米国 国防総省 国防総省のサイバーセキュリティに関する報告および証言の概要（2020年7月1日〜2022年6月30日） (2023.02.01)

こんにちは、丸山満彦です。

米国国防総省の内部監察官室が、2020年7月から2022年6月までの２会計期間内の監査によるサイバーセキュリティ関連の指摘事項の概要をまとめた報告書を公表していますね。。。一部機密指定が残っていて黒塗りになっています。

 

● Department of Defense Office of Inspector General

・2023.02.01 Summary of Reports and Testimonies Regarding DoD Cybersecurity from July 1, 2020, Through June 30, 2022 (DODIG-2023-047)

 

Summary of Reports and Testimonies Regarding DoD Cybersecurity from July 1, 2020, Through June 30, 2022 (DODIG-2023-047)	2020年7月1日から2022年6月30日までの国防総省のサイバーセキュリティに関する報告書および証言の概要（DODIG-2023-047)
Objective:	目的
The objective of this summary report was to: (1) summarize unclassified and classified reports and testimonies regarding DoD cybersecurity that the DoD Office of Inspector General (OIG), the Government Accountability Office (GAO), and other DoD oversight organizations issued between July 1, 2020, and June 30, 2022, concerning DoD cybersecurity; (2) identify cybersecurity trends; and (3) provide a status of open DoD cybersecurity-related recommendations.	本要約報告書の目的は、（1）国防総省監察総監室（OIG）、政府説明責任局（GAO）、およびその他の国防総省監督機関が2020年7月1日から2022年6月30日の間に発行した国防総省のサイバーセキュリティに関する非分類および分類された報告および証言の要約、（2）サイバーセキュリティ傾向の特定、（3）国防総省サイバーセキュリティ関連の未提案の状況であった。
We issue this summary report biennially to identify DoD cybersecurity trends based on the National Institute of Standards and Technology (NIST), “Framework for Improving Critical Infrastructure Cybersecurity,” April 16, 2018 (NIST Cybersecurity Framework) for DoD management to review and consider implementing changes, as appropriate.	我々は、国防総省の管理者がレビューし、必要に応じて変更を実施することを検討するために、国立標準技術研究所（NIST）、「重要インフラサイバーセキュリティの改善のための枠組み」、2018年4月16日（NISTサイバーセキュリティ枠組み）に基づく国防総省サイバーセキュリティ傾向を特定するために、この要約報告書を隔年発行している。
Background:	背景
Federal agencies are required to use the NIST Cybersecurity Framework to manage their cybersecurity risk. The NIST Cybersecurity Framework consists of five functions—Identify, Protect, Detect, Respond, and Recover— representing high‑level cybersecurity activities that provide a strategic view of the risk management cycle for identifying, assessing, and responding to risk. In addition, the five functions include 23 associated categories, such as “Asset Management” or “Detection Process,” that provide desired cybersecurity outcomes.	連邦政府機関は、サイバーセキュリティのリスクを管理するために、NISTサイバーセキュリティフレームワークを使用することが求められている。NISTサイバーセキュリティフレームワークは、識別、防御、検知、対応、回復の5つの機能で構成されており、リスクの識別、アセスメント、対応のためのリスク管理サイクルの戦略的な視点を提供するハイレベルなサイバーセキュリティ活動を表している。さらに、この5つの機能には、「資産管理」や「検知プロセス」など、サイバーセキュリティの望ましい成果をもたらす23の関連カテゴリーが含まれている。
Each of the 23 categories has up to 12 subcategories that further divide the categories into specific outcomes of technical and management activities, such as “data‑at‑rest is protected” or “notifications from detection systems are investigated.”	23のカテゴリーにはそれぞれ最大12のサブカテゴリーがあり、カテゴリーをさらに「静止データの保護」や「検知システムからの通知の調査」など、技術・管理活動の具体的な成果に分割している。
The DoD also uses the Risk Management Framework, which provides an integrated enterprise‑wide decision structure and is consistent with the principles established in the NIST Cybersecurity Framework, for managing cybersecurity risk and authorizing and connecting information systems.	また、DoDは、サイバーセキュリティのリスク管理や情報システムの認可・接続のために、企業全体の統合的な意思決定構造を提供し、NISTサイバーセキュリティフレームワークで定められた原則と一致するリスク管理フレームワークを使用している。
Summary:	概要
This year’s report summarizes the results of the 133 reports related to DoD cybersecurity—124 unclassified and 9 classified— and 7 congressional testimonies from the DoD OIG, GAO, and other DoD oversight organizations that were released from July 1, 2020, through June 30, 2022.	本年度の報告書は、2020年7月1日から2022年6月30日までに発表されたDoDのサイバーセキュリティに関する133の報告書（非分類124、分類9）およびDoD OIG、GAO、その他のDoD監督組織による7つの議会証言の結果を要約したものである。
Over the past 6 years, the DoD OIG, GAO, and the other DoD oversight organizations have steadily increased cybersecurity‑related oversight. However, a large and growing percentage of these reports focused primarily on issues related to two of the five NIST Cybersecurity Framework functions—Identify and Protect. There was less oversight provided by the DoD OIG, GAO, and the other DoD oversight organizations of the three remaining NIST Cybersecurity Framework functions—Detect, Respond, and Recover.	過去6年間、DoD OIG、GAO、およびその他のDoD監視組織は、サイバーセキュリティ関連の監視を着実に強化してきた。しかし、これらの報告書の大部分は、NISTサイバーセキュリティフレームワークの5つの機能のうち、識別と防御の2つの機能に関連する問題に主に焦点を当てており、その割合は増加している。NIST Cybersecurity Frameworkの残りの3つの機能である検知、対応、回復については、DoD OIG、GAO、およびその他のDoD監視組織による監視はあまり行われていない。
The DoD cybersecurity reports issued from July 2020 through June 2022 identified significant challenges in the DoD’s management of cybersecurity risks to its systems and networks.  The reports discussed DoD risks r elated to 20 of the 23 NIST Cybersecurity Framework categories. The majority of the weaknesses identified in the 133 reports we reviewed related to the categories of Governance (Identify function), Asset Management (Identify function), Identity Management, Authentication and Access Control (Protect function), and Information Protection Processes and Procedures (Protect function).	2020年7月から2022年6月までに発行された国防総省のサイバーセキュリティ報告書は、国防総省のシステムとネットワークに対するサイバーセキュリティリスクの管理における重要な課題を特定した。  報告書は、NISTサイバーセキュリティフレームワークの23のカテゴリーのうち20に関連する国防総省のリスクについて論じている。我々がレビューした133の報告書で特定された弱点の大部分は、ガバナンス（特定機能）、資産管理（特定機能）、アイデンティティ管理、認証およびアクセス制御（保護機能）、情報保護プロセスおよび手順（保護機能）のカテゴリーに関連するものであった。
