米国 GAO 高リスク・シリーズ:国家が直面するサイバーセキュリティの重要課題に対処するための緊急行動が必要 (2024.06.13)
こんにちは、丸山満彦です。
GAOの毎年の高リスクシリーズの報告書...
2010年以来1,610件の勧告を報告したが、まだ567件が未実施ということのようです...
4つの主要課題と10の重要なアクション
Establishing a comprehensive cybersecurity strategy and performing effective oversight | 包括的なサイバーセキュリティ戦略を確立し、効果的な監督を行う。 |
1. Develop and execute a more comprehensive federal strategy for national cybersecurity and global cyberspace. | 1. 国家サイバーセキュリティとグローバルサイバースペースのより包括的な連邦戦略を策定し、実行する。 |
2. Mitigate global supply chain risks (e.g., installation of malicious software or hardware). | 2. グローバル・サプライチェーンのリスク(悪意のあるソフトウェアやハードウェアのインストールなど)を低減する。 |
3. Address cybersecurity workforce management challenges. | 3. サイバーセキュリティ人材管理の課題に対処する。 |
4. Bolster the security of emerging technologies (e.g., artificial intelligence and Internet of Things). | 4. 新興技術(人工知能やモノのインターネットなど)のセキュリティを強化する。 |
Securing federal systems and information | 連邦政府のシステムと情報を保護する。 |
5. Improve implementation of government-wide cybersecurity initiatives. | 5. 政府全体のサイバーセキュリティ・イニシアチブの実施を改善する。 |
6. Address weaknesses in federal agency information security programs. | 6. 連邦政府機関の情報セキュリティプログラムの弱点に対処する。 |
7. Enhance the federal response to cyber incidents. | 7. サイバーインシデントへの連邦政府の対応を強化する。 |
Protecting the cybersecurity of critical infrastructure | 重要インフラのサイバーセキュリティを防御する。 |
8. Strengthen the federal role in protecting the cybersecurity of critical infrastructure (e.g., electricity grid and telecommunications networks). | 8. 重要インフラ(送電網や通信網など)のサイバーセキュリティ保護における連邦政府の役割を強化する。 |
Protecting privacy and sensitive data | プライバシー・機密データの防御 |
9. Improve federal efforts to protect privacy and sensitive data. | 9. プライバシーと機密データを保護するための連邦政府の取り組みを改善する。 |
10. Appropriately limit the collection and use of personal information and ensure that it is obtained with appropriate knowledge or consent. | 10. 個人情報の収集と利用を適切に制限し、適切な知識または同意を得た上で取得されるようにする。 |
さて、発表とブログ...
● GAO
・2024.06.13 High-Risk Series:Urgent Action Needed to Address Critical Cybersecurity Challenges Facing the Nation
・[PDF] Highlights Page
Why GAO Did This Study | GAOがこの調査を行った理由 |
Federal agencies and the nation's critical infrastructures depend on technology systems to carry out fundamental operations and to process, maintain, and report vital information. The security of these systems and data is also important to safeguarding individual privacy and protecting the nation's security, prosperity, and well-being. | 連邦政府機関と国家の重要なインフラは、基本的な業務を遂行し、重要な情報を処理、維持、報告するための技術システムに依存している。これらのシステムとデータのセキュリティは、個人のプライバシーを守り、国家の安全、繁栄、幸福を守るためにも重要である。 |
GAO first designated information security as a government-wide High-Risk area in 1997. This was expanded to include protecting the cybersecurity of critical infrastructure in 2003 and the privacy of personally identifiable information in 2015. | GAOは1997年に情報セキュリティを政府全体のハイリスク分野として初めて指定した。2003年には重要インフラのサイバーセキュリティの保護、2015年には個人を特定できる情報のプライバシーの保護に拡大された。 |
In 2018, GAO reported that the federal government needed to address four major cybersecurity challenges: (1) establishing a comprehensive cybersecurity strategy and performing effective oversight, (2) securing federal systems and information, (3) protecting the cybersecurity of critical infrastructure, and (4) protecting privacy and sensitive data. Within these four challenges are 10 actions essential to successfully dealing with the serious cybersecurity threats facing the nation. | 2018年、GAOは連邦政府が4つの主要なサイバーセキュリティの課題に取り組む必要があると報告した:(1)包括的なサイバーセキュリティ戦略の確立と効果的な監視の実施、(2)連邦政府のシステムと情報の保護、(3)重要インフラのサイバーセキュリティの保護、(4)プライバシーと機密データの保護。これら4つの課題の中には、国家が直面する深刻なサイバーセキュリティの脅威にうまく対処するために不可欠な10の行動が含まれている。 |
GAO's objective was to describe the challenges facing the federal government in ensuring the cybersecurity of the nation and the progress it has made in addressing these challenges. To do so, GAO identified its recent public reports related to each challenge and summarized relevant findings from this work. GAO also determined the implementation status of relevant recommendations made in these reports. Further, GAO identified its ongoing and upcoming work covering each of the 10 critical actions needed to address the four major cybersecurity challenges. | GAOの目的は、国のサイバーセキュリティを確保する上で連邦政府が直面しているガバナンスの課題と、これらの課題への取り組みの進捗状況を説明することであった。そのためにGAOは、各課題に関連する最近の公開報告書を特定し、この作業から得られた関連所見を要約した。GAOはまた、これらの報告書でなされた関連勧告の実施状況も把握した。さらにGAOは、4つの主要なサイバーセキュリティの課題に対処するために必要な10の重要な行動のそれぞれについて、現在進行中および今後の作業を特定した。 |
For more information, contact Marisol Cruz Cain at (202) 512-5017 or cruzcainm@gao.gov. | 詳細については、Marisol Cruz Cain 電話:(202) 512-5017 または cruzcainm@gao.gov まで。 |
HIGH-RISK SERIES | ハイリスクシリーズ |
