オーストラリア国家監査局 サイバーセキュリティサプライチェーンの管理(連邦警察、税務局、外務貿易省) (2022.12.14)
こんにちは、丸山満彦です。
オーストラリア連邦政府の国家監査局が、連邦警察、税務局、外務貿易省のサイバーセキュリティサプライチェーンの管理についての監査を実施し、報告していますね。。。
それなりに課題があるようです。。。
● Australian National Audit Office: ANAO
・2022.12.14 Management of Cyber Security Supply Chain Risks
・[PDF]
| Management of Cyber Security Supply Chain Risks | サイバーセキュリティ サプライチェーンリスクのマネジメント |
| Why did we do this audit? | なぜこの監査を行ったのか? |
| $14.8 billion committed to Information Communications Technology related goods and services in 2021–22 by Australian Government entities. | 2021-22年にオーストラリア政府機関が情報通信技術関連の商品とサービスにコミットした額は148億ドル。 |
| Australian Cyber Security Centre (ACSC) has reported that contractors holding government information had a significant increase in malicious cyber activities. | オーストラリア・サイバーセキュリティ・センターは、政府情報を保有する請負業者が悪意のあるサイバー活動を大幅に増加させたと報告している。 |
| Previous audits identified high rates of non‐compliance with mandatory Protective Security Policy Framework (PSPF) cyber security requirements and poor administration of government procurements, including monitoring and treatment of non‐compliance with contractual requirements. | これまでの監査では、強制的な保護セキュリティポリシーフレームワーク(PSPF)のサイバーセキュリティ要件に対する高い非遵守率や、契約要件に対する非遵守の監視や処置など政府調達の管理不備が指摘されている。 |
| What did we find? | 発見事項 |
| The implementation of arrangements by selected entities for managing cyber security risks within procurements and specific contracted providers under the PSPF have not been fully effective. | PSPFに基づく調達と特定の契約プロバイダーにおけるサイバーセキュリティリスクマネジメントのための選択された機関による取り決めの実施は、完全には効果的ではなかった。 |
| ATO has largely effective arrangements for assessing and managing procurement cyber security risks in accordance with the PSPF. AFP and DFAT have partially effective arrangements for assessing and managing procurement risks related to cyber security in accordance with the PSPF. | オーストラリア税務局は、PSPFに従って調達のサイバーセキュリティリスクを評価・マネジメントするための取り決めを概ね効果的に実施している。オーストラリア連邦警察と外務貿易省は、PSPFに従ってサイバーセキュリティに関連する調達リスクを評価・マネジメントするための部分的に効果的な取り決めを行っている。 |
| AFP and DFAT do not manage compliance of contracted providers with the PSPF requirements for cyber security. ATO had largely established arrangements to manage compliance of their contracted providers with limited assurance over reporting and methods of enforcement of the PSPF requirements for cyber security. | オーストラリア連邦警察と外務貿易省は、契約プロバイダーがサイバーセキュリティに関するPSPFの要件を遵守しているかどうかを管理していない。オーストラリア税務局は、契約プロバイダーのコンプライアンスを管理するための取り決めを概ね確立していたが、サイバーセキュリティに関するPSPF要件の報告や実施方法については限定的な保証にとどまっている。 |
| Key facts | 主な事実 |
| The Commonwealth Procurement Rules, which govern how entities procure goods and services, was updated in December 2020 to include considerations for cyber security risks. | 物品とサービスの調達方法を規定する連邦調達規則が2020年12月に更新され、サイバーセキュリティリスクへの配慮が盛り込まれた。 |
| PSPF Policy 6 and Policy 10 outline the mandatory requirements for non-corporate Commonwealth entities to manage cyber security threats arising from contracted goods and service providers. | PSPFポリシー6とポリシー10は、契約した物品とサービスプロバイダから生じるサイバーセキュリティの脅威を管理するための、法人ではない英連邦団体の必須要件を概説している。 |
| 51% of non-corporate Commonwealth entities reported not fully implementing PSPF Policy 6 in 2020–21. | 51%の非法人連邦機関は、2020-21年にPSPFポリシー6を完全に実施していないと報告した。 |
| 72% of non-corporate Commonwealth entities reported not fully implementing PSPF Policy 10 in 2020–21. | 72%の非法人連邦機関は、2020-21年にPSPFポリシー10を完全に実施していないと回答している。 |
| Summary and recommendations | 概要と提言 |
| Background | 背景 |
| 1. Australian Government entities deliver a wide range of digital services to the community and hold large volumes of data across their computer networks, some of which is highly sensitive. Australian Government entities rely on a system of organisations, people, activities, information, and resources to deliver digital services and to maintain the security of government computer networks and data. This system can be referred to as an entity’s supply chain.1 | 1. オーストラリア政府機関は、地域社会に幅広いデジタルサービスを提供し、コンピュータネットワーク上に大量のデータを保有しており、その中には非常に機密性の高いものもある。オーストラリア政府機関は、デジタルサービスを提供し、政府のコンピュータネットワークとデータのセキュリティを維持するために、組織、人、活動、情報、リソースのシステムに依存している。このシステムは、団体のサプライチェーンと呼ばれることがある1。 |
