米国 GAO サイバーセキュリティ・プログラム監査ガイド (2023.09.28)
こんにちは、丸山満彦です。
ちょっと見逃していたのですが、GAOがサイバーセキュリティ・プログラム監査ガイドを公表していました。今から遡ること20年前。経済産業省で情報セキュリティ監査制度をつくるときにいろいろと議論をしたことを思い出します。。。この20年の間に監査のフレームワークが大きくかわったということはないので、一般的な監査の枠組みについては同じだと思います。
脅威の状況、システムの環境が代わり、それにあわせてガイド等も変更されたのでCriteriaも変わってきていますが...
Criteriaに使えますよ、、、と例示しているものが大変参考になりますね。。。非常によいガイドだと思います。。。さすがGAO。。。
● U.S. GAO
・2023.09.28 Cybersecurity Program Audit Guide
| Fast Facts | 速報 |
| Federal cybersecurity is an urgent priority because it protects critical infrastructure, federal operations, and individuals' personal data. | 連邦政府のサイバーセキュリティは、重要なインフラ、連邦政府の業務、および個人の個人データを保護するため、緊急の優先事項である。 |
| This guide gives analysts and auditors the methodologies, techniques, and audit procedures they need to evaluate the components of agencies' cybersecurity programs and systems. These components include risk management and incident response, among others. | 本ガイドは、アナリストと監査人が、各省庁のサイバーセキュリティ・プログラムとシステムの構成要素を評価するために必要な方法論、手法、監査手順を提供する。これらの構成要素には、リスクマネジメントやインシデント対応などが含まれます。 |
| Over the last 3 decades, we've made thousands of recommendations to improve federal cybersecurity. This guide reflects our combined experience and that of the federal Inspectors General, public accounting firms, and state audit offices that we interviewed. | 過去 30 年間にわたり、私たちは連邦政府のサイバーセキュリティを改善するために何千もの提言を行ってきました。本ガイドは、私たちの経験と、私たちがインタビューした連邦監察官室、公認会計士事務所、州監査事務所の経験をまとめたものである。 |
| Highlights | ハイライト |
| Why GAO Developed This Guide | GAOが本ガイドを作成した理由 |
| The Cybersecurity Program Audit Guide (CPAG) is to be used in conducting cybersecurity performance audits. The intent of the guide is to arm cyber analysts and auditors with a set of methodologies, techniques, and audit procedures to evaluate components of agency cybersecurity programs and systems. GAO welcomes federal and other governmental organizations to use this guide to assess their cybersecurity programs. | サイバーセキュリティ・プログラム監査ガイド(Cybersecurity Program Audit Guide: CPAG)は、サイバーセキュリティ・パフォーマンス監査を実施する際に使用するものである。このガイドの意図は、サイバーアナリストと監査人が、省庁のサイバーセキュリティプログラムとシステムのコンポーネントを評価するための一連の方法論、手法、監査手順で武装することである。GAO は、連邦政府およびその他の政府機関がサイバーセキュリティ・プログラムを評価するために本ガイドを利用することを歓迎する。 |
| The CPAG has six primary components: | CPAGno6つの主要構成要素 |
 |
|
| The Cybersecurity Program Audit Guide's Six Primary Components | サイバーセキュリティプログラム監査ガイドの 6 つの主要コンポーネント |
| ・Asset and risk management: developing an understanding of the cyber risks to assets, systems, information, and operational capabilities. | • 資産およびリスクマネジメント:資産、システム、情報、業務能力に対するサイバーリスクの理解を深める。 |
| ・Configuration management: identifying and managing security features for system hardware and software and controlling changes to the configuration. | • 構成管理:システムのハードウェアとソフトウェアのセキュリティ機能を識別・管理し、構成の変更を管理する。 |
| ・Identity and access management: protecting computer resources from modification, loss, and disclosure by limiting authorized access. | • アイデンティティおよびアクセス管理:許可されたアクセスを制限することにより、コンピュータリソースを改ざん、損失、開示から保護する。 |
| ・Continuous monitoring and logging: maintaining ongoing awareness of cybersecurity vulnerabilities and threats to an organization's systems. | • 継続的なモニタリングとロギング:組織のシステムに対するサイバーセキュリティの脆弱性と脅威を継続的に認識する。 |
| ・Incident response: taking action when security incidents occur. | • インシデントレスポンス:セキュリティインシデントが発生した場合に対処すること。 |
