米国 GAO 重要インフラ保護：各行政機関はランサムウェア対策の監視を強化し、連邦政府の支援を評価する必要がある (2024.01.30)

こんにちは、丸山満彦です。

GAOが、連邦政府のランサムウェア対応についての報告書をだしていますね。。。製造業、エネルギー、医療・公衆衛生、輸送システムの4つの重要セクターのリスク管理を主導する連邦政府機関（エネルギー省、保険保証省、国土安全保障省、運輸省）に対して確認をし、11の勧告を出していますね。。。すべてを「そうだね」といったわけではないようですが...

	製造業	エネルギー	医療・公衆衛生	輸送システム
	国土安全保障省	エネルギー省	保険福祉省	国土安全保障省	運輸省
ランサムウェアのリスクの評価					●
リスク低減に役立つ先進的なサイバーセキュリティ慣行をどの程度採用しているかの判断	●	●	●	●	●
リスク低減の有効性を測定する評価手順の開発と実施	●	●	●	●	●

 

● U.S. Government Accountability Office

・2024.01.30 Critical Infrastructure Protection:Agencies Need to Enhance Oversight of Ransomware Practices and Assess Federal Support

Critical Infrastructure Protection:Agencies Need to Enhance Oversight of Ransomware Practices and Assess Federal Support	重要インフラ保護：各行政機関はランサムウェア対策の監視を強化し、連邦政府の支援を評価する必要がある。
GAO-24-106221	GAO-24-106221
Fast Facts	事実
Ransomware—software that makes data and systems unusable unless ransom is paid—can severely impact government operations and critical infrastructure. Such attacks have led to significant financial losses, health care disruptions, and more.	ランサムウェア（身代金を支払わない限りデータやシステムを使用不能にするソフトウェア）は、政府の業務や重要インフラに深刻な影響を与える可能性がある。このような攻撃は、多額の金銭的損失、医療の混乱などにつながっている。
Most federal agencies that lead and manage risk for 4 critical sectors—manufacturing, energy, healthcare and public health, and transportation systems—have assessed or plan to assess risks associated with ransomware. But agencies haven't fully gauged the use of leading cybersecurity practices or whether federal support has mitigated risks effectively in the sectors.	製造業、エネルギー、医療・公衆衛生、輸送システムの4つの重要セクターのリスク管理を主導する連邦政府機関のほとんどは、ランサムウェアに関連するリスクをアセスメントしているか、またはアセスメントする予定である。しかし、各機関は、サイバーセキュリティの先進的な手法の利用状況や、連邦政府の支援がセクターにおけるリスクを効果的に低減しているかどうかを十分に把握していない。
Our recommendations address these issues.	我々の勧告は、これらの問題に対処するものである。
Highlights	ハイライト
What GAO Found	GAOが発見したこと
Ransomware—software that makes data and systems unusable unless ransom payments are made—is having increasingly devastating impacts. For example, the Department of the Treasury reported that the total value of U.S. ransomware-related incidents reached $886 million in 2021, a 68 percent increase compared to 2020 (see figure).	ランサムウェア（身代金を支払わない限りデータやシステムを使用不能にするソフトウェア）は、ますます壊滅的な影響を及ぼしている。例えば、財務省は、2021年に米国で発生したランサムウェア関連のインシデントの総額は8億8600万ドルに達し、2020年と比較して68％増加したと報告している（図参照）。
Treasury Reported Dollar Value of U.S. Ransomware-Related Incidents	財務省が報告した米国のランサムウェア関連インシデントの金額
In addition to monetary losses, ransomware has led to other impacts, such as the inability to provide emergency care when hospital IT systems are unusable. The FBI reported that 870 critical infrastructure organizations were victims of ransomware in 2022, affecting 14 of the 16 critical infrastructure sectors. Among those incidents, almost half were from four sectors—critical manufacturing, energy, healthcare and public health, and transportation systems. The full impact of ransomware is likely not known because reporting is generally voluntary. The Department of Homeland Security is planning to issue new reporting rules by March 2024 that could provide a more complete picture of ransomware's impact.	ランサムウェアは金銭的な損失だけでなく、病院のITシステムが使えなくなると救急医療が提供できなくなるなど、他の影響にもつながっている。FBIの報告によると、2022年には870の重要インフラ組織がランサムウェアの被害に遭い、16の重要インフラセクターのうち14のセクターが影響を受けた。これらのインシデントのうち、ほぼ半数は、重要な製造事業者、エネルギー、医療・公衆衛生、輸送システムの4部門によるものだった。ランサムウェアの被害報告は一般的に任意であるため、その影響の全容はわかっていない。国土安全保障省は2024年3月までに、ランサムウェアの影響をより詳細に把握できる新たな報告規則を発表する予定だ。
The four selected sectors' adoption of leading practices to address ransomware is largely unknown. None of the federal agencies designated as the lead for risk management for selected sectors have determined the extent of adoption of the National Institute of Standards and Technology's recommended practices for addressing ransomware. Doing so would help the lead federal agencies be a more effective partner in national efforts to combat ransomware.	ランサムウェアに対処するための先進的プラクティスの採用状況については、4つのセクターがほぼ不明である。選定されたセクターのリスクマネジメントの主導者に指定された連邦機関はいずれも、ランサムウェアに対処するための国立標準技術研究所の推奨プラクティスの採用の程度を決定していない。そうすることで、主導的な連邦機関がランサムウェアに対抗する国家的な取り組みにおいて、より効果的なパートナーとなることができるだろう。
