米国 国防総省内部監察官室 管理勧告:国防総省の2024年度の2014年連邦情報セキュリティ近代化法の遵守状況 (2025.04.16)
こんにちは、丸山満彦です。
米国の国防総省の内部監察官室 (Inspector General) がFISMAに基づいて監査を実施し、管理勧告 (Management Advisory) を公表していますね...(とはいえ、FISMAの実施状況に対する総合意見をだしているわけではなく、検出された指摘事項を挙げているいう状況です...)
今回は12の勧告がだされていますね。。。
米国の場合は、公文書は原則公開し、段落毎に機密性を判断し、管理対象非機密情報 (Controlled Unclassified Information: CUI) が含まれている部分は、本当に機密性が求められる部分のみを黒塗りするということが行われていますよね。。。
こういう米国の運用については、経済安全保障で政府が取り扱う機密性のある情報が細かく区分管理されるようになる日本でも取り入れるべきなのだろうと思います。
開示請求したら「のり弁当」みたいな開示だと、国民、市民が政府の活動を確認できなくなり、民主主義が果たせなくなりますからね。。。
● Department of Defense Office of Inspector General:DoD OIG
Management Advisory: The DoD’s FY 2024 Compliance with the Federal Information Security Modernization Act of 2014 (Report No. DODIG-2025-086) | 管理勧告 DoD's FY2024 Compliance with the Federal Information Security Modernization Act of 2014 (Report No. DODIG-2025-086) |
Audit | 監査 |
This management advisory provides recommendations related to the DoD Office of Inspector General’s review of the DoD’s compliance with the Federal Information Security Modernization Act of 2014 (FISMA), which we announced on December 11, 2023 (Project No. D2024‑D000CP‑0043.000). However, the results in this management advisory do not fully represent all the requirements for each metric or the DoD’s overall FISMA rating. We conducted work on this management advisory from December 2023 through January 2025 with integrity, objectivity, and independence, as required by the Council of the Inspectors General on Integrity and Efficiency’s Quality Standards for Federal Offices of Inspector General. | 本管理勧告は、2023年12月11日に発表した2014年連邦情報セキュリティ近代化法(FISMA)のDoDの遵守に関する監察官室のレビュー(プロジェクト番号D2024-D000CP-0043.000)に関連する勧告を提供するものである。しかし、本管理勧告の結果は、各指標のすべての要件や国防総省のFISMA総合評価を完全に代表するものではない。我々は 2023 年 12 月から 2025 年 1 月にかけて、誠実性・効率性に関する監察官会議の連邦監察 官室の品質基準で義務付けられている通り、誠実性、客観性、独立性をもって本管理勧告の作業を実施した。 |
・[PDF]
勧告と対応...
(U) Recommendations, Management Comments, and Our Response | (U) 勧告、マネジメントのコメントおよび我々の回答 |
(U) Recommendation 1 | (U) 勧告1 |
(U) We recommend that the DoD Chief Information Officer direct DoD Components, including the Coast Guard, in coordination with the DoD Component Chief Information Security Officers, Chief Information Officers, and Authorizing Officials, to: | (U) 国防総省の最高情報責任者は、国防総省の情報セキュリティ責任者、最高情報責任者、認可担当官と連携して、沿岸警備隊を含む国防総省の各部門に対して、以下のことを指示するよう勧告する: |
a. (U) Identify all critical and non-critical software on the DoD Information Network that is subject to Office of Management and Budget-required selfattestation requirements. | a. (U) 行政管理予算局が要求する自己認証要件の対象となる、国防総省情報ネットワーク上のすべての重要および非重要ソフトウェアを識別する。 |
b. (U) Obtain Office of Management and Budget-required self-attestations from software providers or implement an Office of Management and Budget-approved alternative solution for all identified third-party software on the DoD Information Network. | b. (U) 国防総省情報ネットワーク上のすべての特定されたサードパーティ・ソフトウェアについて、ソフトウェア・プロバイダから行政管理予算局が要求する自己証明を取得するか、または行政管理予算局が承認した代替ソリューションを導入する。 |
c. (U) Establish a plan of action and milestones to obtain all remaining Office of Management and Budget-required third-party provider self-attestations and request an extension from the Office of Management and Budget deadline. | c. (U)行政管理予算局が要求する残りのすべてのサードパーティ・プロバイダーの自己証明を取得し、行政管理予算局の期限延長を要請するための行動計画とマイルストーンを確立する。 |
(U) DoD Chief Information Officer Comments | (U) 国防総省最高情報責任者のコメント |