Urgent Action Needed to Address Critical Cybersecurity Challenges Facing the Nation | 国家が直面するサイバーセキュリティの重要課題に対処するための緊急行動が必要である。 |
Risks to our nation’s essential technology systems are increasing. Threats to these systems can come from a variety of sources and vary in terms of the types and capabilities of the actors, their willingness to act, and their motives. Federal agencies reported 30,659 information security incidents to the Department of Homeland Security’s United States Computer Emergency Readiness Team in fiscal year 2022. Such attacks could result in serious harm to human safety, national security, the environment, and the economy. Concerted action among the federal government and its nonfederal partners is critical to mitigating the risks posted by cyber-based threats. Recognizing the growing threat, the federal government urgently needs to take action to address the four major cybersecurity challenges and 10 associated critical actions (see figure 1). | わが国の基幹技術システムに対するリスクは増大している。これらのシステムに対する脅威は、さまざまなソースからもたらされる可能性があり、脅威行為者のタイプや能力、行動意欲、動機もさまざまである。連邦政府機関は2022会計年度に、国土安全保障省の米国コンピュータ緊急対応チームに30,659件の情報セキュリティ・インシデントを報告した。このような攻撃は、人間の安全、国家安全保障、環境、経済に深刻な被害をもたらす可能性がある。サイバー脅威がもたらすリスクを低減するためには、連邦政府と連邦政府以外のパートナーとの協調行動が不可欠である。脅威の拡大をガバナンスで認識している連邦政府は、サイバーセキュリティの4大課題とそれに関連する10の重要なアクションに取り組むための行動を緊急に取る必要がある(図1を参照)。 |
Figure 1: Four Major Cybersecurity Challenges and 10 Associated Critical Actions | 図1:サイバーセキュリティの4大課題と関連する10の重要行動 |
Since 2010, GAO has made 1,610 recommendations in public reports that address the four cybersecurity challenge areas. As of May 2024, federal agencies had implemented 1,043 of these recommendations; 567 remain unimplemented. Until these recommendations are fully implemented, the federal government will be hindered in ensuring the security of federal systems and critical infrastructure and the privacy of sensitive data. This increases the risk that the nation will be unprepared to respond to the cyber threats that can cause serious damage to public safety, national security, the environment, and economic well-being. | 2010年以来、GAOはサイバーセキュリティの4つの課題分野に取り組む1,610件の勧告を公開報告書で行ってきた。2024年5月現在、連邦政府機関はこれらの勧告のうち1,043件を実施しているが、567件は未実施のままである。これらの勧告が完全に実施されるまで、連邦政府は連邦システムおよび重要インフラのセキュリティと機密データのプライバシーの確保に支障をきたすだろう。これは、公共の安全、国家安全保障、環境、経済的福利に深刻な損害を与えうるサイバー脅威に対応する準備ができていないというリスクを増大させる。 |
Challenge 1: | 課題 1: |
Establishing a comprehensive cybersecurity strategy and performing effective oversight | 包括的なサイバーセキュリティ戦略を確立し、効果的な監視を行う。 |
170 of 396 recommendations have NOT been implemented (as of May 2024) | 396の勧告のうち170が未実施(2024年5月現在) |
The White House, through the Office of the National Cyber Director, has taken important steps in providing cybersecurity leadership, including developing and publicly releasing the National Cybersecurity Strategy and its accompanying implementation plan. However, in February 2024, GAO reported that the strategy and implementation plan addressed some, but not all, of the desirable characteristics of a national strategy. In particular, the strategy and implementation plan did not fully incorporate outcome-oriented performance measures and estimated resources and costs. | ホワイトハウスは、国家サイバー長官室を通じて、国家サイバーセキュリティ戦略とそれに付随する実施計画を策定・公表するなど、サイバーセキュリティのリーダーシップを発揮する上で重要なステップを踏んできた。しかし、2024年2月、GAOは、戦略と実施計画は国家戦略の望ましい特性の全てではないが、一部に対処していると報告した。特に、戦略と実施計画には、成果志向のパフォーマンス指標と、リソースとコストの見積もりが十分に盛り込まれていなかった。 |
Additionally, the federal government needs to take actions to perform effective oversight, including monitoring the global supply chain, ensuring a highly skilled cyber workforce, and addressing risks associated with emerging technologies, such as artificial intelligence (AI). For example: | さらに連邦政府は、グローバル・サプライチェーンの監視、高度なスキルを持つサイバー人材の確保、人工知能(AI)などの新技術に関連するリスクへの対応など、効果的な監視を行うための行動をとる必要がある。例えば、次のようなことだ: |
• Emerging threats in the supply chain can put federal agencies, including the Department of Defense (DOD), at risk. GAO’s 2023 report showed that DOD had addressed four and partially addressed three practices for managing supply chain risk. However, DOD has not yet implemented GAO’s three recommendations on the partially addressed practices. | ・サプライチェーンにおける新たな脅威は、国防総省を含む連邦政府機関をリスクにさらす可能性がある。GAOの2023年報告書によると、DODはサプライチェーン・リスクマネジメントのための4つのプラクティスに取り組み、3つのプラクティスには部分的に取り組んでいた。しかし、DODは、部分的に対処したプラクティスに関するGAOの3つの勧告をまだ実施していない。 |