| 2. Cyber security continues to be a risk for all Australian individuals, organisations and government entities, with over 67,500 cybercrimes being reported to the Australian Signals Directorate’s Australian Cyber Security Centre (ACSC) in 2020–21 — an increase of 13 per cent since the previous financial year.2 In addition, ACSC has reported that contractors holding government information had a significant increase in malicious cyber activities.3 This increases the cyber security risks arising from an entity’s supply chain as the risks can originate from suppliers, manufacturers, distributors, and retailers that support products and services used by the entity. ACSC recommends that all Australian organisations prioritise the implementation of the Essential Eight Maturity Model (Essential Eight), including knowing their networks and evaluating risks associated with cyber supply chains. | 2. サイバーセキュリティは、オーストラリアのすべての個人、組織、政府機関にとって引き続きリスクであり、2020-21年には、オーストラリア信号理事会のオーストラリア・サイバーセキュリティ・センターに67,500件を超えるサイバー犯罪が報告されており、前会計年度から13%増加している2。さらに、オーストラリア・サイバーセキュリティ・センターは、政府情報を保有する契約者に悪質なサイバー活動が大幅に増加したと報告している3 このことから、企業のサプライチェーンから生じるリスクは、企業が用いる製品およびサービスを支える供給者やメーカー、流通業者および小売業者が起源となり得るため増加すると言えます。オーストラリア・サイバーセキュリティ・センター は、オーストラリアのすべての組織が、自社のネットワークを知り、サイバーサプライチェーンに関連するリスクを評価することを含め、Essential Eight Maturity Model (Essential Eight) を優先的に実施することを勧告している。 |
| 3. The Attorney-General has established the Protective Security Policy Framework (PSPF) as Australian Government policy and non-corporate Commonwealth entities (NCEs) subject to the Public Governance, Performance and Accountability Act 2013 must apply the PSPF.4 PSPF Policy 5: Reporting on security (Policy 5) sets out the maturity self-assessment model for annual PSPF reporting. The maturity self-assessment model requires entities to assess their security capability and implementation of the PSPF requirements.5 The PSPF specifies that the ‘Managing’ maturity level provides the minimum required level of protection of an entity’s people, information and assets.6 | 3. PSPF Policy 5: Reporting on Security (Policy 5)は、PSPFの年次報告のための成熟度自己評価モデルを規定している。成熟度自己評価モデルは,事業体に対して,自らのセキュリティ能力と PSPF 要求事項の実施状況を評価するよう求めている5。 PSPF では,成熟度レベル「管理」が,事業体の人,情報,資産の保護に必要な最低限のレベルを提供すると定めている6。 |
| 4. Requirements for NCEs to manage cyber security supply chain risks are outlined in PSPF Policy 6: Security governance for contracted goods and service providers (Policy 6) and the Commonwealth Procurement Rules (CPRs). The CPRs were updated in December 2020 to include managing cyber security risks within government procurements and contracts. These are supported by requirements in PSPF Policy 10: Safeguarding data from cyber threats (Policy 10), which outlines the mandatory PSPF cyber security requirements. Since April 2013, the PSPF has mandated NCEs implement four of the ACSC’s Essential Eight Maturity Model, known as the Top Four.7 | 4. 非法人連邦機関 がサイバーセキュリティのサプライチェーンリスクを管理するための要件は、PSPF 方針 6:契約商品及びサービスプロバイダーのセキュリティガバナンス(方針 6)及び連邦調達規則(CPRs)に概説され ている。CPRは2020年12月に更新され、政府の調達と契約におけるサイバーセキュリティリスクのマネジメントが含まれるようになった。これらは、PSPFポリシー10:Safeguarding data from cyber threats(ポリシー10)の要件によってサポートされており、PSPFサイバーセキュリティの必須要件を概説している。2013 年 4 月以降、PSPF は 非法人連邦機関 に対し オーストラリア・サイバーセキュリティ・センター の「Essential Eight Maturity Model」のうち「Top 4」と呼ばれる 4 項目の実施を義務付けている7。 |
| Rationale for undertaking the audit | 監査を実施する理由 |
| 5. The ANAO has conducted a series of audits on cyber security and identified ongoing low levels of cyber resilience in NCEs and high rates of non‐compliance with the Top Four mitigation strategies. The high-rates of non-compliance continues to be an issue as AGD’s PSPF Assessment Report 2020–21 indicated 72 per cent of NCEs reported not fully implementing Policy 10 requirements.8 The Top Four mitigation strategies were mandated by the PSPF in 2013. Auditor‐General Report No. 32 2020–21 Cyber Security Strategies of Non‐Corporate Commonwealth Entities noted that: | 5. オーストラリア国家監査局 はサイバーセキュリティに関する一連の監査を実施し、非法人連邦機関 のサイバーレジリエンスの 低レベルとトップ 4 の緩和戦略への高い非適合率を確認した。AGD の PSPF アセスメントレポート 2020-21 では、非法人連邦機関 の 72%が政策 10 の要件を完全に実施していないと報告しており、高率の非遵守は引き続き問題である8。監査総長報告書第32号2020-21年非法人連邦機関のサイバーセキュリティ戦略では、次のように指摘されている。 |
| The 2018‐19 PSPF assessment report identified that one of the key challenges faced by the entities who had not achieved the ‘Managing’ maturity level of Policy 10 was reliance on outsourced service providers for information communications technology (ICT) and cyber security services, whereby entities had limited influence or control over the implementation of the mitigation strategies. 9 | 2018-19年のPSPF評価報告書では、方針10の成熟度レベル「管理」を達成していない事業体が直面する主要な課題の1つは、情報通信技術(ICT)とサイバーセキュリティサービスのアウトソーシングサービスプロバイダーに依存しており、そのため事業体は緩和戦略の実施に対する影響力や制御力が限られていることが確認された。 9 |
