米国 GAO 重要インフラの防御:K-12サイバーセキュリティを強化するためには、連邦政府のさらなる調整が必要である。
こんにちは、丸山満彦です。
サイバー空間が、社会のインフラとして当然の存在になっているので、生徒に対するサイバー教育というのも必要ですよね。。。米国の場合は、学校というか教育機関は重要インフラとなっていて、学校というか教育システム全体のセキュリティを保護する必要があるという認識ですね。。
個別のセキュリティ対策というよりも、政府間の連携対策、セキュリティ製品・サービス等を選定する際の規準のようなものの不足が課題として上がっていますね。。。
● U.S. GAO
・2022.10.20 Critical Infrastructure Protection:Additional Federal Coordination Is Needed to Enhance K-12 Cybersecurity
速報ハイライト
| Critical Infrastructure Protection:Additional Federal Coordination Is Needed to Enhance K-12 Cybersecurity | 重要インフラの防御:K-12サイバーセキュリティを強化するためには、連邦政府のさらなる調整が必要である。 |
| GAO-23-105480 | GAO-23-105480 |
| Fast Facts | 速報 |
| U.S. schools rely on information technology for many operations. But cybersecurity incidents, like ransomware attacks, could significantly affect everything from educational instruction to school operations. | 米国の学校は、多くの業務を情報技術に依存している。しかし、ランサムウェア攻撃のようなサイバーセキュリティインシデントは、教育指導から学校運営に至るまで、あらゆるものに大きな影響を及ぼす可能性がある。 |
| Three federal agencies assist schools in protecting against cyber threats. But there are no formal channels for how agencies coordinate with each other or with K-12 schools to address cybersecurity risks or incidents. Also, the agencies don't measure or obtain feedback on whether their cybersecurity-related services are effective. | 3つの連邦政府機関が、サイバー脅威から学校を守るための支援を行っている。しかし、サイバーセキュリティのリスクやインシデントに対処するために、各機関が互いに、あるいは幼稚園から高校までの学校とどのように連携するかについて、正式なチャンネルはない。また、各機関はサイバーセキュリティ関連のサービスが効果的かどうかを測定したり、フィードバックを得たりしていない。 |
| Our recommendations could improve how agencies coordinate cybersecurity assistance with K-12 schools. | われわれの勧告により、各機関がK-12スクールとサイバーセキュリティ支援を調整する方法を改善できる可能性がある。 |
| Cyberattacks Used Against K-12 Schools | 幼稚園から高校までの学校に対するサイバー攻撃 |
| Highlights | ハイライト |
| What GAO Found | GAOの調査結果 |
| Kindergarten through grade 12 (K-12) schools have reported significant educational impact due to cybersecurity incidents, such as ransomware attacks. Cyberattacks can also cause monetary losses for targeted schools due to the downtime and resources needed to recover from incidents. Officials from state and local entities reported that the loss of learning following a cyberattack ranged from 3 days to 3 weeks, and recovery time ranged from 2 to 9 months. While the precise national magnitude of cyberattacks on K-12 schools is unknown, the research organization Comparitech reported the number of students affected by ransomware attacks between 2018 and 2021 (see figure). | 幼稚園から12年生までの(K-12)学校は、ランサムウェア攻撃などのサイバーセキュリティインシデントにより、教育に大きな影響を与えたと報告している。サイバー攻撃は、インシデントからの復旧に必要なダウンタイムやリソースにより、標的となった学校に金銭的な損失をもたらす可能性もある。州や地方の事業体の関係者は、サイバー攻撃後の学習損失は3日から3週間、復旧時間は2カ月から9カ月に及ぶと報告している。幼稚園から高校までの学校に対するサイバー攻撃の全国的な正確な規模は不明だが、調査機関Comparitechは、2018年から2021年にかけてランサムウェア攻撃の影響を受けた生徒数を報告している(図参照)。 |
| Number of U.S. Students Affected by Ransomware Attacks on K-12 Schools and School Districts, 2018-2021 | K-12学校および学区に対するランサムウェア攻撃の影響を受ける米国の生徒数(2018年~2021年 |
 |
|
