米国 GAO サイバーセキュリティ：連邦政府機関は前進したが、インシデント対応要件を完全に実施する必要がある （20の勧告）

こんにちは、丸山満彦です。

米国のGAOが連邦政府のセキュリティインシデント対応要件の遵守の進捗について監査を実施し、OMBの指示のレベルに達していないと20の勧告をだしていますね。。。

大統領制と議員内閣制の違いはありますが、日本も会計検査院の能力向上が必要なのだろうと思うんです。特に、安全保障等で政府機関の権限が強化されることが想定されるので、政府か機関の執行状況の遵守性等を監査し、内閣、国会に報告しないといけにと思うんですよね。。。確かに、議員内閣制で、議会の多数派が内閣と同じ党なので、どこまで牽制が効くかという話もあるのですが、野党もそれなりの数がいますし、国会は公開でされますから、国民の目も一定あると思うんですよね。。。

 

● U.S. GAO

・2023.12.04 Cybersecurity: Federal Agencies Made Progress, but Need to Fully Implement Incident Response Requirements

Cybersecurity:Federal Agencies Made Progress, but Need to Fully Implement Incident Response Requirements	サイバーセキュリティ：連邦政府機関は前進したが、インシデント対応要件を完全に実施する必要がある
GAO-24-105658	GAO-24-105658
Fast Facts	事実
Federal agencies have made progress in preparing for and responding to cyber threats. For instance, agencies have improved their ability to detect, analyze, and handle incidents like ransomware attacks and data breaches.	連邦政府機関は、サイバー脅威への備えと対応において進歩を遂げている。例えば、ランサムウェア攻撃やデータ漏洩などのインシデントを検知、分析、ハンドリングする能力は向上している。
However, some agencies have not met the federal requirements for event logging—i.e., ensuring that cybersecurity incidents are tracked and that these tracking logs are appropriately retained and managed.	しかし、一部の機関は、イベント・ロギング、すなわちサイバーセキュリティ・インシデントが確実に追跡され、これらの追跡ログが適切に保持・管理されることに関する連邦政府の要件を満たしていない。
Information from federal IT logs is invaluable in the detection, investigation, and remediation of cyberthreats. We recommended that federal agencies fully implement requirements to log cybersecurity events, and more.	連邦政府のITログから得られる情報は、サイバー脅威の検知、調査、是正において非常に貴重である。私たちは、連邦政府機関がサイバーセキュリティ・イベントのログを記録するための要件を完全に実施することなどを勧告した。
Highlights	ハイライト
What GAO Found	GAOの発見事項
Federal agencies rely upon the following for cybersecurity incident response:	連邦政府機関は、サイバーセキュリティのインシデント対応において以下のものに依存している：
・tools, such as endpoint detection and response solutions;	・エンドポイント検知・対応ソリューションなどのツール
・services, such as threat hunting or cyber threat intelligence provided by the Cybersecurity and Infrastructure Security Agency (CISA) and third party firms; and	・サイバーセキュリティ・インフラセキュリティ庁（CISA）やサードパーティ企業が提供する脅威調査やサイバー脅威インテリジェンスなどのサービス。
・resources, such as skilled staff and funding.	・熟練したスタッフや資金などのリソース
The 23 civilian Chief Financial Officers (CFO) Act of 1990 agencies have made progress in cybersecurity incident response preparedness by taking steps to standardize their incident response plans and demonstrating improvement in their capabilities for incident detection, analysis, and handling (see table).	1990 年最高財務責任者（CFO）法（Civilian Chief Financial Officer Act of 1990）に基づく 23 の文民機関は、インシデント対応計画を標準化するための措置を講じ、インシデントの検出、分析、ハンドリングに関する能力の改善を示すことで、サイバーセキュリティ・インシデント対応態勢の整備を進めてきた（表参照）。
Executive Order 14028 Cybersecurity Incident Response Requirements and Status of Completion, as of August 2023	大統領令 14028 サイバーセキュリティ・インシデント対応の要件と 2023 年 8 月現在の完了状況
Requirement / Status	要件 / 状況
Requirement: Agencies are to use the Cybersecurity and Infrastructure Security Agency playbook (issued in November 2021) for planning and conducting cybersecurity vulnerability and incident response activities for agency information systems	要件：各省庁は、各省庁の情報システムに対するサイバーセキュリティの脆弱性とインシデント対応活動を計画・実施するために、サイバーセキュリティ・インフラセキュリティ庁のプレイブック（2021年11月発行）を使用すること。
Status: Agencies have incorporated or are incorporating the playbook into their plans, and all 23 agencies substantially completed the preparation phase activities.	状況：各機関はプレイブックを計画に組み込んでいるか、組み込んでおり、全23機関が準備段階の活動を実質的に完了した。
Requirement: Agencies are to deploy an endpoint detection and response initiative and work toward ensuring coverage on 80 percent of endpoints	要件：各機関は、エンドポイント検知・対応イニシアチブを展開し、エンドポイントの 80％を確実にカバーするよう取り組むこと。
