米国 GAO サイバーセキュリティ高リスクシリーズ
こんにちは、丸山満彦です。
GAOがサイバーセキュリティ高リスクシリーズ(4回)を公表していますね。。。
- 包括的なサイバーセキュリティ戦略の確立と効果的な監視の実施における課題
- 包括的なサイバーセキュリティ戦略を確立する
- グローバル・サプライ・チェーンのリスクを軽減する
- 連邦政府のサイバーセキュリティ従事者不足に対処する
- 新興技術の安全性を確保する
- 連邦政府のシステムと情報の安全確保における課題
- ・政府全体のサイバーセキュリティ・イニシアチブの実施を改善する
- ・連邦政府機関の情報セキュリティ・プログラムの弱点に対処する
- ・連邦政府のシステムと情報をより良く保護するために、サイバーインシデントへの連邦政府の対応を強化する
- 重要なサイバーインフラを守るための課題
● GAO
Cybersecurity High-Risk Series:Challenges in Establishing a Comprehensive Cybersecurity Strategy and Performing Effective Oversight | サイバーセキュリティ・ハイリスクシリーズ:包括的なサイバーセキュリティ戦略の確立と効果的な監視の実施における課題 |
Fast Facts | 概要 |
Federal IT systems and our nation's critical infrastructure are at risk of attack from malicious actors, including those acting on behalf of other nations. Such attacks could result in serious harm to human safety, national security, the environment, and the economy. | 連邦政府のITシステムと我が国の重要なインフラは、他国のために行動する者も含め、悪意のある行為者から攻撃を受けるリスクにさらされている。このような攻撃は、人間の安全、国家安全保障、環境、経済に深刻な損害を与える可能性がある。 |
The federal government should: | 連邦政府は以下を行うべきである。 |
・establish a comprehensive cybersecurity strategy | ・包括的なサイバーセキュリティ戦略を確立する。 |
・mitigate global supply chain risks | ・グローバル・サプライ・チェーンのリスクを軽減する |
・address the federal cybersecurity worker shortage | ・連邦政府のサイバーセキュリティ従事者不足に対処する |
・ensure the security of emerging technologies | ・新興技術の安全性を確保する |
We’ve made 335 public recommendations in this area since 2010. Nearly 60% of those recommendations had not been implemented as of December 2022. | 我々は2010年以来、この分野で335件の公開提言を行った。2022年12月現在、そのうちの60%近くが未実施となっている。 |
Highlights | ハイライト |
Overview | 概要 |
We have made about 335 recommendations in public reports since 2010 with respect to establishing a comprehensive cybersecurity strategy and performing oversight. Until these are fully implemented, federal agencies will be more limited in their ability to protect private and sensitive data entrusted to them. For more information on this report, visit [web]. | 我々は2010年以降、包括的なサイバーセキュリティ戦略の確立と監視の実施に関して、約335件の勧告を公的な報告書で行ってきた。これらが完全に実施されるまでは、連邦政府機関が預かった個人情報や機密データを保護する能力はより制限されることになる。本報告書の詳細については、[web]。 |
Develop and Execute a More Comprehensive Federal Strategy for National Cybersecurity and Global Cyberspace | 国家サイバーセキュリティとグローバルサイバースペースに関するより包括的な連邦戦略の策定と実行 |
The White House’s September 2018 National Cyber Strategy and the National Security Council’s accompanying June 2019 Implementation Plan detail the executive branch’s approach to managing the nation’s cybersecurity. In September 2020, we reported that the strategy and implementation plan addressed some, but not all, of the desirable characteristics of national strategies. In June 2021, the Senate confirmed the first National Cyber Director to head the Office of the National Cyber Director and serve as the principal advisor to the President on cybersecurity policy and strategy. | ホワイトハウスの2018年9月の国家サイバー戦略と、それに付随する国家安全保障会議の2019年6月の実施計画は、国家のサイバーセキュリティを管理するための行政府のアプローチを詳述している。 2020年9月、我々は、この戦略と実施計画が国家戦略の望ましい特性の全てではないが、いくつかに取り組んでいると報告した。2021年6月、上院は、国家サイバー長官室を率い、サイバーセキュリティ政策と戦略に関する大統領の主要な顧問を務める初の国家サイバー長官を承認した。 |
Extent to Which National Cyber Strategy and Implementation Plan Addressed the Desirable Characteristics of a National Strategy | 国家サイバー戦略および実施計画が国家戦略の望ましい特性に対応した度合い |
