オーストラリア会計検査院 (Australian National Audit Office) サイバーセキュリティインシデントの管理
こんにちは、丸山満彦です。
オーストラリアの会計検査院 (Australian National Audit Office) が、サイバーセキュリティインシデントの管理についての監査報告書を公表していますね...
勧告は全部で19。オーストラリア取引報告分析センター(AUSTRAC) は9つ、サービス・オーストラリアは10件の勧告に同意したということですね...
日本の会計検査院も、会計だけでなく、3E監査、つまり経済性(Economy)、効率性(Efficiency)、有効性(Effectiveness)についての監査も行うことになっていますので、GAO、ANAOのようなセキュリティ監査をもっとすればよいと思いますね...
もちろん、自治体も...
● Australian National Audit Office; ANAO
・2024.06.14 Management of Cyber Security Incidents
| Management of Cyber Security Incidents | サイバーセキュリティインシデントの管理 |
| Why did we do this audit? | なぜこの監査を行ったのか? |
| Australian Government entities are expected to be ‘cyber exemplars’ as they process and store some of Australia’s most sensitive data to support the delivery of essential public services. | オーストラリア政府事業体は、必須公共サービスの提供をサポートするために、オーストラリアで最もセンシティブなデータを処理・保存しているため、「サイバー模範」となることが期待されている。 |
| Previous audits identified low levels of cyber resilience in non-corporate Commonwealth entities (NCEs). | これまでの監査で、連邦の非法人事業体(NCEs)のサイバーレジリエンスレベルが低いことが確認された。 |
| Low levels of cyber resilience make entities more susceptible to cyberattack and reduce business continuity and recovery prospects following a cyber security incident. Preparedness to respond to and recover from a cyberattack is a key part of cyber resilience. | サイバーレジリエンスのレベルが低いと、事業体はサイバー攻撃を受けやすくなり、サイ バーセキュリティインシデント後の事業継続性や復旧の見通しが低下する。サイバー攻撃に対応し、そこから回復するための備えは、サイバーレジリエンスの重要な部分である。 |
| What did we find? | 我々は何を発見したか? |
| The implementation of arrangements by the Australian Transaction Reports and Analysis Centre (AUSTRAC) and Services Australia to manage cyber security incidents has been partly effective. | オーストラリア取引報告分析センター(AUSTRAC) と Services Australia によるサイバーセキュリティインシデントを管理するための取り決めの実施は、部分的に有効であった。 |
| AUSTRAC and Services Australia have partly designed and implemented cyber security incident management procedures. | AUSTRAC とオーストラリア政府は、サイバーセキュリティインシデント管理手順 を部分的に設計し、実施している。 |
| AUSTRAC and Services Australia have partly implemented effective cyber security incident management responses to investigate and respond to cyber security incidents. | AUSTRAC とオーストラリア政府は、サイバーセキュリティインシデントを調査・対応するため の効果的なサイバーセキュリティインシデント管理対応を部分的に実施している。 |
| AUSTRAC and Services Australia have partly implemented effective cyber security incident management recovery to mitigate disruptions to business operations during and after cyber security incidents. | AUSTRAC とオーストラリア政府は、サイバーセキュリティインシデント発生中および発生後の業務への影響を低減するため、効果的なサイバーセキュリティインシデント管理復旧を部分的に実施している。 |
| What did we recommend? | 勧告の内容 |
| There were 19 recommendations aimed at improving the effective management of cyber security incidents. | サイバーセキュリティインシデントの効果的な管理を改善することを目的とした19の勧告があった。 |
| AUSTRAC agreed to nine recommendations. Services Australia agreed to 10 recommendations. | AUSTRACは9つの勧告に同意した。サービス・オーストラリアは10件の勧告に同意した。 |
| Key facts | 主な事実 |
| The Protective Security Policy Framework (PSPF) Policies 2, 4, 5 and 10 outline the requirements for the effective management of cyber security incidents. | 防御セキュリティポリシーフレームワーク(PSPF)のポリシー2、4、5、10は、サイバーセキュリティインシデントを効果的に管理するための要件を概説している。 |
| Supporting the PSPF are the relevant Australian Signals Directorate (ASD) Cyber Security Guidelines as well as ASD’s Essential Eight Maturity Model. | PSPF をサポートするのは、関連するオーストラリア信号局(Australian Signals Directorate: ASD)のサイバーセキュリティガイドラインと ASD のエッセンシャルエイト成熟度モデルである。 |
| It is mandatory for NCEs to report the level of their security maturity each financial year. | NCEs は毎会計年度にセキュリティ成熟度を報告することが義務付けられている。 |
| 31% | 31% |
| of cyber security incidents reported to ASD were by Australian Government entities in 2022–23. | 2022-23年にASDに報告されたサイバーセキュリティインシデントの31%はオーストラリア政府事業体によるものであった。 |
| 71% | 71% |
| of NCEs self-assessed at Maturity Level Two for the Essential Eight mitigation strategy, Regular backups. | の NCE が必須 8 の軽減戦略である定期的なバックアップの成熟度レベルを 2 と自己評価した。 |
| 82% | 82% |
| of NCEs self-assessed that they had an incident response plan in place, which was an increase from 2022. | の NCE がインシデント対応計画を策定していると自己評価した。 |
・[PDF]
目次...
要約...