| ・Contingency planning and recovery: developing contingency plans and executing successful restoration of capabilities. | • 不測事態の計画と復旧:不測事態の計画を策定し、能力の復旧を成功させる。 |
| ・Each of the above components has four to seven overall key practices. For each of these practices, the CPAG provides further specificity on control objectives, applicable criteria, and available audit procedures. | • 上記の各構成要素には、全体として4~7つの主要な実務がある。これらのプラクティスそれぞれについて、CPAGは、コントロールの目的、適用される基準、利用可能な監査手続について、さらに具体的に説明している。 |
| Although the CPAG provides suggested approaches for addressing key cybersecurity topics, it is intended to be used in a flexible manner. Depending on audit objectives and the relative importance of specific issues, organizations may adjust and fine tune audit techniques as appropriate. | CPAG は、サイバーセキュリティに関する主要なトピックに対処するための推奨されるアプローチを提示して いるが、柔軟な方法で使用することを意図している。監査の目的や特定の問題の相対的な重要性に応じて、組織は監査手法を適宜調整し、微調整することができる。 |
| Why GAO Did This Study | GAOがこの調査を行った理由 |
| GAO has long recognized the importance of information security, initially identifying it as a government-wide high-risk area in 1997. Since then, the connectivity of systems has soared, and the sophistication of attacks has rapidly escalated. | GAOは長い間、情報セキュリティの重要性を認識しており、当初は1997年に政府全体の高リスク分野として識別した。それ以来、システムの接続性は急上昇し、攻撃の巧妙さは急速にエスカレートしている。 |
| Given the urgency to address the cybersecurity threat, GAO embarked on an effort to provide guidance to analysts and auditors on conducting cybersecurity audits. Such audits are essential to identifying cybersecurity program weaknesses and developing appropriate recommendations for agency corrective actions. | サイバーセキュリティの脅威に対処することが急務であることから、GAO はサイバーセキュリティ監査の実施に関するガイダンスをアナリストや監査人に提供する取り組みに着手した。このような監査は、サイバーセキュリティ・プログラムの弱点を特定し、政府機関の是正措置に対する適切な勧告を策定するために不可欠である。 |
| The development of the CPAG reflects GAO's collective experience over the last three decades in issuing hundreds of information security and cybersecurity audit reports and making thousands of recommendations. In developing the CPAG, GAO conducted extensive outreach with internal and external stakeholders. GAO also administered a questionnaire on existing guidance and received responses from 18 federal Office of Inspectors General, five public accounting firms, and four state audit offices. | CPAGの策定は、過去30年間にわたりGAOが何百もの情報セキュリティおよびサイバーセキュリティ監査報告書を発行し、何千もの勧告を行ってきた経験を反映したものである。CPAGの策定にあたり、GAOは内外の利害関係者に広範な働きかけを行った。GAOはまた、既存のガイダンスに関するアンケートを実施し、18の連邦監察官室、5つの公認会計事務所、4つの州の監査事務所から回答を得た。 |
| In addition, GAO held 14 focus groups with internal and external stakeholders to discuss and review key cybersecurity practices. The focus group members comprised a cross section of federal, state, and local auditors and experts as well as private and non-profit sector officials. GAO also interviewed officials from the National Institute of Standards and Technology, the Center for Internet Security, and ISACA. | さらにGAOは、サイバーセキュリティの主要な慣行について議論・検討するため、内外の利害関係者と14のフォーカス・グループを開催した。フォーカスグループのメンバーは、連邦、州、地方の監査役や専門家、民間や非営利セクターの関係者で構成された。GAO はまた、国立標準技術研究所、インターネット・セキュリティ・センター、ISACA の関係者にもインタビューを行った。 |
・[PDF] Highlights Page
・[PDF] Full Report
・[PDF] Accessible PDF
・[DOCX] 仮訳
Additional Data
Comments