| 6. The limited influence and control over outsourced service providers of information communications technology (ICT) and cyber security services increases the cyber security risks arising from an entity’s supply chain. The management of cyber security risks within procurements continues to be challenging for NCEs with 51 per cent being reported in AGD’s PSPF Assessment Report 2020–21 as not fully implementing Policy 6. | 6. 情報通信技術(ICT)及びサイバーセキュリティサービスの外部委託先に対する影響力と統制力が限定的であるため、事業者のサプライチェーンから生じるサイバーセキュリティリスクが増大する。調達におけるサイバーセキュリティリスクのマネジメントは非法人連邦機関sにとって引き続き困難であり、AGDのPSPF評価レポート2020-21では、51%が方針6を完全に実施していないと報告されている。 |
| 7. Auditor‐General Report No. 4 2021‐22 Defence’s Contract Administration — Defence Industry Security Program and Auditor‐General Report No. 6 2021–22 Management of the Civil Maritime Surveillance Services Contract have further indicated poor administration of government procurements, including monitoring and treatment of non‐compliance with contractual requirements. 10 | 7. 監査役会報告書第4号2021-22国防省の契約管理-防衛産業セキュリティプログラム及び監査役会報告書第6号2021-22民間海上監視サービス契約の管理は、契約要件への不遵守の監視と処置を含む政府調達の管理の不十分さをさらに指摘している。 10 |
| 8. The Australian Government has committed $14.8 billion in ICT related goods and services contracts in 2021–22.11 These commitments indicate the Australian Government’s reliance on contracted providers for its ICT capabilities. This dependency on contractors for ICT capabilities and the increase in malicious cyber activities against contractors who hold government information increases the risks associated with government supply chains.12 | 8. オーストラリア政府は、2021-22年のICT関連の物品およびサービス契約において148億ドルのコミットメントを行った11。これらのコミットメントは、オーストラリア政府がICT能力について契約業者に依存していることを示すものである。このようにICT能力を契約業者に依存し、政府情報を保有する契約業者に対する悪質なサイバー活動が増加することで、政府のサプライチェーンに関連するリスクが高まっている12。 |
| 9. This audit was identified as a Joint Committee of Public Accounts and Audit (JCPAA) priority for 2021-22. | 9. この監査は、2021-22 年の公会計監査合同委員会(JCPAA)の優先事項として特定された。 |
| 10. This audit will examine the effectiveness of the implementation of Policy 6 by selected NCEs and the effectiveness of selected contracted providers’ compliance with the relevant PSPF requirements relating to procurement cyber security risks. It will provide Parliament transparency and insights on the management of procurement cyber security risks.13 | 10. この監査は、選定された非法人連邦機関による方針6の実施の有効性と、選定された契約プロバイダによる調達サイバーセキュリティリスクに関連するPSPF要件の遵守の有効性を調査するものである。それにより、調達サイバーセキュリティリスクのマネジメントに関する国会の透明性と洞察が得られる13。 |
| Audit objective and criteria | 監査の目的及び基準 |
| 11. The objective of this audit was to examine the effectiveness of selected NCEs’ arrangements for managing cyber security risks within their procurements and specific contracted providers under the PSPF. | 11. 本監査の目的は、PSPFの下での調達及び特定の契約プロバイダにおけるサイバーセキュリティリスクを管理するための選択された非法人連邦機関sの取決めの有効性を調査することであった。 |
| 12. To form a conclusion against the audit objective, the ANAO adopted the following two high-level criteria: | 12. 監査目的に対する結論を出すために、オーストラリア国家監査局は以下の2つのハイレベルな基準を採用した。 |
| Have entities established effective arrangements to assess and manage procurement risks related to cyber security in accordance with the PSPF requirements? | 事業者は、PSPFの要件に従って、サイバーセキュリティに関連する調達リスクを評価・マネジメントするための効果的な取り決めを確立しているか? |
| Have the contracted providers complied with the relevant PSPF requirements? | 契約プロバイダは、関連する PSPF の要求事項を遵守しているか? |
| 13. Three NCEs were included in this audit: | 13. 本監査では 3 つの 非法人連邦機関 が対象となった。 |
| Australian Federal Police (AFP); | オーストラリア連邦警察 |
| Australian Taxation Office (ATO); and | オーストラリア税務局 |
| Department of Foreign Affairs and Trade (DFAT). | 外務貿易省 |
| Conclusion | 結論 |
| 14. The implementation of arrangements by selected entities for managing cyber security risks within procurements and specific contracted providers under the PSPF have not been fully effective. | 14. PSPF の下で調達された調達品や特定の契約プロバイダにおけるサイバー・セキュリティ・リスクを管理するための選択された組織による取り決めの実施は、十分に効果的とは言えなかった。 |