• Regarding the cyber workforce, in July 2023 GAO reported that the National Institute of Standards and Technology (NIST) had not fully addressed nine key performance assessment practices in its efforts to strengthen cybersecurity education, training, and workforce development. GAO’s recommendations to fully address these practices have not yet been implemented. | ・サイバー人材に関しては、2023年7月にGAOは、国立標準技術研究所(NIST)がサイバーセキュリティの教育、訓練、人材育成を強化する取り組みにおいて、9つの主要なパフォーマンス・アセスメント・プラクティスに完全に対処していないと報告した。これらのプラクティスに完全に対処するためのGAOの勧告は、まだ実施されていない。 |
• GAO’s 2023 government-wide report on AI revealed that 20 federal agencies reported a total of about 1,200 current and planned use cases—specific challenges or opportunities that AI may solve. However, many agencies had not implemented AI requirements, such as preparing an inventory on AI use. GAO made 35 recommendations to address this; however, none of these have yet been implemented. | ・AIに関するGAOの2023年政府全体報告書では、20の連邦政府機関が合計約1,200の現在および計画中のユースケースを報告し、AIが解決する可能性のある特定の課題や機会を明らかにした。しかし、多くの機関は、AI利用に関するインベントリーの作成など、AIの要件を実施していなかった。GAOはこれに対処するために35の勧告を行ったが、いずれもまだ実施されていない。 |
Challenge 2: | 課題2: |
Securing federal systems and information | 連邦政府のシステムと情報の保護 |
221 of 839 recommendations have NOT been implemented (as of May 2024) | 839の勧告のうち221が未実施(2024年5月現在) |
GAO has found that agencies remain limited in their ability to improve implementation of government-wide cybersecurity initiatives, address weaknesses in federal agency information security programs, and enhance the federal response to cyber incidents. For example: | GAOは、政府全体のサイバーセキュリティ・イニシアチブの実施を改善し、連邦政府機関の情報セキュリティ・プログラムの弱点に対処し、サイバーインシデントへの連邦政府の対応を強化する能力において、政府機関が依然として制限されていることを明らかにした。例えば |
• In January 2024, GAO reported that Inspectors General at 15 of the 23 civilian agencies subject to the Chief Financial Officers Act of 1990 found their agencies’ information security programs to be ineffective. Out of the 23 agencies, no more than eight received an effective rating in any given year over the last 6 years of reporting (fiscal years 2017 through 2022). | ・2024年1月、GAOは、1990年最高財務責任者法(Chief Financial Officers Act of 1990)の対象となる23の民間機関のうち15の監察官室が、各機関の情報セキュリティ・プログラムが効果的でないことを発見したと報告した。23機関のうち、過去6年間(2017会計年度から2022会計年度)の報告で、ある年に効果的と評価されたのは8機関以下であった。 |
• GAO’s May 2023 report highlighted that four selected agencies (the Departments of Agriculture, Homeland Security, Labor, and the Treasury) varied in their efforts to implement key security practices for cloud services, which provide on-demand access to shared resources such as networks, servers, and data storage. The practices included having a plan to respond to incidents and continuous monitoring of system security and privacy. GAO made 35 recommendations to the selected agencies, most of which have not been implemented. | ・GAOの2023年5月の報告書では、選定された4つの機関(農務省、国土安全保障省、労働省、財務省)が、ネットワーク、サーバー、データストレージなどの共有リソースへのオンデマンドアクセスを提供するクラウドサービスに対して、主要なセキュリティ対策を実施する取り組みにばらつきがあることが強調された。対応には、インシデントへの対応計画の策定や、システムのセキュリティとプライバシーの継続的なモニタリングなどが含まれる。GAOは選定された機関に対し35件の勧告を行ったが、そのほとんどは実施されていない。 |
In December 2023, GAO reported that 23 federal civilian agencies had made progress in cybersecurity incident response preparedness, but 20 of the 23 agencies had not fully established an event logging capability. A log is a record of the events occurring within an organization’s systems and networks, and maintaining such a record is crucial for responding to incidents. GAO recommended that 19 of the 20 agencies fully implement federal event logging requirements; however, these have not yet been implemented. | 2023年12月、GAOは、23の連邦民間機関がサイバーセキュリティ・インシデント対応準備において前進を遂げたが、23機関のうち20機関はイベント・ロギング機能を完全に確立していなかったと報告した。ログは、組織のシステムやネットワーク内で発生したイベントの記録であり、このような記録を維持することは、インシデントに対応する上で極めて重要である。GAOは、20機関のうち19機関に対し、連邦政府のイベント・ロギング要件を完全に実施するよう勧告したが、これらはまだ実施されていない。 |
Challenge 3: | 課題3: |
Protecting the cybersecurity of critical infrastructure | 重要インフラのサイバーセキュリティの防御 |
64 of 126 recommendations have NOT been implemented (as of May 2024) | 126の勧告のうち64が未実施(2024年5月現在) |
The nation’s 16 critical infrastructure sectors provide the essential services that underpin American society (see figure 2). | 国の16の重要インフラ部門は、米国社会を支える重要なサービスを提供している(図2を参照)。 |
Figure 2: The 16 Critical Infrastructure Sectors | 図2:16の重要インフラ部門 |
These sectors rely on electronic systems and data to support their missions, including operational technology, which consists of systems that interact with the physical environment. Attacks on these sectors continue to grow and could result in serious harm to human safety, national security, the environment, and the economy. For example, in February 2024, a cyberattack on Change Healthcare, a health payment processor, resulting in estimated losses of $874 million and widespread impacts on providers and patient care. | これらの部門は、物理的環境と相互作用するシステムで構成される運用技術を含め、その使命を支える電子システムとデータに依存している。これらの部門に対する攻撃は増加の一途をたどっており、人間の安全、国家安全保障、環境、経済に深刻な被害をもたらす可能性がある。例えば、2024年2月、医療費支払い処理会社のチェンジ・ヘルスケア社に対するサイバー攻撃により、推定8億7,400万ドルの損失が発生し、プロバイダと患者ケアに広範な影響が及んだ。 |