(U) Although the official Performing the Duties of the DoD CIO disagreed with | (U)国防総省CIOの職務を遂行する職員は、以下の意見に同意しなかった。 |
Recommendation 1.a, they agreed with Recommendations 1.b and 1.c. The DoD CIO stated that a binary classification of software as “critical” or “non-critical” for public disclosure offers minimal benefit and may inadvertently increase the attack surface by highlighting the DoD’s critical assets to adversaries. They also stated that the OMB did not intend to grant extensions for collecting secure software development self-attestations as part of a May 2024 communication. However, the DoD CIO stated that the DoD remains committed to ensuring the secure development and deployment of third-party software on the DODIN, which is critical to the DoD’s cybersecurity posture. | 国防総省のCIOは、ソフトウェアを「クリティカル」または「ノンクリティカル」に二元的に分類して公開することは、最小限の利益しかもたらさないだけでなく、国防総省の重要な資産を敵対者に強調することによって、攻撃対象領域を不注意に拡大する可能性があると述べた。 また、OMB は、2024 年 5 月のコミュニケーションの一環として、安全なソフトウェア開発の自己証明書を収集するための延長を認めるつもりはないと述べた。 しかし、国防総省の CIO は、国防総省のサイバーセキュリティ態勢にとって重要である DODIN 上でのサードパーティ・ソフトウェアの安全な開発と展開を確保することに、国防総省は引き続き尽力すると述べた。 |
(U) The DoD CIO also stated that the DoD attempted a few approaches to implement the OMB M-23-16 requirements but encountered potential contractual conflicts and cybersecurity policy limitations that would require the need for expanded criteria, independent verification, and continuous monitoring. The DoD CIO stated that these challenges led to the development of an emerging and more comprehensive SCRM program to strengthen software supply chain security that will address the limitations of relying solely on self-attestations from third-party software providers. This software SCRM program will be risk-based and incorporate expanded assessment criteria, independent verification mechanisms, and continuous monitoring throughout the software lifecycle to meet the intent of the OMB M-22-18 and OMB M-23-16 requirements. According to the DoD CIO, this risk-based approach will provide a more robust and adaptable framework for managing software supply chain risks for all DoD systems and applications. The DoD CIO also stated that they will continue to refine and implement the program to ensure a secure and resilient software ecosystem. | (U)DoD CIO はまた、DoD が OMB M-23-16 要件を実施するためにいくつかのアプローチを試みたが、規準の拡大、独立した検証、および継続的な監視が必要となる潜在的な契約上の矛盾やサイバーセキュリティ政策の限界に直面したと述べた。 国防総省の CIO は、このような課題から、サードパーティーのソフトウエアプロバイダの自己証明のみに頼ることの限界に対処する、ソフトウエアのサプライチェーンセキュリティを強化するための、より包括的な SCRM プログラムを新たに開発することになったと述べている。 このソフトウェア SCRM プログラムはリスクベースであり、OMB M-22-18 および OMB M-23-16 の要件の意図を満たすために、拡大されたアセスメント規準、独立した検証メカニズム、およびソフトウェアライフサイクル全体にわたる継続的な監視が組み込まれる。 国防総省CIOによると、このリスクベースのアプローチは、すべての国防総省のシステムとアプリケーションのソフトウェアサプライチェーンリスクをマネジメントするための、より強固で適応可能な枠組みを提供する。 国防総省CIOはまた、安全でレジリエンスに優れたソフトウェア・エコシステムを確保するため、このプログラムの改良と実施を継続すると述べている。 |
(U) Our Response | (U)我々の対応 |
(U) Although the official Performing the Duties of the DoD CIO disagreed with Recommendation 1.a but agreed with Recommendations 1.b and 1.c, their comments addressed all specifics of the recommendations. Therefore, the recommendations are resolved but open. We will close the recommendations once the DoD CIO provides documentation demonstrating that the OMB has approved the DoD’s alternative solution to strengthen its software supply chain security instead of obtaining the OMB-required self-attestations from software producers. The DoD CIO should also provide