We recommended that the National Security Council work with relevant federal entities to update cybersecurity strategy documents to include goals, performance measures, and resource information, among other things. As of August 2022, according to the Office of the National Cyber Director, the development of a national cybersecurity strategy by the administration is underway. | 我々は、国家安全保障会議が関連する連邦機関と協力して、サイバーセキュリティ戦略文書を更新し、目標、成果指標、リソース情報などを含めることを提言した。2022年8月現在、国家サイバー長官室によると、政権による国家サイバーセキュリティ戦略の策定が進行中である。 |
Mitigate Global Supply Chain Risks | グローバルサプライチェーンリスクの軽減 |
Federal agencies face numerous information and communications technology (ICT) supply chain risks, which could lead to disrupted mission operations, theft of intellectual property, and harm to individuals. In December 2020, our review of 23 civilian agencies found that none had fully implemented all of the seven foundational practices for supply chain risk management and that 14 had not implemented any of the practices. | 連邦政府機関は数多くの情報通信技術(ICT)サプライチェーンリスクに直面しており、ミッション業務の中断、知的財産の盗難、個人への被害などにつながる可能性がある。 2020年12月、23の文民機関を調査した結果、サプライチェーンリスクマネジメントのための7つの基礎的な実践をすべて完全に実施している機関はなく、14の機関はどの実践も実施していないことが判明した。 |
Extent to Which the 23 Civilian Agencies Implemented Information and Communications Technology (ICT) Supply Chain Risk Management (SCRM) Practices | 23の民間機関が情報通信技術(ICT)サプライチェーンリスクマネジメント(SCRM)実践を実施した程度 |
➢We recommended that the 23 agencies fully implement foundational practices in their organization-wide approaches to ICT supply chain risk management. | ➢ 23の省庁が、ICTサプライチェーンのリスクマネジメントに対する組織全体のアプローチにおいて、基礎的なプラクティスを完全に実施するよう勧告した。 |
Develop a Government-wide Reform Plan that Addresses the Cybersecurity Workforce Shortage | サイバーセキュリティ人材不足に対応した政府全体の改革計画の策定 |
In April 2020, we examined the extent to which reform plans from the Office of Management and Budget (OMB) and lead agencies addressed key practices for effectively implementing government-wide reforms such as those addressing the cybersecurity workforce shortage. We found that OMB and the Department of Homeland Security (DHS) partially addressed most key practices, including training employees to fill vacant cybersecurity positions and streamlining hiring processes. However, neither agency had established a dedicated implementation team or a government-wide implementation plan, among other practices. | 2020年4月、我々は、行政管理予算局(OMB)と主導機関の改革計画が、サイバーセキュリティ人材不足に対処するような政府全体の改革を効果的に実施するための主要なプラクティスにどの程度対応しているかを調査した。その結果、OMB と国土安全保障省 (DHS) は、サイバーセキュリティの空きポジションを埋めるための従業員トレーニングや雇用プロセスの合理化など、ほとんどの重要な実践に部分的に取り組んでいることがわかりました。しかし、どちらの機関も、専任の実施チームや政府全体の実施計画などを確立していなかった。 |
Extent to Which the Government-wide Plan to Solve the Cybersecurity Workforce Shortage Addressed Key Reform Practices | サイバーセキュリティ人材不足を解決するための政府全体の計画が、主要な改革実施策にどの程度対応しているか |
➢We made several recommendations aimed at addressing continuing cybersecurity workforce challenges, including developing a government-wide workforce plan and related supporting practices. Government-wide leadership responsibility for cyber workforce issues transitioned in 2022 from OMB and DHS to the Office of the National Cyber Director. The office has committed to developing a national strategy that addresses key issues. | ・我々は、サイバーセキュリティ人材不足という継続的な課題に対処することを目的として、政府全体の人材育成計画や関連する支援策を含む、いくつかの提言を行った。サイバー人材問題に対する政府全体の指導的責任は、2022年にOMBとDHSから国家サイバー長官室に移行した。同室は、重要な問題に対処する国家戦略を策定することを約束した。 |
Ensure the Security of the Emerging Technologies | 新興技術のセキュリティ確保 |
Secure Internet-connected Devices | インターネットに接続されたデバイスの安全確保 |
