米国 GAO DODはソフトウェア評価基準を強化し、継続的なサイバーセキュリティと報告のギャップに対処する必要がある。

こんにちは、丸山満彦です。

国防総省のシステム開発コストは大きいですよね...

3年間でこんな感じ...

で、もちろん、日本でもSAPの導入の失敗があるように、計画に比べて完成がおくれたり、経費が膨らんだりはします...

でも、これだけの規模なのに以外と計画通りに行っているようにも感じますね...

 

IT Systems Annual Assessment:DOD Needs to Strengthen Software Metrics and Address Continued Cybersecurity and Reporting Gaps	ITシステム年次アセスメント:DODはソフトウェア評価基準を強化し、継続的なサイバーセキュリティと報告のギャップに対処する必要がある。
Fast Facts	事実
DOD spent, or planned to spend, $9.1 billion on IT business programs in FYs 2022-24.	国防総省は2022～24年度に、ITビジネス・プログラムに91億ドルを支出した、あるいは支出する予定である。
In our annual assessment, we reviewed 21 of those programs and found 10 are developing software and using an Agile approach. This is an iterative development process in which software is delivered in increments throughout the project, letting program staff catch errors quickly and get continual user feedback.	年次アセスメントにおいて、我々はこれらのプログラムのうち21をレビューし、10がソフトウェアを開発し、アジャイル・アプローチを使用していることを発見した。これは反復的な開発プロセスであり、プロジェクトを通じて段階的にソフトウェアを提供することで、プログラム担当者はエラーを素早く発見し、継続的にユーザーからのフィードバックを得ることができる。
But 4 of these programs didn't use metrics or management tools required for this type of approach—especially when tracking customer satisfaction and software development progress.	しかし、これらのプログラムのうち4つは、この種のアプローチに必要な測定基準や管理ツール、特に顧客満足度とソフトウェア開発の進捗状況を追跡するための測定基準や管理ツールを使用していなかった。
We recommended that DOD address this issue.	我々はDODに対し、この問題に対処するよう勧告した。
Highlights	ハイライト
What GAO Found	GAOが発見したこと
According to the Department of Defense's (DOD) fiscal year (FY) 2024 Federal IT Dashboard data, DOD's planned expenditures for 21 selected IT business programs amounted to $9.1 billion from FY 2022 through FY 2024. The four largest programs accounted for just over half of the planned cost of the portfolio (see figure).	国防省（DOD）の2024会計年度連邦ITダッシュボード・データによると、DODが2022会計年度から2024会計年度にかけて計画した21のITビジネス・プログラムへの支出は91億ドルであった。最も大きな4つのプログラムは、ポートフォリオの計画コストの半分強を占めている（図参照）。
The Department of Defense's (DOD) Planned Costs for the Four Largest IT Business Programs Compared to the Remaining 17 Selected Programs from Fiscal Year (FY) 2022–FY 2024	国防総省（DOD）の2022会計年度から2024会計年度までの4大ITビジネス・プログラムの計画コストと残り17の厳選されたプログラムの比較
For the 21 programs, 70 percent ($6.4 billion) of the total reported cost across the 3 years was for operating and maintaining the systems and 30 percent ($2.7 billion) was for development and modernization.	21のプログラムについて、3年間で報告された総コストの70％（64億ドル）はシステムの運用・保守、30％（27億ドル）は開発と近代化であった。
Officials from 15 of the 21 IT business programs reported cost and/or schedule changes since January 2022 (see figure).	21のITビジネス・プログラムのうち15の関係者が、2022年1月以降のコストおよび／またはスケジュールの変更を報告した（図参照）。
Selected Department of Defense (DOD) IT Business Programs Reported Cost and Schedule Changes Since January 2022	国防総省（DOD）の一部のITビジネス・プログラムは、2022年1月以降のコストとスケジュールの変更を報告している。
This included 13 programs that reported cost increases ranging from $0.5 million to $1.3 billion (a median of $163.3 million) and seven that reported schedule delays ranging from 15 months to 36 months (a median of 24 months).	この中には、0.5百万ドルから13億ドル（中央値1億6330万ドル）のコスト増を報告した13のプログラムと、15ヶ月から36ヶ月（中央値24ヶ月）のスケジュール遅延を報告した7つのプログラムが含まれている。
Programs reported mixed progress on performance. Programs are required to identify and track a minimum of five metrics covering customer satisfaction, business results, financial performance, and innovation. Of the 21 programs, four reported meeting all performance targets, 10 reported meeting at least one, and one reported meeting none. The remaining six programs did not report. GAO has previously recommended that DOD ensure that such reporting occur.	各プログラムは、パフォーマンスに関してまちまちの進捗を報告している。各プログラムは、顧客満足度、業績、財務実績、技術革新の最低5つの指標を特定し、追跡することが義務付けられている。21のプログラムのうち、4つのプログラムがすべての目標を達成したと報告し、10プログラムが少なくとも1つの目標を達成したと報告した。残りの6つのプログラムは報告していない。GAOは以前、DODがこのような報告を確実に行うよう勧告している。