documentation demonstrating that they directed the DoD Components to implement the DoD’s OMB-approved, alternative approach that meets the intent of the OMB M-22-18 and OMB M-23-16 requirements, including the: (1) identification of all applicable software on the DODIN; (2) procedures to ensure that third-party software providers followed NIST software development guidance for all applicable software on the DODIN; and (3) development of a plan of action and milestones to implement the DoD’s OMB-approved, alternative approach. | (U)DoD CIOの職務を遂行する職員は勧告1.aには同意しなかったが、勧告1.bと1.cには同意した。 したがって、勧告は解決されたが未解決である。 国防総省CIOが、OMBが要求するソフトウェア製造者の自己証明書を取得する代わりに、国防総省のソフトウェア・サプライチェーンのセキュリティを強化する代替ソリューションをOMBが承認したことを証明する文書を提出した時点で、勧告を終了する。 国防総省CIOはまた、OMB M-22-18およびOMB M-23-16の要件の趣旨を満たす、国防総省のOMB承認代替アプローチを実施するよう国防総省の構成員に指示したことを証明する文書も提出しなければならない: (1)DODIN上の該当するすべてのソフトウェアの識別、(2)DODIN上の該当するすべてのソフトウェアについて、サードパーティ・ソフトウェア・プロバイダがNISTソフトウェア開発ガイダンスに従うことを保証する手順、(3)国防総省のOMB承認代替アプローチを実施するための行動計画およびマイルストーンの策定。 |
d. (U) Implement a process, such as periodic reviews of the Enterprise Mission Assurance Support Service, or an equivalent system, to ensure that officials are accurately reporting the system authorization status for non-national security systems in accordance with DoD guidance. | d. (U) 国防総省のガイダンスに従って、職員が非国家安全保障シス テムのシステム認可状況を正確に報告していることを確 認するために、エンタープライズ・ミッション保証サポート・サービス又は同等のシステムの定期的なレビューなどのプロセスを導入する。 |
(U) DoD Chief Information Officer Comments | (U) 国防総省最高情報責任者のコメント |
(U) The official Performing the Duties of the DoD CIO agreed, stating that they intend to release a memorandum directing the DoD Components to review the proper guidelines for reporting the system authorization status and update the status for any miscategorized systems. | (U)国防総省CIOの職務を遂行する職員はこれに同意し、システム認可状況を報告するための適切なガイドラインを検討し、誤って分類されたシステムの状況を更新するよう国防総省の構成員に指示する覚書を発表するつもりであると述べた。 |
(U) Our Response | (U)我々の対応 |
(U) Comments from the official Performing the Duties of the DoD CIO addressed all specifics of the recommendation; therefore, the recommendation is resolved but open. We will close the recommendation once the DoD CIO provides documentation demonstrating that they directed the DoD Components to implement a process, such as performing periodic reviews in eMASS or an equivalent system, to ensure that officials are accurately reporting the system ATO status for non-national security systems in accordance with DoD guidance. | (U)国防総省 CIO の職務を遂行する職員からのコメントでは、勧告のすべての具体的な内容に対処しているため、勧告は解決されたが未解決である。 国防総省CIOが、国防総省のガイダンスに従って、職員が非国家安全保障システムのシステムATOステータスを正確に報告していることを確認するために、eMASSまたは同等のシステムで定期的なレビューを実施するなどのプロセスを実施するよう国防総省の構成員に指示したことを示す文書を提出した時点で、勧告を終了する。 |
e. (U) Update the Enterprise Mission Assurance Support Service, or an equivalent system, to ensure that it captures compliance information for all controls associated with Inspector General Federal Information Security Modernization Act of 2014 reporting metrics for their non-national security systems. | e. (U) エンタープライズ・ミッション保証サポート・サービス又は同等のシステムを更新し、監察官による 2014 年連邦情報セキュリ ティ近代化法の非国家セキュリティシステムの報告指標に関連する全ての統制の遵守情報を確実に取得する。 |
(U) DoD Chief Information Officer Comments | (U) 国防総省最高情報責任者のコメント |
(U) The official Performing the Duties of the DoD CIO agreed with the recommendation, stating that they will update the Cyber Scorecard to include controls associated with the IG FISMA reporting metrics for non-national security systems. | (U)DoD CIO の職務を遂行する職員は勧告に同意し、サイバースコアカードを更新して、非国家安全保障システムの IG FISMA 報告指標に関連する管理を含めると述べた。 |
