« あけましておめでとうございます 2023 | Main | 日本銀行金融研究所 セミナー「生体認証におけるディープフェイクの脅威と対策」の資料(2022.11.12開催) »

2023.01.02

米国 GAO 情報技術・サイバーセキュリティ:スコアカードの進化は各機関の進捗を監視する上で引き続き重要 (2022.12.15)

こんにちは、丸山満彦です。

昨年のレポートになりますが、、、

米国ではIT・サイバーセキュリティに関連して、各省庁(機関)が評価するスコアカードが現在15も運用(年2回評価)されていて、ITやサイバーセキュリティの対策を進める上では、このスコアカードが役立っているということのようです。。。

以前、NISCに勤務している時に、セキュリティ対策を進めるためにどうしようかという話を山口先生とかとしていた時に、米国連邦政府での各省庁における評価を紹介し、「それで行こう、、、」ということになりました。。。省庁間で競わせれば、がんばるだろう。。。

まぁ、日本の省庁ですからね、、、点数が取れないような項目は、評価から外そうとか、評価の仕方を甘くしようとか、、、ということが起こったような、、、その結果、省庁間で点数差が開かず、、、(かなり前のことですから記憶があやふやですが...)

米国ではうまくいっている背景は、GAOの存在、ひいては民主主義についての成熟度の違いかもしれませんね。。。

 

● U.S. Government Accountability Office; GAO

・2022.12.15 Information Technology and Cybersecurity:Evolving the Scorecard Remains Important for Monitoring Agencies' Progress

 

Information Technology and Cybersecurity:Evolving the Scorecard Remains Important for Monitoring Agencies' Progress 情報技術・サイバーセキュリティ:スコアカードの進化は各機関の進捗を監視する上で引き続き重要
Fast Facts 概要
The federal government annually spends more than $100 billion on IT and cyber investments—many of which have been ineffectively managed. Congress passed laws to address these issues, including provisions such as the Federal Information Technology Acquisition Reform Act (FITARA). 連邦政府は毎年1,000億ドル以上をITおよびサイバー投資に費やしていますが、その多くは効果的な管理がなされていません。連邦議会は、連邦情報技術取得改革法(FITARA)などの条項を含む、これらの問題に対処するための法律を成立させました。
We testified that, since 2015, Congress has issued scorecards to monitor agencies' implementation of FITARA and key IT topics. The scorecards have evolved and served as effective oversight tools. 我々は、2015年以降、議会がFITARAと主要なITトピックの各機関の実施状況を監視するためにスコアカードを発行していることを証言した。スコアカードは進化を遂げ、効果的な監視ツールとして機能しています。
Both IT management and cybersecurity are on our High Risk list. About 76% of the 5,400 recommendations we've made in these areas since 2010 have been implemented. ITマネジメントとサイバーセキュリティの両方が高リスクリストに含まれています。2010年以降、これらの分野で行った5,400件の勧告のうち、約76%が実施されている。
Planned FY 2023 Federal Spending on Information Technology Investments 2023年度連邦政府情報技術投資支出計画
20230102-21811
Highlights ハイライト
What GAO Found GAOの調査結果 
Since November 2015, the scorecards issued by this Subcommittee have served as effective oversight tools for monitoring agencies' implementation of various statutory IT provisions and addressing other key IT issues. The selected provisions are from laws such as the Federal Information Technology Acquisition Reform Act (commonly referred to as FITARA) and the Federal Information Security Modernization Act of 2014. The scorecards have assigned each covered agency a letter grade (i.e., A, B, C, D, or F) based on components derived from statutory requirements and additional IT-related topics. 2015年11月以降、本小委員会が発行するスコアカードは、各機関の様々な法定IT条項の実施を監視し、その他の重要なIT問題に対処するための効果的な監視ツールとして機能してきた。選択された条項は、連邦情報技術取得改革法(通称FITARA)や2014年連邦情報セキュリティ近代化法などの法律からのものである。スコアカードは、法令上の要件やその他のIT関連トピックから導き出された構成要素に基づいて、各対象機関にレターグレード(すなわち、A、B、C、D、またはF)を割り当てている。  
As of December 2022, fifteen scorecards had been released (see figure). 2022年12月現在、15枚のスコアカードが発表されている(図参照)。
Scorecards Release Timeline with Associated Components スコアカードのリリーススケジュールと関連するコンポーネント
20230102-22703
The Subcommittee-assigned grades have shown steady improvement as demonstrated by the removal (or sunset) of components. For example, during 2020 and 2021, all 24 agencies received A grades for software licensing and data center optimization, resulting in removal of these components. 小委員会が指定した等級は、構成要素の削除(または廃止)によって示されるように、着実な改善を示している。例えば、2020年から2021年にかけて、24の機関すべてがソフトウェアライセンスとデータセンターの最適化についてAグレードを獲得し、これらのコンポーネントが削除される結果となった。  
Notwithstanding the improvements made by using the scorecard, the federal government's difficulties acquiring, developing, managing, and securing its IT investments persist. Continued oversight by Congress to hold agencies accountable for implementing statutory provisions and addressing longstanding weaknesses is essential. Evolving the components of the scorecard to adapt to changes in the federal landscape also remains important. スコアカードの活用による改善にもかかわらず、連邦政府によるIT投資の取得、開発、管理、セキュリティの確保が困難な状況は続いている。法律の規定を実施し、長年の弱点に対処する責任を各機関に負わせるために、議会による継続的な監視が不可欠である。また、連邦政府の状況の変化に適応するために、スコアカードの構成要素を進化させることも引き続き重要である。  
Toward this end, GAO provided input to this Subcommittee regarding additional measures that could be added, including topics related to IT legacy system modernization and customer experience. GAO also provided input on ways to enhance the cybersecurity component. この目的のため、GAOは本小委員会に対し、ITレガシーシステムの近代化や顧客体験に関するテーマなど、追加可能な施策に関する情報を提供した。GAOはまた、サイバーセキュリティの要素を強化する方法についても意見を述べた。  
Considering ways to evolve scorecard components is critical to increasing Congress' ability to monitor agencies' implementation of statutory IT provisions and address other key IT topics. Agency attention to implementing GAO recommendations can also be instrumental in delivering needed improvements. スコアカードの構成要素を進化させる方法を検討することは、議会が各機関の法定IT条項の実施を監視し、その他の重要なITトピックに対処する能力を高めるために重要である。また、GAOの勧告を実施するために各機関が注意を払うことは、必要な改善を実現する上で有益である。 
Why GAO Did This Study GAOがこの調査を実施した理由
Federal IT systems provide essential services that are critical to the health, economy, and defense of the nation. For fiscal year 2023, the federal government plans to spend over $122 billion on IT investments. 連邦政府のITシステムは、国家の健康、経済、防衛に不可欠なサービスを提供している。2023会計年度、連邦政府はIT投資に1220億ドル以上を費やす予定である。  
However, many of these investments have suffered from ineffective management. Further, recent high profile cyber incidents have demonstrated the urgency of addressing cybersecurity weaknesses. しかし、これらの投資の多くは、効果的でない管理によって苦しんでいる。さらに、最近頻発するサイバー事件により、サイバーセキュリティの弱点への対処が急務であることが明らかになった。  
GAO has long recognized the importance of addressing these difficulties by including the management of IT acquisitions and operations as well as the cybersecurity of the nation as areas on its high-risk list. GAOは以前から、ITの取得と運用の管理、および国家のサイバーセキュリティを高リスクの分野に含めることで、こうした困難への対処の重要性を認識してきた。 
To improve the management of IT, Congress and the President enacted FITARA in December 2014. FITARA applies to the 24 agencies subject to the Chief Financial Officers Act of 1990, although with limited applicability to the Department of Defense. ITの管理を改善するために、議会と大統領は2014年12月にFITARAを制定した。FITARAは、国防総省への適用は限定的であるが、1990年の最高財務責任者法の対象となる24の機関に適用される。  
GAO was asked to provide an overview of the scorecards released by this Subcommittee and the importance of evolving the components. For this testimony, GAO relied on its previously issued products. GAOは、本小委員会が公表したスコアカードの概要と、構成要素を進化させることの重要性を説明するよう要請された。この証言のために、GAOは以前に発行した製品に依拠した。  
Since 2010, GAO has made approximately 5,400 recommendations to improve IT management and cybersecurity. As of December 2022, federal agencies have fully implemented about 76 percent of these. However, many critical recommendations have not been implemented—nearly 300 on IT management and more than 700 on cybersecurity. 2010年以降、GAOはITマネジメントとサイバーセキュリティを改善するために約5,400件の勧告を行っている。2022年12月現在、連邦政府機関はこれらのうち約76%を完全に実施している。しかし、多くの重要な勧告が実施されておらず、IT管理については約300件、サイバーセキュリティについては700件以上となっている。 
... ...