| Summary and recommendations | まとめと提言 |
| Background | 背景 |
| 1. New and emerging technologies play an important role in delivering digital services for Australian Government entities. As the development, integration and use of technology increases, so does the number of possible entry or weak points that malicious cyber actors can exploit. This is commonly referred to as the ‘attack surface’.1 It is important that Australian Government entities continue to uplift their cyber security maturity and implement arrangements to manage cyber security incidents2 effectively. The ability to maintain business continuity following a cyber security incident is critical to ensuring the continued provision of government services. | 1. オーストラリア政府事業体がデジタルサービスを提供する上で、新しいテクノロジーは 重要な役割を果たしている。技術の開発、統合、利用が進むにつれて、悪意のあるサイバー行為者が悪用する可能性のある侵入口や弱点の数も増えている。オーストラリア政府事業体は、サイバーセキュリティの成熟度を継続的に向上させ、サイ バーセキュリティインシデント2 を効果的に管理するための体制を導入することが重要である。サイバーセキュリティインシデント後の事業継続性を維持する能力は、政府サービスの継続的な提供を確保する上で極めて重要である。 |
| 2. Australian Government entities are attractive, high-value targets for a range of malicious cybercriminals because they hold the personal and financial information of Australians.3 In 2022–23, approximately 31 per cent of cyber security incidents reported to the Australian Signals Directorate (ASD) were from non-corporate Commonwealth entities. Over 40 per cent of these cyber security incidents were coordinated, low-level malicious cyberattacks directed specifically at the Australian Government, government shared services, or regulated critical infrastructure.4 Ransomware was the most destructive cybercrime threat in 2022–235 and continues to pose considerable risk to Australian Government entities, businesses and individuals. | 2. オーストラリア政府事業体は、オーストラリア国民の個人情報や財務情報を保有しているため、さまざまな悪意あるサイバー犯罪者にとって魅力的で価値の高い標的となっている3。2022-23年、オーストラリア信号総局(ASD)に報告されたサイバーセキュリティインシデントの約31%は、連邦の非法人によるものであった。これらのサイバーセキュリティインシデントの40%以上は、特にオーストラリア政府、政府共有サービス、または規制された重要インフラに向けられた、組織的で低レベルの悪意あるサイバー攻撃であった4。ランサムウェアは 2022 年から 235 年にかけて最も破壊的なサイバー犯罪の脅威であり、 オーストラリア政府事業体、企業、個人に大きなリスクをもたらし続けている。 |
| Rationale for undertaking the audit | 監査実施の理由 |
| 3. On 22 November 2023, the Australian Government released the 2023–30 Australian Cyber Security Strategy which outlines a forecast approach towards uplifting Australia’s cyber resilience as well as ‘[building] … national cyber readiness [and] proactively identifying and closing gaps in … cyber defences and incident response plans’. | 3. 2023 年 11 月 22 日、オーストラリア政府は「2023-30 年オーストラリア・サイバーセキュリ ティ戦略」を発表し、オーストラリアのサイバーレジリエンスを向上させ、「...国家のサイ バー準備態勢を構築し、...サイバー防御およびインシデント対応計画のギャップを積極的に特定し、 解決する」ための予測アプローチを概説した。 |
| 4. Australian Government entities are expected to be ‘cyber exemplars’, as they receive, process and store some of Australia’s most sensitive data to support the delivery of essential public services.6 Whilst there were reported improvements from 2022, ASD’s 2023 Cyber Security Posture Report highlighted that the overall maturity level across entities remained low in 2023.7 | 4. オーストラリア政府機関は、必須公共サービスの提供をサポートするために、オーストラリアで最もセンシティブなデータを受け取り、処理し、保存しているため、「サイバー模範」となることが期待されている6。2022年からの改善が報告された一方で、ASDの2023年サイバーセキュリティ態勢報告書は、2023年においても事業体全体の成熟度が低いままであることを強調した7。 |
| 5. Previous audits conducted by the ANAO identified low levels of cyber resilience in entities. Low levels of cyber resilience continue to make entities susceptible to cyberattack and reduce business continuity and recovery prospects following a cyber security incident. An entity’s preparedness to respond to and recover from a cyberattack is a key part of cyber resilience. This audit was conducted to provide assurance to Parliament about the effectiveness of the selected entities’ implementation of arrangements for managing cyber security incidents. | 5. ANAOが過去に実施した監査では、事業体のサイバーレジリエンスレベルの低さが指摘されている。低いレベルのサイバーレジリエンスは、事業体をサイバー攻撃の影響を受けやすくし、サイバーセキュリティインシデント後の事業継続性と復旧の見通しを低下させ続けている。事業体のサイバー攻撃への対応と回復への備えは、サイバーレジリエンスの重要な部分である。この監査は、選定された事業体がサイバーセキュリティインシデントを管理するための取り決めを実施していることの有効性について、国会に保証を与えるために実施された。 |
| Audit objective, criteria and scope | 監査の目的、基準、範囲 |
| 6. The objective of this audit was to assess the effectiveness of the selected entities’ implementation of arrangements for managing cyber security incidents in accordance with the Protective Security Policy Framework (PSPF) and relevant ASD Cyber Security Guidelines. | 6. この監査の目的は、選定された事業体が、防御セキュリティポリシーフレームワーク(PSPF)及び関連するASDサイバーセキュリティガイドラインに従って、サイバーセキュリティインシデントを管理するための取り決めを実施していることの有効性を評価することであった。 |
| 7. To form a conclusion against the audit objective, the following high-level criteria were adopted: | 7. 監査目的に対する結論を形成するために、以下のハイレベル基準が採用された: |
| Do the Australian Transaction Reports and Analysis Centre (AUSTRAC) and Services Australia have appropriately designed and implemented cyber security incident management procedures? | オーストラリア取引報告分析センター(AUSTRAC)およびサービスオーストラリアは、サイバーセキュリティインシデント管理手順を適切に設計し、実施しているか。 |
| Have AUSTRAC and Services Australia effectively implemented cyber security incident management processes for investigating, monitoring and responding to cyber security incidents? | AUSTRAC とオーストラリア政府は、サイバーセキュリティインシデントの調査、監 視、対応のためのサイバーセキュリティインシデント管理プロセスを効果的に実施し ているか。 |
| Have AUSTRAC and Services Australia effectively implemented recovery processes that mitigate disruptions during and after cyber security incidents? | AUSTRAC とオーストラリア業務省は、サイバーセキュリティインシデント発生中および 発生後の混乱を軽減する復旧プロセスを効果的に実施しているか。 |
| Engagement with the Australian Signals Directorate | オーストラリア信号総局とのかかわり |