(U) Our Response | (U)我々の対応 |
(U) Comments from the official Performing the Duties of the DoD CIO addressed all specifics of the recommendation; therefore, the recommendation is resolved but open. We will close the recommendation once the DoD CIO provides documentation demonstrating that they updated the Cyber Scorecard to ensure that it captures the status of the controls associated with the IG FISMA reporting metrics for non-national security systems. | (U)国防総省 CIO の職務を遂行する職員からのコメントでは、勧告のすべての具体的な内容に対処しているため、勧告は解決されたが未解決である。 国防総省 CIO がサイバースコアカードを更新し、非国家安全保障システムの IG FISMA 報告指標に関連する管理状況を確実に把握できるようにしたことを証明する文書を提出した時点で、勧告を終了する。 |
f. (U) Develop and implement a process, such as periodic reviews of the Enterprise Mission Assurance Support Service, or an equivalent system, to ensure that officials implemented the necessary National Institute of Standards and Technology information system controls and accurately reported the status for all non-national security systems. | f. (U) 職員が国立標準技術研究所 (NIST) の必要な情報システム管理を実施し、すべての非国家安全保障シス テムの状況を正確に報告していることを確認するため、エンタープライズ・ミッション保証支援サー ビス又は同等のシステムの定期的なレビューなどのプロセスを開発し、実施する。 |
(U) DoD Chief Information Officer Comments | (U) 国防総省最高情報責任者のコメント |
(U) The official Performing the Duties of the DoD CIO agreed, stating that they will track the implementation of the necessary security controls in the Cyber Scorecard for the non-national security systems and add a statement to the Cyber Scorecard requiring that the DoD Components verify the accuracy of their submitted data. | (U) 国防総省の CIO の職務を遂行する職員は、国防総省の非国家安全保障シス テムに関するサイバー・スコアカードに必要なデータ管理者の実施状況を記 入し、サイバー・スコアカードに国防総省の各部門が提出したデータの正確性 を検証することを求める記述を追加すると述べ、これに同意した。 |
(U) Our Response | (U)我々の対応 |
(U) Comments from the official Performing the Duties of the DoD CIO addressed all specifics of the recommendation; therefore, the recommendation is resolved but open. We will close the recommendation once the DoD CIO provides documentation demonstrating that they updated the Cyber Scorecard to track the status of the NIST system controls for non-national security systems and added a statement to the Cyber Scorecard requiring that the DoD Components verify the accuracy of their submitted data. | (U)国防総省CIOの職務を遂行する職員からのコメントは、勧告のすべての具体的な内容に対応している。 国防総省CIOが、非国家セキュリティシステムのNISTシステム管理者の状況を追跡するためにサイバースコアカードを更新し、国防総省構成機関が提出されたデータの正確性を検証することを要求する記述をサイバースコアカードに追加したことを証明する文書を提出した時点で、勧告を終了する。 |
g. (U) Require officials to develop a plan of action and milestones for non-national security systems that have not implemented all Inspector General Federal Information Security Modernization Act of 2014 reporting metrics-related controls or those systems with a low implementation percentage (for example, below 75 percent), and track the completion of the plans until such controls are implemented or have elevated to an acceptable level and are reported in the Enterprise Mission Assurance Support Service, or an equivalent system. | g. (U) 2014 年連邦情報セキュリティ近代化法(監察官)報告指標に関連する統制をすべて実施していない非国家セキュリティシステム、または実施割合が低い(例えば 75%未満)シス テムについて、行動計画とマイルストーンを策定し、当該統制が実施されるか、許容可能なレベルまで上昇し、エンタープライズ・ミッション保証支援サービス(Enterprise Mission Assurance Support Service)または同等のシステムで報告されるまで、計画の完 了を追跡することを担当者に義務付ける。 |
(U) DoD Chief Information Officer Comments | (U) 国防総省最高情報責任者のコメント |