Status: All 23 agencies have begun to deploy an endpoint detection and response solution, and 16 agencies have reported 80 percent or greater coverage.	状況： 全 23 省庁がエンドポイント検知・対応ソリューションの配備を開始し、16 省庁が 80％以上のカバー率を報告している。
Requirement: Agencies are to assess their event logging maturity against the maturity model in the Office of Management and Budget's M-21-31 memorandum, identify gaps associated with completing each of the requirements, and work toward reaching event logging tier 3 by August 2023	要件：各省庁は、行政管理予算局の M-21-31 覚書の成熟度モデルに照らしてイベントロギングの成熟度を評価し、各要件の完了に関連するギャップを特定し、2023 年 8 月までにイベントロギング Tier 3 に到達するよう取り組むこと。
Status: Twenty agencies did not reach the maturity level tier 3 by the deadline.	状況：20の機関は、期限までに成熟度レベルTier 3に到達しなかった。
Source: GAO analysis of agency cybersecurity incident response information. | GAO-24-105658	出典：GAOによる各機関のサイバーセキュリティ・インシデント対応情報の分析 | GAO-24-105658
However, 20 agencies have not met requirements for investigation and remediation (event logging) capabilities. The Office of Management and Budget (OMB) required agencies to reach the advanced (tier 3) level by August 2023. The tier 3 level means that logging requirements at all criticality levels are met. However, as of August 2023, three of the 23 agencies were at tier 3. Of the remaining 20, three were at the basic (tier 1) level and 17 were at the not effective (tier 0) level. Until the agencies implement all event logging requirements, the federal government's ability to fully detect, investigate, and remediate cyber threats will be constrained.	しかし、20の機関が調査と修復（イベント・ロギング）能力の要件を満たしていない。行政管理予算局（OMB）は、2023年8月までに上級（Tier3）レベルに到達することを各省庁に要求した。Tier3レベルとは、すべての重要度レベルのロギング要件が満たされていることを意味する。しかし、2023年8月の時点で、23機関中3機関がTier3に達していた。残りの20のうち、3つは基本（Tier1）レベルであり、17は有効ではない（Tier0）レベルであった。各省庁がすべてのイベントロギング要件を実施するまで、連邦政府がサイバー脅威を完全に検知、調査、修復する能力は制約を受けるだろう。
Agencies described three key challenges that hindered their abilities to fully prepare to respond to cybersecurity incidents: (1) lack of staff, (2) event logging technical challenges, and (3) limitations in cyber threat information sharing. Federal entities have ongoing efforts that can assist in addressing these challenges. These efforts include onsite cyber incident response assistance from CISA, event logging workshops and guidance, and enhancements to a cyber threat information sharing platform. In addition, there are long-term efforts planned such as implementation of the National Workforce and Education Strategy and a new threat intelligence platform offering from CISA, targeted to roll out its first phase to federal departments and agencies in fiscal year 2024.	各省庁は、サイバーセキュリティインシデントに対応するための準備を十分に行う能力を妨げる 3 つの主要な課題について説明した： (1) 人員不足、(2) イベント・ロギングの技術的課題、(3) サイバー脅威情報共有の制限である。連邦事業体には、これらの課題への対応を支援する継続的な取り組みがある。これらの取り組みには、CISAによるサイバーインシデント対応のオンサイト支援、イベントロギングのワークショップとガイダンス、サイバー脅威情報共有プラットフォームの強化などが含まれる。さらに、国家人材・教育戦略の実施や、CISAが提供する新しい脅威インテリジェンス・プラットフォームなど、長期的な取り組みも計画されており、2024会計年度に連邦省庁に第一段階を展開する予定である。
Why GAO Did This Study	GAOがこの調査を行った理由
Cyber-based attacks on federal systems have become more damaging and disruptive. The Federal Information Security Modernization Act of 2014 (FISMA) requires that agency information security programs include procedures for detecting, reporting, and responding to security incidents. Executive Order (EO) 14028 builds on FISMA and establishes priorities for the federal executive branch to improve efforts to protect against and respond to persistent and malicious cyber campaigns. The EO and OMB and CISA guidance require agencies to address these priorities.	連邦政府システムに対するサイバーベースの攻撃は、より大きな被害と破壊力を持つようになっている。2014年連邦情報セキュリティ近代化法（FISMA）は、各省庁の情報セキュリティ・プログラムにセキュリティ・インシデントの検知、報告、対応の手順を含めることを求めている。大統領令（EO）14028は、FISMAを基礎とし、連邦行政府が永続的で悪質なサイバーキャンペーンに対する防御と対応の取り組みを改善するための優先事項を定めている。EOとOMBおよびCISAガイダンスは、各省庁がこれらの優先事項に取り組むことを求めている。