Other entities have also recognized the ongoing challenges of ensuring the cybersecurity of critical infrastructure. For example, the Cyberspace Solarium Commission has conducted studies of risks to critical infrastructure and recommended, for example, that space systems be designated as critical infrastructure. | 他の事業体も、重要インフラのサイバーセキュリティを確保するという継続的な課題を認識している。例えば、サイバー空間委員会は、重要インフラに対するリスクに関する研究を行い、例えば、宇宙システムを重要インフラに指定するよう勧告している。 |
The administration and federal agencies have taken some steps to address challenges in protecting the cybersecurity of critical infrastructure. For example, in April 2024, the White House issued the National Security Memorandum on Critical Infrastructure Security and Resilience (NSM-22), which describes the approach the federal government will take to protect U.S. infrastructure against threats and hazards. Among other things, the memorandum reaffirms the designation of the existing 16 critical infrastructure sectors, while calling for a periodic evaluation of changes to critical infrastructure sectors. The memorandum also requires the Secretary of Homeland Security to develop a biennial National Risk Management Plan summarizing U.S. government efforts to manage risk to the nation’s critical infrastructure. | 政権と連邦政府機関は、重要インフラのサイバーセキュリティ保護における課題に対処するため、いくつかの措置を講じている。例えば、2024年4月、ホワイトハウスは「重要インフラのセキュリティとレジリエンスに関する国家安全保障覚書」(NSM-22)を発表した。この覚書は、米国のインフラを脅威やハザードから保護するために連邦政府が取るべきアプローチを記述したものである。この覚書では、特に、既存の16の重要インフラセクターの指定を再確認するとともに、重要インフラセクターの変更を定期的に評価するよう求めている。同覚書はまた、国土安全保障長官に対し、国家の重要インフラに対するリスクマネジメントのための米国政府の取り組みをまとめた国家リスクマネジメント計画を2年ごとに策定するよう求めている。 |
However, GAO has continued to report shortcomings in efforts to ensure the security of key critical infrastructure sectors. For example: | しかし、GAOは、重要インフラ部門のセキュリティ確保に向けた取り組みには不十分な点があると報告し続けている。例えば、以下のようなものである: |
• In January 2024, GAO reported that the federal agencies responsible for the four critical infrastructure sectors that reported almost half of all ransomware attacks—critical manufacturing, energy, healthcare and public health, and transportation systems—had not determined the extent of their adoption of leading practices to address ransomware. GAO recommended that these agencies determine their respective sector’s adoption of cybersecurity practices and assess the effectiveness of federal support. None of these recommendations have been implemented. | ・2024年1月、GAOは、ランサムウェア攻撃のほぼ半数が報告された4つの重要インフラ部門(重要な製造業、エネルギー、医療・公衆衛生、輸送システム)を担当する連邦政府機関が、ランサムウェアに対処するための先進的なプラクティスの採用範囲を決定していないと報告した。GAOはこれらの機関に対し、各セクターのサイバーセキュリティ慣行の採用状況を把握し、連邦政府の支援の有効性を評価するよう勧告した。これらの勧告はいずれも実施されていない。 |
• GAO’s March 2024 report identified challenges in collaboration between the Cybersecurity and Infrastructure Security Agency (CISA) and other federal agencies with responsibilities for mitigating cyber risks to operational technology in their sectors. The challenges were related to ineffective information sharing and a lack of sharing processes. GAO recommended that CISA take steps to address these challenges; however, the recommendations have not yet been implemented. | ・GAOの2024年3月の報告書では、サイバーセキュリティ・インフラセキュリティ庁(CISA)と、各分野の運用技術に対するサイバーリスクの軽減を担当する他の連邦政府機関との連携における課題が指摘された。その課題は、非効率な情報共有と共有プロセスの欠如に関連していた。GAOはCISAに対し、これらの課題に対処するための措置を講じるよう勧告したが、勧告はまだ実施されていない。 |
• In December 2023, GAO highlighted challenges identified by nonfederal entities in the healthcare sector in accessing federal support to address cybersecurity vulnerabilities in network-connected medical devices. GAO recommended that CISA and the Food and Drug Administration update existing agreements to better facilitate collaboration on these issues. However, the recommendations have not yet been implemented. | ・2023年12月、GAOは、ネットワークに接続された医療機器のサイバーセキュリティ脆弱性に対処するための連邦政府の支援にアクセスする際に、ヘルスケア分野の連邦政府以外の事業体が特定した課題を取り上げた。GAOは、CISAと食品医薬品局に対し、これらの問題に関する協力をより円滑に進めるため、既存の協定を更新するよう勧告した。しかし、この勧告はまだ実施されていない。 |
Challenge 4: | 課題4: |
Protecting privacy and sensitive data | プライバシー・機密データの防御 |
112 of 249 recommendations have NOT been implemented (as of May 2024) | 249の勧告のうち112が未実施(2024年5月現在) |
