サイト内検索

My Photo
June 2023
Sun Mon Tue Wed Thu Fri Sat
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30  

Recent Trackbacks

連載 (ITmedia)

ウェブページ

« ENISA 報告書 「組み込みSIMのエコシステム、セキュリティリスクと対策」「5Gにおけるフォグ・エッジコンピューティング」 | Main | サイバー軍 ポール・M・ナカソネ将軍の姿勢表明 »

2023.03.13

国土安全保障省 監察官室報告書 「CISAは進展したが、リソース、人員、技術の課題がサイバー脅威の検知と軽減の妨げになる」

こんにちは、丸山満彦です。

国土安全保障省の内部監察官室 (OIG) がCISAについての内部監査報告書を公表していますね。。。

2020年のSolarWindsの侵害発覚後、CISAは大規模なサイバー攻撃によるリスクを検出し軽減する能力を向上させたが、連邦政府のネットワークを保護するための作業は残っている。CISAは、サイバー攻撃に対する連邦機関の防御を調整しているが、SolarWindsの対応により、CISAは脅威に効果的に対応するためのバックアップ通信システム、スタッフ、安全なスペースなど、十分なリソースを有していないことが明らかになったとして、内部監査を実施したようです。。。

で、勧告事項は4つあります。。。

ざっくりいうと、

(1) CISAの業務継続計画と情報システム危機管理計画の策定と実施

(2) CISAの施設の容量が適切かの評価

(3) 人員、資源、情報アクセスのレベルを文書化するための評価の実施

(4) データ分析能力を含む長期計画の立案

We recommend the CISA Director update CISA’s Continuity of Operations Plan and develop and implement an information system contingency plan, to ensure availability of redundant systems, capabilities, and communication methods to use if primary systems or networks are compromised. CISA長官に対し、主要なシステムまたはネットワークが侵害された場合に使用する冗長システム、能力、通信方法の可用性を確保するために、CISAの業務継続計画を更新し、情報システム危機管理計画を策定し、実施することを勧告する。
We recommend the CISA Director require the facility and operations staff conduct an assessment to determine whether secure facility space is appropriately sized and configured to meet operational needs and document any changes necessary for staff to obtain and maintain appropriate access to intelligence information. CISA長官に対し、安全な施設のスペースが運用上のニーズを満たすために適切な大きさと構成になっているかどうかを判断するための評価を実施し、職員が情報情報への適切なアクセスを取得し維持するために必要な変更を文書化することを要求することを勧告する。
We recommend the CISA Director require an assessment to document the levels of staffing, resources, and intelligence access needed for operational divisions, cyber detection and mitigation capabilities, and support functions. CISA長官に対し、運用部署、サイバー検知・緩和能力、支援機能に必要な人員、資源、情報アクセスのレベルを文書化するための評価を要求することを勧告する。
We recommend the CISA Director create and implement a long-term plan for the Cybersecurity Division that includes provisions for ownership, operations, and maintenance of the National Cybersecurity Protection System’s data analytics capabilities. CISA長官に対し、国家サイバーセキュリティ保護システムのデータ分析能力の所有、運用、保守に関する規定を含むサイバーセキュリティ部署の長期計画を作成し実施することを勧告する。

 

Oversignt.gov

・2023.03.08 CISA Made Progress but Resources, Staffing, and Technology Challenges Hinder Cyber Threat Detection and Mitigation

・[PDF]

20230313-20229

・[DOCX] 仮訳

 

 

 

2023.03.13 02:06 in 情報セキュリティ / サイバーセキュリティ, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 |

« ENISA 報告書 「組み込みSIMのエコシステム、セキュリティリスクと対策」「5Gにおけるフォグ・エッジコンピューティング」 | Main | サイバー軍 ポール・M・ナカソネ将軍の姿勢表明 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« ENISA 報告書 「組み込みSIMのエコシステム、セキュリティリスクと対策」「5Gにおけるフォグ・エッジコンピューティング」 | Main | サイバー軍 ポール・M・ナカソネ将軍の姿勢表明 »