The nation’s critical infrastructure sectors rely on electronic systems, including Internet of Things (IoT) and operational technology (OT) devices and systems. In December 2022, we reported that the Departments of Energy, Health and Human Services, Homeland Security, and Transportation had cybersecurity initiatives underway intended to help protect three sectors. However, none of these agencies developed metrics to assess their efforts to mitigate sector risks or conducted IoT and OT cybersecurity risk assessments. | 国の重要インフラ部門は、モノのインターネット(IoT)や運用技術(OT)の機器やシステムなどの電子システムに依存している。 2022年12月、我々は、エネルギー省、保健福祉省、国土安全保障省、運輸省が、3つのセクターの保護を助けることを目的としたサイバーセキュリティ・イニシアティブを進めていると報告した。しかし、これらの機関はいずれも、セクターのリスクを軽減する取り組みを評価するための指標を策定しておらず、IoTおよびOTのサイバーセキュリティリスク評価も実施していなかった。 |
Overview of Connected IT, Internet of Things (IoT), and Operational Technology | コネクテッドIT、IoT(Internet of Things)、運用技術の概要 |
➢We made eight recommendations to the Departments of Energy, Health and Human Services, Homeland Security, and Transportation to establish and use metrics to assess the effectiveness of sector IoT and OT cybersecurity efforts and evaluate sector IoT and OT cybersecurity risks. | ➢ エネルギー省、保健福祉省、国土安全保障省、運輸省に対し、セクターのIoTおよびOTサイバーセキュリティの取り組みの有効性を評価し、セクターのIoTおよびOTサイバーセキュリティのリスクを評価するための指標を確立し使用するよう8つの勧告を行った。 |
Quantum Computing Major Cybersecurity Risks | 量子コンピューティングの主なサイバーセキュリティリスク |
Quantum technologies collect, generate, and process information in ways existing technologies cannot. We reported in September 2022 that quantum technologies could dramatically increase capabilities, including high-value applications in security and cryptography. However, such technology could create major cybersecurity risks such as a full-scale quantum computer to breaking standard encryption technologies. Consequently, the federal government’s cybersecurity infrastructure will need to evolve to address such threats. | 量子テクノロジーは、既存の技術では不可能な方法で情報を収集、生成、処理する。 我々は2022年9月に、量子技術はセキュリティと暗号における高価値のアプリケーションを含む能力を劇的に向上させることができると報告した。しかし、そのような技術は、標準的な暗号化技術を破るために、フルスケールの量子コンピュータなどの主要なサイバーセキュリティリスクを作成する可能性がある。その結果、連邦政府のサイバーセキュリティインフラは、そのような脅威に対処するために進化する必要がある。 |
・[PDF]
・2023.01.31 Cybersecurity High-Risk Series:Challenges in Securing Federal Systems and Information
Cybersecurity High-Risk Series:Challenges in Securing Federal Systems and Information | サイバーセキュリティの高リスクシリーズ:連邦政府のシステムと情報の安全確保における課題 |
Fast Facts | 概要 |
Federal systems are vulnerable to cyberattacks. Our High Risk report identified 10 critical actions for addressing federal cybersecurity challenges. | 連邦政府のシステムは、サイバー攻撃に対して脆弱です。当社の「ハイリスク」レポートでは、連邦政府のサイバーセキュリティの課題に対処するための10の重要なアクションを特定した。 |
In this report, the second in a series of four, we cover the 3 actions related to Securing Federal Systems and Information: | 4回シリーズの2回目となる本レポートでは、「連邦政府と情報の保護」に関連する3つのアクションを取り上げる。 |
・Improve implementation of government-wide cybersecurity initiatives | ・政府全体のサイバーセキュリティ・イニシアチブの実施を改善する。 |
・Address weaknesses in federal agency information security programs | ・連邦政府機関の情報セキュリティ・プログラムの弱点に対処する |
・Enhance the federal response to cyber incidents to better protect federal systems and information | ・連邦政府のシステムと情報をより良く保護するために、サイバーインシデントへの連邦政府の対応を強化する。 |
We've made 712 public recommendations in this area since 2010. Nearly 21% of those recommendations hadn't been implemented as of December 2022. | 2010年以降、この分野で712件の公開提言を行った。2022年12月現在、これらの勧告の約21%が実施されていない。 |
Highlights | ハイライト |
Overview | 概要 |
