米国 GAO 行政管理予算局(OMB)は情報セキュリティのパフォーマンス指標を改善すべきである (2024.01.09)
こんにちは、丸山満彦です。
GAOが、行政管理予算局(OMB)は情報セキュリティのパフォーマンス指標を改善すべきであると報告していますね...
CFO法に該当する23行政機関のうち15の行政機関の内部監査部門である監察官(IG)が、情報セキュリティ・プログラムが効果的でないと報告しているようですね。。。それでも、昨年度の18行政機関から3つ減っているということですね。。。
米国の場合は、一定規模の行政機関にはCFOを設置することが義務付けられています。また、各行政機関には、内部監査部門に相当するInspector General 監察官室が設置されることになっていて、内部監査が行われています。OMB的な行政機関を設置すべきかどうか?というのは、いろいろと議論があるところだとは思いますが、内部監査部門であるとか、日本の行政機関も見習うところがあるとは思います。
そんな話は、立法の話なので、政治家がしないといけないのですが、日本の政治家では難しいですかね...
● U.S. Government Accountability Office
・2024.01.09 Cybersecurity:OMB Should Improve Information Security Performance Metrics
| Cybersecurity:OMB Should Improve Information Security Performance Metrics | サイバーセキュリティ:OMBは情報セキュリティのパフォーマンス指標を改善すべきである。 |
| GAO-24-106291 | GAO-24-106291 |
| Fast Facts | 概要 |
| We reviewed how 23 civilian federal agencies implemented the Federal Information Security Modernization Act of 2014. Their implementation continued to be mostly ineffective. For example, inspectors general found that only 8 of 23 agencies had effective security programs in FY 2022. | 我々は、23の連邦行政機関が2014年の連邦情報セキュリティ近代化法をどのように実施したかをレビューした。その実施方法は、ほとんど効果がないままであった。例えば、監察官は、2022年度には23機関中8機関しか効果的なセキュリティ・プログラムを持っていないことを明らかにした。 |
| Agency officials identified practices—such as commitment from leadership—that could make the security programs more effective. | 各行政機関の担当者は、セキュリティ・プログラムをより効果的なものにするために、指導者のコミットメントなどの実践方法を特定した。 |
| Agencies and IGs also suggested FISMA metrics need to be tied to performance goals, account for workforce issues, and include risk. Our 2 recommendations address this issue. | また、FISMA の指標は、パフォーマンス目標と連動させ、労働力の問題を考慮し、リスクを含める必要があるとの指摘もあった。我々の2つの勧告は、この問題に対処するものである。 |
| Ensuring the cybersecurity of the nation is on our High Risk List. | 国家のサイバーセキュリティの確保は、我々のハイリスク・リストに含まれている。 |
| Highlights | ハイライト |
| What GAO Found | GAOの発見事項 |
| Federal agencies' implementation of the Federal Information Security Modernization Act of 2014 (FISMA) continued to be mostly ineffective. Although some improvement was reported from 2021 to 2022, inspectors general (IG) of 15 of the 23 civilian agencies found the information security programs to be ineffective (see figure). IGs reported various causes for the ineffective programs, including management accountability issues and gaps in standards and quality control. Addressing the causes could improve the federal government's cybersecurity posture. | 連邦政府機関による2014年連邦情報セキュリティ近代化法(FISMA)の実施は、ほとんど効果がないままであった。2021年から2022年にかけて若干の改善が報告されたものの、23の行政機関のうち15の監察官(IG)は、情報セキュリティ・プログラムが効果的でないとした(図参照)。IGは、管理説明責任の問題、標準と品質管理のギャップなど、実効性のないプログラムの様々な原因を報告している。これらの原因を改善することで、連邦政府のサイバーセキュリティ態勢を改善できる可能性がある。 |
| 23 Chief Financial Officers Act of 1990 Agencies That Do or Do Not Have Effective Information Security Programs, as Reported by Inspectors General, Fiscal Years 2017 through 2022. | 最高財務責任者法(1990 年)に基づき、23の各監察官から報告された、効果的な情報セキュリテ ィ・プログラムを実施している、または実施していない政府機関 (2017~2022 会計年度) |
 |
|
| Agency officials identified various practices that have contributed to improving the effectiveness of their agency's information security program. Specifically, officials most often highlighted internal communication; organizational characteristics, such as leadership commitment; and centralized policies and procedures as being essential to effectively implement FISMA. | 各行政機関の担当者は、各行政機関の情報セキュリティ・プログラムの有効性を改善するのに貢献した様々な慣行を特定した。具体的には、FISMAを効果的に実施するために不可欠なものとして、内部コミュニケーション、指導者のコミットメントなどの組織特性、方針と手順の一元化を挙げる職員が最も多かった。 |