 

・[PDF] Highlights Page

20230102-00343

 

 

・[PDF] Full Report 

20230102-00355

・[DOCX] 仮訳

 

・[PDF] Accessible PDF

20230102-00408

 


 

● まるちゃんの情報セキュリティきまぐれ日記

・2022.09.30 米国 OMB FISMA Report 2021

・2022.08.02 米国 GAO 情報技術とサイバーセキュリティ:省庁の法定要件の実施を監視するためのスコアカードの使用

・2022.03.17 米国 司法省監察局 独占禁止法部門、麻薬取締局のFISMAに基づく内部監査結果

・2022.01.13 米国 GAO ざっとみたところ、各省庁のFISMA要件の実施は各省庁でばらつきがあるようだ...

・2021.05.04 米国 OMB FISMA Report 2020

・2020.06.05 米国行政管理局(OMB)が2019年度版政府機関のサイバーセキュリティーに関する報告書(FISMAレポート)を公表していますね。。。

2011.05.29 NIST 2010 Computer Security Division Annual Report

2009.12.25 連邦機関による年次FISMAレポートのメトリックに関するコメントを要求するOMB

2009.05.08 GAO GAO Federal Information System Controls Audit Manual(FISCAM)

・2008.05.23 米国政府 セキュリティ評価関係 2007(2) 総合評価はC <= C-

・2008.04.15 米国政府 セキュリティ評価関係 2007

・2007.06.14 米国会計検査院 連邦政府機関の情報セキュリティ管理は依然として不十分

・2007.04.15 米国政府 情報セキュリティ通知簿2006

・2007.04.01 米国政府 セキュリティ評価関係

・2006.03.18 米国政府 情報セキュリティ通知簿2005 2

・2006.03.18 米国政府 OMB Releases Annual FISMA Report

・2006.03.17 米国政府 情報セキュリティ通知簿2005

・2005.02.23 米国政府 情報セキュリティ通知簿2

・2005.02.23 米国政府 情報セキュリティ通知簿

2004.12.08 国家セキュリティ体制 米国の状況・・・

 

FISMAレポート...

・報告書 [Downloded]

 

|

« あけましておめでとうございます 2023 | Main | 日本銀行金融研究所 セミナー「生体認証におけるディープフェイクの脅威と対策」の資料(2022.11.12開催) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« あけましておめでとうございます 2023 | Main | 日本銀行金融研究所 セミナー「生体認証におけるディープフェイクの脅威と対策」の資料(2022.11.12開催) »