The protection of personal privacy has become a more significant issue in recent years. It is essential that both private and public entities take effective measures to safeguard the sensitive and personal information collected from American citizens. However, incidents threatening the security of this information continue to affect private and public entities. For example, in March 2024, AT&T reported that some of its data, which included sensitive personal information such as Social Security numbers and passcodes, had been released onto the dark web. Analysis revealed that this incident had impacted 7.6 million current AT&T account holders and approximately 65.4 million former account holders. | 個人のプライバシー保護は、近年より重要な問題になっている。民間事業体も公的事業体も、米国民から収集した機微で個人的な情報を保護するための効果的な対策を講じることが必須である。しかし、こうした情報のセキュリティを脅かすインシデントが、民間および公的事業体に影響を与え続けている。例えば、2024年3月、AT&Tは、社会保障番号やパスコードなどの機密個人情報を含むデータの一部がダークウェブに流出したことを報告した。分析の結果、このインシデントがAT&Tの現アカウント保有者760万人、元アカウント保有者約6540万人に影響を与えたことが明らかになった。 |
GAO has also found that federal agencies are limited in their ability to protect private and sensitive data entrusted to them. For example: | GAOはまた、連邦政府機関が預託された個人情報や機密データを保護する能力に限界があることも明らかにしている。例えば |
• In August 2023, GAO reported that the Internal Revenue Service’s (IRS) monitoring of efforts to prevent contractors from gaining unauthorized access to sensitive taxpayer information was limited by its incomplete inventory of systems that process or store this information. GAO recommended that IRS maintain a comprehensive inventory of its systems that process or store taxpayer information; however, the recommendation has not been implemented. | ・2023年8月、GAOは、内国歳入庁(IRS)の納税者の機密情報への不正アクセスを防止する努力の監視は、この情報を処理または保存するシステムの不完全なインベントリによって制限されていると報告した。GAOはIRSに対し、納税者情報を処理または保存するシステムの包括的なインベントリーを維持するよう勧告したが、この勧告は実施されていない。 |
• GAO’s September 2022 report highlighted the risks that the increasing collection and use of personal information pose to consumer privacy and protection. For example, companies collect personal and transactional data to create consumer scores, which businesses and other entities use to predict how consumers will behave in the future. The report further noted that there remains no comprehensive U.S. internet privacy law governing private companies’ collection, use, or sale of internet users’ data, leaving consumers with limited assurance that their privacy will be protected. | ・GAOの2022年9月の報告書は,個人情報の収集と利用の増加が消費者のプライバシーと保護にもたらすリスクを強調した。例えば,企業は個人データや取引データを収集して消費者スコアを作成し,企業や他の事業体はそれを使って消費者が将来どのように行動するかを予測している。同報告書はさらに,民間企業によるインターネット・ユーザーのデータ収集,利用,販売についてガバナンスする包括的な米国のインターネット・プライバシー法がまだ存在しないため,消費者のプライバシーが保護される保証が限られていると指摘した。 |
Federal government’s progress in addressing GAO’s recommendations for the four major cybersecurity challenges | サイバーセキュリティの4大課題に対するGAOの提言に対する政府の進捗状況 |
GAO has made 35% 1,610 recommendations in public reports to each of the four cybersecurity challenge areas (since 2010). | GAOは、サイバーセキュリティの4つの課題分野それぞれに対して、35% 1,610件の勧告を公開報告書で行っている(2010年以降)。 |
Federal government’s progress in addressing GAO’s recommendations for the four major cybersecurity challenges. | 4大サイバーセキュリティ課題に対するGAOの提言に対する連邦政府の取り組み状況 |
While federal agencies have made progress in improving the security of federal and critical infrastructure IT systems, significant effort remains to address the cybersecurity challenges facing the nation. Since 2010, agencies have implemented 1,043 of the recommendations that GAO has made related to the four cybersecurity challenges. However, certain critical actions remain outstanding. For example, the federal government needs to fully establish the national cybersecurity strategy and strengthen efforts to protect the cybersecurity of critical infrastructure. Until these recommendations are fully implemented, federal agencies will be limited in their ability to: | 連邦国家機関は、連邦政府および重要インフラのITシステムの安全保障の改善において前進を遂げたが、国家が直面するサイバーセキュリティの課題に対処するための多大な努力が残されている。2010年以降、4つのサイバーセキュリティの課題に関連してGAOが行った勧告のうち、1,043件を各省庁が実施している。しかし、一部の重要な対策は未解決のままである。例えば、連邦政府は国家サイバーセキュリティ戦略を完全に確立し、重要インフラのサイバーセキュリティを保護する取り組みを強化する必要がある。これらの提言が完全に実施されるまでは、連邦政府機関は以下の能力に制限を受けることになる: |
• provide effective oversight of critical government-wide initiatives, mitigate global supply chain risks, address challenges with cybersecurity workforce management, and better ensure the security of emerging technologies; | ・政府全体の重要イニシアチブを効果的に監督し、グローバルなサプライチェーンマネジメントのリスクを軽減し、サイバーセキュリティ人材マネジメントの課題に対処し、新興技術のセキュリティをより確実にする; |
• improve implementation of government-wide cybersecurity initiatives, address weaknesses in federal agency information security programs, and enhance the federal response to cyber incidents; | ・政府全体のサイバーセキュリティ・イニシアチブの実施を改善し、連邦政府機関の情報セキュリティ・プログラムの弱点に対処し、サイバーインシデントへの連邦政府の対応を強化する; |
• mitigate cybersecurity risks for key critical infrastructure systems and their data; and | ・主要な重要インフラ・システムとそのデータのサイバーセキュリティ・リスクを低減する。 |
• protect private and sensitive data entrusted to them. | ・個人情報や機密データを保護する。 |
報告書
・[PDF] Full Report
ブログ...