GAO's objectives were to (1) describe the capabilities agencies use to prepare for and respond to cybersecurity incidents, (2) evaluate the extent to which agencies have made progress in preparing for cybersecurity incident response, and (3) describe the challenges agencies face in preparing for incident response and the efforts to address them.	GAOの対応は、(1)各省庁がサイバーセキュリティインシデントに備え、対応するために使用している機能を説明すること、(2)各省庁がサイバーセキュリティインシデント対応の準備においてどの程度進捗しているかを評価すること、(3)各省庁がインシデント対応の準備において直面している課題とそれに対する取り組みを説明すること、であった。
GAO interviewed officials and reviewed documentation from the 24 CFO Act agencies, CISA, and OMB on their capabilities, progress, and challenges in cybersecurity incident response. GAO analyzed questionnaire responses to evaluate agencies' progress in incident response preparation. The Department of Defense was excluded from some analysis because it was not subject to all requirements.	GAO は、サイバーセキュリティインシデント対応における各機関の能力、進捗状況、課題について、CFO 法の 24 機関、CISA、OMB の担当者にインタビューを行い、文書を検討した。GAOは、インシデント対応準備における各省庁の進捗状況を評価するため、アンケート回答を分析した。国防総省はすべての要件の対象ではなかったため、一部の分析から除外した。
Recommendations	勧告
GAO is making 20 recommendations to 19 agencies to, among other things, fully implement event logging requirements. Sixteen agencies agreed with the recommendations and three neither agreed nor disagreed.	GAOは19の機関に対し、特にイベントロギング要件を完全に実施するよう20の勧告を行っている。16の機関は勧告に同意し、3つの機関は同意も反対もしていない。
Recommendations for Executive Action	行政措置に関する勧告
Agency Affected / Recommendation	影響を受ける機関／勧告
1. Cybersecurity and Infrastructure Security Agency	1. サイバーセキュリティ・インフラセキュリティ庁
The Director of CISA should ensure that when the agency updates the Federal Government Cybersecurity Incident & Vulnerability Response Playbooks that it provides additional detail to federal agencies on COOP planning and includes the requirement to provide both primary and secondary points of contact to CISA.	CISA のディレクターは、同庁が「連邦政府サイバーセキュリティ・インシデント＆脆弱性対応プレイ ブック」を更新する際に、COOP 対応計画について連邦政府機関にさらなる詳細を提供し、CISA に第一および第二の連絡窓口を提供する要件を含めるようにすべきである。
2. Department of Commerce	2. 商務省
The Secretary of Commerce should ensure that the agency fully implements all event logging requirements as directed by OMB guidance.	商務長官は、OMB のガイダンスが指示するとおり、同省がすべてのイベントロギング要件を完全 に実施することを確保すべきである。
3. Department of Education	3. 教育省
The Secretary of Education should ensure that the agency fully implements all event logging requirements as directed by OMB guidance.	教育省長官は、同省がOMBの指針の指示に従い、すべてのイベントロギング要件を完全に実施することを確保すべきである。
4. Department of Energy	4. エネルギー省
The Secretary of Energy should ensure that the agency fully implements all event logging requirements as directed by OMB guidance.	エネルギー省長官は、同省がOMBガイダンスの指示に従い、すべてのイベントロギング要件を完全に実施することを確保すべきである。
5. Department of Health and Human Services	5. 保健福祉省
The Secretary of Health and Human Services should ensure that the agency fully implements all event logging requirements as directed by OMB guidance.	保健福祉省長官は、同省がOMBの指針の指示に従い、すべてのイベントロギング要件を完全に実施することを確保すべきである。
6. Department of Homeland Security	6. 国土安全保障省
The Secretary of Homeland Security should ensure that the agency fully implements all event logging requirements as directed by OMB guidance.	国土安全保障省長官は、同省が OMB の指針の指示に従い、すべてのイベントロギング要件を完 全に実施することを確保すべきである。
7. Department of Housing and Urban Development	7. 住宅都市開発省