| 15. ATO has largely effective arrangements for assessing and managing procurement cyber security risks in accordance with the PSPF. AFP and DFAT have partially effective arrangements for assessing and managing procurement risks related to cyber security in accordance with the PSPF. | 15. オーストラリア税務局は、PSPFに従って調達のサイバーセキュリティリスクを評価・マネジメントするための取り決めを概ね効果的に実施している。オーストラリア連邦警察と外務貿易省は、PSPFに従ってサイバーセキュリティに関連する調達リスクを評価・マネジメントするための部分的に効果的な取り決めを行っている。 |
| 16. AFP and DFAT do not manage compliance of contracted providers with the PSPF requirements for cyber security. ATO had largely established arrangements to manage compliance of their contracted providers with limited assurance over reporting and methods of enforcement of the PSPF requirements for cyber security. | 16. オーストラリア連邦警察 と 外務貿易省 は、契約プロバイダがサイバーセキュリティに関する PSPF 要件を遵守しているかどうかを管理していない。オーストラリア税務局は、契約プロバイダーのコンプライアンスを管理するための取り決めを概ね確立していたが、サイバーセキュリティに関するPSPF要件の報告や実施方法については限定的な保証にとどまっていた。 |
| Supporting findings | 補足事項 |
| Managing cyber security risks in procurements | 調達におけるサイバーセキュリティリスクのマネジメント |
| 17. All three entities have defined roles and responsibilities for managing procurement cyber security risks. The procurement teams are responsible for identifying, assessing, and managing cyber security risks within procurements. The entities have cyber security specialists who can provide advice on cyber security risks associated with a procurement. | 17. 3機関とも、調達のサイバーセキュリティリスクをマネジメントするための役割と責任を明確にしている。調達チームは、調達におけるサイバーセキュリティリスクを特定し、評価し、マネジメントする責任を有する。また、調達に伴うサイバーセキュリティリスクについて助言を行うサイバーセキュリティ専門家がいる。 |
| 18. None of the three entities’ processes required procurement teams to consult with cyber security specialists when assessing procurement cyber security risks or when considering mandatory PSPF cyber security requirements. Of the three entities, ATO has processes for assisting procurement teams with assessing and managing procurement cyber security risks and consideration of mandatory PSPF cyber security requirements. AFP and DFAT have not implemented processes for assessing and managing procurement cyber security risks, including documenting any assessments performed relating to mandatory PSPF cyber security requirements. | 18. 3機関のいずれのプロセスも、調達のサイバーセキュリティリスクを評価する際、あるいはPSPFのサイバーセキュリティ義務要件を検討する際、調達チームにサイバーセキュリティ専門家との協議を義務付けてはいなかった。3機関のうち、オーストラリア税務局は調達サイバーセキュリティリスクの評価とマネジメント、PSPFサイバーセキュリティ必須要件の検討について、調達チームを支援するためのプロセスを有している。オーストラリア連邦警察と外務貿易省は、PSPFのサイバーセキュリティ義務要件に関連して実施された評価の文書化を含め、調達サイバーセキュリティリスクを評価・マネジメントするプロセスを導入していない。 |
| 19. All three entities have contract clauses requiring contracted providers to comply with the PSPF, ACSC’s Information Security Manual (ISM) and the respective entities’ policies. ATO performs ongoing assessments of its security terms and conditions to ensure protective security requirements address identified cyber security risks. | 19. 3機関とも、契約プロバイダがPSPF、オーストラリア・サイバーセキュリティ・センターの情報セキュリティ・マニュアル(ISM)、各機関の方針を順守することを求める契約条項がある。オーストラリア税務局 は、保護セキュリティ要件が特定されたサイバーセキュリティリスクに対応していることを確認するため、セキュリティ条項の継続的な評価を行っている。 |
| 20. DFAT and AFP use contract management plans to specify roles and responsibilities for each contract. ATO has a generic contract management plan that covers ICT contracts and is developing detailed plans for each contracted provider. ATO’s generic contract management plan does not detail roles and responsibilities for each ICT contract. | 20. 外務貿易省とオーストラリア連邦警察は、契約管理計画を用いて、各契約の役割と責任を特定している。オーストラリア税務局はICT契約をカバーする一般的な契約管理計画を持ち、各契約プロバイダーの詳細計画を策定中である。オーストラリア税務局の一般契約管理計画には、各ICT契約に対する役割と責任の詳細はない。 |
| 21. All three entities have incident management processes within contracting arrangements. ATO is the only entity that has arrangements for monitoring performance against mandatory PSPF cyber security requirements. However, the ATO has not detailed how non-compliance with mandatory PSPF cyber security requirements is to be managed. | 21. 3機関とも、契約手配の中で事故管理プロセスを有している。オーストラリア税務局は、PSPFの義務的なサイバーセキュリティ要件に対するパフォーマンスを監視する取り決めをしている唯一の機関である。しかし、オーストラリア税務局 は PSPF のサイバーセキュリティ必須要件に対する不遵守をどのように管理するかについて詳述していない。 |
| 22. All selected contracts required contracted providers to adhere to the PSPF, ISM and entity internal policy requirements. None of the entities had processes, performance measures and service level agreements related to managing non-compliance with PSPF, ISM and entity internal policy requirements. Further, none of the entities had processes for verifying the reliability of cyber security related performance information provided by contracted providers. | 22. 選択したすべての契約で、契約プロバイダは PSPF、ISM、事業体内部方針の要件を遵守することが求めれていた。どの事業体も、PSPF、ISM、および事業体の内部方針要件への不遵守を管理するためのプロセス、パフォーマンス指標、およびサービス・レベル・アグリーメントを有していなかった。さらに、契約プロバイダが提供するサイバーセキュリティ関連のパフォーマンス情報の信頼性を検証するプロセスを有している事業体はなかった。 |
