米国 GAO 重要インフラ保護：国家サイバーセキュリティ戦略は情報共有のパフォーマンス指標と方法に取り組む必要がある

こんにちは、丸山満彦です。

情報共有は重要。。。官民間でも、官官間でもそうですね。。。適切にそれができているか、という意味でパフォーマンス指標をつくり、評価をするというのは重要ですね。。。

きっと、GAOの報告書は日本の政府機関も読んで、日本の政府機関でも同じような問題がないかと考えるだけでも、意味があるかもですね。。。

 

● U.S. GAO

・2023.09.26 Critical Infrastructure Protection:National Cybersecurity Strategy Needs to Address Information Sharing Performance Measures and Methods (GAO-23-105468)

Critical Infrastructure Protection:National Cybersecurity Strategy Needs to Address Information Sharing Performance Measures and Methods	重要インフラ保護：国家サイバーセキュリティ戦略は情報共有のパフォーマンス指標と方法に取り組む必要がある
Fast Facts	速報
Protecting critical infrastructure—like water and electricity—from cyberattacks is a national priority.	水道や電力などの重要インフラをサイバー攻撃から防御することは、国家的な優先事項である。
Federal agencies and critical infrastructure owners and operators must share information to tackle increasingly complex cyber threats. Long-standing challenges, such as security concerns and timeliness, make this harder. For example, representatives from a nonfederal partner said the FBI briefed them on a cyber threat about 5 months after it was identified.	連邦政府機関と重要インフラの所有者・運営者は、複雑化するサイバー脅威に対処するために情報を共有しなければならない。セキュリティ上の懸念や適時性といった長年の課題が、これを難しくしている。例えば、ある連邦政府以外のパートナーの代表者によると、FBIはサイバー脅威が確認されてから約5ヵ月後に説明を行ったという。
We recommended monitoring federal cyber initiatives and assessing agencies' current information sharing methods to help address cybersecurity challenges.	我々は、サイバーセキュリティの課題に対処するために、連邦政府のサイバー・イニシアチブを監視し、各機関の現在の情報共有方法を評価することを推奨した。
Highlights	ハイライト
What GAO Found	GAOの発見事項
The nation's 16 critical infrastructure sectors rely on electronic systems to provide essential services such as electricity, communications, and financial services. Federal entities have key roles in helping to protect these sectors.	国の16の重要インフラ部門は、電力、コミュニケーション、金融サービスなどの必要不可欠なサービスを提供する電子システムに依存している。連邦事業体は、これらの部門の保護を支援する上で重要な役割を担っている。
The Office of the National Cyber Director (ONCD) is to advise the President on cybersecurity policy and strategy, and lead the coordination of implementation of the March 2023 National Cybersecurity Strategy.	国家サイバーディレクター室（ONCD）は、サイバーセキュリティ政策と戦略について大統領に助言し、2023年3月の国家サイバーセキュリティ戦略の実施調整を主導する。
The Department of Homeland Security's (DHS) Cybersecurity and Infrastructure Security Agency (CISA) is to coordinate the overall federal effort to promote the security of the nation's critical infrastructure, including the sharing of threat information.	国土安全保障省（DHS）のサイバーセキュリティ・インフラ保障局（CISA）は、脅威情報の共有を含め、国家の重要インフラのセキュリティを促進するための連邦政府の取り組み全体を調整する。
The FBI is to lead counterterrorism and counterintelligence investigations and related law enforcement activities across the critical infrastructure sectors and share related cyber threat information.	FBI は、重要インフラ部門にまたがるテロ・防諜捜査と関連法執行活動を主導し、関連するサイバー脅威情報を共有する。
CISA and 12 other agencies are sector risk management agencies responsible for providing specialized expertise for protecting the cybersecurity of their assigned sectors (e.g., Department of Energy and the energy sector), to include the sharing of sector-specific threat information.	CISA と他の 12 の機関は、セクター固有の脅威情報の共有を含め、割り当てられたセクター（例えば、エネルギー省とエ ネルギー部門）のサイバーセキュリティを保護するための専門知識を提供する責任を負うセクターリスク マネジメント機関である。