The Secretary of Housing and Urban Development should ensure that the agency fully implements all event logging requirements as directed by OMB guidance.	住宅都市開発省長官は、同省がOMBの指針の指示に従い、すべてのイベントロギング要件を完全に実施することを確保すべきである。
8. Department of the Interior	8. 内務省
The Secretary of the Interior should ensure that the agency fully implements all event logging requirements as directed by OMB guidance.	内務省長官は、OMBの指針の指示に従い、同省がすべてのイベントロギング要件を完全に実施することを確保すべきである。
9. Department of Justice	9. 司法省
The Attorney General should ensure that the agency fully implements all event logging requirements as directed by OMB guidance.	司法長官は、同省がOMBのガイダンスにより指示されたすべてのイベントロギング要件を完全に実施することを確保すべきである。
10. Department of Labor	10. 労働省
The Secretary of Labor should ensure that the agency fully implements all event logging requirements as directed by OMB guidance.	労働省長官は、同省が OMB ガイダンスの指示に従い、すべてのイベントロギング要件を完全に実施す ることを確保すべきである。
11. Department of State	11. 国務省
The Secretary of State should ensure that the agency fully implements all event logging requirements as directed by OMB guidance.	国務省は、OMB の指針に従って、すべてのイベント・ロギング要件を完全に実施するよう確保す べきである。
12. Department of Transportation	12. 運輸省
The Secretary of Transportation should ensure that the agency fully implements all event logging requirements as directed by OMB guidance.	運輸省長官は、同省が OMB の指針の指示に従い、すべてのイベントロギング要件を完全に実施す ることを確保すべきである。
13. Department of the Treasury	13. 財務省
The Secretary of the Treasury should ensure that the agency fully implements all event logging requirements as directed by OMB guidance.	財務省長官は、同省がOMBの指針の指示に従い、すべてのイベントロギング要件を完全に実施することを確保すべきである。
14. Department of Veterans Affairs	14. 退役軍人省
The Secretary of Veterans Affairs should ensure that the agency fully implements all event logging requirements as directed by OMB guidance.	退役軍人省長官は、同省が OMB ガイダンスの指示に従い、すべてのイベントロギング要件を完 全に実施することを確保すべきである。
15. Environmental Protection Agency	15. 環境保護庁
The Administrator of the Environmental Protection Agency should ensure that the agency fully implements all event logging requirements as directed by OMB guidance.	環境保護庁長官は、同庁がOMBの指針の指示に従い、すべてのイベントロギング要件を完全に実施することを確保すべきである。
16. General Services Administration	16. 一般調達庁
The Administrator of the General Services Administration should ensure that the agency fully implements all event logging requirements as directed by OMB guidance.	一般調達庁長官は、同庁が OMB ガイダンスの指示に従い、すべてのイベント・ロギング要件を完 全に実施することを確保すべきである。
17. National Aeronautics and Space Administration	17. 米国航空宇宙局
The Administrator of the National Aeronautics and Space Administration should ensure that the agency fully implements all event logging requirements as directed by OMB guidance.	米国航空宇宙局（NASA）の長官は、同局が OMB のガイダンスの指示に従い、すべてのイベントロギング要件を完全に実施することを確保すべきである。
18. Nuclear Regulatory Commission	18. 原子力規制委員会
The Chairman of the Nuclear Regulatory Commission should ensure that the agency fully implements all event logging requirements as directed by OMB guidance.	原子力規制委員会の委員長は、OMBのガイダンスの指示に従い、同委員会がすべてのイベントロギング要件を完全に実施することを確保すべきである。
19. Office of Personnel Management	19. 人事管理局
The Director of the Office of Personnel Management should ensure that the agency fully implements all event logging requirements as directed by OMB guidance.	人事管理局の局長は、OMBのガイダンスの指示に従い、同局がすべてのイベントロギング要件を完全に実施することを確保すべきである。
20. Social Security Administration	20. 社会保障庁
The Commissioner of the Social Security Administration should ensure that the agency fully implements all event logging requirements as directed OMB guidance.	社会保障庁長官は、同庁が OMB 指針の指示通り、すべてのイベントロギング要件を完全に実施す ることを確保すべきである。

 

・[PDF]  Full Report

・[DOCX] 仮訳

 

 

・[PDF]  Highlights Page