| 8. Independent timely reporting on the implementation of the cyber security policy framework supports public accountability by providing an evidence base for the Parliament to hold the executive government and individual entities to account. Previous ANAO reports on cyber security have drawn to the attention of Parliament and relevant entities the need for change in entity implementation of mandatory cyber security requirements, at both the individual entity and framework levels. | 8. サイバーセキュリティ政策枠組みの実施に関する独立したタイムリーな報告は、行政府と各事業体 の説明責任を問うための証拠資料を議会に提供することで、国民の説明責任を支援する。サイバーセキュリティに関するこれまでのANAOの報告書は、個々の事業体レベルおよび枠組みレ ベルの両方において、強制的なサイバーセキュリティ要求事項の事業体実施における変革の必要性につ いて、議会および関連事業体の注意を喚起してきた。 |
| 9. In preparing audit reports to the Parliament on cyber security in Australian Government entities, the interests of accountability and transparency must be balanced with the need to manage cyber security risks. ASD has advised the ANAO that adversaries use publicly available information about cyber vulnerabilities to more effectively target their malicious activities. | 9. オーストラリア政府事業体のサイバーセキュリティに関する議会への監査報告書を作成する際には、説明責任と透明性の利益とサイバーセキュリティのリスクマネジメントの必要性とのバランスを取らなければならない。ASD は ANAO に対し、敵対者はサイバー脆弱性に関する一般に公開された情報を利用して、 より効果的に悪意のある活動の標的を定めていると助言している。 |
| 10. The extent to which this report details the cyber security vulnerabilities of individual entities was a matter of careful consideration during the course of this audit. To assist in appropriately balancing the interests of accountability and potential risk exposure through transparent audit reporting, the ANAO engaged with ASD to better understand the evolving nature and extent of risk exposure that may arise through the disclosure of technical information in the audit report. This report therefore focusses on matters material to the audit findings against the objective and criteria and contains less detailed technical information than previous audits. Detailed technical information flowing from the audit was provided to the relevant accountable authorities during the audit process to assist them to gain their own assurance that their remediation plans are focussed on improving cyber resilience as required and support reliable reporting through the existing cyber security policy framework. | 10. 本報告書が個々の事業体のサイバーセキュリティの脆弱性をどの程度詳述しているかは、本監査の過程で慎重に検討された事項である。透明性のある監査報告を通じて、説明責任と潜在的なリスクエクスポージャーの利益の適切なバラン スをとるため、ANAO は ASD と協力し、監査報告書における技術情報の開示によって生じうるリスクエクス ポージャーの進化する性質と程度について理解を深めた。そのため、本報告書は、目的と基準に照らして監査所見に重要な事項に焦点を当て、以前の監査よりも詳細な技術的情報は含んでいない。監査から得られた詳細な技術的情報は、監査の過程で関連する認可当局に提供された。これは、彼らが自らの改善計画が必 要に応じてサイバーレジリエンスの改善に焦点を当てたものであることを自ら保証し、既存のサイバーセキュ リティ政策の枠組みを通じた信頼できる報告を支援するためのものである。 |
| Conclusion | 結論 |
| 11. The implementation of arrangements by AUSTRAC and Services Australia to manage cyber security incidents has been partly effective. Neither entity is well placed to ensure business continuity or disaster recovery in the event of a significant or reportable cyber security incident. | 11. AUSTRAC とオーストラリア政府サービス庁によるサイバーセキュリティインシデント管理のための取り決めの実施は、部分的に有効であった。どちらの事業体も、重大な、あるいは報告すべきサイバーセキュリティインシデントが発生した場合に、事業継続や災害復旧を確保する体制が整っていない。 |
| AUSTRAC | AUSTRAC |
| 12. AUSTRAC has partly effective cyber security incident management procedures for investigating, monitoring and responding to cyber security incidents. It has established management structures and a framework of procedures to support these processes. It has not detailed the responsibilities for its Chief Information Security Officer (CISO), its approach to continuous monitoring and improvement reporting, or defined timeframes for reporting to stakeholders. | 12. AUSTRAC は、サイバーセキュリティインシデントの調査、監視、対応のためのサイバーセ キュリティインシデント管理手順を部分的に効果的に備えている。AUSTRAC は、これらのプロセスを支援するための管理体制と手順の枠組みを確立している。最高情報セキュリ ティ責任者(CISO)の責任、セキュリティの継続的なモニタリングと改善報告へのアプローチ、利害関係者への報告 の期限については詳述されていない。 |
| 13. AUSTRAC has partly implemented effective response processes that mitigate disruptions during and after cyber security incidents. It has established a Security Information and Event Management (SIEM) solution and processes for reporting cyber security incidents. The coverage of log events is not in accordance with ASD’s Cyber Security Guidelines. AUSTRAC does not have an event logging policy and does not document its analysis of all cyber security events. | 13. AUSTRACは、サイバーセキュリティインシデント発生時および発生後の混乱を軽減する効果的な対応プロセスを部分的に導入している。セキュリティ情報・イベント管理(SIEM)ソリューションと、サイバーセキュリティインシデントを報告するためのプロセスを確立している。ログイベントの範囲はASDのサイバーセキュリティガイドラインに従っていない。AUSTRAC にはイベントロギング方針がなく、すべてのサイバーセキュリティイベントの分析を文書化していない。 |
| 14. AUSTRAC has procedures to support its cyber security incident recovery processes. These procedures do not include the security and testing of backup solutions, nor detail the systems, applications and servers supporting critical business processes. AUSTRAC performs recovery of backups as part of business area requests. It does not perform testing of restoration of backups for disaster recovery purposes. | 14. AUSTRAC はサイバーセキュリティインシデント復旧プロセスをサポートする手順を持っている。これらの手順には、バックアップソリューションのセキュリ ティとテストが含まれておらず、重要なビジネスプロセスをサポートするシステム、アプリケー ション、サーバーの詳細も記載されていない。AUSTRACは、ビジネスエリアの要求の一部としてバックアップの復旧を実施している。災害復旧を目的としたバックアップの復元テストは実施していない。 |
| Services Australia | サービス オーストラリア |
| 15. Services Australia is partly effective in its design of cyber security incident management procedures. It has established a framework of procedures and an incident response plan. It has not documented an approach to threat and vulnerability assessments. Services Australia does not have a policy covering the management of cyber security incidents. | 15. オーストラリア政府は、サイバーセキュリティインシデント管理手順の設計において部分的に有効である。手順とインシデント対応計画の枠組みを確立している。脅威と脆弱性アセスメントのアプローチは文書化されていない。オーストラリア政府は、サイバーセキュリティインシデントの管理に関する方針を定めていない。 |
