米国 GAO 軍サイバー人材:兵役義務ガイダンスとデータ追跡を改善する機会の存在 (2022.12.21)
こんにちは、丸山満彦です。
サイバー人材の配備はどこの組織も課題であって、それは米軍でも変わりはないようですね。。。
米軍では、陸海(海兵隊)空軍において、サイバーに関連する職域が設定されているようです(宇宙軍には無いようです...)。ただ、充足率や、高度な訓練を受けた人材に対する定着等についても課題があるようで、勧告が出されていますね。。。
定着のための報奨金とか、不足率等を勘案して、合理的に考えている軍もあるようですね。。。
自衛隊に対して、どれほど参考になるかはわかりませんが、政府機関のみならず、民間企業にとっても(高度な専門家を配属し続けるという意味で)参考になるところがあるかもしれません。。。(仮訳もつけましたが、専門用語、特に軍関係用語がよくわからないので、その辺りは勘弁してくださいませ。。。)
この問題を内部統制の問題(特に統制環境)と位置付けているところが、(当たり前ですが)素晴らしいところだと思います。。。
● U.S. Government Accountability Office; GAO
・2022.12.21 Military Cyber Personnel:Opportunities Exist to Improve Service Obligation Guidance and Data Tracking
| Military Cyber Personnel:Opportunities Exist to Improve Service Obligation Guidance and Data Tracking | 軍サイバー人材:兵役義務ガイダンスとデータ追跡を改善する機会の存在 |
| Fast Facts | 概要 |
| Military personnel who complete advanced cyber training—which may take a year or more and costs DOD hundreds of thousands of dollars—may not remain in the military for a significant time after training. | 高度なサイバー訓練を修了した軍人は、1年以上かかることもあり、国防総省は何十万ドルも負担するが、訓練後、かなりの期間、軍に残らないこともある。 |
| We found that 2 of the 4 military services are not positioned to ensure adequate return on their investment in advanced cyber training. While the Navy and Air Force require 3 years of active duty, the Marine Corps has no guidance for this area and Army guidance does not clearly define active duty service obligations. | 我々は、4つの軍事サービスのうち2つが、高度なサイバー訓練への投資に対する十分な見返りを確保する立場にないことを発見した。海軍と空軍は3年間の現役勤務を要求しているが、海兵隊にはこの分野に関する指針がなく、陸軍の指針は現役勤務の義務を明確に定義していない。 |
| We recommended clarifying these service obligations and more. | これらの兵役義務の明確化などを勧告した。 |
| Ensuring the nation's cybersecurity is a topic on our High Risk List. | 国家のサイバーセキュリティを確保することは、当社のハイリスクリストに掲載されているトピックである。 |
| Highlaight | ハイライト |
| What GAO Found | GAOの調査結果 |
| The Navy and the Air Force have guidance requiring a 3-year active-duty service obligation for military personnel who receive lengthy and expensive advanced cyber training. This training prepares personnel to fill the Interactive On-Net Operator (ION) work role, identified as critical by U.S. Cyber Command (USCYBERCOM). In contrast, the Marine Corps does not have such guidance. Additionally, the Army's guidance does not clearly define active duty service obligations. Rather, it sets general service obligations based on the length of training. Using the Army's guidance, GAO estimated that active-duty officers receiving ION training may incur a service obligation of about 1.88 years. However, Army officials stated that they lacked the information needed to calculate and implement service obligations for ION training because it is not specifically listed in Army guidance. Army, Marine Corps, and USCYBERCOM officials acknowledged that guidance with clearly defined service obligations for ION training would create a better return on investment for this critical cyber work role. The Army and the Marine Corps have taken steps to clearly define service obligations for ION training, but officials did not know when or if the guidance would be implemented. Until the revised guidance is implemented, the Army and the Marine Corps are unnecessarily limiting their return on investment in ION training. | 海軍と空軍は、長くて高価な高度サイバー訓練を受けた軍人に、3年間の現役兵役義務を課すガイダンスを設けている。この訓練は、米サイバー司令部(USCYBERCOM)が重要視しているインタラクティブ・オン・ネット・オペレーター(ION)業務に従事できるようにするためのものである。これに対し、海兵隊にはそのようなガイダンスがない。さらに、陸軍の指針は、現役の兵役義務を明確に定義していない。むしろ、訓練の長さに基づいて一般兵役義務を定めている。GAOは、陸軍のガイダンスを用いて、ION訓練を受ける現役士官は約1.88年の兵役義務を負うと推定した。しかし、陸軍の職員は、ION訓練は陸軍のガイダンスに具体的に記載されていないため、兵役義務を計算・実施するのに必要な情報が不足していると述べている。陸軍、海兵隊、USCYBERCOM の職員は、ION 訓練の兵役義務が明確に定義されたガイダンスがあれば、この重要なサイバー業務の役割に対する投資対効果をより高めることができると認めている。陸軍と海兵隊は、ION 訓練のサービス義務を明確に定義するための手順を踏んでいるが、当局者は、このガイダンスがいつ、あるいはいつ実施されるかは知らなかった。改訂されたガイダンスが実施されるまで、陸軍と海兵隊は、ION訓練への投資対効果を不必要に制限している。 |