| 23. AFP and DFAT do not monitor compliance against PSPF, ISM and entity internal policy requirements for the selected contracts. ATO has established a Cyber Threat Assurance Program and risk management processes for assessing compliance against mandatory PSPF cyber security requirements. The assurance program included a quarterly audit of contracted provider implementation of the Top Four mitigation strategies. The risk management processes included the use of risk registers to monitor the implementation of some mandatory PSPF cyber security controls and ATO policy requirements. | 23. オーストラリア連邦警察 と 外務貿易省 は、選択した契約について PSPF、ISM、事業体内部の方針要件に対するコンプライアンスを監視していない。オーストラリア税務局は、PSPFの強制的なサイバーセキュリティ要件に対するコンプライアンスを評価するためのサイバー脅威保証プログラムおよびリスクマネジメントプロセスを確立した。この保証プログラムには、契約プロバイダーが上位4つの緩和策を実施しているかどうかの四半期ごとの監査が含まれていた。リスクマネジメントプロセスには、PSPF のサイバーセキュリティ必須要件と オーストラリア税務局 のポリシー要件の実施を監視するためのリスクレジスターの使用が含まれていた。 |
| Compliance with PSPF requirements | PSPF の要求事項への適合性 |
| 24. ATO had processes for ensuring DXC had implemented the required cyber security controls in accordance with the PSPF requirements. DXC had implemented mitigation strategies relating to patching operating systems and application control. | 24. オーストラリア税務局は、DXCがPSPFの要件に従って必要なサイバーセキュリティ管理を実施していることを確認するためのプロセスを有していた。DXCは、オペレーティングシステムのパッチ適用とアプリケーション制御に関する緩和策を実施していた。 |
| 25. AFP and DFAT had processes for ensuring selected contracted providers had implemented the required cyber security controls in accordance with some of the relevant PSPF requirements. Hitachi had implemented patch management processes for operating systems and applications. AFP had not implemented patch management processes for applications on Hitachi managed servers. Telstra had implemented security measures for restricting administrative privileges to specific network devices. However, Telstra had not implemented patches to operating systems on network devices in accordance with PSPF requirements. | 25. オーストラリア連邦警察 と 外務貿易省 は、選定した契約プロバイダーが関連する PSPF 要件の一部に従って要求されるサイバーセキュリティ管理を実施していることを確認するためのプロセスを有していた。日立は、オペレーティングシステムとアプリケーションのパッチマネジメントプロセスを導入していた。オーストラリア連邦警察は、日立が管理するサーバー上のアプリケーションのパッチ管理プロセスを導入していなかった。Telstra社は、特定のネットワーク機器に管理者権限を制限するセキュリティ対策を実施していた。しかし、Telstra社は、PSPFの要件に従って、ネットワークデバイス上のオペレーティングシステムに対するパッチを実装していなかった。 |
| 26. ATO has arrangements for monitoring cyber security issues related to the selected contracted provider and specifies contract terms and conditions for monitoring performance for relevant PSPF cyber security and entity policy requirements. None of the entities have specified terms and conditions for managing non-compliance against PSPF and entity internal policy requirements. | 26. オーストラリア税務局は、選定された契約プロバイダに関連するサイバーセキュリティ問題を監視するための取り決めを行い、関連するPSPFサイバーセキュリティおよび事業体ポリシー要件に対するパフォーマンスを監視するための契約条件を明記している。どの事業体も、PSPF 及び事業体内部のポリシー要件に対する不遵守を管理するための条件を明記していない。 |
| 27. AFP and DFAT do not have contracting arrangements focussed on monitoring cyber security issues and performance against relevant PSPF cyber security and entity policy requirements. | 27. オーストラリア連邦警察 と 外務貿易省 は、サイバーセキュリティ問題と関連する PSPF のサイバーセキュリティと組織の方針要件に対する実績の監視に重点を置いた契約上の取決めをしていな い。 |
| 28. Of the audited entities, ATO was the only entity that had processes for assessing contracted provider compliance against mandatory PSPF cyber security requirements. ATO had also reassessed cyber security terms and conditions for the selected contract. | 28. 監査を受けた団体のうち、PSPF の強制的なサイバーセキュリティ要件に対する契約プロバイダのコンプライアンスを評価する プロセスを持つ団体は オーストラリア税務局 だけであった。またオーストラリア税務局は、選定された契約についてサイバーセキュリティの条件を再評価していた。 |
| 29. ATO had some processes for ensuring the accuracy of some performance reporting against relevant PSPF requirements. These processes included verification against other information sources, however, the verification activities were not documented. AFP and DFAT did not have processes for validating the accuracy of performance reporting against relevant PSPF requirements. None of the contracted providers had established assurance mechanisms for verifying the information they provide to entities. | 29. オーストラリア税務局は、PSPFの関連要件に対する一部の業績報告の正確性を確保するためのプロセスを有していた。これらのプロセスには他の情報源との照合も含まれていたが、その照合活動は文書化されていなかった。オーストラリア連邦警察と外務貿易省は、関連するPSPFの要件に対する実績報告の正確性を検証するためのプロセスを有していなかった。契約プロバイダーはいずれも、各機関に提供する情報を検証するための保証メカニズムを確立していなかった。 |