| 16. Services Australia has partly effective cyber security incident response procedures for investigating and responding to cyber security incidents. It has procedures for managing data spills, malicious code infections and external instructions. It has implemented a Security Information and Event Management (SIEM) solution and a systematic approach to monitoring and prioritisation of alerts. Services Australia has not established a timeframe for triage and escalation activities nor a process for analysing archived SIEM data. Services Australia has not defined an approach for cyber security investigations. | 16. オーストラリア政府は、サイバーセキュリティインシデントを調査し対応するための効果的なサイバーセキュリティインシデント対応手順を一部有している。データ流出、悪質コード感染、外部からの指示を管理するための手順がある。セキュリティ情報・イベント管理(SIEM)ソリューションと、アラートの監視と優先順位付けのための体系的なアプローチを導入している。サービス・オーストラリアは、トリアージとエスカレーション活動の時間枠を設定しておらず、アーカイブされた SIEM データの分析プロセスも設定していない。オーストラリア政府は、サイバーセキュリティ調査のアプローチを定めていない。 |
| 17. Services Australia has partly implemented effective recovery processes that mitigate disruptions during and after cyber security incidents. It has developed business continuity and disaster recovery plans and implemented regular backups. Its plans do not include all systems and applications supporting critical business processes and it does not test the recoverability of backups. | 17. オーストラリアのサービス部門は、サイバーセキュリティインシデント発生中および発生後の混乱を 軽減する効果的な復旧プロセスを部分的に導入している。事業継続計画と災害復旧計画を策定し、定期的なバックアップを実施している。その計画には、重要なビジネスプロセスをサポートするすべてのシステムとアプリケーションは含まれておらず、バックアップの復旧可能性をテストしていない。 |
| Supporting findings | 所見 |
| AUSTRAC | AUSTRAC |
| 18. AUSTRAC has established management structures and responsibilities for managing cyber security incidents. However, it has not documented the assigned responsibilities for its CISO although the CISO is empowered to make decisions. AUSTRAC has documented a framework of procedures for cyber security risk and incident management. However, it does not detail a process for reviewing, updating and testing its cyber security incident management procedures, nor has it implemented a security maturity monitoring plan that details an approach that defines a continuous improvement cycle as well as reporting to management. AUSTRAC has developed reporting processes for significant or reportable cyber security incidents. AUSTRAC does not document cyber security incident meetings, nor has it defined timeframes for reporting to relevant stakeholders. (See paragraphs 2.6 to 2.32) | 18. AUSTRAC は、サイバーセキュリティインシデントを管理するための管理体制と責任を確立している。しかし、CISO には意思決定を行う権限が与えられているものの、CISO に割り当てられた責任は文書化されていない。AUSTRACは、サイバーセキュリティリスクとインシデントマネジメントのための手順の枠組みを文書化している。しかし、サイバーセキュリティインシデント管理手順のレビュー、更新、テストのプロセスを詳述していない。また、経営陣への報告だけでなく、継続的な改善サイクルを定義するアプローチを詳述したセキュリティ成熟度モニタリング計画を実施していない。AUSTRACは、重大または報告すべきサイバーセキュリティインシデントの報告プロセスを策定している。AUSTRAC は、サイバーセキュリティインシデント会議を文書化しておらず、関連する利害関係者への報告の期限も定めていない。(段落 2.6 から 2.32 を参照)。 |
| 19. AUSTRAC has reporting processes for reporting significant or reportable cyber security incidents to internal and external stakeholders. These processes do not include the engagement of relevant expertise in other business areas, such as legal advisors, and do not ensure the integrity of evidence supporting cyber security investigations. AUSTRAC has documented cyber security incident monitoring and response procedures. It has not developed an event log policy for handling and containing malicious code infections or intrusions, or containment actions in the event of a data spill. AUSTRAC has implemented a Security Information and Event Management (SIEM) solution. Its coverage of event logs is not in accordance with ASD’s Cyber Security Guidelines. It undertakes an analysis of event logs and escalates significant or reportable cyber security incidents to management and relevant external stakeholders. It does not record or document its analysis of non-significant cyber security events, nor has it defined timeframes for triage and escalation activities. AUSTRAC is able to analyse data within its SIEM solution, it does not have a process for retrieving and analysing production and archived SIEM data. (See paragraphs 2.33 to 2.65) | 19. AUSTRAC は、重要または報告すべきサイバーセキュリティインシデントを内部および外部の利害関係者に報告するための報告プロセスを有している。これらのプロセスには、法律顧問など他業務分野の関連専門家の関与が含まれておらず、サイバーセキュリティ調査を裏付ける証拠の完全性が確保されていない。AUSTRAC は、サイバーセキュリティインシデントの監視と対応手順を文書化している。悪質なコード感染や侵入を処理・封じ込めるためのイベントログポリシーや、データ流出時の封じ込め措置は策定されていない。AUSTRACは、セキュリティ情報・イベント管理(SIEM)ソリューションを導入している。そのイベントログの範囲はASDのサイバーセキュリティガイドラインに従っていない。AUSTRACはイベントログの分析を実施し、重要または報告すべきサイバーセキュリティインシデントを経営陣と関連する外部利害関係者にエスカレーションしている。重要でないサイバーセキュリティイベントの分析を記録または文書化しておらず、トリアージとエスカレーション活動の時間枠も定義していない。AUSTRAC は SIEM ソリューション内のデータを分析することができるが、本番及びアーカイブされた SIEM データを取得し分析するプロセスを有していない。(段落 2.33 から 2.65 を参照のこと)。 |
| 20. AUSTRAC has documented procedures to support its cyber security incident recovery processes. These procedures do not include the security and testing of backup solutions, nor detail the systems, applications and servers supporting critical business processes. AUSTRAC has not tested the recoverability of its systems and applications supporting critical business processes. It has not included all relevant systems, including the tools used for managing backups, within disaster recovery testing schedules and security policies. AUSTRAC is not well placed to ensure business continuity or disaster recovery in the event of a significant or reportable cyber security incident. AUSTRAC has primary and secondary data centres to support its approach to regular backups. AUSTRAC performs recovery of backups as part of business area requests. It does not perform testing of restoration of backups for disaster recovery purposes. It does not have a process for extracting and analysing production and archive backup data. AUSTRAC’s incident reports include post-incident learning and post-remediation analysis. These reports are not used to review or update existing cyber security recovery procedures, with potential improvements highlighted in these reports not being considered for incorporation into existing cyber security documentation. (See paragraphs 2.66 to 2.93) | 20. AUSTRAC は、サイバーセキュリティインシデント復旧プロセスを支援する手順を文書化している。これらの手順には、バックアップソリューションのセキュリティとテストは含まれておらず、重要なビジネスプロセスをサポートするシステム、アプリケーション、サーバーについても詳述されていない。AUSTRACは、重要なビジネスプロセスをサポートするシステムとアプリケーションの復旧可能性をテストしていない。バックアップ管理に使用されるツールを含むすべての関連システムを、災害復旧テストのスケジュールとセキュリティポリシーに含めていない。AUSTRACは、重大な、あるいは報告すべきサイバーセキュリティインシデントが発生した場合に、事業継続や災害復旧を確保する体制が整っていない。AUSTRAC には、定期的なバックアップのアプローチをサポートするためのプライマリおよびセカンダリデータセンターがある。AUSTRAC は、ビジネスエリアの要求の一部としてバックアップの復旧を実施している。災害復旧を目的としたバックアップの復元テストは実施していない。AUSTRAC には、本番およびアーカイブのバックアップデータを抽出・分析するためのプロセスがない。AUSTRACのインシデントレポートには、インシデント発生後の学習と修復後の分析が含まれている。これらの報告書は、既存のサイバーセキュリティ復旧手順の見直しや更新には使用されておらず、これらの報告書で強調された潜在的な改善は、既存のサイバーセキュリティ文書に組み込むために検討されていない。(段落 2.66 から 2.93 を参照)。 |