| Years of Service Obligation Required in Military Service Guidance for Interactive On-Net Operator (ION) Training | インタラクティブ・オン・ネット・オペレーター(ION)訓練のための軍務ガイダンスで要求される兵役義務年数 |
 |
|
a. GAO estimated these potential obligations, in part based on Army guidance, but ION training is not specifically listed in that guidance making this requirement challenging to implement, according to Army officials |
a. GAO は、陸軍のガイダンスに一部基づいて、これらの潜在的な義務を推定したが、陸軍関係者によると、ION 訓練はそのガイダンスに具体的に記載されていないため、この要件の実施は困難であるとのことである。 |
| b. According to Navy documentation and Marine Corps officials, only enlisted personnel in those military services are eligible to train for the ION work role. | b. 海軍の文書と海兵隊の職員によると、これらの軍務の下士官兵だけがIONの職務を訓練する資格があるとのことである。 |
| Staffing gaps—the difference between the number of personnel authorized and the number of personnel staffed—existed in some active-duty cyber career fields from fiscal years 2017 through 2021. Specifically, most of the Navy, Army, and Air Force cyber career fields were staffed at 80 percent or higher compared with the number of authorized personnel. However, four of the six Marine Corps career fields were below 80 percent of authorized levels in fiscal year 2021. | 2017年度から2021年度にかけて、現役のサイバー職域の一部で、人員配置のギャップ(許可された人員数と人員配置された人員数との差)が存在した。具体的には、海軍、陸軍、空軍のサイバー職域のほとんどは、許可された人員数に対して80%以上の人員配置であった。しかし、海兵隊の6つの職域のうち4つは、2021会計年度には認可されたレベルの80パーセントを下回っていた。 |
| While the military services track cyber personnel staffing levels by career fields, USCYBERCOM uses work role designations to assign personnel to cyber mission teams. However, the Army, Air Force, and Marine Corps do not track staffing data by work role. As a result, military service officials cannot determine if specific work roles are experiencing staffing gaps. Tracking staffing data at the work role level would enable the military services to identify and address staffing challenges in providing the right personnel to carry out key missions at USCYBERCOM. This information is also essential for increasing personnel assigned to USCYBERCOM as planned by the Department of Defense (DOD). | 軍サービスが職業分野別のサイバー要員配置レベルを追跡する一方で、USCYBERCOMは業務役割指定を使ってサイバー・ミッション・チームに要員を割り当てている。しかし、陸軍、空軍、海兵隊は職務別の人員配置データを追跡していない。その結果、軍務担当者は、特定の職務が人員不足に陥っているかどうかを判断することができない。職務ごとの人員データを把握することで、軍はUSCYBERCOMの重要な任務を遂行するために適切な人員を提供するという人員面での課題を特定し、対処することができるようになる。この情報は、国防総省(DOD)が計画するUSCYBERCOMに配属される人員の増加にも不可欠である。 |
| Why GAO Did This Study | GAOがこの調査を実施した理由 |
| To accomplish its national security mission and defend a wide range of critical infrastructure, DOD must recruit, train, and retain a knowledgeable and skilled cyber workforce. However, DOD faces increasing competition from the private sector looking to recruit top cyber talent to protect systems and data from a barrage of foreign attacks. | 国家安全保障の使命を達成し、広範な重要インフラを防衛するために、DODは知識豊富で熟練したサイバー人材を採用、訓練、保持する必要がある。しかし、DODは外国からの攻撃からシステムやデータを保護するために、優秀なサイバー人材を確保しようとする民間企業との競争の激化に直面している。 |