| 30. All three entities have mechanisms within contracts to address deviations in expected performance, including financial penalties, performance, and service credits, but these mechanisms did not cover cyber security risks or controls.14 AFP has patch management timeframes that deviate from PSPF requirements. | 30. 3機関とも、金銭的ペナルティ、パフォーマンス、サービスクレジットを含む、期待されるパフォーマンスの逸脱に対処するメカニズムを契約内に有しているが、これらのメカニズムはサイバーセキュリティリスクやコントロールを対象としていなかった14。 |
| Recommendations | 勧告事項 |
| Recommendation no. 1 | 勧告 No.1 |
| Paragraph 2.15 | パラグラフ 2.15 |
| To improve the quality of risk assessments: | リスクアセスメントの質を向上させること。 |
| Australian Federal Police and Department of Foreign Affairs and Trade improve processes and guidance for assessing and managing cyber security risks within procurements, including documenting the consideration of mandatory PSPF cyber security requirements; and | オーストラリア連邦警察と外務貿易省は、調達におけるサイバーセキュリティリスクの評価と管理のためのプロセスとガイダンスを改善し、PSPF のサイバーセキュリティ必須要件の考慮を文書化することを含む。 |
| Australian Federal Police, Australian Taxation Office and Department of Foreign Affairs and Trade implement processes to assist with identifying when procurement teams are required to consult with cyber security specialists on cyber security risks and mandatory PSPF cyber security requirements. | オーストラリア連邦警察、オーストラリア税務局、外務貿易省は、調達チームがサイバーセキュリティリスクと PSPF のサイバーセキュリティ必須要件についてサイバーセキュリティ専門家と協議する必要がある場合の特定を支援するプロセスを導入する。 |
| Australian Federal Police response: Agreed, agreed in part. | オーストラリア連邦警察の回答:同意する、部分的に同意する。 |
| Australian Taxation Office response: Agreed. | オーストラリア税務局の回答:同意する。 |
| Department of Foreign Affairs and Trade response: Agreed. | 外務貿易省の回答:同意する。 |
| Recommendation no. 2 | 勧告 No.2 |
| Paragraph 2.53 | パラグラフ2.53 |
| Australian Federal Police, Australian Taxation Office and Department of Foreign Affairs and Trade should implement processes for verifying the reliability of performance information and managing non-compliance by contracted providers against the PSPF, ISM and entity internal policy requirements, including establishing performance measures focussed on compliance against PSPF, ISM and entity internal policy requirements. | オーストラリア連邦警察、オーストラリア税務局、外務貿易省は、パフォーマンス情報の信頼性を検証し、PSPF、ISM、企業の内部方針要件に対する契約プロバイダーの不遵守を管理するプロセスを導入する必要がある。これには、PSPF、ISM、機関の内部方針要件に対する遵守に焦点を当てたパフォーマンス指標の確立が含まれる。 |
| Australian Federal Police response: Agreed. | オーストラリア連邦警察の回答: 同意する。 |
| Australian Taxation Office response: Agreed. | オーストラリア税務局の回答。 同意する。 |
| Department of Foreign Affairs and Trade response: Agreed. | 外務貿易省の回答:同意する。 同意する。 |
| Recommendation no. 3 | 勧告 No.3 |
| Paragraph 3.26 | パラグラフ3.26 |
| To improve monitoring of security controls: | セキュリティ管理の監視を改善すること。 |
| Australian Federal Police and Department of Foreign Affairs and Trade specify requirements relating to the implementation and monitoring of the mandatory Protective Security Policy Framework cyber security requirements in contractual arrangements; and | オーストラリア連邦警察と外務貿易省は、契約上の取り決めにおいて、強制的な保護セキュリティ方針フレームワークのサイバーセキュリティ要件の実施と監視に関連する要件を明記する。 |
| Australian Federal Police and Department of Foreign Affairs and Trade establish periodic assessments of security terms and conditions of their contracts to address associated cyber security risks. | オーストラリア連邦警察と外務貿易省は、関連するサイバーセキュリティリスクに対処するため、 契約のセキュリティ条項と条件について定期的な評価を確立する。 |
| Australian Federal Police response: Agreed, agreed in part. | オーストラリア連邦警察の回答:同意する、部分的に同意する。 |
| Department of Foreign Affairs and Trade response: Agreed. | 外務貿易省の回答:同意する。 |
| Recommendation no. 4 | 勧告 No.4 |
| Paragraph 3.37 | パラグラフ3.37 |
| Australian Federal Police and Department of Foreign Affairs and Trade specify requirements relating to reporting performance against relevant cyber security and entity policy requirements in contractual arrangements. | オーストラリア連邦警察と外務貿易省は、契約上の取り決めにおいて、関連するサイバーセキュリティとエンティティポリシーの要件に対するパフォーマンスの報告に関連する要件を明記する。 |
| Australian Federal Police response: Agreed in part. | オーストラリア連邦警察の回答:部分的に同意する。 |
| Department of Foreign Affairs and Trade response: Agreed. | 外務貿易省の回答:同意する。 |
| Recommendation no. 5 | 勧告 No.5 |