| Services Australia | サービス オーストラリア |
| 21. Services Australia has established management structures and responsibilities for its management of cyber security incidents. It has not documented an approach to threat and vulnerability assessments, nor does it have a policy covering the management of cyber security incidents but it does have a security maturity monitoring plan although this does not detail an approach that defines a continuous improvement cycle as well as reporting to management. Services Australia has developed a cyber security incident response plan and a trusted insider program. However, its trusted insider program has not considered input from other business areas, such as its legal function. Services Australia’s critical asset and data registers do not have complete information on critical systems and data assets. Services Australia has documented a framework of procedures for cyber security risk and incident management. However, it does not detail a process for reviewing, updating and testing its cyber security incident management procedures. Services Australia has reporting processes that provide regular reporting of cyber security incidents, including significant or reportable cyber security incidents, to internal and external stakeholders. It has not defined the timeframes for reporting to relevant stakeholders and the consideration of engaging other relevant expertise, such as legal advisors, during reporting processes. (See paragraphs 3.6 to 3.44) | 21. オーストラリア政府は、サイバーセキュリティインシデントの管理体制と責任を確立している。また、サイバーセキュリティインシデントの管理に関する方針も定めていないが、セキュリティの継続的な改善サイクルと経営陣への報告を定義するアプローチについては詳述していないものの、セキュリティの成熟度モニタリング計画を策定している。トラストサービスは、サイバーセキュリティインシデント対応計画と信頼される内部者プログラムを策定している。しかし、信頼される内部関係者プログラムは、法務機能など他の事業分野からのインプットを考慮していない。オーストラリアの重要資産およびデータ登録簿には、重要システムおよびデータ資産に関する完全な情報がない。オーストラリア政府は、サイバーセキュリティリスクとインシデントマネジメントのための手順の枠組みを文書化している。しかし、サイバーセキュリティインシデント管理手順を見直し、更新し、テストするプロセスは詳述されていない。オーストラリア政府は、重大または報告義務のあるサイバーセキュリティインシデントを含むサイバーセキュリティインシデントを、内部および外部の利害関係者に定期的に報告するための報告プロセスを有している。関連する利害関係者への報告の時間枠や、報告プロセスにおける法律顧問など他の関連する専門家の関与の検討については定義されていない。(段落3.6~3.44参照)。 |
| 22. Services Australia has documented its approach for managing data spills, malicious code infections and intrusions. It has not established processes for reviewing, updating and testing these cyber security incident response procedures. Services Australia has implemented a Security Information and Event Management (SIEM) solution and developed a systematic approach to the monitoring and prioritisation of security alerts. Services Australia has an Event Logging and Monitoring Policy. It has not established processes for extracting, retrieving and analysing archived SIEM data, nor has it defined the timeframe requirements for triage and escalation activities. Services Australia has not defined an approach for cyber security investigations. (See paragraphs 3.45 to 3.73) | 22. オーストラリア政府は、データ流出、悪質なコード感染、および不正侵入を管理するためのアプ ローチを文書化している。これらのサイバーセキュリティインシデント対応手順を見直し、更新し、テストするプロセスは確立されていない。オーストラリア政府は、セキュリティ情報・イベント管理(SIEM)ソリューションを導入し、セキュリ ティアラートの監視と優先順位付けに関する体系的なアプローチを開発した。サービス・オーストラリアには、イベントログと監視に関するポリシーがある。アーカイブされた SIEM データを抽出、検索、分析するプロセスを確立しておらず、トリアージとエスカレーション活動の時間枠要件も定義していない。オーストラリア政府は、サイバーセキュリティ調査のアプローチを定義していない。(段落 3.45 から 3.73 を参照)。 |
| 23. Services Australia has not defined an approach to digital preservation related to cyber security incidents and regular backups and nor does it have business continuity or disaster recovery plans that address all systems, including the systems which support the critical recovery processes. It is not well placed to ensure business continuity or disaster recovery in the event of a significant or reportable cyber security incident. Services Australia has processes for performing regular backups. These processes do not include all platforms and Services Australia does not test the restoration of data, applications and settings from backups as part of disaster recovery exercises. Services Australia has not appropriately documented an embedded post-incident learning approach following a cyber security incident. Services Australia has not established a process that leverages post-incident learnings to review and improve the effective implementation of arrangements to manage cyber security incidents. (See paragraphs 3.74 to 3.103) | 23. オーストラリア政府は、サイバーセキュリティインシデントと定期的なバックアップに関連するデジ タル保全のためのアプローチを定義しておらず、また、重要な復旧プロセスをサポートするシステ ムを含むすべてのシステムに対応する事業継続計画または災害復旧計画を策定していない。また、重要な復旧プロセスをサポートするシステムを含む、すべてのシステムに対応する事業継続計画や災害復旧計画もない。オーストラリア政府は、定期的なバックアップを実施するためのプロセスを持っている。これらのプロセスにはすべてのプラットフォームが含まれておらず、オーストラリア政府は災害復旧演習の一環としてバックアップからのデータ、アプリケーション、設定の復元をテストしていない。サービス・オーストラリアは、サイバーセキュリティインシデント発生後に組み込まれた事後学習アプロ ーチを適切に文書化していない。サービスオーストラリアは、サイバーセキュリティインシデントを管理するための取り決めの効果的な実施を見直し改善するために、インシデント発生後の学習を活用するプロセスを確立していない。(段落 3.74 から 3.103 を参照)。 |
| Recommendations | 勧告 |
| Recommendation no. 1 | 勧告 No.1 |
| Paragraph 2.24 | パラグラフ2.24 |
| Australian Transaction Reports and Analysis Centre develops and implements: | オーストラリア取引報告分析センターは以下を策定し、実施する: |