The 14 federal agencies in GAO's review—CISA, FBI, and the other 12 sector risk management agencies—reported relying on 11 methods to facilitate sharing of cyber threat information with critical infrastructure owners and operators. As shown in figure 1, these agencies used each of the 11 methods to varying degrees (see the numbers next to each method).	GAOのレビューの対象となった14の連邦政府機関-CISA、FBI、および他の12のセクターのリスクマネジメント機関-は、重要インフラの所有者および運営者とのサイバー脅威情報の共有を促進するために11の方法に依存していると報告した。図1に示すように、これらの機関は、程度の差こそあれ、11の方法をそれぞれ利用していた（各方法の横の数字を参照）。
Figure 1: Number of Methods Used by 14 Federal Agencies Sharing Cyber Threat Information	図1：サイバー脅威情報を共有する14の連邦政府機関が使用した手法の数
The 14 agencies varied in the number of information sharing methods that they each used. Specifically, four agencies—the Department of Defense, the Department of Energy, CISA, and FBI—used more than half of the 11 sharing methods and 10 agencies used fewer than half of the 11 sharing methods.	14 の機関は、それぞれ使用する情報共有手法の数に違いがあった。具体的には、国防総省、エネルギー省、CISA、FBI の 4 機関が 11 の共有手法の半数以上を使用し、10 機関が 11 の共有手法の半数未満を使用した。
The agencies took two different approaches to using the 11 sharing methods. Specifically, two agencies—CISA and FBI—used a centralized approach to share information with each of the 16 critical infrastructure sectors. The other 12 remaining federal agencies shared sector-specific threat information.	各省庁は11の共有方法のうち、2つの異なるアプローチをとっていた。具体的には、CISAとFBIの2つの機関は、16の重要インフラ・セクターごとに情報を共有する集中型アプローチを採用していた。残りの12の連邦政府機関は、セクターごとに脅威情報を共有していた。
Six challenges to effective sharing of cyber threat information were identified by at least a third of the 21 entities in GAO's review (14 federal agencies and seven nonfederal entities) (see figure 2).	サイバー脅威情報の効果的な共有に対する6つの課題は、GAOのレビューの対象となった21事業体（14の連邦機関と7つの非連邦機関）の少なくとも3分の1によって特定された（図2参照）。
Figure 2: Six Challenges to Cyber Threat Information Sharing Identified by Federal Agencies and Nonfederal Entities	図2：連邦政府機関と連邦政府以外の事業体が指摘したサイバー脅威情報共有に対する6つの課題
Although 13 of the 14 federal agencies reported that they have taken initial actions to address these threat sharing challenges, all 14 agencies also acknowledged that these challenges have not been fully resolved for their sectors. In March and July 2023, the White House issued its National Cybersecurity Strategy and accompanying implementation plan to articulate the administration's plan for addressing the nation's long-standing cybersecurity challenges—including those pertaining to information sharing. The implementation plan includes eight initiatives that, if effectively implemented, could help agencies make progress in addressing the cyber threat information sharing challenges. For example, the implementation plan includes an initiative focused on removing barriers to delivering cyber threat intelligence. This initiative could help agencies make progress in addressing the challenge of limited sharing of classified or sensitive information.	14の連邦機関のうち13の機関は、これらの脅威共有の課題に対処するための初期的な行動を取ったと報告しているが、14の機関すべてが、それぞれの分野ではこれらの課題が完全には解決されていないことも認めている。2023年3月と7月に、ホワイトハウスは国家サイバーセキュリティ戦略とそれに付随する実施計画を発表し、情報共有に関するものも含め、国家の長年のサイバーセキュリティ上の課題に取り組むための政権の計画を明確にした。実施計画には、効果的に実施されれば、各省庁がサイバー脅威の情報共有の課題への取り組みを進展させるのに役立つ8つのイニシアティブが含まれている。例えば、実施計画にはサイバー脅威情報提供の障壁を取り除くことに焦点を当てたイニシアチブが含まれている。このイニシアチブは、機密または機微情報の共有が制限されているという課題への対処を進展させる上で、各省庁の助けとなり得る。