・2024.06.13
What are the Biggest Challenges to Federal Cybersecurity? (High Risk Update) | 連邦サイバーセキュリティの最大の課題は何か?(ハイリスク・アップデート) |
Cyberattacks have the power to bring our daily lives to a screeching halt. Nearly everything we use to work, play, and live relies on computer systems that are vulnerable to attacks. For example, an attack on an electrical grid could leave millions without power during hot summer months. An attack on transportation systems could bring traffic to a standstill. If our financial institutions are attacked, bank accounts could be drained and important personal financial records shared online. And if our communications are disrupted at the same time, you could be left with no way to report an emergency or get help. | サイバー攻撃は、私たちの日常生活を急停止させる力を持っている。私たちが仕事、遊び、生活に使っているほとんどすべてのものは、攻撃に対して脆弱性のあるコンピューター・システムに依存している。例えば、電力網が攻撃されれば、暑い夏の間、何百万人もの人々が停電に見舞われる可能性がある。交通システムへの攻撃は、交通を停止させる可能性がある。金融機関が攻撃を受ければ、銀行口座から資金が引き出され、個人の重要な財務記録がオンラインで共有される可能性がある。同時にコミュニケーションも途絶えれば、緊急事態を報告することも助けを求めることもできなくなる。 |
Malicious cyberattacks on the federal government and the nation’s critical infrastructures, like those described above, are growing in number, impact, and sophistication. Today’s WatchBlog post looks at our new report—an update of our High Risk designation for cybersecurity—about the four major challenges facing federal efforts to protect against attacks. | 上記のような連邦政府と国家の重要インフラに対する悪質なサイバー攻撃は、その数、影響力、巧妙さを増している。本日のWatchBlogでは、サイバーセキュリティに関するハイリスク指定の更新として、連邦政府による攻撃防御の取り組みが直面している4つの主要な課題について、我々の新しいレポートを紹介する。 |
Challenge 1: National Cybersecurity Strategy isn’t as strong as it could be | 課題1:国家サイバーセキュリティ戦略はそれほど強力ではない |
Last year, the White House issued a National Cybersecurity Strategy outlining steps the government is taking to address the longstanding cybersecurity challenges facing the country. But how will the government know if its strategy is working? When we looked at the strategy, we found it needed outcome-oriented performance measures for various cybersecurity initiatives. | 昨年、ホワイトハウスは国家サイバーセキュリティ戦略を発表し、政府が国が直面する長年のサイバーセキュリティの課題に対処するためのステップを概説した。しかし、政府はその戦略が機能しているかどうかをどのようにして知るのだろうか?私たちがこの戦略を検討したところ、サイバーセキュリティに関するさまざまな取り組みについて、成果志向の成果指標が必要であることがわかった。 |
In addition, the federal government needs to take action to ensure it is monitoring the global supply chain, confirm it has the highly skilled cyber workforce it needs, and address risk associated with emerging technologies—such as artificial intelligence. The government and the private sector are at risk when emerging threats aren’t addressed. | さらに連邦政府は、グローバル・サプライ・チェーンを確実に監視し、必要とされる高度なスキルを備えたサイバー人材を確保し、人工知能などの新たなテクノロジーに関連するリスクに対処するための措置を講じる必要がある。新たな脅威に対処しない場合、政府と民間部門はリスクにさらされる。 |
We saw such an attack around January 2019 after a network breach at SolarWinds. The Texas-based network management software company was widely used by the government to monitor network activities and manage network devices on federal systems. A Russian-led attack on SolarWinds resulted in one of the most widespread and sophisticated hacking campaigns ever conducted against the U.S. | 2019年1月頃、ソーラーウィンズ社でネットワーク侵害が発生し、そのような攻撃が見られた。テキサスに本社を置くこのネットワーク管理ソフトウェア会社は、政府によってネットワーク活動の監視や連邦政府システム上のネットワークデバイスの管理に広く利用されていた。ロシア主導によるソーラーウィンズへの攻撃は、米国に対してこれまでに行われた中で最も広範かつ洗練されたハッキングキャンペーンの1つとなった。 |
We’ve made nearly 400 recommendations to strengthen the National Cybersecurity Strategy and agencies’ ability to perform effective oversight. As of May, 170 of our recommendations have not been acted on. | 我々は、国家サイバーセキュリティ戦略と各省庁が効果的な監視を行う能力を強化するために、400近くの勧告を行ってきた。5月現在、我々の勧告のうち170件はまだ実行されていない。 |
Challenge 2: Agencies remain limited in their ability to improve the security of federal systems and information | 課題2:連邦政府のシステムと情報のセキュリティを改善する能力が、依然として制限されている。 |
Federal agencies rely extensively on computerized information systems to conduct day-to-day business, including interactions with the public. Many of these systems house important taxpayer information—including Social Security numbers, income information, tax filing information, loan data, and more. | 連邦政府機関は、一般市民とのやり取りを含め、日々の業務を遂行するためにコンピュータ化された情報システムに広く依存している。これらのシステムの多くには、社会保障番号、所得情報、確定申告情報、ローンデータなど、重要な納税者情報が格納されている。 |