We have made about 712 recommendations in public reports since 2010 with respect to securing federal systems and information. Until these are fully implemented, federal agencies will be more limited in their ability to protect private and sensitive data entrusted to them. For more information on this report, visit [web]. | 我々は2010年以降、連邦政府のシステムと情報の保護に関して約712の勧告を公開レポートで行ってきた。これらが完全に実施されるまで、連邦政府機関は預けられた個人情報や機密データを保護する能力がより制限されることになる。本報告書の詳細については、web]。 |
Improve Implementation of Government-Wide Cybersecurity Initiatives | 政府全体のサイバーセキュリティ・イニシアチブの実施改善 |
Federal law assigned five key cybersecurity responsibilities to the Cybersecurity and Infrastructure Security Agency (CISA), including securing federal information and systems, and coordinating federal efforts to secure and protect against critical infrastructure risk. To implement these responsibilities, CISA undertook an organizational transformation initiative aimed at unifying the agency, improving mission effectiveness, and enhancing the workplace experience. In March 2021, we reported that CISA had only completed 37 of 94 planned implementation tasks. Critical transformation tasks such as finalizing the mission-essential functions of CISA’s divisions and defining incident management roles and responsibilities across the agency had not yet been completed. | 連邦法では、サイバーセキュリティおよびインフラセキュリティ局(CISA)に、連邦政府の情報およびシステムの保護、重要インフラのリスクに対する連邦政府の取り組みの調整など、5つの重要なサイバーセキュリティの責任を割り当てている。これらの責務を遂行するため、CISAは、庁内の統一、ミッションの有効性の向上、職場体験の向上を目的とした組織改革に取り組みました。 2021年3月、我々は、CISAが94の計画された実施タスクのうち37しか完了していないことを報告した。CISAの各部門のミッションに不可欠な機能の最終決定や、機関全体のインシデント管理の役割と責任の定義など、重要な変革タスクはまだ完了していなかった。 |
Five Key Responsibilities Assigned to the Cybersecurity and Infrastructure Security Agency | サイバーセキュリティとインフラセキュリティ庁に割り当てられた5つの重要な責任 |
➢ We recommended that CISA establish expected completion dates, plans for developing performance measures, and an overall deadline for the completion of the transformation initiative, as well as develop a strategy for comprehensive workforce planning. | ➢ CISAに対し、完了予定日、業績評価指標の策定計画、変革イニシアティブの全体的な完了期限を定めるとともに、包括的な人材計画のための戦略を策定するよう勧告した。 |
Address Weaknesses in Federal Agency Information Security Programs | 連邦政府機関の情報セキュリティ・プログラムの弱点に対処する。 |
To protect federal information and systems, the Federal Information Security Modernization Act of 2014 (FISMA) requires federal agencies to develop, document, and implement information security programs. Congress included a provision in FISMA for GAO to periodically report on agencies’ implementation of the act. In March 2022, we reported on the information security programs of 23 federal civilian agencies, including annually required program reviews to be conducted by agency inspectors general (IG). Among other things, we noted that IGs determined that 16 (or 70 percent) of the 23 agencies had ineffective programs for fiscal year 2020. | 連邦政府の情報およびシステムを保護するため、2014年連邦情報セキュリティ近代化法(FISMA)は、連邦政府機関に対して情報セキュリティプログラムの策定、文書化、および実施を義務付けている。議会はFISMAに、GAOが定期的に各機関の同法の実施状況を報告する規定を盛り込んだ。 2022年3月、我々は連邦政府文民機関23機関の情報セキュリティ・プログラムについて報告したが、これには機関監察官(IG)が実施するよう毎年義務付けられているプログラム・レビューが含まれていた。とりわけ、IGが、23機関のうち16機関(70%)が2020会計年度のプログラムに効果がないと判断したことを指摘した。 |
Number of the 23 Civilian Agencies with Effective and Not Effective Agency-Wide Information Security Programs, as Reported by Inspectors General for Fiscal Years 2017-2020 | 2017~2020会計年度に監察官から報告された、庁内情報セキュリティ・プログラムが有効な23の民間機関の数と有効でない機関の数 |