GAO's prior work emphasizes the importance of (1) identifying outcome-oriented performance measures and (2) assessing whether existing processes are optimal for addressing challenges.	GAOの先行研究は、(1)成果志向の業績評価指標を特定すること、(2)既存のプロセスが課題への対応に最適かどうかを評価することの重要性を強調している。
The implementation plan does not identify outcome-oriented performance measures to assess the effectiveness of the steps taken under the eight information sharing initiatives described in the plan.	実施計画では、計画に記載された8つの情報共有イニシアティブの下で講じられた措置の有効性を評価するための成果志向の業績評価尺度が特定されていない。
The long-standing nature of the cyber threat sharing challenges raises questions about whether the mix of centralized and sector-specific sharing approaches is optimal. Although the implementation plan calls for CISA to assess whether new or improved sharing methods are needed, it does not include an assessment of whether existing sharing methods should be retired in favor of centralized or sector-specific sharing approaches.	サイバー脅威共有の課題は長期にわたるものであるため、集中型と分野別の共有アプローチの組み合わせが最適かどうかについては疑問が残る。実施計画では、新たな共有方法や改善が必要かどうかをCISAが評価するよう求めているが、集中型や分野別の共有アプローチを優先して既存の共有方法を廃止すべきかどうかの評価は含まれていない。
Until the ONCD and CISA take steps to resolve these weaknesses, the long-standing cyber threat sharing challenges will likely continue to persist.	ONCDとCISAがこれらの弱点を解決するための措置を講じるまでは、サイバー脅威の共有に関する長年の課題は継続する可能性が高い。
Why GAO Did This Study	GAOがこの調査を行った理由
Cyber threats to the nation's critical infrastructure sectors are significant. As such, it is important that federal agencies and critical infrastructure owners and operators share cyber threat information. ONCD and CISA lead federal efforts to coordinate on national cyber policy and the security of critical infrastructure.	国家の重要インフラ部門に対するサイバー脅威は重要なものである。そのため、連邦政府機関と重要インフラの所有者および運営者がサイバー脅威情報を共有することが重要である。ONCDとCISAは、国のサイバー政策と重要インフラのセキュリティに関する連邦政府の協調努力を主導している。
This report examines, among other things, (1) how federal agencies and critical infrastructure owners and operators share cyber threat information and (2) challenges to cyber threat information sharing and the extent to which federal agencies have taken action to address them.	本報告書では、特に、(1)連邦政府機関と重要インフラの所有者および運営者がサイバー脅威情報をどのように共有しているか、(2)サイバー脅威情報の共有に対する課題と連邦政府機関がどの程度それに対処するための行動をとっているかについて調査している。
To do so, GAO reviewed documentation from 14 federal agencies, including CISA, and seven nonfederal entities with responsibility for sharing cyber threat information. In addition, GAO interviewed relevant officials from these federal agencies and nonfederal entities regarding challenges to sharing cyber threat information.	そのためにGAOは、CISAを含む14の連邦機関と、サイバー脅威情報の共有に責任を持つ7つの非連邦事業体の文書をレビューした。さらにGAOは、サイバー脅威情報を共有する上での課題について、これらの連邦機関と非連邦事業体の関係者にインタビューを行った。