Most of the six selected lead federal agencies have assessed or plan to assess risks of cybersecurity threats including ransomware for their respective sectors, as required by law. Regarding lead agencies assessing their support of sector efforts to address ransomware, half of the agencies have evaluated aspects of their support. For example, agencies have received and assessed feedback on their ransomware guidance and briefings. However, none have fully assessed the effectiveness of their support to sectors, as recommended by the National Infrastructure Protection Plan. Fully assessing effectiveness could help address sector concerns about agency communication, coordination, and timely sharing of threat and incident information.	選定された6つの主導的連邦機関のほとんどは、法律で義務付けられているとおり、それぞれの部門についてランサムウェアを含むサイバーセキュリティの脅威のリスクをアセスメントしているか、またはアセスメントする予定である。ランサムウェアに対処するための各部門の取り組みに対する支援を評価する主導機関については、半数の機関が支援の側面を評価している。例えば、各行政機関はランサムウェアのガイダンスや説明会に関するフィードバックを受け、評価している。しかし、国家インフラ保護計画で推奨されているように、セクターへの支援の有効性を完全に評価している機関はない。有効性を完全に評価することは、行政機関のコミュニケーション、調整、脅威やインシデント情報のタイムリーな共有に関するセクターの懸念に対処するのに役立つ可能性がある。
Why GAO Did This Study	GAOがこの調査を行った理由
The nation's 16 critical infrastructure sectors provide essential services such as electricity, healthcare, and gas and oil distribution. However, cyber threats to critical infrastructure, such as ransomware, represent a significant national security challenge.	全米の16の重要インフラ部門は、電力、医療、ガス・石油配給などの重要サービスをプロバイダとして提供している。しかし、ランサムウェアのような重要インフラに対するサイバー脅威は、国家安全保障上の重要な課題である。
This report (1) describes the reported impact of ransomware attacks on the nation's critical infrastructure, (2) assesses federal agency efforts to oversee sector adoption of leading federal practices, and (3) evaluates federal agency efforts to assess ransomware risks and the effectiveness of related support.	本報告書では、(1)報告されているランサムウェア攻撃が国家の重要インフラに与える影響について説明し、(2)連邦政府の主導的なプラクティスの部門採用を監督する連邦政府の取り組みをアセスメントし、(3)ランサムウェアのリスクと関連する支援の有効性を評価する連邦政府の取り組みを評価する。
To do so, GAO selected four critical infrastructure sectors—critical manufacturing, energy, healthcare and public health, and transportation systems. For each sector, GAO analyzed documentation, such as incident reporting and risk analysis, and compared efforts to leading cybersecurity guidance. GAO also interviewed sector and federal agency officials to obtain information on ransomware-related impacts, practices, and support.	そのためにGAOは、重要製造業、エネルギー、医療・公衆衛生、輸送システムの4つの重要インフラ部門を選択した。各セクターについて、GAOはインシデント報告やリスク分析などの文書を分析し、主要なサイバーセキュリティ・ガイダンスと取り組みを比較した。GAOはまた、ランサムウェア関連の影響、慣行、サポートに関する情報を得るため、セクターおよび連邦政府機関の担当者にインタビューを行った。
Recommendations	勧告
GAO is making 11 recommendations to four agencies to, among other things, determine selected sectors' adoption of cybersecurity practices. DHS and HHS agreed with their recommendations. DOE partially agreed with one recommendation and disagreed with another. DOT agreed with one recommendation, partially agreed with one, and disagreed with a third. GAO continues to believe that the recommendations are valid.	GAOは4つの機関に対し、特に特定のセクターのサイバーセキュリティ慣行の採用を調査するため、11の勧告を行っている。DHSとHHSは勧告に同意した。DOEは1つの勧告に部分的に同意し、もう1つの勧告には同意しなかった。DOTは1つの勧告に同意し、1つに部分的に同意し、3つ目には同意しなかった。GAOは引き続き、勧告は有効であると考えている。
Recommendations for Executive Action	行政措置に関する勧告
Agency Affected/Recommendation	影響を受ける行政機関／勧告
Department of Energy	エネルギー省
The Secretary of Energy should, in coordination with CISA and sector entities, determine the extent to which the energy sector is adopting leading cybersecurity practices that help reduce the sector's risk of ransomware. (Recommendation 1)	エネルギー省長官は、CISAおよび事業体と連携して、エネルギー部門がランサムウェアのリスク低減に役立つ先進的なサイバーセキュリティ慣行をどの程度採用しているかを判断すべきである。(勧告1)