We found that OMB’s guidance to IGs on conducting agency evaluations was not always clear, leading to inconsistent application and reporting by IGs. Further, we reported that the binary effective/not effective scale resulted in imprecise ratings that did not clearly distinguish among the differing levels of agencies’ performance. By clarifying its guidance and enhancing its rating scale, OMB could help ensure more a more consistent approach and nuanced picture of agencies’ cybersecurity programs. | 我々は、機関評価の実施に関するIGに対するOMBのガイダンスが必ずしも明確ではなく、IGによる一貫性のない適用と報告につながったことを発見した。さらに、効果的/効果的でないの2段階の尺度は、機関のパフォーマンスの異なるレベルを明確に区別しない不正確な評価をもたらすと報告した。OMB は、指針を明確化し、評価尺度を強化することで、各機関のサイバーセキュリティプログラムについて、より一貫したアプローチと微妙な全体像を確保するのに役立つと考えられる。 |
➢ We recommended that OMB, in consultation with others, clarify its guidance to IGs and create a more precise overall rating scale. | ➢ 我々は、OMB が他者と協議の上、IG に対するガイダンスを明確化し、より正確な総合評価尺度を作成することを提言した。 |
Enhance the Federal Response to Cyber Incidents | サイバーインシデントへの連邦政府の対応を強化する |
DOD and our nation's defense industrial base (DIB) are dependent on information systems to carry out their operations. These systems continue to be the target of cyberattacks, as demonstrated by over 12,000 cyber incidents DOD has experienced since 2015. | DOD と我が国の防衛産業基盤 (DIB) は、その業務を遂行するために情報システムに依存している。DODが2015年以降に経験した12,000件以上のサイバーインシデントが示すように、これらのシステムは引き続きサイバー攻撃の標的になっている。 |
Cyber Incidents Reported by Department of Defense's Cybersecurity Service Providers from Calendar Years 2015 through 2021 | 国防総省のサイバーセキュリティサービスプロバイダーが2015年から2021年の暦年で報告したサイバーインシデント |
In November 2022, we reported DOD has taken steps to combat these attacks and the number of cyber incidents had declined in recent years. However, we found that the department (1) had not fully implemented its processes for managing cyber incidents, (2) did not have complete data on cyber incidents that staff report, and (3) did not document whether it notifies individuals whose personal data is compromised in a cyber incident. | 2022年11月、我々はDODがこれらの攻撃に対抗するための手段を講じ、サイバーインシデントの数は近年減少していると報告した。しかし、我々は、同省が(1)サイバーインシデントを管理するためのプロセスを完全に実施していないこと、(2)職員が報告するサイバーインシデントのデータを完全に把握していないこと、(3)サイバーインシデントで個人データが漏洩した個人に通知しているかどうかを文書化していないことを明らかにした。 |
In addition, according to officials, DOD has not yet decided whether DIB cyber incidents detected by cybersecurity service providers should be shared with all relevant stakeholders. Until DOD examines whether this information should be shared with all relevant parties, opportunities could be lost to identify system threats and improve system weaknesses. | さらに、職員によると、DOD はサイバーセキュリティ・サービス・プロバイダーが検出した DIB サイバー事件をすべての関係者と共有すべきかどうかをまだ決定していないとのことです。DOD がこの情報をすべての関係者と共有すべきかどうかを検討するまでは、システムの脅威を特定し、システムの弱点を改善する機会が失われる可能性がある。 |
➢ We recommended the Department of Defense improve the sharing of DIB-related cyber incident information and document when affected individuals are notified of a PII breach of their data. | ➢ 我々は、国防総省が DIB 関連のサイバーインシデント情報の共有を改善し、影響を受ける個人が自分のデータの PII 侵害について通知されるタイミングを文書化することを推奨した。 |
・[PDF]
・2023.02.07 Cybersecurity High-Risk Series:Challenges in Protecting Cyber Critical Infrastructure
Cybersecurity High-Risk Series:Challenges in Protecting Cyber Critical Infrastructure | サイバーセキュリティの高リスクシリーズ:重要なサイバーインフラを守るための課題 |
Fast Facts | 概要 |
Federal systems are vulnerable to cyberattacks. Our High Risk report identified 10 critical actions for addressing federal cybersecurity challenges. | 連邦政府のシステムはサイバー攻撃に対して脆弱です。当社の「ハイリスク」レポートでは、連邦政府のサイバーセキュリティの課題に対処するための10の重要なアクションを特定した。 |