| Federal guidance, such as the National Infrastructure Protection Plan (National Plan), establishes roles and responsibilities for the protection of the nation's critical infrastructure, including the Education Subsector. Specifically, the Department of Education (Education) is the lead agency, or sector risk management agency, for the subsector. As such, Education and the Department of Homeland Security's Cybersecurity and Infrastructure Security Agency (CISA) are to coordinate K-12 cybersecurity efforts with federal and nonfederal partners. In addition, the FBI is to provide criminal investigative support. | 国家インフラ保護計画などの連邦政府の指針は、教育サブセクターを含む国家の重要インフラの保護に関する役割と責任を定めている。具体的には、教育省がサブセクターの主導機関、すなわちセクターリスクマネジメント機関である。そのため、教育省および国土安全保障省のサイバーセキュリティ・インフラセキュリティ庁(CISA)は、連邦および連邦以外のパートナーとともに、K-12サイバーセキュリティの取り組みを調整することになっている。また、FBIは犯罪捜査支援を提供することになっている。 |
| Education and CISA offer cybersecurity-related products and services to K-12 schools, such as online safety guidance. However, they otherwise have little to no interaction with other agencies and the K-12 community regarding schools' cybersecurity. This is due in part to Education not establishing a government coordinating council, as called for in the National Plan. Such a council can facilitate ongoing communication and coordination among federal agencies and with the K-12 community. This, in turn, can enable federal agencies to better address the cybersecurity needs of K-12 schools. Regarding the products and services they do offer to schools, Education and CISA do not measure their effectiveness. Doing so would provide further input on the needs of the schools. | 教育機関とCISAは、K-12学校にオンライン安全指導などのサイバーセキュリティ関連の製品やサービスを提供している。しかし、それ以外では、学校のサイバーセキュリティに関して、他の機関やK-12コミュニティとの交流はほとんどない。これは、教育省が国家計画で求められている政府調整協議会を設立していないことにも起因している。このような協議会は、連邦政府機関間およびK-12コミュニティとの継続的なコミュニケーションと調整を促進することができる。その結果、連邦政府機関は、K-12 学校のサイバーセキュリティ・ニーズによりよく対応できるようになる。学校向けに提供している製品やサービスについて、Education と CISA はその効果を測定していない。そうすることで、学校のニーズについてさらなるインプットが得られるだろう。 |
| Why GAO Did This Study | GAOがこの調査を行った理由 |
| The COVID-19 pandemic forced schools across the nation to increase their reliance on IT to deliver educational instruction to students. This amplified the vulnerability of K-12 schools to potentially serious cyberattacks. Several federal agencies have a role in enhancing the protection of our nation's critical infrastructure, which includes the Education Facilities Subsector. | COVID-19の大流行により、全米の学校は、生徒に教育指導を提供するためのITへの依存度を高めざるを得なくなった。これは、潜在的に深刻なサイバー攻撃に対するK-12学校の脆弱性を増幅させた。いくつかの連邦政府機関は、教育施設サブセクターを含むわが国の重要インフラの保護を強化する役割を担っている。 |
| GAO was asked to review cybersecurity in K-12 schools. The objectives of this report are to (1) determine what is known about the impact of cyber incidents, and (2) determine the extent to which key federal agencies coordinate with other federal and nonfederal entities to help K-12 schools combat cyber threats. | GAOは、K-12学校のサイバーセキュリティの見直しを依頼された。本報告書の目的は、(1)サイバーインシデントの影響について知られていることを明らかにすること、(2)主要な連邦政府機関が他の連邦政府機関や連邦政府以外の事業体とどの程度連携し、K-12学校のサイバー脅威対策を支援しているかを明らかにすることである。 |
