« 欧州委員会、欧州議会がAI法について政治的合意 | Main | 欧州データ保護監督者 テックソナー 2023-2024 (新技術の予測に関するレポート)(2023.12.04) »

2023.12.11

米国 国防総省 内部監察官室 請負業者ネットワーク上の国防総省管理対象非機密情報保護に関するサイバーセキュリティの共通の不備 (2023.12.04)

こんにちは、丸山満彦です。

米国国防総省の内部監察官室が、過去5年間に公表した委託先(つまりサプライチェーン)の管理対象非機密情報保護 (CUI) のセキュリティ対策上の共通の不備についてまとめた、特別報告書 (DODIG-2024-031) を公表していますね。。。

評価はもちろん、SP800-171を規準におこなわれていますね。。。

日本の防衛省・自衛隊では、調達部門が調達時に実施する(1線)、大臣官房・装備庁長官官房の監査官が定期的に確認する(2線)という感じになるんですかね。。。大臣・長官に直結した内部監査部門(3線)がないので、そうなるんでしょうね。。。

 

Department of Defense Office of Inspector General:DoD OIG

・2023.12.04 Press Release: Special Report: Common Cybersecurity Weaknesses Related to the Protection of DoD Controlled Unclassified Information on Contractor Networks (DODIG-2024-031)

Press Release: Special Report: Common Cybersecurity Weaknesses Related to the Protection of DoD Controlled Unclassified Information on Contractor Networks (DODIG-2024-031) プレスリリース 特別報告書 請負業者ネットワーク上の国防総省管理対象非機密情報保護に関するサイバーセキュリティの共通の不備 (DODIG-2024-031)
Inspector General Robert P. Storch announced today that the Department of Defense Office of Inspector General released the “Special Report: Common Cybersecurity Weaknesses Related to the Protection of DoD Controlled Unclassified Information on Contractor Networks.” ロバート・P・ストーチ監察官は本日、国防総省監察官室が「特別報告書」を公表したと発表した: 請負業者ネットワーク上の国防総省管理対象非機密情報保護に関するサイバーセキュリティの共通の不備 "を発表した。
The report outlines 24 open recommendations from previous DoD OIG audit reports aimed at addressing cybersecurity vulnerabilities among DoD contractors, including common weaknesses in the cybersecurity protocols of DoD contractors who process, store, and transmit controlled unclassified information (CUI). One of the most prevalent weaknesses identified in this report was the failure of DoD contractors to enforce multifactor authentication and lack of strong passwords. この報告書は、管理対象非機密情報(CUI)を処理、保管、送信する国防総省の請負業者のサイバーセキュリティ・プロトコルに共通する不備を含め、国防総省の請負業者間のサイバーセキュリティの脆弱性に対処することを目的とした、国防総省の過去のOIG監査報告書からの24の未解決の勧告の概要を示している。本報告書で特定された最も一般的な不備の 1 つは、国防総省の請負業者が多要素認証を実施しておらず、強力なパスワードを使用していないことである。
This report summarizes a series of DoD OIG audit projects focused on cybersecurity challenges facing DoD contractors. From 2018 through 2023, the DoD OIG issued five audits that consistently found DoD contracting officials failed to establish processes to verify that contractors complied with selected Federal cybersecurity requirements for CUI, as required by the National Institute of Standards and Technology (NIST). Additionally, since 2022, the DoD OIG has participated in five investigations under the Department of Justice-led Civil Cyber Fraud Initiative, which targets Government contractors and grant recipients suspected of fraudulently attesting their compliance with the NIST cybersecurity requirements. 本報告書は、国防総省の請負業者が直面するサイバーセキュリティの課題に焦点を当てた一連の国防総省OIG監査プロジェクトをまとめたものである。2018年から2023年にかけて、国防総省OIGは5件の監査を実施し、国防総省の契約担当機構が、国立標準技術研究所(NIST)が要求するCUIに関する特定の連邦サイバーセキュリティ要件を契約業者が順守しているかどうかを検証するプロセスを確立していないことを一貫して明らかにした。さらに2022年以降、DoD OIGは司法省主導の民事サイバー詐欺イニシアチブの下、5件の調査に参加している。このイニシアチブは、NISTサイバーセキュリティ要件への準拠を不正に証明した疑いのある政府請負業者や補助金取得者を対象としている。
“Protecting sensitive government information in cyberspace is crucial,” said IG Storch. “For that reason, strengthening the DoD’s cybersecurity capabilities has been among our Top DoD Management and Performance Challenges for more than a decade, and it will continue to be one of our top oversight priorities.” 「サイバー空間における政府の機密情報の防御は極めて重要である。「そのため、国防総省のサイバーセキュリティ能力を強化することは、10年以上にわたって国防総省の管理・業績上の最重要課題の1つであり、今後も最優先の監督課題の1つである。
About Controlled Unclassified Information: 管理対象非機密情報について:
CUI refers to non-classified information generated or possessed by the Government, necessitating protective measures or dissemination controls in accordance with applicable laws, regulations, and Government-wide policies as defined in Executive Order 13526, “Classified National Security Information,” December 29, 2009. CUI とは、2009 年 12 月 29 日の大統領令 13526「国家安全保障機密情報」に定義されているように、適用法、規制、および政府全体の方針に従って保護措置や普及管理を必要とする、政府によって生成または保有される非機密情報を指す。