| policies that define the responsibilities of the Chief Information Security Officer in accordance with the Protective Security Policy Framework requirements; and | 防御セキュリティポリシーフレームワークの要件に従って、最高情報セキュリティ責任者の責任を定義するポリシー、および以下を策定し実施する。 |
| a security maturity monitoring plan that defines a continuous improvement cycle as well as reporting to management, including documenting the determination of reporting frequency and escalation. | セキュリティの継続的なモニタリング計画を策定し、報告頻度やエスカレーションの決定を文書化するなど、経営層への報告とともに、継続的な改善サイクルを定義する。 |
| Australian Transaction Reports and Analysis Centre response: Agreed. | オーストラリア取引報告分析センターの回答 同意する。 |
| Recommendation no. 2 | 勧告 No.2 |
| Paragraph 2.31 | パラグラフ2.31 |
| Australian Transaction Reports and Analysis Centre develops and implements: | オーストラリア取引報告分析センターは以下を策定し、実施する: |
| processes for ensuring cyber security incident meetings are documented; | サイバーセキュリティインシデント会議を確実に文書化するためのプロセス; |
| timeframes for reporting to relevant external stakeholders; and | 関連する外部の利害関係者に報告する期間 |
| processes that ensure regular risk reporting to its portfolio minister and the Department of Home Affairs. | 担当大臣および内務省への定期的なリスク報告を保証するプロセス。 |
| Australian Transaction Reports and Analysis Centre response: Agreed. | オーストラリア取引報告分析センターの回答 同意する。 |
| Recommendation no. 3 | 勧告 No.3 |
| Paragraph 2.41 | パラグラフ2.41 |
| Australian Transaction Reports and Analysis Centre develops and implements: | オーストラリア取引報告分析センターは以下を策定し、実施する: |
| procedures that define assigned security roles and responsibilities for coordinating responses, including engagement of relevant expertise; and | 関連する専門家の関与を含め、対応を調整するために割り当てられたセキュリティ上の役割と責任を定義する手順。 |
| processes for managing and maintaining evidence during and after cyber security investigations. | サイバーセキュリティ調査中および調査後の証拠を管理・維持するためのプロセス |
| Australian Transaction Reports and Analysis Centre response: Agreed. | オーストラリア取引報告分析センターの対応 同意する。 |
| Recommendation no. 4 | 勧告 No.4 |
| Paragraph 2.47 | パラグラフ 2.47 |
| Australian Transaction Reports and Analysis Centre develops and implements: | オーストラリア取引報告分析センターは以下を開発し実施する: |
| an approach for containment actions that restrict access to data, systems and networks in the event of a data spill; and | データ流出が発生した場合に、データ、システム、およびネットワークへのアクセスを制限する封じ込め措置のためのアプローチ。 |
| an event log policy for handling and containing malicious code infections or intrusions. | 悪質なコードの感染や侵入を処理し、封じ込めるためのイベントログポリシー。 |
| Australian Transaction Reports and Analysis Centre response: Agreed. | オーストラリア取引報告分析センターの対応 同意する。 |
| Recommendation no. 5 | 勧告 No.5 |
| Paragraph 2.57 | パラグラフ 2.57 |
| Australian Transaction Reports and Analysis Centre implements a strategy for Security Information and Event Management (SIEM) solution coverage that is in accordance with Australian Signals Directorate’s Guidelines for System Monitoring and performs a risk assessment to support any deviations from the guideline’s recommendations. | Australian Transaction Reports and Analysis Centre は、Australian Signals Directorate's Guidelines for System Monitoring に従ったセキュリティ情報およびイベントマネジメント(SIEM)ソリューションの適用範囲の戦略を実施し、ガイドラインの推奨事項からの逸脱をサポートするリスクアセスメントを実施する。 |
| Australian Transaction Reports and Analysis Centre response: Agreed. | オーストラリア取引報告分析センターの回答 同意する。 |
| Recommendation no. 6 | 勧告 No.6 |
| Paragraph 2.63 | パラグラフ 2.63 |
| Australian Transaction Reports and Analysis Centre establishes: | オーストラリア取引報告分析センターは以下を確立する: |
| a process for retrieving and analysing production Security Information and Event Management (SIEM) solution data held within its SIEM solution and archived SIEM data; | SIEM ソリューション内に保持されている本番のセキュリティ情報およびイベント管理(SIEM)ソリューションデータと、アーカイブされた SIEM データを検索および分析するためのプロセスを確立する; |
| record keeping requirements for triage and escalation activities over non-significant cyber security events to ensure completeness of activities; and | 重要でないサイバーセキュリティ事象に関するトリアージとエスカレーション活動の記録保持要件を定め、活動の完全性を確保する。 |
| timeframe requirements for triage and escalation activities. | トリアージおよびエスカレーション活動の時間枠要件。 |
| Australian Transaction Reports and Analysis Centre response: Agreed. | オーストラリア取引報告分析センターの回答: 同意する。 |
| Recommendation no. 7 | 勧告 No.7 |
| Paragraph 2.78 | パラグラフ 2.78 |
| Australian Transaction Reports and Analysis Centre develops and implements: | オーストラリア取引報告分析センターは以下を策定し、実施する: |
| disaster recovery testing schedules that include backup solutions; | バックアップソリューションを含む災害復旧テストスケジュール |
| business continuity planning processes that incorporate the systems, applications and servers which support critical business processes; and | 重要なビジネスプロセスをサポートするシステム、アプリケーション、およびサーバを組み 込んだ事業継続計画プロセス。 |
| processes that test the recoverability of its systems and applications supporting critical business processes, including implementing any lessons learned into future testing schedules. | 重要なビジネスプロセスをサポートするシステムおよびアプリケーションの復旧可能性をテストするプロセス。 |
| Australian Transaction Reports and Analysis Centre response: Agreed. | オーストラリア取引報告分析センターの回答: 同意する。 |
| Recommendation no. 8 | 勧告 No.8 |
| Paragraph 2.88 | パラグラフ2.88 |
| Australian Transaction Reports and Analysis Centre establishes a program that assesses the effectiveness of recovery processes for all production and archived backup data. | Australian Transaction Reports and Analysis Centreは、すべての本番データおよびアーカイブされたバックアップデータの復旧プロセスの有効性を評価するプログラムを確立する。 |
| Australian Transaction Reports and Analysis Centre response: Agreed. | オーストラリア取引報告分析センターの回答:同意する |
| Recommendation no. 9 | 勧告 No.9 |
| Paragraph 2.92 | パラグラフ2.92 |
| Australian Transaction Reports and Analysis Centre leverage its post-incident learning approaches following a cyber security incident to inform a process that reviews, updates and tests all of the relevant security documentation for the effective management of cyber security incidents. That is: | オーストラリア取引報告分析センターは、サイバーセキュリティインシデントの効果的な管 理のために、インシデント発生後の学習アプローチを活用して、関連するすべてのセキュ リティ文書を見直し、更新し、テストするプロセスを周知する。つまり、以下のようなことである: |