Using information compiled from interviews, GAO then presented the cyber threat information challenges frequently identified by the relevant entities to the 14 federal agencies and ONCD. GAO also asked for and reviewed documentation on actions the 14 agencies and ONCD have taken or plan to take to address the challenges.	そして、インタビューから得られた情報をもとに、GAOは関連事業体から頻繁に指摘されたサイバー脅威情報の課題を、14の連邦政府機関とONCDに提示した。GAOはまた、14の連邦機関とONCDが課題に対処するためにとった、あるいはとる予定の行動について文書を求め、検討した。
In addition, GAO compared the National Cybersecurity Strategy and accompanying implementation plan with its prior work on leading practices for national strategies and business process reengineering.	さらにGAOは、国家サイバーセキュリティ戦略とそれに付随する実施計画を、国家戦略やビジネス・プロセス・リエンジニアリングのリーディング・プラクティスに関する先行研究と比較した。
Recommendations	提言
GAO is recommending that:	GAOは以下を勧告する：
(1) ONCD identify outcome-oriented performance measures for the cyber threat information sharing initiatives included in the National Cybersecurity Strategy implementation plan, and	(1) ONCDは、国家サイバーセキュリティ戦略実施計画に含まれるサイバー脅威情報共有イニシアティブについて、成果志向のパフォーマンス指標を特定する。
(2) CISA assess whether the current mix of centralized and sector-specific sharing methods used by agencies is the optimal approach to addressing cyber threat sharing challenges.	(2) CISAは、各省庁が現在採用している集中型の共有方法と分野別の共有方法の組み合わせが、サイバー脅威共有の課題に対処するための最適なアプローチであるかどうかを評価する。
In commenting on a draft of this report, ONCD agreed with GAO's finding on outcome-oriented measures but disagreed with the recommendation. As discussed in the report, GAO continues to believe that this recommendation is necessary to evaluate the effectiveness of planned efforts. Based on additional contextual information provided by ONCD, GAO withdrew from its report one recommendation on voluntary and timely information sharing.	本報告書の草案に対するコメントで、ONCDは成果志向の対策に関するGAOの所見に同意したが、勧告には同意しなかった。報告書で議論されたように、GAOはこの勧告が計画された取り組みの有効性を評価するために必要であると引き続き考えている。ONCDから提供された追加的な背景情報に基づき、GAOは報告書から自発的かつ適時な情報共有に関する1つの勧告を撤回した。
DHS concurred with the recommendation to CISA.	DHSはCISAへの勧告に同意した。
Recommendations for Executive Action	行政措置に関する勧告
Agency Affected	影響を受ける機関
Office of the National Cyber Director	国家サイバー長官室
The National Cyber Director should identify outcome-oriented performance measures for the eight cyber threat information sharing initiatives that are included in the National Cybersecurity Strategy Implementation Plan. (Recommendation 1)	国家サイバー長官は、国家サイバーセキュリティ戦略実施計画に含まれる8つのサイバー脅威情報共有イニシアチブの成果志向のパフォーマンス指標を特定すべきである。(勧告1)
Cybersecurity and Infrastructure Security Agency	サイバーセキュリティ・インフラセキュリティ庁
The Director of CISA, in coordination with the 14 agencies, should conduct a comprehensive assessment of whether the current mix of centralized and federated sharing methods used by the agencies is the optimal approach to addressing the cyber threat sharing challenges—including whether existing sharing methods should be retired in favor of centralized or federated approaches. (Recommendation 2)	CISA長官は、14の省庁と連携して、各省庁が現在使用している集中型と連合型の共有方法の組み合わせが、サイバー脅威共有の課題に対処するための最適なアプローチであるかどうか、既存の共有方法を廃止して集中型アプローチと連合型アプローチのどちらを優先すべきかを含め、包括的な評価を実施すべきである。(勧告2）