The 10 DOD IT business programs actively developing software reported using recommended Agile and iterative approaches. However, in areas related to tracking customer satisfaction and progress of software development, four of the 10 programs did not use metrics and management tools required by DOD and consistent with GAO's Agile Assessment Guide. As a result, the department risks not having sound information on its Agile software development efforts.	ソフトウェアを積極的に開発している10のDOD ITビジネス・プログラムは、推奨されるアジャイル・アプローチと反復的アプローチを使用していると報告した。しかし、顧客満足度やソフトウェア開発の進捗状況の追跡に関する分野では、10件のプログラムのうち4件が、DODが要求し、GAOのアセスメントガイドに合致したメトリクスや管理ツールを使用していなかった。その結果、国防総省はアジャイルソフトウェア開発の取り組みに関する適切な情報を得られないリスクがある。
Further, while program officials for all 21 programs reported conducting cybersecurity testing and assessments, several programs did not have an approved cybersecurity strategy. In June 2022, GAO had recommended that DOD's Chief Information Officer (CIO) ensure that programs each develop such a strategy. The department concurred with the recommendation and officials stated that they were continuing to follow up with programs that did not have a strategy.	さらに、全21プログラムのプログラム担当者はサイバーセキュリティのテストとアセスメントを実施していると報告しているが、いくつかのプログラムでは承認されたサイバーセキュリティ戦略がなかった。2022年6月、GAOはDODの最高情報責任者（CIO）に対し、各プログラムがそのような戦略を策定するよう確保するよう勧告していた。国防総省はこの勧告に同意しており、担当者は戦略を持たないプログラムのフォローアップを続けていると述べた。
Regarding legislative and policy changes, DOD is revising its business systems investment management guidance, modernizing its business enterprise architecture, and adopting zero trust cybersecurity principles. GAO will continue to monitor DOD's efforts to redistribute roles and responsibilities, improve department management of IT investments, and adopt zero trust cybersecurity.	立法と政策の変更に関しては、DODはビジネスシステム投資管理ガイダンスを改訂し、ビジネスエンタープライズアーキテクチャを近代化し、ゼロトラストサイバーセキュリティ原則を採用している。GAOは引き続き、役割と責任の再分配、IT投資の部門管理の改善、ゼロ・トラスト・サイバーセキュリティの採用に関するDODの取り組みを監視していく。
Why GAO Did This Study	GAOがこの調査を行った理由
Information technology is critical to the success of DOD's major business functions. These functions include such areas as health care, human capital, financial management, logistics, and contracting.	情報技術はDODの主要なビジネス機能の成功に不可欠である。これらの機能には、医療、人的資本、財務管理、兵站、契約などの分野が含まれる。
The National Defense Authorization Act for FY 2019, as amended, includes a provision for GAO to conduct assessments of selected DOD IT programs annually through March 2026. GAO's objectives for this fifth such review were to (1) examine the cost, schedule, and performance of selected DOD IT business programs, (2) assess the extent to which DOD has implemented key software development and cybersecurity practices for selected programs, and (3) describe DOD actions to implement legislative and policy changes that could affect its IT acquisitions.	2019年度の国防認可法には、GAOが2026年3月まで毎年、選択されたDOD ITプログラムのアセスメントを実施する条項が含まれている。この5回目のレビューにおけるGAOの目的は、(1)選択されたDODのITビジネスプログラムのコスト、スケジュール、パフォーマンスを調査すること、(2)DODが選択されたプログラムに対して、主要なソフトウェア開発とサイバーセキュリティの実践をどの程度実施しているかを評価すること、(3)IT買収に影響を与える可能性のある法律や政策の変更を実施するためのDODの行動を説明すること、であった。
To address the first objective, GAO selected 21 DOD IT business programs, including (1) 20 business programs listed as major IT investments in the department's FY 2024 submission to the Federal IT Dashboard and (2) an additional business program that that had been previously designated as major and continued to have high annual costs. In analyzing the FY 2024 Dashboard data, GAO examined DOD's planned expenditures for these programs from FY 2022 through FY 2024.	最初の目的に取り組むため、GAOは21の国防総省のIT事業プログラムを選択した。(1)同省が連邦ITダッシュボードに提出した2024年度の主要IT投資としてリストアップされた20の事業プログラムと、(2)以前に主要と指定され、引き続き年間コストが高い追加事業プログラムである。2024年度ダッシュボードのデータを分析するにあたり、GAOは2022年度から2024年度までのこれらのプログラムに対するDODの支出計画を調査した。