In this report, the third in a series of four, we cover the action related to protecting cyber critical infrastructure—specifically, strengthening the federal role in cybersecurity for critical infrastructure. For example, the Department of Energy needs to address cybersecurity risks to the U.S. power grid. | 4回シリーズの3回目となる本レポートでは、重要インフラの保護に関連するアクション、特に重要インフラのサイバーセキュリティにおける連邦政府の役割の強化について取り上げる。例えば、エネルギー省は米国の送電網に対するサイバーセキュリティのリスクに対処する必要がある。 |
We've made 106 public recommendations in this area since 2010. Nearly 57% of those recommendations had not been implemented as of December 2022. | 我々は2010年以来、この分野で106件の公開提言を行った。2022年12月現在、これらの勧告の57%近くが実施されていない。 |
Highlights | ハイライト |
Overview | 概要 |
We have made 106 recommendations in public reports since 2010 with respect to protecting cyber critical infrastructure. Until these are fully implemented, federal agencies will be more limited in their ability to protect private and sensitive data entrusted to them. For more information on this report, visit [web]. | 我々は、2010年以降、サイバー重要インフラの保護に関して106件の勧告を公開レポートで行ってきた。これらが完全に実施されるまで、連邦政府機関は預かった個人情報や機密データを保護する能力がより制限されることになる。本報告書の詳細については、[web]。 |
Strengthen the Federal Role in Protecting Cyber Critical Infrastructure | サイバー重要インフラ保護における連邦政府の役割の強化 |
The U.S. grid’s distribution systems—which carry electricity from transmission systems to consumers and are regulated primarily by states—are increasingly at risk from cyberattacks. Distribution systems are growing more vulnerable, in part because of industrial control systems’ increasing connectivity. As a result, threat actors can use multiple techniques to access those systems and potentially disrupt operations. | 米国送電網の配電システム(送電システムから消費者に電気を運び、主に州によって規制されている)は、ますますサイバー攻撃の危険にさらされている。配電システムは、産業用制御システムの接続性が高まっていることもあり、より脆弱性が高まっている。その結果、脅威者は複数の手法を駆使して配電システムにアクセスし、業務を妨害する可能性がある。 |
Examples of Techniques for Gaining Initial Access to Industrial Control Systems | 産業用制御システムへ初期アクセスするための手法の例 |
We reported in March 2021 that DOE, as the lead federal agency for the energy sector, developed plans to help combat these threats and implement the national cybersecurity strategy for the grid. However, DOE’s plans do not address distribution systems’ vulnerabilities related to supply chains. By not having plans that address the improvement to grid distribution systems’ cybersecurity, DOE’s plans will likely be of limited use in prioritizing federal support to states and industry. | 我々は2021年3月に、DOEがエネルギー部門の主導的な連邦機関として、これらの脅威に対抗し、グリッドのための国家サイバーセキュリティ戦略を実施するのに役立つ計画を策定したことを報告した。しかし、DOEの計画は、サプライチェーンに関連する配電システムの脆弱性に対処していない。系統配電システムのサイバーセキュリティの改善に取り組む計画を持たないことで、DOE の計画は、州や産業界に対する連邦政府の支援の優先順位付けにおいて、おそらく限られた用途にしかならないだろう。 |
➢ We recommended that, in developing plans to implement the national cybersecurity strategy for the grid, DOE coordinate with DHS, states, and industry to more fully address risks to the grid’s distribution systems from cyberattacks. | ➢ 我々は、送電網の国家サイバーセキュリティ戦略を実施する計画を策定する際に、DOE が DHS、州、産業界と連携し、送電網の配電システムに対するサイバー攻撃によるリスクにより十分に対処することを提言した。 |