Ineffective security controls could not only leave these systems vulnerable to attack, but also delay the response to attacks. For example, in December 2021, a vulnerability in a piece of open-source software known as “Log4j” was reported. Log4j is used to collect and manage information about system activities and is used in millions of federal and private information systems. A 2013 update of Log4j was intended to make data storage and retrieval easier. But in November 2021 (8 years later), a security engineer reported a vulnerability in the feature. Federal agencies were directed to address this vulnerability. Even though there hasn’t been a known Log4j-based attack on federal IT, the weakness was deemed an “endemic vulnerability”—meaning that vulnerabilities will remain in systems for years despite actions to address them. | 効果的でないセキュリティ管理は、これらのシステムを攻撃に対して脆弱なままにしておくだけでなく、攻撃への対応を遅らせることにもなりかねない。例えば、2021年12月、「Log4j」として知られるオープンソースソフトウェアの脆弱性が報告された。Log4jはシステム活動に関する情報を収集・管理するために使用され、何百万もの連邦政府や民間の情報システムで使用されている。Log4jの2013年のアップデートは、データの保存と検索をより簡単にすることを意図したものだった。しかし2021年11月(それから8年後)、あるセキュリティ・エンジニアがこの機能の脆弱性を報告した。連邦政府機関はこの脆弱性に対処するよう指示された。連邦政府ITに対するLog4jベースの攻撃は知られていないにもかかわらず、この脆弱性は「常在脆弱性」、つまり脆弱性への対処にもかかわらず脆弱性が何年もシステムに残るものとみなされた。 |
We’ve reported on federal efforts to help agencies address weaknesses like these so that systems and information are more secure. We’ve made more than 800 recommendations to improve efforts. But 221 of these recommendations have not been implemented, as of May. Doing so can greatly enhance the federal response to cyber incidents. | われわれは、連邦政府機関がこのような脆弱性に対処し、システムや情報の安全性を高めるための連邦政府の取り組みについて報告してきた。我々は、取り組みを改善するために800以上の勧告を行った。しかし、これらの勧告のうち221件は、5月の時点でまだ実施されていない。これを実施することで、サイバーインシデントに対する連邦政府の対応を大幅に強化することができる。 |
Challenge 3: Critical infrastructure sectors remain vulnerable to disruptive attacks | 課題3:重要インフラ部門は依然として破壊的攻撃に対して脆弱である。 |
A ransomware attack on Change Healthcare, a health payment processor, made headlines. The attack shut down operations, resulting in nearly $874 million in financial losses and widespread disruptions for providers and patient care. Medical procedures were delayed and patients were unable to access medications. | 医療費決済処理会社のチェンジ・ヘルスケアに対するランサムウェア攻撃が話題になった。この攻撃により業務が停止し、約8億7400万ドルの金銭的損失が発生したほか、プロバイダや患者のケアに広範な混乱が生じた。医療処置は遅れ、患者は薬にアクセスできなかった。 |
Health care is just one of our 16 critical infrastructure sectors that is vulnerable to cyberattacks. All of these sectors rely heavily on IT systems to operate. | 医療は、サイバー攻撃に脆弱な16の重要インフラ部門のひとつに過ぎない。これらのセクターはすべて、ITシステムに大きく依存している。 |
Attacks on critical infrastructure sectors continue to grow and could seriously harm human safety, national security, the environment, and the economy. The federal government has taken some steps to address the challenges with protecting these systems from cyberattacks. But we see persistent shortcomings in these efforts. For example: | 重要インフラ部門への攻撃は増加の一途をたどっており、人間の安全、国家安全保障、環境、経済に深刻な被害を与える可能性がある。連邦政府は、これらのシステムをサイバー攻撃から守るという課題に対処するため、いくつかの措置を講じてきた。しかし、こうした取り組みには持続的な欠点が見られる。例えば、次のようなことだ: |
・In January, we reported that the federal agencies responsible for the four sectors that have reported almost half of all ransomware attacks—health care and public health, critical manufacturing, energy, and transportation—had not determined whether their actions to prevent future attacks include leading practices. | 1月、我々は、ランサムウェア攻撃のほぼ半分が報告されている4つのセクター(ヘルスケアと公衆衛生、重要な製造業、エネルギー、輸送)を担当する連邦政府機関が、将来の攻撃を防止するための対策がリーディング・プラクティスを含むかどうかを決定していないことを報告した。 |
・In March, we reported on the challenges agencies face when collaborating with the Cybersecurity and Infrastructure Security Agency (CISA) on mitigating cyber risks in their sectors. These challenges included sharing information about potential threats. | 我々は3月、サイバーセキュリティ・インフラセキュリティ庁(CISA)と協力し、各分野におけるサイバーリスクの低減に取り組む際に各機関が直面する課題について報告した。これらの課題には、潜在的な脅威に関する情報の共有も含まれていた。 |