| The Office of Management and Budget (OMB), in collaboration with other oversight groups, provides metrics to evaluate the effectiveness of federal information security programs and implementation of FISMA. However, agencies and IGs stated that some FISMA metrics are not useful because they do not always accurately evaluate information security programs. Agencies and IGs reported that metrics should be clearly tied to performance goals, account for workforce issues and agency size, and incorporate risk. Further, crafting metrics that address the key causes of ineffective programs could enhance their effectiveness. By modifying FISMA metrics in these ways, OMB could help ensure that the measures provide an accurate picture of agencies' information security performance. | 行政管理予算局(OMB)は、他の監視グループと協力して、連邦政府の情報セキュリティプログラムとFISMAの実施の有効性を評価するための指標を提供している。しかし、FISMAの評価基準の中には、情報セキュリティ・プログラムを必ずしも正確に評価できないものがあり、有用でないと各行政機関とIGは述べている。各機関と IG は、測定基準はパフォーマンス目標と明確に関連付け、労働力の問題や機関の規模を考慮し、リスクを組み入れるべきであると報告した。さらに、効果のないプログラムの主な原因に対処する評価基準を作成することで、その有効性を高めることができる。このような方法で FISMA の評価基準を修正することで、OMB は、評価基準が各機関の情報セキュリ ティ・パフォーマンスを正確に把握できるようにすることができる。 |
| Why GAO Did This Study | GAOがこの調査を行った理由 |
| To protect federal information and systems, FISMA requires federal agencies to develop, document, and implement information security programs. FISMA includes a provision for GAO to periodically report on agencies' implementation of the act. | 連邦政府の情報とシステムを保護するため、FISMAは連邦政府機関に情報セキュリティ・プログラムの策定、文書化、実施を義務付けている。FISMAには、GAOが各行政機関の同法の実施状況を定期的に報告する規定が含まれている。 |
| GAO's objectives in this report were to identify (1) the reported effectiveness of agencies' efforts to implement FISMA; (2) the key practices used by agencies to meet FISMA requirements; and (3) how FISMA metrics could be changed to better measure the effectiveness of federal agency information security programs. | 本報告書におけるGAOの目的は、(1)FISMAを実施するための各行政機関の努力の報告された有効性、(2)FISMAの要件を満たすために各行政機関が使用している主要な慣行、および(3)連邦政府機関の情報セキュリティ・プログラムの有効性をよりよく測定するためにFISMAの測定基準をどのように変更できるかを特定することであった。 |
| To do so, GAO reviewed the 23 civilian Chief Financial Officers Act of 1990 (CFO Act) agencies' FISMA reports, agency reported performance data, and OMB documentation and guidance. The Department of Defense (DOD) was not included in GAO's analysis of performance data due to DOD's classification of the information. GAO also solicited perspectives from the 24 CFO Act agencies (including DOD) and interviewed officials with the Council of Inspectors General on Integrity and Efficiency, the Cybersecurity and Infrastructure Security Agency, and OMB. | そのために GAO は、1990 年最高財務責任者法(CFO 法)の 23 行政機関の FISMA 報告書、各行政機関が報告したパフォーマンス・データ、および OMB の文書とガイダンスをレビューした。国防総省(DOD)は、DODの情報分類のため、GAOのパフォーマンスデータの分析には含まれていない。GAOはまた、24のCFO法機関(DODを含む)から見解を求め、誠実性と効率性に関する監察官評議会、サイバーセキュリティ・インフラセキュリティ庁、およびOMBの関係者にインタビューを行った。 |
| Recommendations | 勧告 |
| GAO is making two recommendations for OMB to collaborate with its partners to enhance FISMA metrics that can lead to more effective programs and performance. OMB neither agreed nor disagreed with the recommendations and provided technical comments that were incorporated as appropriate. | GAOはOMBに対し、より効果的なプログラムとパフォーマンスにつながるFISMAの指標を強化するため、パートナーと協力するよう2つの勧告を行っている。OMBは勧告に同意も不同意もせず、技術的なコメントを提供し、それは適切に取り入れられた。 |
| Recommendations for Executive Action | 行政措置に関する勧告 |
| Agency Affected/Recommendation | 影響を受ける行政機関/勧告 |
| Office of Management and Budget | 行政管理予算局 |
| The Director of OMB, along with its collaborative partners in DHS, should develop FISMA metrics related to causes of ineffective information security programs identified by IGs, such as management accountability and gaps in standards and quality control. (Recommendation 1) | OMB長官は、DHSの協力パートナーとともに、管理責任や標準と品質管理のギャップな ど、IGが識別した情報セキュリティ対策が効果的でない原因に関するFISMA指標を策定す べきである。(勧告 1) |
| Office of Management and Budget | 行政管理予算局 |
| The Director of OMB, along with its collaborative partners in DHS and CIGIE, should improve the CIO and IG FISMA metrics to clearly link them to performance goals, address workforce challenges, consider agency size, and adequately address risk. (Recommendation 2) | OMB長官は、DHSおよびCIGIEにおける協力パートナーとともに、CIOおよびIGのFISMA指標を改善し、業績目標に明確にリンクさせ、労働力の課題に対処し、機関の規模を考慮し、リスクに適切に対処する。(勧告2) |
・[PDF] FUll Report
ちなみにハイリスクリスト...