These risks existed because DoD officials did not establish and implement minimum standards and necessary controls in accordance with DoD guidance.	これらのリスクは、国防総省の職員が国防総省の指針に従って最低限の基準や必要な統制を確立し、実施しなかったために存在したものである。
We determined that the DoD Components implemented corrective actions necessary to close 417 of the 895 cybersecurity‑related recommendations included in this summary report and prior summary reports. As of June 30, 2022, the DoD had 478 open cybersecurity‑related recommendations, dating as far back as 2012.	我々は、国防総省構成機関が、本要約報告書および過去の要約報告書に含まれる895のサイバーセキュリティ関連の勧告のうち417を解決するために必要な是正措置を実施したと判断している。2022年6月30日現在、国防総省には、2012年までさかのぼる478件の未解決のサイバーセキュリティ関連の勧告があった。
In addition to the 133 reports and 7 testimonies released since July 1, 2020, we also reviewed the notices of finding and recommendation (NFRs) issued to the DoD as part of the agency financial statement audits and attestations of 26 DoD reporting entities. The NFRs communicate to management identified weaknesses and inefficiencies in financial processes, their impact, the reason they exist, and recommendations on how to correct the weaknesses and inefficiencies. A s o f July 15, 2022, the DoD h ad 1,304 open information technology NFRs resulting from FY 2021 financial statement audits. We selected a nonstatistical sample of 44 NFRs and determined that they primarily identified weaknesses in the Protect and Identify functions of the NIST Cybersecurity Framework spanning 11 of the 23 NIST Cybersecurity Framework categories.	2020年7月1日以降に発表された133の報告書と7つの証言に加え、26のDoD報告団体の機関財務諸表監査と認証の一部としてDoDに発行された発見勧告（NFR）も検討した。NFRは、財務プロセスにおける識別された弱点や非効率性、その影響、存在理由、弱点や非効率性を修正する方法に関する勧告を経営陣に伝えるものである。2022年7月15日現在、DoDには、2021年度の財務諸表監査の結果、1,304件の未解決の情報技術NFRがある。我々は、44件のNFRの非統計サンプルを選択し、それらが主にNISTサイバーセキュリティフレームワークの23のカテゴリーのうち11にまたがる保護と識別の機能の弱点を特定すると判断した。
Although we are not making new recommendations to DoD management in this summary report, it is vital to the DoD’s overall cybersecurity posture that management implement timely and comprehensive corrective actions such as configuring security settings in accordance with security requirements and developing policies and procedures that promote implementing consistent security controls that address the open cybersecurity‑related recommendations.	この総括報告書では国防総省の管理者に新たな勧告は行っていないが、管理者がセキュリティ要件に従ってセキュリティ設定を行い、サイバーセキュリティ関連の公開勧告に対応した一貫したセキュリティ管理の実施を促す方針と手続きを策定するなど、タイムリーで包括的な是正措置を実施することは国防総省のサイバーセキュリティ体制全体にとって極めて重要である。
These risks existed because DoD officials did not establish and implement minimum standards and necessary controls in accordance with DoD guidance.	これらのリスクは、国防総省の職員が国防総省の指針に従って最低限の基準や必要な統制を確立し、実施しなかったために存在したものである。
We determined that the DoD Components implemented corrective actions necessary to close 417 of the 895 cybersecurity‑related recommendations included in this summary report and prior summary reports. As of June 30, 2022, the DoD had 478 open cybersecurity‑related recommendations, dating as far back as 2012.	我々は、国防総省構成機関が、本要約報告書および以前の要約報告書に含まれる895のサイバーセキュリティ関連勧告のうち417を閉じるために必要な是正措置を実施したと判断した。2022年6月30日現在、国防総省には、2012年までさかのぼる478件の未解決のサイバーセキュリティ関連の勧告があった。
In addition to the 133 reports and 7 testimonies released since July 1, 2020, we also reviewed the notices of finding and recommendation (NFRs) issued to the DoD as part of the agency financial statement audits and attestations of 26 DoD reporting entities. The NFRs communicate to management identified weaknesses and inefficiencies in financial processes, their impact, the reason they exist, and recommendations on how to correct the weaknesses and inefficiencies. A s o f July 15, 2022, the DoD h ad 1,304 open information technology NFRs resulting from FY 2021 financial statement audits. We selected a nonstatistical sample of 44 NFRs and determined that they primarily identified weaknesses in the Protect and Identify functions of the NIST Cybersecurity Framework spanning 11 of the 23 NIST Cybersecurity Framework categories.	2020年7月1日以降に発表された133の報告書と7つの証言に加え、26のDoD報告団体の機関財務諸表監査と認証の一部としてDoDに発行された発見勧告（NFR）も検討した。NFRは、財務プロセスにおける識別された弱点や非効率性、その影響、存在理由、弱点や非効率性を修正する方法に関する勧告を経営陣に伝えるものである。2022年7月15日現在、DoDには、2021年度の財務諸表監査の結果、1,304件の未解決の情報技術NFRがある。我々は、44件のNFRの非統計サンプルを選択し、それらが主にNISTサイバーセキュリティフレームワークの23のカテゴリーのうち11にまたがる保護と識別の機能の弱点を特定すると判断した。
Although we are not making new recommendations to DoD management in this summary report, it is vital to the DoD’s overall cybersecurity posture that management implement timely and comprehensive corrective actions such as configuring security settings in accordance with security requirements and developing policies and procedures that promote implementing consistent security controls that address the open cybersecurity‑related recommendations.	この総括報告書では、国防総省の管理者に対して新たな勧告は行っていないが、管理者がセキュリティ要件に従ってセキュリティ設定を行い、サイバーセキュリティ関連の公開勧告に対応した一貫したセキュリティ管理の実施を促進する方針と手続きを策定するなど、タイムリーで包括的な是正措置を実施することが国防総省のサイバーセキュリティ体制全体にとって極めて重要である。