| Paragraph 3.46 | パラグラフ3.46 |
| To improve quality of performance reporting: | パフォーマンス報告の質を向上させるために |
| Australian Federal Police and Department of Foreign Affairs and Trade establish a performance framework supporting Recommendation 4, including validating the accuracy of performance reporting provided by contracted providers in relation to cyber security; and | オーストラリア連邦警察と外務貿易省は、サイバーセキュリティに関して契約プロバイダーが提供するパフォーマンス報告の正確性を検証することを含め、勧告4をサポートするパフォーマンスフレームワークを確立する。 |
| Australian Taxation Office improve processes for verifying performance information provided by contracted providers, including documenting verification activities. | オーストラリア税務局は、検証活動の文書化を含め、契約プロバイダーが提供するパフォーマンス情報を検証するプロセスを改善する。 |
| Australian Federal Police response: Agreed in part. | オーストラリア連邦警察の回答:部分的に同意する。 |
| Australian Taxation Office response: Agreed. | オーストラリア税務局の回答:同意する。 |
| Department of Foreign Affairs and Trade response: Agreed. | 外務貿易省の回答:同意する。 |
| Summaries of entity responses | 事業体の回答の概要 |
| Australian Federal Police | オーストラリア連邦警察 |
| The Australian Federal Police did not provide a summary response. | オーストラリア連邦警察から回答要旨は得られなかった。 |
| Australian Taxation Office | オーストラリア税務局 |
| The Australian Taxation Office (ATO) welcomes the review and findings that the ATO is largely effective in managing procurement cyber security risks in accordance with the PSPF. The ATO delivers contemporary digital services, supporting effective and secure transactions for the Australian community and maintains security of our organisations’ network and data. The ATO is committed to improving the way in which we manage cyber security supply chain risks and ensuring client interactions with the ATO remain safe and secure. | オーストラリア税務局(オーストラリア税務局)は、オーストラリア税務局がPSPFに従って調達サイバーセキュリティリスクを管理する上で概ね有効であるというレビューと調査結果を歓迎する。オーストラリア税務局は最新のデジタルサービスを提供し、オーストラリア社会のために効果的で安全な取引を支援し、組織のネットワークとデータのセキュリティを維持している。オーストラリア税務局はサイバーセキュリティのサプライチェーンリスクの管理方法を改善し、顧客とオーストラリア税務局のやりとりが安全でセキュアであることを保証するために尽力している。 |
| We are pleased that the review recognises the work already performed by the ATO in assessing and managing procurement cyber security risks in accordance with the PSPF. The report found the ATO has established arrangements in managing compliance of contracted providers and monitoring performance against mandatory PSPF cyber security requirements. Further, the ATO has contract management arrangements and performs ongoing assessment of its security terms and conditions to ensure protective security measures address cyber security risks. | 我々は、レビューがPSPFに従って調達サイバーセキュリティリスクを評価・管理する上でオーストラリア税務局が既に行っている作業を認識していることを嬉しく思う。報告書によると、オーストラリア税務局は契約プロバイダーのコンプライアンスを管理し、PSPFの必須サイバーセキュリティ要件に対する実績を監視する体制を確立していることが分かった。さらに、オーストラリア税務局は契約マネジメントの取り決めを行い、保護セキュリティ対策がサイバーセキュリティリスクに対応していることを確認するために、セキュリティ条項の継続的な評価を行っている。 |
| The review has identified opportunities for improvement to our risk assessment processes and performance reporting. The ATO operates under the principle of continuous improvement and welcome the findings from the ANAO to further strengthen the procurement program. | このレビューにより、リスク評価プロセスとパフォーマンス報告について改善の余地があることが確認された。オーストラリア税務局は継続的な改善の原則のもとに運営されており、調達プログラムをさらに強化するためにオーストラリア国家監査局からの指摘を歓迎する。 |
| Department of Foreign Affairs and Trade | 外務貿易省 |
| The Department of Foreign Affairs and Trade (DFAT) welcomes this report and the recommendations directed to the department. | 外務貿易省は、本報告書と同省に向けられた勧告を歓迎する。 |
| Whilst we acknowledge the audit findings regarding the International Network Services Agreement (Telstra), we consider the nature of this arrangement is unique and therefore not reflective of the department’s broader activities. The comparison of activities specific to this contract against DFAT’s Protective Security Policy Framework (PSPF) reporting has the potential to misrepresent the department’s cyber security capability across our global network and call into question the appropriateness of our PSPF self-assessments and overall compliance. | 我々は、国際ネットワークサービス契約(Telstra)に関する監査結果を認める一方で、この契約の性質が独特であるため、同省の幅広い活動を反映したものではないと考えている。この契約に特有の活動を、外務貿易省の保護セキュリティ・ポリシー・フレームワーク(PSPF)報告と比較することは、グローバルネットワーク全体における同省のサイバーセキュリティ能力を誤って伝え、PSPF自己評価と全体的なコンプライアンスの適切性を疑問視する可能性がある。 |