● まるちゃんの情報セキュリティ気まぐれ日記
ハイリスクシリーズ...
・2023.05.05 米国 GAO 高リスクシリーズ 2023 すべての分野に完全に対応するためには、進捗を達成するための努力の維持と拡大が必要である (2023.04.20)
・2021.03.25 U.S. GAO High-Riskシリーズ:連邦政府は主要なサイバーセキュリティの課題に対処するための重要な行動を早急に実施する必要がある
2022年度の同じ調査...
・2022.01.13 米国 GAO ざっとみたところ、各省庁のFISMA要件の実施は各省庁でばらつきがあるようだ...
その他のGAOのセキュリティ関係
・2024.02.08 米国 GAO 連邦認証プログラム(FedRAMP)の利用は増加しているが改善が必要なこともある (2024.01.18)
・2024.02.07 米国 GAO 経済制裁を確実にするためのデジタル資産の取り締まり...
・2023.12.27 米国 GAO 医療機器のサイバーセキュリティ:効果的な連携を確保するために各省庁は協定を更新する必要がある (2023.12.21)
・2023.12.08 米国 GAO サイバーセキュリティ:連邦政府機関は前進したが、インシデント対応要件を完全に実施する必要がある (20の勧告)
・2023.11.01 米国 GAO サイバーセキュリティ・プログラム監査ガイド (2023.09.28)
・2023.07.27 米国 GAO 連邦情報システム統制監査マニュアル(FISCAM)2023年公開草案
・2023.07.02 米国 GAO サイバーセキュリティ:国家サイバーセキュリティ戦略の立ち上げと実施
・2023.05.30 米国 GAO クラウドセキュリティ: 選択された省庁は主要なプラクティスを完全に実装する必要がある (2023.05.18)
・2023.02.10 米国 GAO サイバーセキュリティ高リスクシリーズ
・2023.01.02 米国 GAO 情報技術・サイバーセキュリティ:スコアカードの進化は各機関の進捗を監視する上で引き続き重要 (2022.12.15)
・2022.12.31 米国 GAO 軍サイバー人材:兵役義務ガイダンスとデータ追跡を改善する機会の存在 (2022.12.21)
・2022.10.22 米国 GAO 重要インフラの防御:K-12サイバーセキュリティを強化するためには、連邦政府のさらなる調整が必要である。
・2022.01.17 米国 GAO サイバーセキュリティ:SolarWindsおよびMicrosoft Exchangeのインシデントに対する連邦政府の対応
・2022.01.13 米国 GAO ざっとみたところ、各省庁のFISMA要件の実施は各省庁でばらつきがあるようだ...
・2022.10.09 米国 GAO ランサムウェア:連邦政府機関は有用な支援を提供しているが、協力体制を改善することができる
・2022.09.27 米国 GAO 遠隔医療:監視を強化し、プロバイダーがプライバシーとセキュリティのリスクについて患者を教育するために必要な行動
・2022.09.26 米国 GAO 核兵器のサイバーセキュリティ:NNSAはサイバーセキュリティの基礎的なリスクマネジメントを完全に実施すべき
・2022.09.26 米国 GAO 情報環境:DODの国家安全保障ミッションに対する機会および脅威 (2022.09.21)
・2022.08.02 米国 GAO 情報技術とサイバーセキュリティ:省庁の法定要件の実施を監視するためのスコアカードの使用
・2022.06.25 米国 GAO 来年度 (FY23) の予算要求額は8億1,030万ドル(約1兆700億円)サイバーセキュリティも強化項目
・2022.02.11 米国 GAO 重要インフラ保護:各省庁はサイバーセキュリティガイダンスの採用を評価する必要がある
・2022.02.10 米国 GAOブログ ハッキング事件を機に米国議会と連邦政府機関が今後のサイバーセキュリティリスクを軽減するための取り組みを強化
・2022.01.17 米国 GAO サイバーセキュリティ:SolarWindsおよびMicrosoft Exchangeのインシデントに対する連邦政府の対応
・2022.01.13 米国 GAO ざっとみたところ、各省庁のFISMA要件の実施は各省庁でばらつきがあるようだ...
