米国 GAO サイバーセキュリティ:国家サイバー長官は、効果的な戦略を実施するために追加的な行動を取る必要がある (2024.02.01)
こんにちは、丸山満彦です。
GAOが、国家サイバー長官室(ONCD)に対して監査をしていますね。。。国家サイバーセキュリティ戦略と実施計画等を確認したようですね。。。勧告は2つで、成果志向のパフォーマンス指標の開発、リソースと推定コストの算定...という感じですかね。。。
● U.S. Government Accountability Office
| サイバーセキュリティ:国家サイバー長官は、効果的な戦略を実施するために追加的な行動を取る必要がある。 | サイバーセキュリティ:国家サイバー長官は、効果的な戦略を実施するために追加的な行動を取る必要がある。 |
| GAO-24-106916 | GAO-24-106916 |
| Fast Facts | 速報 |
| Cyberattacks threaten federal information systems and the nation's critical infrastructure. The Office of the National Cyber Director leads national cyber policy and strategy. | サイバー攻撃は連邦政府の情報システムと国家の重要インフラを脅かしている。国家サイバー長官室は、国家のサイバー政策と戦略を主導している。 |
| The Office has a plan to implement the White House's National Cybersecurity Strategy. As of January 2024, the strategy and plan provide a good foundation, but the Office still needs to include more details in the plan to ensure that the strategy can be implemented consistently and effectively government-wide. | 同室はホワイトハウスの国家サイバーセキュリティ戦略を実施計画を持っている。2024年1月現在、戦略と計画は良い基盤を提供しているが、戦略を政府全体で一貫して効果的に実施できるようにするため、事務局は計画にさらに詳細を含める必要がある。 |
| Specifically, we recommended that the Office establish performance measures and estimate implementation costs. | 具体的には、パフォーマンス指標を設定し、実施コストを見積もるよう勧告した。 |
| Highlights | ハイライト |
| What GAO Found | GAOが発見したこと |
| The National Cybersecurity Strategy and its implementation plan jointly addressed four of six desirable characteristics identified in prior GAO work and partially addressed the other two (see figure). | 国家サイバーセキュリティ戦略とその実施計画は、GAOの先行研究で特定された6つの望ましい特性のうち4つに共同で対処し、残りの2つには部分的に対処していた(図参照)。 |
| Extent to Which the March 2023 National Cybersecurity Strategy and July 2023 Implementation Plan Addressed GAO's Desirable Characteristics of a National Strategy | 2023年3月の国家サイバーセキュリティ戦略と2023年7月の実施計画がGAOの国家戦略の望ましい特性にどの程度対応しているか |
 |
|
| For the partially addressed characteristics, the documents did not fully describe: | 部分的に対応している特徴については、文書では十分に説明されていなかった: |
| Outcome-oriented performance measures. Office of the National Cyber Director (ONCD) staff said it was not realistic to develop outcome-oriented measures at this point. However, GAO believes it is feasible to develop such measures where applicable. For example, regarding the key initiative of disrupting ransomware attempts, the Department of the Treasury already collects information on the number and dollar value of ransomware-related incidents—for 2021 the reported total dollar value was about $886 million. This demonstrates that developing such measures is feasible and can be used for measuring effectiveness. | 成果志向のパフォーマンス指標:国家サイバー長官室(Office of the National Cyber Director:ONCD)のスタッフは、現時点では成果志向の指標を開発することは現実的ではないと述べた。しかし、GAOは、該当する場合にはそのような指標を開発することは可能であると考えている。例えば、ランサムウェアの試みを中断させるという重要なイニシアチブに関して、財務省はすでにランサムウェア関連のインシデントの件数と金額に関する情報を収集しており、2021年の総額は約8億8600万ドルであったと報告されている。このことは、このような手段を開発することが実現可能であり、効果測定に使用できることを示している。 |
| Resources and estimated costs. While the implementation plan outlined initiatives that require executive visibility and interagency coordination, it did not identify how much it will cost to implement the initiatives. ONCD staff said estimating the cost to implement the entire strategy was unrealistic. However, while certain initiatives may not warrant a specific cost estimate, other activities supporting some of the key initiatives with potentially significant costs justify the development of a cost estimate. Such cost estimates are essential to effectively managing programs. Without such information, uncertainty can emerge about investing in programs. | リソースと推定コスト:実施計画では、行政の可視化と省庁間の調整を必要とする取り組みについて概説しているが、取り組みの実施にどれだけの費用がかかるかについては明らかにしていない。ONCDのスタッフは、戦略全体を実施するためのコストを見積もることは非現実的であると述べた。しかし、ある種のイニシアティブは具体的なコスト見積もりは正当化されないかもしれないが、重要なイニシアティブのいくつかを支える他の活動で、潜在的に大きなコストがかかるものは、コスト見積もりの作成が正当化される。このようなコスト見積もりは、プログラムを効果的に管理するために不可欠である。このような情報がなければ、プログラムへの投資に不確実性が生じる。 |
| Without actions to address these shortcomings, ONCD will likely lack information on plan outcomes and encounter uncertainty on funding of activities. | これらの欠点に対処するアクションがなければ、ONCDは計画の成果に関する情報が不足し、活動の資金調達に不確実性が生じる可能性が高い。 |