 

・[PDF] Full Report

 

・[PDF] Highlights Page

 

● GAO - WatchBlog

・2023.09.27 Improving Communication Could Strengthen Federal Efforts to Prevent the Next Major Cyberattack

Improving Communication Could Strengthen Federal Efforts to Prevent the Next Major Cyberattack	コミュニケーションを改善することで、次の大規模サイバー攻撃を防ぐための連邦政府の取り組みを強化することができる。
We’ve already seen what can happen when one of the nation’s critical services is disrupted by a cyberattack. In May 2021, a ransomware attack on Colonial Pipeline led to the temporary disruption of gasoline and petroleum product delivery across much of the southeast United States—leading to Americans waiting in long lines at gas stations up and down the East Coast.	国の重要なサービスの一つがサイバー攻撃によって中断された場合、何が起こり得るかを我々はすでに目にしている。2021年5月、コロニアル・パイプラインへのランサムウェア攻撃により、米国南東部の大部分でガソリンと石油製品の配送が一時的に中断され、東海岸各地のガソリンスタンドで米国人が長蛇の列を作る事態となった。
The federal government is worried about these kinds of cyberattacks, and is working with private sector entities, and state and local governments that manage critical infrastructure to prevent them. A key part of this effort is sharing important information about potential threats.	連邦政府はこの種のサイバー攻撃を懸念し、民間事業体や重要インフラを管理する州・地方政府と協力して、その防止に努めている。この努力の重要な部分は、潜在的な脅威に関する重要な情報を共有することである。
Today’s WatchBlog post looks at our new report on how key information is shared and what more needs to be done to improve these efforts to better protect critical infrastructure.	本日のWatchBlogでは、重要な情報がどのように共有されているか、また、重要インフラをよりよく保護するために、こうした取り組みを改善するためにさらに何が必要かについて、我々の新しい報告書を紹介する。
Examples of Critical Infrastructure	重要インフラの例
What are the cybersecurity threats and why is information sharing so important?	サイバーセキュリティの脅威とは何か、なぜ情報共有が重要なのか？
Cyber threats against critical infrastructure—like dams, ports, and utilities—can come from many different types of groups with a range of motivations. Nation states (for example, Russia and China), as well as transnational criminal groups, activists, and sometimes individuals like disgruntled employees have all been known to carry out cyberattacks. They can be motivated by things like monetary gains, or they can be seeking economic, political, or military advantages.	ダム、港湾、公共施設などの重要インフラに対するサイバー脅威は、さまざまな動機を持つさまざまなタイプのグループからもたらされる可能性がある。国家（例えばロシアや中国）、多国籍犯罪グループ、活動家、時には不満を持つ従業員のような個人がサイバー攻撃を行うことが知られている。彼らの動機は金銭的な利益などであることもあれば、経済的、政治的、軍事的な利点を求めていることもある。
The challenge to preventing these attacks is their ever-changing and increasingly sophisticated tactics and techniques. These include things like infiltrating networks, disabling security software, and stealing data. Federal agencies gather information on these methods to better understand how attacks can occur and how to prevent them. But information gathering alone can’t prevent attacks. Federal agencies need to share what they know in a timely manner with those at risk of attack. Using this information, the organizations managing our critical infrastructure can make more informed decisions regarding threat detection and prevention.	このような攻撃を防ぐための課題は、絶えず変化し、ますます洗練された戦術とテクニックである。これには、ネットワークへの侵入、セキュリティ・ソフトウェアの無効化、データの窃盗などが含まれる。連邦政府機関は、攻撃がどのように発生し、どのように防ぐかをよりよく理解するために、これらの手法に関する情報を収集している。しかし、情報収集だけでは攻撃を防ぐことはできない。連邦政府機関は、攻撃のリスクにさらされている人々とタイムリーに知っていることを共有する必要がある。この情報を活用することで、重要インフラを管理する組織は、脅威の検知と予防に関して、より多くの情報に基づいた意思決定を行うことができる。
The challenges in sharing cyber threat information	サイバー脅威情報の共有における課題