・2023.12.04 Special Report: Common Cybersecurity Weaknesses Related to the Protection of DoD Controlled Unclassified Information on Contractor Networks (DODIG-2024-031)

・[PDF

20231210-171420

 

関係する過去の5つの内部監査報告書

2023.06.01 DODIG-2023-078 [PDF] Audit of the DoD’s Implementation and Oversight of the Controlled Unclassified Information Program 国防総省の管理対象非機密情報プログラムの実施と監督に関する監査 Press
2022.02.22 DODIG-2022-061 [PDF] Audit of the Protection of Military Research Information and Technologies Developed by Department of Defense Academic and Research Contractors 国防総省の学術・研究請負業者によって開発された軍事研究情報および技術の防御に関する監査 Press
2020.06.29 DODIG-2020-098 [PDF] Audit of Governance and Protection of Department of Defense Artificial Intelligence Data and Technology 国防総省の人工知能データと技術のガバナンスと保護の監査 Press
2019.07.23 DODIG-2019-105 [PDF] Audit of Protection of DoD Controlled Unclassified Information on Contractor-Owned Networks and Systems 請負業者が所有するネットワークとシステムにおける国防総省の管理対象非機密情報の防御に関する監査 Press
2018.03.29 DODIG-2018-094 [PDF] Logical and Physical Access Controls at Missile Defense Agency Contractor Locations ミサイル防衛庁の請負業者拠点における論理的・物理的アクセス管理 Press

 

 

調査した委託先の数と不備の数

      調査委託先数 サイバーセキュリティ関連の不備
2023.06.01 DODIG-2023-078 国防総省の管理対象非機密情報プログラムの実施と監督に関する監査、 3 1
2022.02.22 DODIG-2022-061 国防総省の学術・研究請負業者によって開発された軍事研究情報および技術の防御に関する監査、 10 18
2020.06.29 DODIG-2020-098 国防総省の人工知能データと技術のガバナンスと防御の監査、 2 14
2019.07.23 DODIG-2019-105 請負業者が所有するネットワークとシステムにおける国防総省の管理対象非機密情報の防御に関する監査、 10 80
2018.03.29 DODIG-2018-094 ミサイル防衛庁の請負業者拠点における論理的・物理的アクセス管理、 7 3
合計     32 116

本文には調査委託先数は29となっています。

 

不備の項目

Systemic Cybersecurity Weakness and Associated NIST SP 800-171 Security Requirement Category システム的なサイバーセキュリティの脆弱性と関連する NIST SP 800-171 セキュリティ要件のカテゴリー Audit Report
DODlG-2023-078 DODlG-2022-061 DODlG-2020-098 DODlG-2019-105 DODlG-2018-094
Networks and systems not configured to lock after a period of inactivity or unsuccessful log on attempts
(Access Control)
ネットワークやシステムが、一定期間操作がなかったり、ログオンに失敗した後にロックされるように設定されていない
(アクセス制御)
    x x x
System activity and user activity reports not generated and reviewed
(Audit and Accountability)
システム・アクティビティおよびユーザ・アクティビティ・レポートが作成され、レビューされていない
(監査と説明責任)
    x x x
Multifactor authentication or strong passwords not enforced
(Identification and Authentication)
多要素認証または強力なパスワードが強制されていない
(本人認証と認証)
  x x x x
User accounts not disabled after extended periods of inactivity
(Identification and Authentication)
長期間操作されないとユーザアカウントが無効化されない
(本人認証と認証)
  x      
Physical security controls not used to detect unauthorized access
(Physical Protection)
不正アクセスの検知に物理的なセキュリティ管理が使用されていない(
物理的防御)
  x x x  
CUI not protected on removable media
(Media Protection)
リムーバブルメディア上の CUI が保護されていない
(メディアの保護)
x x   x x
Network and system vulnerabilities not identified or mitigated in a timely manner
(Risk Assessment)
ネットワーク及びシステムの脆弱性が適時に 識別又は軽減されていない
(リスクアセスメント)。
  x x x x
Networks and systems not scanned for viruses and malicious code
(Risk Assessment)
ネットワークやシステムのウイルスや悪質コードのスキャンが行われていない
(リスクアセスメント)
  x x    

 

 

機密情報に関する大統領令(オバマ大統領時代...)

ながいながい大統領令ですが。。。日本のクリアランス制度を作る際には参考になりますかね。。。

U.S. National Archive

・2009.12.29 The President Executive Order 13526: Classified National Security Information

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

DODlG-2020-098関係...

・2020.07.05 米国 国防省の内部監査部門が「AIのプロジェクトのガバナンスとセキュリティをしっかりせい」とおっしゃっているようです。。。

 

 

|

« 欧州委員会、欧州議会がAI法について政治的合意 | Main | 欧州データ保護監督者 テックソナー 2023-2024 (新技術の予測に関するレポート)(2023.12.04) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 欧州委員会、欧州議会がAI法について政治的合意 | Main | 欧州データ保護監督者 テックソナー 2023-2024 (新技術の予測に関するレポート)(2023.12.04) »