 

・[PDF]

 

目次...

(U) Introduction	(U) はじめに
(U) Objective	(U)目的
(U) Background	(U)背景
(U) Summary	(U)概要
(U) Cybersecurity Risks Remain a Significant Challenge for the DoD	(U)サイバーセキュリティリスクは国防総省にとって重大な課題として残っている。
(U) Increased DoD Cybersecurity Oversight	(U) 国防総省のサイバーセキュリティ監視の強化
(U) The DoD Took Actions to Improve DoD Cybersecurity	(U) 国防総省は国防総省のサイバーセキュリティを改善するために行動を起こした。
(U) Challenges Remain in Managing DoD Cybersecurity Risks	(U) 国防総省のサイバーセキュリティリスクの管理には課題が残っている
(U) Risks by NIST Cybersecurity Framework Function	(U) NISTサイバーセキュリティフレームワーク機能別のリスク
(U) Open Cybersecurity-Related Recommendations	(U) サイバーセキュリティ関連の未解決の勧告
(U) Opportunity Exists to Improve Cybersecurity Oversight  52	(U)サイバーセキュリティの監視を改善する機会は存在する 52
(U) Appendixes	(U) 附属書
(U) Appendix A. Scope and Methodology	(U)附属書A．スコープとメソドロジー
(U) Use of Computer-Processed Data	(U)コンピュータ処理されたデータの使用
(U) Prior Coverage	(U)過去の報道
(U) Appendix B.  Unclassified and Classified Reports and Testimonies Regarding DoD Cybersecurity	(U) 附属書B.  国防総省のサイバーセキュリティに関する未公表および機密の報告書と証言書
(U) Appendix C.  Reports Identifying Risks by NIST Cybersecurity Framework Category	(U) 附属書C.  NISTサイバーセキュリティフレームワークのカテゴリー別にリスクを識別した報告書。
(U) Appendix D.  Open Recommendations by NIST Cybersecurity Framework Category	(U) 附属書D.  NISTサイバーセキュリティフレームワークカテゴリー別の公開勧告
(U) Acronyms and Abbreviations	(U)頭字語および省略形

 

 

GAO、DoD OIG、陸軍監査室、海軍監査室、空軍監査室、その他の監査機関による監査の報告事項を説明しています。サイバーセキュリティフレームワークのカテゴリーごとの集計も載せているのですが、識別、防御に偏っているように感じるのは私だけでしょうか...

 

 

参考まで。。。