There are 14 federal entities that play key roles in helping to protect critical infrastructure from cyberattacks. Some of them are known for their involvement in cybersecurity issues, like the Cybersecurity Infrastructure Security Agency (CISA) and the FBI. Others might be well-known, but their involvement with cybersecurity could be surprising to you. For example, the same TSA that keeps us safe at airports is also responsible for protecting our nation’s gasoline pipelines.	重要インフラをサイバー攻撃から守るために重要な役割を果たしている連邦事業体は14ある。その中には、サイバーセキュリティ・インフラ・セキュリティ庁（CISA）やFBIのように、サイバーセキュリティ問題に関与していることで知られているものもある。また、よく知られていても、サイバーセキュリティとの関わり方が意外なものもある。例えば、空港の安全を守るTSAは、国内のガソリン・パイプラインの保護にも責任を負っている。
These agencies use a variety of methods to share information with each other and organizations that manage critical infrastructure, including holding briefings and developing educational products. For example, in February, CISA and others issued a threat information product regarding North Korean-sponsored ransomware attacks on our health care and public health infrastructure. The below graphic shows the types of info-sharing efforts used and how many agencies (out of 14) used them.	これらの機関は、説明会の開催や教育用製品の開発など、さまざまな方法で重要インフラを管理する組織と情報を共有している。例えば、CISAなどは2月、医療・公衆衛生インフラに対する北朝鮮主催のランサムウェア攻撃に関する脅威情報製品を発表した。以下の図は、どのような情報共有の取り組みが行われ、どれだけの機関（14機関中）が利用したかを示している。
Entities representing critical infrastructure owners and operators told us there are great benefits in getting information about threats from federal agencies.  But they also identified a number of challenges that limit this sharing. For example, those entities told us that they did not always receive timely and actionable cyber threat information from federal agencies.	重要インフラの所有者や運営者を代表する事業者は、連邦政府機関から脅威に関する情報を得ることには大きなメリットがあると語っている。 しかし、この情報共有を制限する多くの課題も指摘されている。例えば、これらの事業体は、連邦政府機関からタイムリーで実用的なサイバー脅威情報を必ずしも受け取っていないと述べた。
What should the federal government do to better protect critical infrastructure?	重要インフラをよりよく保護するために、連邦政府は何をすべきか？
Earlier this year, the White House issued its National Cybersecurity Strategy and implementation plan for addressing the nation’s long-standing cybersecurity challenges—including those relating to cyber threat information sharing. The implementation plan includes eight initiatives that could help agencies address challenges to sharing cyber threat information. But we found that the implementation plan did not identify performance measures for those eight initiatives to know whether the implementation plan is helping to tackle the challenges.	今年初め、ホワイトハウスは国家サイバーセキュリティ戦略および実施計画を発表し、サイバー脅威情報の共有に関するものも含め、国家の長年にわたるサイバーセキュリティの課題に対処することを表明した。この実施計画には、サイバー脅威情報の共有に関する課題に各省庁が対処するのに役立つ8つのイニシアチブが含まれている。しかし、我々は、実施計画が課題への取り組みに役立っているかどうかを知るための、これら8つの取り組みに対する成果測定が実施計画では特定されていないことを明らかにした。
As the federal government works to implement the new National Cybersecurity Strategy, we also think it is important that agencies evaluate their current methods of sharing information and whether any methods should be consolidated or retired. This could help agencies target funding and resources better.	連邦政府が新たな国家サイバーセキュリティ戦略の実施に取り組む中で、我々はまた、各省庁が現在の情報共有方法を評価し、いずれかの方法を統合または廃止すべきかどうかを検討することが重要であると考えている。そうすることで、各省庁が資金やリソースをより適切に配分できるようになる。

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

サイバー戦略

・2023.07.02 米国 GAO サイバーセキュリティ:国家サイバーセキュリティ戦略の立ち上げと実施

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

 

関連

・2023.09.19 米国 国防総省サイバー戦略 2023（要約）(2023.09.12)

・2023.08.14 米国 K-12（幼稚園から高校まで）の学校のサイバーセキュリティを強化する新たな取り組みを開始 (2023.08.07)

・2023.08.14 米国 CISA他 情報提供依頼： オープンソースソフトウェア・セキュリティ： 長期的な重点分野と優先順位付け

・2023.08.06 米国 CISA サイバーセキュリティ戦略 FY2024-2026

・2023.08.02 米国 国家サイバー人材・教育戦略

・2023.07.15 米国 ホワイトハウス サイバーセキュリティ戦略実施計画

・2023.07.09 米国 OMB 2025 年度予算における政権のサイバーセキュリティ優先事項 (2023.06.27)