| As noted in the report and its appendices, DFAT has successfully achieved Essential 8 ‘maturity level 2’ compliance under the ACSC’s E8 maturity model. This achievement is reflective of the department’s significant investment in cyber security in recent years and furthermore, the sophisticated cyber security capability that the department maintains. The department has also embedded the consideration of cyber security risks in its contracting arrangements to align with the procurement framework and relevant policies such as the PSPF. | 報告書とその附属書に記載されているように、外務貿易省はオーストラリア・サイバーセキュリティ・センターのE8成熟度モデルの下でエッセンシャル8の「成熟度2」準拠を成功裏に達成した。この成果は、同省が近年サイバーセキュリティに多額の投資を行い、さらに高度なサイバーセキュリティ能力を維持していることを反映するものである。また、同省は、調達の枠組みやPSPFなどの関連政策と整合させるため、契約の取り決めにサイバーセキュリティリスクの考慮を組み込んでいる。 |
| Noting the opportunities to improve, the department will take steps to implement additional processes and policies in line with the report’s recommendations, whilst allowing for whole of government ICT procurement constraints and market conditions. DFAT’s advanced cyber security capability will continue to underpin improvements to departmental policies and processes to ensure cyber security risks are effectively managed. | 改善の余地があることを認識した同省は、政府全体のICT調達の制約と市場の状況を考慮しつつ、報告書の勧告に沿った追加のプロセスと政策を実施するための措置を講じる予定である。オーストラリア外務省の高度なサイバーセキュリティ能力は、サイバーセキュリティのリスクが効果的にマネジメントされるよう、省内の方針とプロセスの改善を引き続き支援するものである。 |
| Key messages from this audit for all Australian Government entities | この監査から得られた全オーストラリア政府機関に対する主要メッセージ |
| Below is a summary of key messages, including instances of good practice, which have been identified in this audit and may be relevant for the operations of other Australian Government entities. | 以下は、この監査で明らかになった、他のオーストラリア政府機関の業務に関連すると思われる、優れた実践例を含む重要なメッセージの要約である。 |
| Governance and risk management | ガバナンスとリスクマネジメント |
| Assurance arrangements such as the Cyber Threat Assurance Program approach established by ATO to check on the implementation of mandatory PSPF cyber security requirements can assist with monitoring of compliance against cyber security contract requirements. | PSPF の強制的なサイバーセキュリティ要件の実施をチェックするために オーストラリア税務局 が設立した「サイバー脅威保証プログラム」のアプローチのような保証の取り決めは、サイバーセキュリティ契約の要件に対するコンプライアンスの監視を支援することができる。 |
| Procurement specialists should ensure that contractual arrangements support the delivery of goods and services to meet the requirements of the entity. | 調達専門家は、契約上の取り決めが、事業体の要件を満たす物品及びサービスの提供を支援することを確認する必要がある。 |
| Procurement and contract management | 調達と契約管理 |
| Appropriate guidance relating to contracting templates, clauses and tools can help operationalise entity requirements when addressing cyber security risks within procurements and contracts. | 契約書のテンプレート、条項及びツールに関する適切な指針は、調達及び契約においてサイバーセキュリティリスクに対処する際に、事業体要件を運用するのに役立つ。 |
| Regular assessment of security terms and conditions when changes in goods, services or business environment occur can assist with achieving government security requirements. | 商品、サービス、または事業環境の変化が生じたときにセキュリティ条件を定期的に評価することは、政府のセキュリティ要件の達成を支援することができる。 |
| Procurement and contract management arrangements should include a framework to guide appropriate levels of engagement between procurement and cyber security specialists, such as specifying factors related to the type of procurement and level of risk arising from information communications technology (ICT). | 調達及び契約マネジメントの取り決めには、調達の種類や情報通信技術(ICT)から生じるリスクのレベルに関連する要素を明記するなど、調達とサイバーセキュリティの専門家間の適切な関与のレベルを導くための枠組みが含まれるべきである。 |
| Performance and impact measurement | パフォーマンス及びインパクトの測定 |
| Cyber security contract terms and conditions that associate performance measures and financial consequences for non-compliance can assist with establishing performance expectations. | サイバーセキュリティの契約条件において、パフォーマンス指標及び不遵守の場合の金銭的影響を関連付けることは、期待されるパフォーマンスを確立する上で有用である。 |
| When entities contract for delivery of ICT goods and services, arrangements should be in place that provide equivalent level of assurance over goods and services delivered internally. Entities cannot outsource security responsibilities and need arrangements to assure cyber security controls are implemented, operated, and maintained by contracted providers. | 企業がICT製品及びサービスの提供を契約する場合、内部で提供される製品及びサービスと同等のレベルの保証を提供する取り決めを行う必要がある。企業は、セキュリティ責任を外部に委託することはできないため、契約したプロバイダがサイバーセキュリティ管理を実施、運用、維持することを保証する取り決めが必要である。 |
目次...
« 米国 バイデン大統領が2023年国防授権法にサインをしましたね。。。 | Main | 総務省 経済産業省 警察庁、内閣官房 「サイバー攻撃被害に係る情報の共有・公表ガイダンス(案)」に関する意見募集 »
Comments