・2021.12.11 米国 GAO 国防省の委託事業者のサイバーセキュリティについての認証フレームワークの改善
・2021.12.07 米国 GAO サイバーセキュリティ:国の重要インフラをより良く保護するための連邦政府の行動が緊急に求められている
・2021.05.25 米国GAO サイバー保険の加入率も保険料率も上昇?
・2021.05.21 U.S. GAO (blog) コロニアルパイプラインへのサイバー攻撃は、連邦政府および民間部門のサイバーセキュリティへの備えの必要性を認識させた
・2021.04.17 U.S. GAO 連邦政府は、ITおよびサイバー関連に年間1,000億ドル(11兆円)以上の投資をしているが、多くは失敗またはパフォーマンスが低く、管理が不十分で、セキュリティ上の弱点がある。
・2021.03.26 U.S. GAO 電力網サイバーセキュリティ:エネルギー省は彼らの計画が配電システムのリスクに完全に対応していることを確認する必要がある at 2021.03.18
・2021.03.25 U.S. GAO High-Riskシリーズ:連邦政府は主要なサイバーセキュリティの課題に対処するための重要な行動を早急に実施する必要がある
・2021.03.16 U.S. GAO 2022年度予算要求「複雑なサイバー・セキュリティの開発をレビューする能力を高める」
・2021.03.16 U.S. GAO CISAに対して組織変革を確実に遂行するために11の勧告をしたようですね。。。(CISAも同意済み)
・2021.03.07 U.S. GAO ハイリスクリスト 2021 (サイバーセキュリティはリスクが高まっているという評価のようです...)
・2020.12.27 U.S. GAO 国防省の15のシステム開発を監査してみて・・・開発手法やセキュリティについてコメント付けてます
・2020.11.21 米国GAOが国防省のJoint Cyber Warfighting Architectureについて相互運用性目標を定義することを推奨していますね。。。
・2020.10.14 米国GAOは連邦航空局がアビオニクスのリスクベースのサイバーセキュリティ監視を強化するための仕組みを入れる必要があると推奨していますね。。。
・2020.09.29 米国GAO が「国家サイバー戦略」の完全実施のためにリーダーシップを明確にするために議会がリーダーを指名するように提案していますね。
・2020.09.24 U.S. GAO サイバー空間安全保証・新興技術局の設立計画の策定に関連する連邦機関を関与させていない
・2020.09.18 米国GAO 財務省は金融セクターのサイバーセキュリティリスク軽減の取り組みについての追跡調査を改善する必要がある
・2020.09.02 米国GAO - FedRAMP-連邦政府機関によるクラウドコンピューティングの安全な利用の確保
・2020.08.19 米国GAO 国土安全保障省と特定の機関は、ネットワーク監視プログラムの実装上の欠点に対処する必要がある
・2020.08.06 US-GAO GAOがOMBにIT管理、サイバーセキュリティの監査結果を伝えていますが結構厳しい・・・
・2020.07.11 US-GAOの報告書 サイバーセキュリティに関する10-Kの開示は一般的な内容が多くあまり参考にならないので追加の開示を希望している by 年金基金代表者
・2020.05.17 GAO 重要インフラ保護:国土安全保障省はリスクが高い化学施設のサイバーセキュリティにもっと注意を払え
・2020.04.15 GAO 国防総省はサイバー衛生を改善する必要があるので7つの推奨事項を作ったよ!という報告書
少し遡って...
さらに遡って...
・2009.07.21 GAO Agencies Continue to Report Progress, but Need to Mitigate Persistent Weaknesses
・2009.05.09 GAO Federal Information System Controls Audit Manual (FISCAM) 表
・2009.05.08 GAO GAO Federal Information System Controls Audit Manual (FISCAM)
・2007.06.14 米国会計検査院 連邦政府機関の情報セキュリティ管理は依然として不十分
・2006.11.30 米国会計検査院 省庁に情報セキュリティに関する定期的な検査のための適切な方針の開発と導入が必要
・2005.07.21 米国会計検査院 国土安全保障省のサイバーセキュリティへの対応は不十分
・2005.07.13 米国会計検査院 国土安全保障省はセキュリティプログラムを実施していない
・2005.06.16 米国会計検査院 米国政府機関はネット上の脅威に対し無防備と警告
・2005.05.31 米国会計検査院 国土安全保障省はサイバーセキュリティに無防備と批判
・2005.04.22 米国の会計検査院は情報セキュリティ監査でがんばっている
« 米国 GAO 連邦認証プログラム(FedRAMP)の利用は増加しているが改善が必要なこともある (2024.01.18) | Main | 米国 GAO サイバー外交:国務省の取り組みは米国の利益を支援し、優先順位を高めることを目指す »
Comments