| Why GAO Did This Study | GAOがこの調査を行った理由 |
| For over 25 years GAO has identified cybersecurity as a high-risk area. During this period, the threat of cyber-based intrusions and attacks on IT systems by malicious actors has continued to grow. | GAOは25年以上にわたり、サイバーセキュリティを高リスク分野と認識してきた。この間、悪意ある者によるITシステムへのサイバーベースの侵入や攻撃の脅威は増大し続けてきた。 |
| A national strategy to guide the government's cybersecurity activities is needed to address this threat. Recognizing the need for national cybersecurity leadership, Congress established ONCD to support the nation's cybersecurity and lead the development of a national strategy. In March 2023, the White House issued the National Cybersecurity Strategy to outline how the administration will manage the nation's cybersecurity. In July 2023, ONCD issued an implementation plan defining how the strategy will be executed. | この脅威に対処するためには、政府のサイバーセキュリティ活動の指針となる国家戦略が必要である。サイバーセキュリティにおける国家的リーダーシップの必要性を認識した議会は、国家のサイバーセキュリティを支援し、国家戦略の策定を主導するためにONCDを設立した。2023年3月、ホワイトハウスは国家サイバーセキュリティ戦略を発表し、政権がどのように国家のサイバーセキュリティを管理するかを概説した。2023年7月、ONCDは戦略の実行方法を定義する実行計画を発表した。 |
| GAO's objective was to examine the extent to which the National Cybersecurity Strategy and implementation plan addressed desirable characteristics of a national strategy. To do so, GAO assessed relevant documents and other evidence against desirable characteristics of a national strategy. GAO also interviewed ONCD staff. | GAOの目的は、国家サイバーセキュリティ戦略と実施計画が国家戦略の望ましい特性にどの程度対応しているかを調査することであった。そのために、GAOは国家戦略の望ましい特性に照らして関連文書やその他の証拠を評価した。GAOはまた、ONCDのスタッフにもインタビューを行った。 |
| Recommendations | 勧告 |
| GAO is making two recommendations to ONCD to develop outcome-oriented measures and estimate costs of implementation activities. ONCD agreed with GAO's recommendation on outcome-oriented measures but disagreed with the recommendation on estimating costs. GAO continues to believe that ONCD should assess the plan's initiatives to identify those that warrant a cost estimate and develop such cost estimates. | GAOはONCDに対し、成果志向の尺度を開発し、実施活動のコストを見積もるよう、2つの勧告を行う。ONCDはGAOの成果志向の指標に関する勧告には同意したが、コスト見積もりに関する勧告には同意しなかった。GAOは引き続き、ONCDが計画のイニシアチブを評価し、コスト見積もりが必要なものを特定し、そのようなコスト見積もりを作成すべきであると考えている。 |
| Recommendations for Executive Action | 行政措置に関する勧告 |
| Agency Affected/Recommendation | 影響を受ける機関/勧告 |
| Office of the National Cyber Director | 国家サイバー局長室 |
| The Director of ONCD should work with relevant federal entities to assess the initiatives that lend themselves to outcome-oriented performance measures and develop such performance measures for those initiatives in a timely manner to gauge effectiveness in meeting the goals and objectives of the National Cybersecurity Strategy. (Recommendation 1) | ONCD長官は、関連する連邦機関と協力し、成果指向のパフォーマンス指標に適したイニシアチブを評価し、国家サイバーセキュリティ戦略の目標と目的を達成するための有効性を測定するために、それらのイニシアチブのパフォーマンス指標を適時に開発すべきである。(勧告1) |
| Office of the National Cyber Director | 国家サイバー局長室 |
| The Director of ONCD should work with relevant federal entities to assess the initiatives to identify those that warrant a cost estimate and develop such cost estimates. (Recommendation 2) | ONCD長官は、関連する連邦機関と協力して、コスト見積もりが必要なイニシアチブを評価し、そのようなコスト見積もりを作成すべきである。(勧告 2) |
・[PDF] Full Report
・[DOCX] 仮訳
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.10.05 米国 GAO 重要インフラ保護:国家サイバーセキュリティ戦略は情報共有のパフォーマンス指標と方法に取り組む必要がある
サイバー戦略
・2023.07.02 米国 GAO サイバーセキュリティ:国家サイバーセキュリティ戦略の立ち上げと実施
・2023.03.04 米国 国家サイバーセキュリティ戦略を発表
関連
・2023.10.24 米国 国家サイバーインシデント対応計画2024に向けて改訂中...
・2023.09.19 米国 国防総省サイバー戦略 2023(要約)(2023.09.12)
・2023.08.14 米国 K-12(幼稚園から高校まで)の学校のサイバーセキュリティを強化する新たな取り組みを開始 (2023.08.07)
・2023.08.14 米国 CISA他 情報提供依頼: オープンソースソフトウェア・セキュリティ: 長期的な重点分野と優先順位付け
・2023.08.06 米国 CISA サイバーセキュリティ戦略 FY2024-2026
・2023.08.02 米国 国家サイバー人材・教育戦略
・2023.07.15 米国 ホワイトハウス サイバーセキュリティ戦略実施計画
・2023.07.09 米国 OMB 2025 年度予算における政権のサイバーセキュリティ優先事項 (2023.06.27)
« 米国 GAO 重要インフラ保護:各行政機関はランサムウェア対策の監視を強化し、連邦政府の支援を評価する必要がある (2024.01.30) | Main | 米国 GAO 人工知能:国土安全保障省がサイバーセキュリティのために責任ある利用を確保するには、重要な慣行を完全に実施することが役立つ »
Comments