| To do so, GAO analyzed publicly reported K-12 cyber incidents and related documentation. In addition, GAO identified law and federal guidance that establish roles and responsibilities for coordinating K-12 cybersecurity. GAO also interviewed officials from federal agencies and selected state-level and local-level school-related organizations on the impact of cyber incidents and level of federal cybersecurity support received. | そのために、GAOは公に報告されたK-12のサイバーインシデントと関連文書を分析した。さらにGAOは、K-12サイバーセキュリティを調整するための役割と責任を定めた法律と連邦政府のガイダンスを特定した。GAOはまた、サイバーインシデントの影響や連邦政府が受けたサイバーセキュリティ支援のレベルについて、連邦政府機関や特定の州レベルおよび地方レベルの学校関連組織の関係者にインタビューを行った。 |
| Recommendations | 勧告 |
| GAO is making three recommendations to Education and one to DHS to improve coordination of K-12 schools' cybersecurity and to measure the effectiveness of products and services. Education concurred with one recommendation and partially concurred with two; DHS concurred with its recommendation. GAO continues to believe all recommendations are warranted. | GAOは教育省に対して3件、DHSに対して1件の勧告を行い、幼稚園から高校までのサイバーセキュリティの調整を改善し、製品やサービスの効果を測定するよう求めている。教育省は1つの勧告に同意し、2つの勧告に部分的に同意した。GAOは、すべての勧告が正当であると引き続き考えている。 |
Recommendations for Executive Action |
行政措置に関する勧告 |
| Agency Affected | 影響を受ける機関 |
| Department of Education | 教育省 |
| The Secretary of Education, in consultation with the Cybersecurity and Infrastructure Security Agency and other stakeholders involved in updating the Education Facilities Sector-Specific Plan, should establish a collaborative mechanism, such as an applicable government coordinating council, to coordinate cybersecurity efforts between agencies and with the K-12 community. (Recommendation 1) | 教育省長官は、サイバーセキュリティ・インフラセキュリティ庁および教育施設分野別計画の更新に関与する他の利害関係者と協議の上、省庁間およびK-12コミュニティとのサイバーセキュリティの取り組みを調整するために、適用される政府調整協議会などの協力体制を確立すべきである。(勧告1) |
| The Secretary of Education should develop metrics for obtaining feedback to measure the effectiveness of Education's K-12 cybersecurity-related products and services that are available for school districts. (Recommendation 2) | 教育省長官は、教育省が学区向けに提供するK-12サイバーセキュリティ関連の製品やサービスの有効性を測定するためのフィードバックを得るための指標を開発すべきである。(勧告2) |
| The Secretary of Education, in coordination with federal and nonfederal stakeholders, should determine how best to help school districts overcome the identified challenges and consider the identified opportunities for addressing cyber threats, as appropriate. (Recommendation 3) | 教育省長官は、連邦政府および連邦政府以外の利害関係者と連携して、学区が識別された課題を克服し、識別されたサイバー脅威に対処するための機会を検討するのを支援するための最善の方法を適宜決定すべきである。(勧告3) |
| Department of Homeland Security | 国土安全保障省 |
| The Secretary of the Department of Homeland Security should ensure that the Director of the Cybersecurity and Infrastructure Security Agency develops metrics for measuring the effectiveness of its K-12 cybersecurity-related products and services that are available for school districts and determine the extent that CISA meets the needs of state and local-level school districts to combat cybersecurity threats. (Recommendation 4) | 国土安全保障省長官は、サイバーセキュリティ・インフラセキュリティ庁長官が、学区が利用可能なK-12サイバーセキュリティ関連製品およびサービスの有効性を測定するための指標を開発し、CISAが州および地方レベルの学区のサイバーセキュリティの脅威に対抗するニーズにどの程度対応しているかを判断するようにすべきである。(勧告4) |
報告書...
・[PDF] Highlights Page
・[PDF] Full Report
・[PDF] Accessible PDF
Comments