The Secretary of Energy should, in coordination with CISA and sector entities, develop and implement routine evaluation procedures that measure the effectiveness of federal support in helping reduce the risk of ransomware to the energy sector. (Recommendation 2)	エネルギー省長官は、CISAおよび事業体と連携して、エネルギー部門に対するランサムウェアのリスク低減を支援する連邦政府の支援の有効性を測定する日常的な評価手順を策定し、実施すべきである。(勧告2）
Department of Health and Human Services	保健福祉省
The Secretary of Health and Human Services should, in coordination with CISA and sector entities, determine the extent to which the healthcare and public health sector is adopting leading cybersecurity practices that help reduce the sector's risk of ransomware. (Recommendation 3)	保健福祉省長官は、CISAおよび事業体と連携して、医療・公衆衛生部門が、同部門のランサムウェアのリスク低減に役立つ先進的なサイバーセキュリティ慣行をどの程度採用しているかを判断すべきである。(勧告3）
The Secretary of Health and Human Services should, in coordination with CISA and sector entities, develop and implement routine evaluation procedures that measure the effectiveness of federal support in helping reduce the risk of ransomware to the healthcare and public health sector. (Recommendation 4)	保健福祉省長官は、CISAおよび事業体と連携して、医療・公衆衛生部門に対するランサムウェアのリスク低減を支援する連邦政府の支援の有効性を測定する日常的な評価手順を策定し、実施すべきである。(勧告4）
Department of Homeland Security	国土安全保障省
The Secretary of Homeland Security should, in coordination with CISA and sector entities, determine the extent to which the critical manufacturing sector is adopting leading cybersecurity practices that help reduce the sector's risk of ransomware. (Recommendation 5)	国土安全保障省長官は、CISAおよび事業体と連携して、重要な製造部門がランサムウェアのリスク低減に役立つ先進的なサイバーセキュリティ慣行をどの程度採用しているかを判断すべきである。(勧告5）
The Secretary of Homeland Security should, in coordination with CISA and sector entities, develop and implement routine evaluation procedures that measure the effectiveness of federal support in helping reduce the risk of ransomware to the critical manufacturing sector. (Recommendation 6)	国土安全保障省長官は、CISAおよび事業体と連携して、重要な製造部門に対するランサムウェアのリスク低減を支援する連邦政府の支援の有効性を測定する日常的な評価手順を策定し、実施すべきである。(勧告6）
The Secretary of Homeland Security should, in coordination with CISA, co-SRMAs, and sector entities, determine the extent to which the transportation systems sector is adopting leading cybersecurity practices that help reduce the sector's risk of ransomware. (Recommendation 7)	国土安全保障省長官は、CISA、共同SRMA、および事業体と連携して、運輸システム部門がランサムウェアのリスク低減に役立つ先進的なサイバーセキュリティ慣行をどの程度採用しているかを判断すべきである。(勧告7)
The Secretary of Homeland Security should, in coordination with CISA, co-SRMAs, and sector entities, develop and implement routine evaluation procedures that measure the effectiveness of federal support in helping reduce the risk of ransomware to the transportation systems sector. (Recommendation 8)	国土安全保障省長官は、CISA、共同SRMA、および事業体と連携して、運輸システム部門に対するランサムウェアのリスク低減を支援する連邦政府の支援の有効性を測定する定期的な評価手順を策定し、実施すべきである。(勧告8)
Department of Transportation	運輸省
The Secretary of Transportation should, in coordination with CISA, co-SRMAs, and sector entities, assess ransomware risks to the transportation systems sector. (Recommendation 9)	運輸省長官は、CISA、共同SRMA、および事業体と連携して、運輸システム部門に対するランサムウェアのリスクを評価すべきである。(勧告9)
The Secretary of Transportation should, in coordination with CISA, co-SRMAs, and sector entities, determine the extent to which the transportation systems sector is adopting leading cybersecurity practices that help reduce the sector's risk of ransomware. (Recommendation 10)	運輸省長官は、CISA、共同SRMA、および事業体と連携して、運輸システム部門が、同部門のランサムウェアのリスク低減に役立つ先進的なサイバーセキュリティ慣行をどの程度採用しているかを判断すべきである。(勧告10）
The Secretary of Transportation should, in coordination with CISA, co-SRMAs, and sector entities, develop and implement routine evaluation procedures that measure the effectiveness of federal support in helping reduce the risk of ransomware to the transportation systems sector. (Recommendation 11)	運輸省長官は、CISA、共同SRMA、および事業体と連携して、運輸システム部門に対するランサムウェアのリスク低減を支援する連邦政府の支援の有効性を測定する定期的な評価手順を策定し、実施すべきである。(勧告11）

 

 

・[PDF] Full Report

 

・[DOCX] 仮訳