が保有する機密情報が効果的に保護されているという保証をほとんど得られないままである。
Why GAO Did This Study	GAOがこの調査を行った理由
NNSA and its site contractors integrate information systems into nuclear weapons, automate manufacturing equipment, and rely on computer modeling to design weapons. However, cyber systems are targets of malicious actors. To protect against such threats, federal law and policies require that NNSA establish a program to manage cybersecurity risk, which includes the implementation of six foundational practices. NNSA contractors are required to oversee subcontractors' cybersecurity.	NNSAとそのサイト契約者は、核兵器に情報システムを統合し、製造装置を自動化し、兵器の設計にコンピュータ・モデリングに依存している。しかし、サイバーシステムは悪意ある行為者の標的となる。このような脅威から保護するため、連邦法と政策により、NNSAはサイバーセキュリティのリスクを管理するプログラムを確立することが求められており、これには6つの基礎的実践の実施が含まれている。NNSAの請負業者は、下請け業者のサイバーセキュリティを監督することが義務付けられている。
The Senate committee report accompanying the National Defense Authorization Act for Fiscal Year 2020 included a provision for GAO to review NNSA's cybersecurity practices and policies, and GAO was also asked to perform similar work. GAO's report examines the extent to which (1) NNSA and its seven site contractors implemented foundational cybersecurity risk management practices and (2) contractors oversee subcontractor cybersecurity.	2020年度国防権限法に伴う上院委員会報告書には、GAOがNNSAのサイバーセキュリティの実践と方針を審査する条項が含まれており、GAOも同様の作業を依頼された。GAOの報告書は、(1)NNSAとその7つのサイトの請負業者が基礎的なサイバーセキュリティのリスクマネジメントを実施しているか、(2)請負業者が下請けのサイバーセキュリティを監督しているかを調査したものである。
GAO reviewed NNSA and contractor documents, compared NNSA's efforts with federal and agency requirements for risk management practices, and interviewed NNSA officials and contractor representatives.	GAOは、NNSAと請負業者の文書を調査し、NNSAの取り組みをリスクマネジメントの実施に関する連邦政府および機関の要件と比較し、NNSA職員と請負業者の代表者にインタビューを行った。
Recommendations	勧告
GAO is making nine recommendations to NNSA, including that it fully implement an IT continuous monitoring strategy; determine needed resources for operational technology efforts; create a nuclear weapons risk strategy; and enhance monitoring of subcontractor cybersecurity. NNSA agreed with GAO's recommendations.	GAOはNNSAに対し、IT継続監視戦略の完全実施、運用技術の取り組みに必要なリソースの決定、核兵器リスク戦略の策定、下請け業者のサイバーセキュリティの監視強化など、9項目の勧告を行っている。NNSAはGAOの勧告に同意した。
Recommendations for Executive Action	行政措置に関する勧告
Agency Affected	影響を受ける機関
National Nuclear Security Administration	国家核安全保障局
The NNSA Administrator should promptly finalize its planned revision of Supplemental Directive 205.1, Baseline Cybersecurity Program, to include the most relevant federal cybersecurity requirements and review the directive at least every 3 years. (Recommendation 1)	NNSA長官は、最も関連性の高い連邦サイバーセキュリティ要件を含むように、補足指令205.1「ベースライン・サイバーセキュリティ・プログラム」の改訂計画を速やかに確定し、少なくとも3年ごとに同指令を見直すこと。(勧告 1)
The NNSA Administrator should direct NNSA's Office of Information Management, and the site contractors that have not done so, to develop and maintain cybersecurity continuous monitoring strategies that address all elements from NIST guidance. (Recommendation 2)	NNSA長官は、NNSAの情報管理室と、そうしていないサイトコントラクターに対して、NISTガイダンスのすべての要素に対応するサイバーセキュリティ継続監視戦略を策定し維持するよう指示すること。(勧告 2)
The NNSA Administrator should direct NNSA's Office of Information Management, and the site contractors that have not done so, to identify and assign all risk management roles and responsibilities called for in NIST guidance. (Recommendation 3)	NNSA長官は、NNSAの情報管理室と、そうしていないサイトコントラクターに対して、NISTガイダンスで求められているすべてのリスクマネジメントの役割と責任を特定し、割り当てるように指示すること。(勧告 3)
The NNSA Administrator should direct that the site contractors that have not done so maintain a site-wide cybersecurity risk management strategy that addresses all elements from NIST guidance and perform periodic reviews at least annually. (Recommendation 4)	NNSA長官は、NISTガイダンスの全要素に対応したサイト全体のサイバーセキュリティリスクマネジメント戦略を維持し、少なくとも年1回の定期的なレビューを行うよう、そうしていないサイトコントラクターに指示すること。(勧告 4)
The NNSA Administrator should direct the Office of Information Management to identify the needed resources to implement foundational practices for the OT environment, such as by developing an OT activity business case for consideration in NNSA's planning, programming, budgeting, and evaluation process. (Recommendation 5)	NNSA長官は、情報管理室に対し、NNSAの計画、立案、予算、評価プロセスで検討するためのOT活動ビジネスケースを開発するなど、OT環境のための基礎的実践を実施するために必要なリソースを特定するよう指示すること。(勧告 5)
The Director of NNSA's Office of Defense Programs should establish a cybersecurity risk management strategy for nuclear weapons information technology that includes all elements from NIST guidance. (Recommendation 6)	NNSAの防衛計画局長は、NISTガイダンスの全要素を含む、核兵器情報技術に関するサイバーセキュリティ・リスクマネジメント戦略を策定すること。(勧告 6)
The Director of NNSA's Office of Acquisition and Project Management should clarify and reinforce to the M&O contractors, such as by a policy flash or other communication, that they are required to monitor subcontractor's cybersecurity measures. (Recommendation 7)	NNSAの取得・プロジェクト管理室長は、M&Oコントラクターに対し、下請け業者のサイバーセキュリティ対策を監視する必要があることを、ポリシーフラッシュやその他のコミュニケーションによって明確にし、強化すること。(勧告 7)
The Director of NNSA's Office of Acquisition and Project Management should include performance criteria evaluating contractor oversight of subcontractor cybersecurity measures in the annual M&O contractor performance evaluation process. (Recommendation 8)	NNSAの取得・プロジェクト管理局長は、下請け業者のサイバーセキュリティ対策の監視を評価するパフォーマンス基準を、毎年のM&Oコントラクターパフォーマンス評価プロセスに含めること。(勧告 8)
The NNSA Administrator should direct Information Management and the Office of Acquisition and Project Management to ensure that Supplemental Directive 205.1 contains language requiring third-party validation of contractor and subcontractor cybersecurity measures. (Recommendation 9)	NNSA長官は、補足指令205.1に請負業者と下請け業者のサイバーセキュリティ対策の第三者による検証を要求する文言が含まれるように、情報管理部と取得・プロジェクト管理部に指示すること。(勧告 9)
When we confirm what actions the agency has taken in response to this recommendation, we will provide updated information.	この勧告に対し、同機関がどのような行動を取ったか確認できた場合、最新の情報を提供する。

 

・[PDF] Full Report

 

・[PDF] Highlight