| supporting security documentation to its security plans; | セキュリティ計画に対するセキュリティ文書を支援する |
| framework of procedures for cyber security incident management; | サイバーセキュリティインシデント管理手順の枠組み |
| associated guidance for cyber security incident response; and | サイバーセキュリティインシデント対応に関するガイダンス |
| associated guidance for cyber security incident recovery. | サイバーセキュリティインシデント復旧のための関連ガイダンス。 |
| Australian Transaction Reports and Analysis Centre response: Agreed. | オーストラリア取引報告分析センターの回答: 同意する。 |
| Recommendation no. 10 | 勧告 No.10 |
| Paragraph 3.18 | パラグラフ 3.18 |
| Services Australia updates its trusted insider program with the support of legal advice and other relevant expertise and ensure it is fit for purpose across the organisation. | オーストラリア政府は、法的助言およびその他の関連専門家の支援を受けてトラストド・ インサイダー・プログラムを更新し、組織全体で目的に適合するようにする。 |
| Services Australia response: Agreed. | サービス・オーストラリアの回答 同意する。 |
| Recommendation no. 11 | 勧告 No.11 |
| Paragraph 3.23 | パラグラフ 3.23 |
| Services Australia updates its systems criticality assessments and data registers with the necessary information to confirm the criticality of each system and data asset. | サービス・オーストラリアは、各システムとデータ資産の重要性を確認するために必要な情 報を用いて、システムの重要性評価とデータ登録簿を更新する。 |
| Services Australia response: Agreed. | サービス・オーストラリアの回答 同意する。 |
| Recommendation no. 12 | 勧告 No.12 |
| Paragraph 3.29 | パラグラフ 3.29 |
| Services Australia establishes a Cyber Security Incident Management Policy or include ‘cyber security incidents’ as part of the scope of the Incident Management and Escalation Policy. | サービス・オーストラリアは、サイバーセキュリティインシデント管理方針を制定するか、「サイ バーセキュリティインシデント」をインシデント管理およびエスカレーション方針の範囲に含める。 |
| Services Australia response: Agreed. | サービス・オーストラリアの回答 同意する。 |
| Recommendation no. 13 | 勧告 No.13 |
| Paragraph 3.35 | パラグラフ 3.35 |
| Services Australia develops and implements an approach that ensures continuous monitoring and improvement reporting is provided to management, including documenting the determination of reporting frequency and escalation. | サービス・オーストラリアは、報告頻度とエスカレーションの決定を文書化することを含め、 継続的な監視と改善報告が確実にマネージドサービス・プロバイダーに提供されるよう なアプローチを開発し、実施する。 |
| Services Australia response: Agreed. | サービス・オーストラリアの回答 同意する。 |
| Recommendation no. 14 | 勧告 No.14 |
| Paragraph 3.43 | パラグラフ 3.43 |
| Services Australia designs and implements procedures detailing: | サービス・オーストラリアは、以下を詳述する手順を設計し、実施する: |
| the timeframes for reporting to internal and external stakeholders; and | 社内および社外の利害関係者に報告するための時間枠。 |
| roles and responsibilities for coordinating responses, including engagement of relevant expertise. | 関連する専門家の関与を含む、対応を調整するための役割と責任。 |
| Services Australia response: Agreed. | サービス・オーストラリアの回答 同意する。 |
| Recommendation no. 15 | 勧告 No.15 |
| Paragraph 3.59 | パラグラフ 3.59 |
| Services Australia develops and implements procedures detailing: | オーストラリア政府は、以下を詳述する手順を策定し、実施する: |
| the process for performing cyber security investigations in accordance with the Australian Government Investigations Standard; and | オーストラリア政府調査標準に従ったサイバーセキュリティ調査の実施プロセス |
| the process for managing and maintaining evidence during and after cyber security investigations. | サイバーセキュリティ調査中および調査後の証拠管理・維持プロセス |
| Services Australia response: Agreed. | サービス・オーストラリアの回答 同意する。 |
| Recommendation no. 16 | 勧告 No.16 |
| Paragraph 3.71 | パラグラフ 3.71 |
| Services Australia develops and implements: | オーストラリア政府は以下を策定し実施する: |
| a process for retrieving and analysing archived Security Information and Event Management (SIEM) solution data; and | アーカイブされたセキュリティ情報およびイベント管理(SIEM)ソリューションデータを検索および分 析するためのプロセス。 |
| timeframe requirements for triage and escalation activities. | トリアージおよびエスカレーション活動の時間枠要件。 |
| Services Australia response: Agreed. | サービス・オーストラリアの対応: 同意する。 |
| Recommendation no. 17 | 勧告 No.17 |
| Paragraph 3.87 | パラグラフ 3.87 |
| Services Australia develop and implement: | サービス・オーストラリアは以下を策定し実施する: |
| a policy for digital preservation; | デジタル保存に関する方針 |
| a policy for regular backups; | 定期的なバックアップの方針 |
| business continuity and disaster recovery plans that include the systems, applications and servers which support their critical recovery processes; and | 重要な復旧プロセスをサポートするシステム、アプリケーション、およびサーバーを含む、 事業継続および災害復旧計画。 |
| processes that test the recoverability of their systems and applications supporting critical business processes, and implement any lessons learned into future testing plans. | 重要なビジネスプロセスをサポートするシステムおよびアプリケーションの復旧可能性をテストし、得られた教訓を将来のテスト計画に反映させる。 |
| Services Australia response: Agreed. | サービス・オーストラリアの回答 同意する。 |
| Recommendation no. 18 | 勧告 No.18 |
| Paragraph 3.96 | パラグラフ 3.96 |
| Services Australia establish a program that assesses the effectiveness of recovery processes for all production and archived backup data. | オーストラリア政府は、すべての本番データおよびアーカイブされたバックアップデータ の復旧プロセスの有効性を評価するプログラムを確立する。 |
| Services Australia response: Agreed. | サービス・オーストラリアの回答 同意する。 |
| Recommendation no. 19 | 勧告 No.19 |
| Paragraph 3.101 | パラグラフ 3.101 |
| Services Australia develops its post-incident learning approaches following a cyber security incident to inform a process that reviews, updates and tests all of the relevant security documentation for the effective management of cyber security incidents. That is: | サービスオーストラリアは、サイバーセキュリティインシデント発生後に、サイバーセ キュリティインシデントを効果的に管理するためのすべての関連セキュリティ文書を見直し、 更新し、テストするプロセスを提供するために、インシデント発生後の学習アプローチを策定す る。すなわち、以下のとおりである: |
| supporting security documentation to their security plans; | セキュリティ計画に対するセキュリティ文書を支援する |
| framework of procedures for cyber security incident management; | サイバーセキュリティインシデント管理手順の枠組み |
| associated guidance for cyber security incident response; and | サイバーセキュリティインシデント対応のための関連ガイダンス |
| associated guidance for cyber security incident recovery. | サイバーセキュリティインシデント復旧のための関連ガイダンスである。 |
| Services Australia response: Agreed. | サービス・オーストラリアからの回答 同意する。 |