The communications sector is an integral component of the U.S. economy and faces serious physical, cyber-related, and human threats that could affect the operations of local, regional, and national level networks, according to CISA and sector stakeholders. In addition to managing federal coordination during incidents impacting the communications sector, CISA shares information with sector stakeholders to enhance their cybersecurity and improve interoperability, situational awareness, and preparedness for responding to and managing incidents. | CISA と通信分野の利害関係者によれば、通信分野は米国経済にとって不可欠な要素であり、地方、地域、国レベルのネットワークの運用に影響を与えうる物理的、サイバー関連、および人的な深刻な脅威に直面している。CISAは、通信セクターに影響を及ぼすインシデント発生時の連邦政府の調整を管理するほか、セクターの関係者と情報を共有し、サイバーセキュリティの強化、相互運用性の向上、状況認識、インシデントへの対応と管理に対する備えの向上に努めている。 |
Examples of Potential Security Threats to the Communications Sector | 通信セクターに対する潜在的なセキュリティ脅威の例 |
In November 2021, we reported that CISA had not assessed the effectiveness of its programs and services supporting the security and resilience of the communications sector. By completing such an assessment, CISA would be better positioned to determine which programs and services are most useful or relevant in supporting the sector’s security and resilience. We also reported that CISA had not updated its 2015 Communications Sector-Specific Plan. Developing and issuing a revised plan would help CISA to address emerging threats and risks to the communications sector. | 2021年11月、我々は、CISAが通信セクターのセキュリティとレジリエンスを支援するプログラムとサービスの有効性を評価していないことを報告した。このような評価を完了することで、CISAは、どのプログラムとサービスが通信セクターのセキュリティとレジリエンスを支援する上で最も有用または関連性があるかを判断することができるようになる。我々はまた、CISAが2015年の通信セクター特定計画を更新していないことを報告した。改訂された計画を策定し発行することは、CISAが通信セクターに対する新たな脅威とリスクに対処するのに役立つだろう。 |
➢ We recommended that CISA assess the effectiveness of its programs and services to support the communications sector and, in coordination with public and private communications sector stakeholders, produce a revised Communications Sector-Specific Plan. | ➢ 我々は、CISAが通信セクターを支援するプログラムやサービスの有効性を評価し、官民の通信セクター関係者と連携して、改訂版の通信セクター別計画を作成するよう勧告した。 |
Ransomware is a form of malicious software that threat actors use in a multistage attack to encrypt files on a device and render data and systems unusable. These threat actors then demand ransom payments in exchange for restoring access to the locked data and systems. | ランサムウェアは、脅威者が多段階の攻撃でデバイス上のファイルを暗号化し、データとシステムを使用不能にする悪質なソフトウェアの一形態です。そして、ロックされたデータやシステムへのアクセスを回復するのと引き換えに、身代金の支払いを要求する。 |
Four Stages of a Common Ransomware Attack | 一般的なランサムウェアの4つの攻撃段階 |
In September 2022, we reported that CISA, FBI, and Secret Service provide assistance in preventing and responding to ransomware attacks on tribal, state, local, and territorial government organizations. However, the agencies could improve their efforts by fully addressing six of seven key practices for interagency collaboration in their ransomware assistance to state, local, tribal, and territorial governments. For instance, existing interagency collaboration on ransomware assistance to tribal, state, local, and territorial governments was informal and lacked detailed procedures. | 2022年9月、我々は、CISA、FBI、シークレットサービスが、部族、州、地方、および領土の政府組織に対するランサムウェア攻撃の防止と対応において支援を提供していることを報告した。しかし、州、地方、部族、および準州の政府に対するランサムウェア支援において、各省庁間の協力に関する7つの重要な実践のうち6つに完全に取り組むことで、各省庁の取り組みを改善することができる。例えば、部族、州、地方、地域政府へのランサムウェア支援に関する既存の省庁間協力は非公式であり、詳細な手順が欠如していた。 |
➢ We recommended that DHS and the Department of Justice address identified challenges and incorporate key collaboration practices in delivering services to state, local, tribal, and territorial governments. | 我々はDHSと司法省に対し、州政府、地方政府、部族政府、準州政府へのサービス提供において、特定された課題に取り組み、主要な協力体制を取り入れるよう勧告した。 |
・[PDF]
Comments