| Senate Report 117-39 accompanying a bill for the National Defense Authorization Act for Fiscal Year 2022 includes a provision for GAO to review retention challenges and service obligations for active-duty cyber personnel. Among other matters, GAO examines the extent to which (1) a service obligation exists for military cyber personnel receiving advanced cyber training and (2) DOD has experienced staffing gaps for active-duty military cyber personnel for fiscal year 2017 through fiscal year 2021 and tracked cyber work roles. GAO reviewed policies and guidance, analyzed staffing data from fiscal years 2017 through 2021, and interviewed DOD and military service officials. | 2022会計年度の国防授権法の法案に付随する上院報告117-39には、GAOが現役サイバー要員の保持の課題と兵役義務を検討する条項が含まれている。GAOは他の事項の中で、(1)高度なサイバー訓練を受ける軍サイバー要員に兵役義務が存在すること、(2)DODが2017会計年度から2021会計年度にかけて現役軍サイバー要員の人員不足を経験し、サイバー業務の役割を追跡したこと、について調査した。GAOは、政策とガイダンスを検討し、2017年度から2021年度までの人員配置データを分析し、DODと軍役の職員にインタビューを行った。 |
| Recommendations | 勧告 |
GAO is making six recommendations, including that the Army and Marine Corps clearly define active-duty service obligations for advanced cyber training in guidance, and that the Army, Air Force and Marine Corps track cyber personnel data by work role. DOD concurred with the recommendations. |
GAOは、陸軍と海兵隊がガイダンスで高度なサイバー訓練に対する現役の兵役義務を明確に定義すること、陸軍、空軍、海兵隊がサイバー職員のデータを職務別に追跡することなど、6つの勧告を行ってた。DODは勧告に同意した。 |
| Recommendations for Executive Action | エグゼクティブ・アクションのための勧告 |
| Agency Affected: Recommendation | 影響を受ける機関 勧告 |
| Department of the Army: The Secretary of the Army should ensure that the Office of the Deputy Chief of Staff for Personnel updates Army Regulation 614-200 in a timely manner to clearly define active-duty service obligations for ION training, for the Army's relevant cyber enlisted personnel. (Recommendation 1) | 陸軍:陸軍長官は、人事担当参謀本部が陸軍規則614-200を適時に更新し、陸軍の関連サイバー下士官のION訓練に対する現役兵役義務を明確に定義することを確実にすべきである。(勧告1) |
| Department of the Army: The Secretary of the Army should ensure that the Office of the Deputy Chief of Staff for Personnel updates Army Regulation 350-100 in a timely manner to clearly define active-duty service obligations for ION training, for the Army's relevant cyber officers. (Recommendation 2) | 陸軍:陸軍長官は、人事担当参謀本部が陸軍規則350-100を適時に更新し、陸軍の関連サイバー士官のION訓練に対する現役兵役義務を明確に定義することを確実にすべきである。(勧告2) |
| Department of the Navy: The Secretary of the Navy should ensure that the Commandant of the Marine Corps develops guidance in a timely manner to establish active-duty service obligations for ION training. (Recommendation 3) | 海軍:海軍長官は、海兵隊司令官が、ION 訓練のための活動義務を確立するためのガイダンスを適時に作成することを確実にすべきである。(勧告3) |
| Department of the Army: The Secretary of the Army should ensure that the Chief of Staff of the Army takes the necessary steps to integrate U.S. Cyber Command work roles into the Army's personnel system of record to track cyber personnel data by work role. (Recommendation 4) | 陸軍:陸軍長官は、陸軍参謀総長が、米サイバー司令部の業務役割を陸軍の人事システムに統合し、業務役割ごとにサイバー人事データを追跡するために必要な措置をとることを確実にすべきである。(勧告4) |
| Department of the Air Force: The Secretary of the Air Force should ensure that the Chief of Staff of the Air Force takes the necessary steps to integrate U.S. Cyber Command work roles into the Air Force's personnel system of record to track cyber personnel data by work role. (Recommendation 5) | 空軍:空軍長官は、空軍参謀長が米サイバー司令部の業務役割を空軍の人事システムに統合し、業務役割ごとにサイバー人事データを追跡するために必要な措置を講じることを確実にすべきである。(勧告5) |
| Department of the Navy: The Secretary of the Navy should ensure that the Commandant of the Marine Corps takes the necessary steps to integrate U.S. Cyber Command work roles into the Marine Corps' personnel system of record to track cyber personnel data by work role. (Recommendation 6) | 海軍:海軍長官は、海兵隊司令官に対し、海兵隊の人事システムに米サイバー司令部の業務役割を統合し、業務役割ごとにサイバー要員データを追跡するために必要な措置を講じることを確実にすべきである。(勧告6) |
Report
・[PDF] Highlights
・[PDF] Full Report
・[DOCX] 仮訳
・[PDF] Accessible PDF
Comments