| Summary of entity responses | 事業体の回答の要約 |
| 24. The proposed audit report was provided to AUSTRAC and Services Australia. The entities’ summary responses are reproduced below. Their full responses are included at Appendix 1. Improvements observed by the ANAO during the course of this audit are listed at Appendix 2. | 24. 提案された監査報告書は AUSTRAC とオーストラリア政府サービス庁にプロバイダされた。事業体からの回答の概要は以下の通りである。全回答は附属書1に記載されている。本監査の過程で ANAO が観察した改善点は、附属書 2 に記載されている。 |
| AUSTRAC | AUSTRAC |
| AUSTRAC welcomes the review and the opportunity to reflect on its processes and procedures for managing cybersecurity incidents. AUSTRAC maintains that our processes to date have enabled effective management of cyber security incidents if and as they occur, involving prioritisation, escalation and seeking internal and external expertise to inform AUSTRAC’s effective cyber security incident response. AUSTRAC welcomes the ANAO’s recommendations, which will support AUSTRAC to strengthen our approach to cybersecurity incident management through greater clarity and certainty provided by documenting much of our existing approach and enhancing it where gaps have been identified. In response to the recommendations, AUSTRAC will update key incident response plans and documents, as well as develop testing schedules consistent with our risk profile and appetite and operational requirements. | AUSTRACは、サイバーセキュリティインシデントを管理するためのプロセスと手順について検討する機会とレビューを歓迎する。AUSTRAC は、優先順位付け、エスカレーション、AUSTRAC の効果的なサイバーセキュリティ インシデント対応に情報を提供するための内部および外部の専門家への情報提供を含む、サイバーセ キュリティインシデントが発生した場合およびその都度、AUSTRAC のこれまでのプロセスによって効果的な 管理が可能になっていることを維持している。AUSTRACは、ANAOの勧告を歓迎する。この勧告は、AUSTRACがサイバーセキュリティインシデント管理へのアプローチを強化するための支援となり、AUSTRACの既存のアプローチの多くを文書化し、ギャップが特定された場合にはそれを強化することによって提供される、より明確で確実なものとなる。勧告を受け、AUSTRACは主要なインシデント対応計画および文書を更新するとともに、リスクプロファイルおよび選好度、業務要件に合致したテストスケジュールを策定する予定である。 |
| Services Australia | サービス・オーストラリア |
| Services Australia (the Agency) notes the audit findings and the recommendations for the Agency associated with improving the management of cyber security. The Agency agrees with the recommendations, and will work towards further strengthening controls in the identified areas. | オーストラリア政府サービス庁(以下、「サービス庁」)は、サイバーセキュリティ管理の改善に関連する監査所見と、サービス庁に対する勧告に留意する。当機関は勧告に同意し、特定された分野における管理のさらなる強化に向けて取り組む。 |
| The Agency takes its responsibility to safeguard the personal information and data of its customers very seriously, as well as the need to ensure continuity of the essential services and payments that the Agency provides. I consider that the implementation of the recommendations contained in the report will support the Agency in achieving those outcomes. | 同庁は、顧客の個人情報およびデータを保護する責任を非常に重く受け止めており、また同庁が提供する必要不可欠なサービスおよび決済の継続性を確保する必要性も認識している。本報告書に含まれる提言の実施は、当機構がこれらの成果を達成するための支援になると考える。 |
| Key messages from this audit for all Australian Government entities | 全オーストラリア政府事業体に対する本監査からの主要なメッセージ |
| Below is a summary of key messages, including instances of good practice, which have been identified in this audit and may be relevant for the operations of other Australian Government entities. | 以下は、本監査で確認された、他のオーストラリア政府機関の業務に関連すると思われる、 優れた事例を含む主要なメッセージの要約である。 |
| Governance and risk management | ガバナンスとリスクマネジメント |
| Public services are increasingly reliant on the availability of systems. Entities should understand and assess the need for critical business continuity and disaster recovery management and frame their security documentation and processes on the basis that cyber security incidents could disrupt or shut down the delivery of digital services to the Australian public. | 公共サービスは、システムの可用性にますます依存するようになっている。事業体は、重要な事業継続と災害復旧管理の必要性を理解・評価し、サイバーセキュリティインシデントがオーストラリア国民へのデジタルサービスの提供を中断または停止させる可能性があることを前提に、セキュリティ文書とプロセスを構築すべきである。 |
| Entities should document policies and procedures — which is important for managing staff turnover — particularly for smaller organisations that are critically dependent on the qualifications and experience of key security advisors. | 事業体は、方針と手順を文書化すべきである。これは、特に、主要なセキュリティアドバイザーの資格と経験に決定的に依存している小規模事業体にとっては、スタッフの離職を管理する上で重要である。 |
| Entities should leverage post-incident learning to inform a process that reviews, updates and tests all security documentation for the effective management of cyber security incidents. Post-incident learning greatly improves business continuity and recovery prospects following a significant or reportable cyber security incident. | 事業体は、サイバーセキュリティインシデントを効果的に管理するために、インシデント後の学習を活用して、すべてのセキュリティ文書を見直し、更新し、テストするプロセスに反映させるべきである。インシデント発生後の学習は、重大なまたは報告すべきサイバーセキュリティインシデント発生後の事業継続性と復旧の見通しを大幅に改善する。 |
| Entities should implement a trusted insider program which would actively assist an entity to effectively detect and mitigate internal cyberattack threats. | 事業体は、内部サイバー攻撃の脅威を効果的に検知し緩和するために、事業体を積極的に支援する信頼される内部者プログラムを導入すべきである。 |
| As Australia’s cyber security regulatory landscape evolves and reforms, it is important for an entity to consider how their legal function will support their governance committees during the external reporting process to manage increasing scrutiny and liability risks following a significant or reportable cyber security incident. | オーストラリアのサイバーセキュリティ規制の状況が進化し、改革が進む中、事業体にとって重要なのは、重大または報告すべきサイバーセキュリティインシデント発生後に増大する監視と責任リスクに対処するため、外部報告プロセスにおいて法務機能がどのようにガバナンス委員会を支援するかを検討することである。 |
| Performance and impact measurement | パフォーマンスと影響の測定 |
| Entities should implement a systematic and centralised approach to the management of Security Information and Event Management (SIEM) solutions, including automated monitoring and prioritisation of security alerts. | 事業体は、セキュリティアラートの自動監視と優先順位付けを含む、セキュリティ情報・イベント管理(SIEM)ソリューションの管理に対する体系的かつ一元的なアプローチを導入すべきである。 |
« 米国 サイバーセキュリティ・インフラセキュリティ庁(CISA)と米国選挙支援委員会(EAC)が選挙セキュリティについてのガイドを発表 (2024.06.17) | Main | OECD 子どものためのデザインによるデジタル・セーフティを目指す »
Comments