・Last December, we highlighted challenges reported by nonfederal entities in accessing the support they need from the federal government to address vulnerabilities. | 昨年12月には、連邦政府以外の事業体が脆弱性に対処するために連邦政府から必要な支援を受ける際に報告された課題を取り上げた。 |
We’ve made 126 recommendations to better protect the cybersecurity of critical infrastructure. Action is still needed on 64 of them. | 我々は、重要インフラのサイバーセキュリティをより良く保護するために、126件の提言を行った。そのうち64件については、まだ対策が必要である。 |
Challenge 4: Efforts to protect your personal privacy face limitations | 課題4:個人のプライバシーを保護する努力は限界に直面している |
In March, AT&T reported that some of its data—which included sensitive personal information such as Social Security numbers and passcodes—had been released onto the dark web. As many as 7.6 million current and approximately 65.4 million former AT&T account holders were affected. | 3月、AT&Tは、社会保障番号やパスコードなどの機密個人情報を含むデータの一部がダークウェブに流出したことを報告した。現在760万人、元AT&Tのアカウント保有者約6540万人が影響を受けた。 |
Attacks like these are becoming more common. At the same time, we found that federal agencies are limited in their ability to help prevent and respond to them. In 2022, we reported about the risks posed by the increasing collection and use of personal information from consumers. For example, companies collect personal and transactional data to create consumer scores, which are used to predict how consumers will behave in the future. | このような攻撃はより一般的になってきている。同時に、連邦政府機関の予防や対応には限界があることもわかった。2022年、我々は消費者からの個人情報の収集と利用の増加によってもたらされるリスクについて報告した。例えば、企業は個人データや取引データを収集して消費者スコアを作成し、消費者が将来どのように行動するかを予測するために使用している。 |
While collection and use of personal data increases, there’s still no comprehensive U.S. internet privacy law about companies’ collection, use, or sale of your data. This leaves consumers like you with limited assurances that your privacy will be protected. | 個人データの収集と利用が増加する一方で、企業によるデータの収集、利用、販売に関する包括的な米国のインターネット・プライバシー法はまだ存在しない。このため、あなたのような消費者は、プライバシーが保護されるという限られた保証しか得られない。 |
Data the government collects about you is also at risk. In August 2023, we reported on how the IRS monitors access to sensitive taxpayer information. We found that IRS didn’t have a comprehensive inventory of the systems that store this information, limiting its ability to protect data. | 政府が収集するデータもリスクにさらされている。2023年8月、我々はIRSが納税者の機密情報へのアクセスをどのように監視しているかについて報告した。我々は、IRSがこれらの情報を保存するシステムの包括的なインベントリを持っておらず、データを保護する能力を制限していることを発見した。 |
On the topic of protecting privacy and sensitive data, we have made nearly 250 recommendations—112 still require action. | プライバシーと機密データ保護に関して、我々は250近くの勧告を行った。 |
What needs to happen next? | 次に何が必要か? |
Our new report provides an update on the federal government’s progress with addressing cybersecurity challenges and our recommendations to tackle them. In total, we’ve identified 567 recommendations that still need action. | 我々の新しい報告書は、サイバーセキュリティの課題に対する連邦政府の取り組みの進捗状況と、それらに取り組むための我々の提言について最新情報を提供するものである。合計で567の勧告を特定したが、まだ対策が必要である。 |
Until actions are taken and our recommendations are implemented, the federal government, the national critical infrastructure, and the personal information of U.S. citizens will be increasingly susceptible to a multitude of cyber-related threats. | 対策が講じられ、我々の提言が実施されるまでは、連邦政府、国家の重要インフラ、そして米国民の個人情報は、ますます多くのサイバー関連脅威の影響を受けやすくなるだろう。 |
・GAO’s fact-based, nonpartisan information helps Congress and federal agencies improve government. The WatchBlog lets us contextualize GAO’s work a little more for the public. Check out more of our posts at GAO.gov/blog. | GAOの事実に基づいた超党派の情報は、連邦議会と連邦政府機関のガバナンス改善に役立つ。WatchBlogでは、GAOの仕事を一般向けにもう少し詳しく説明している。GAO.gov/blogで他の投稿をチェックする。 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.05.05 米国 GAO 高リスクシリーズ 2023 すべての分野に完全に対応するためには、進捗を達成するための努力の維持と拡大が必要である (2023.04.20)
・2023.02.10 米国 GAO サイバーセキュリティ高リスクシリーズ
・2021.03.25 U.S. GAO High-Riskシリーズ:連邦政府は主要なサイバーセキュリティの課題に対処するための重要な行動を早急に実施する必要がある
・2021.03.07 U.S. GAO ハイリスクリスト 2021 (サイバーセキュリティはリスクが高まっているという評価のようです...)
・2020.05.17 GAO 重要インフラ保護:国土安全保障省はリスクが高い化学施設のサイバーセキュリティにもっと注意を払え
Recent Comments