GAO also administered a questionnaire to the 21 program offices to obtain and analyze information about cost and schedule changes that the programs reported experiencing since January 2022.	GAOはまた、2022年1月以降にプログラムが経験したと報告したコストとスケジュールの変更に関する情報を入手し分析するために、21のプログラムオフィスにアンケートを実施した。
Further, GAO compared programs' performance metrics data reported on the Dashboard to OMB guidance and met with DOD CIO officials to understand differences in how the data were reported.	さらにGAOは、ダッシュボードで報告されたプログラムのパフォーマンス指標データをOMBのガイダンスと比較し、データの報告方法の違いを理解するためにDODのCIO職員と面会した。
To address the second objective, the questionnaire also sought information about the programs' software development and cybersecurity practices, including their use and documentation of Agile metrics and development of cybersecurity strategies. GAO compared the responses and documentation against relevant guidance and best practices (e.g. DOD guidance and GAO's Agile Guide) to identify gaps and risks associated with not following the guidance. For programs that did not follow the guidance or demonstrate having documentation, GAO followed up with DOD officials for clarification on reasons why the programs did not do so.	また、2つ目の目的に取り組むため、アジャイルメトリクスの使用と文書化、サイバーセキュリティ戦略の策定など、プログラムのソフトウェア開発とサイバーセキュリティの実践に関する情報も求めた。GAOは、ガイダンスに従わないことに関連するギャップやリスクを特定するために、関連するガイダンスやベストプラクティス（例えば、DODのガイダンスやGAOのアジャイルガイド）と回答や文書を比較した。ガイダンスに従わなかったり、文書があることを示さなかったプログラムについて、GAOはDODの職員に追跡調査を行い、そうしなかった理由を明らかにした。
For the third objective, GAO reviewed policy, plans, and guidance associated with the department's efforts to reorganize former CMO responsibilities; implement changes to its defense business systems investment management guidance and business enterprise architecture; and adopt zero trust cybersecurity principles. GAO also met with DOD CIO officials to discuss the department's efforts in these areas.	第3の目的のために、GAOは旧CMOの責任を再編成し、国防ビジネスシステム投資管理ガイダンスとビジネスエンタープライズアーキテクチャの変更を実施し、ゼロトラストサイバーセキュリティ原則を採用するための国防総省の努力に関連する政策、計画、ガイダンスを検討した。GAOはまた、国防総省のCIO職員と面会し、これらの分野における同省の取り組みについて議論した。
Recommendations	勧告
GAO is making one recommendation to DOD to ensure that IT business programs developing software are using Agile metrics and management tools required by DOD and consistent with GAO's Agile Guide. DOD concurred with GAO's recommendation and described actions it planned to take to address it. In its prior annual assessment reviews, GAO made three recommendations related to performance reporting and cybersecurity strategies. Although DOD described actions it planned to take to address the recommendations, they have not yet been implemented. Doing so would help ensure that the issues GAO identified are addressed.	GAOはDODに対して、ソフトウェアを開発するITビジネス・プログラムが、DODによって要求され、GAOのアジャイル・ガイドと一致するアジャイル・メトリクスと管理ツールを使用していることを確認するよう、1つの勧告を行っている。DODはGAOの勧告に同意し、それに対処するための計画した行動を説明した。以前の年次アセスメントレビューにおいて、GAOはパフォーマンス報告とサイバーセキュリティ戦略に関連する3つの勧告を行った。DODは勧告に対処するために計画した行動を説明したが、それらはまだ実施されていない。そうすることで、GAOが特定した問題が確実に対処されることになる。
Recommendation	勧告
We are making one recommendation to the Department of Defense that the Secretary direct the Chief Information Officer and Under Secretary of Defense for Acquisition and Sustainment to ensure that IT business programs developing software use the metrics and management tools required by DOD and consistent with those identified in GAO's Agile Assessment Guide.	われわれは国防総省に対し、ソフトウェアを開発するITビジネス・プログラムが、GAOのアセスメント・ガイドで特定されたものと一致し、国防総省が要求するメトリクスと管理ツールを使用するよう、国防長官が最高情報責任者と取得・維持担当国防次官に指示するよう、1件の勧告を行う。

 

・[PDF] Full Report

 

・[PDF] Highlights