(U) The official Performing the Duties of the DoD CIO agreed, stating that they will add a metric to the Cyber Scorecard for tracking the status of non-compliant controls that are missing plan of action and milestones. The Scorecard will also track other controls associated with the IG FISMA reporting metrics that do not have a plan of action and milestones items. | (U)DoD CIO の職務を遂行する職員は、行動計画やマイルストーンが欠如している非準拠管理 の状況を追跡するための指標をサイバー・スコアカードに追加すると述べ、これに同意した。 スコアカードは、IG FISMA の報告指標に関連する、行動計画とマイルストーンの項目がないその他の管理も追跡する。 |
(U) Our Response | (U)我々の対応 |
(U) Comments from the official Performing the Duties of the DoD CIO addressed all specifics of the recommendation; therefore, the recommendation is resolved but open. We will close the recommendation once the DoD CIO provides documentation demonstrating that they added a metric to the Cyber Scorecard for tracking the status of non-compliant controls associated with the IG FISMA reporting metrics for non-national security systems, including whether the corresponding plan of action and milestones are reported in eMASS, or an equivalent system. | (U)DoD CIO の職務を遂行する役人からのコメントは、勧告のすべての具体的な内容に対応している。 国防総省 CIO が、非国家安全保障システムの IG FISMA 報告指標に関連する非準拠の管理状況を追跡するための指標をサイバースコアカードに追加したことを証明する文書(対応する行動計画とマイルストーンが eMASS または同等のシステムで報告されているかどうかを含む)を提出した時点で、 の勧告を終了する。 |
(U) Recommendation 2 | (U) 勧告2 |
(U) We recommend that the DoD Chief Information Officer direct the Army Chief | (U) 国防総省の最高情報責任者(CIO)が、陸軍の最高情報責任者(CIO)に次のことを指示するよう勧告する。 |
Information Officer, in coordination with their Chief Information Security Officer and Authorizing Officials, to review the Enterprise Mission Assurance Support Service, or an equivalent system, to ensure that officials are correctly reporting the system authorization status for their non-national security systems and update the status for any miscategorized systems. | 情報責任者は、最高情報セキュリ ティ責任者及び認可担当者と連携して、エンタープライズ・ミッション保証サポート・サービス又はこれに相当するシステ ムをレビューし、担当者が非国家安全保障シス テムのシステム認可状況を正しく報告して いることを確認し、誤って分類されたシステムの状況を更新する。 |
(U) Recommendation 3 | (U) 勧告3 |
(U) We recommend that the DoD Chief Information Officer direct the Navy Chief | (U) 国防総省の最高情報責任者(CIO)が、海軍の最高情報責任者(CIO)に次のことを指示するよう勧告する。 |
Information Officer, in coordination with their Chief Information Security Officer and Authorizing Officials, to review the Enterprise Mission Assurance Support Service, or an equivalent system, to ensure that officials are correctly reporting the system authorization status for their non-national security systems and update the status for any miscategorized systems. | 情報責任者は、最高情報セキュリ ティ責任者及び認可担当者と連携して、エンタープライズ・ミッション保証サポート・サービス又はこれに相当するシステ ムをレビューし、担当者が非国家安全保障シス テムのシステム認可状況を正しく報告していることを確認し、誤って分類されたシステムの 状況を更新する。 |
(U) Recommendation 4 | (U) 勧告4 |
(U) We recommend that the DoD Chief Information Officer direct the Air Force Chief | (U) 国防総省の最高情報責任者(CIO)が、空軍の最高情報責任者(CIO)に次のことを指示するよう勧告する。 |
Information Officer, in coordination with their Chief Information Security Officer and Authorizing Officials, to review the Enterprise Mission Assurance Support Service, or an equivalent system, to ensure that officials are correctly reporting the system authorization status for their non-national security systems and update the status for any miscategorized systems. | 情報責任者は、最高情報セキュリ ティ責任者及び認可担当者と連携して、エンタープライズ・ミッション保証サポート・サービス又はこれに相当するシステ ムをレビューし、担当者が非国家安全保障シス テムのシステム認可状況を正しく報告して いることを確認し、誤って分類されたシステムの 状況を更新する。 |
(U) Recommendation 5 | (U) 勧告5 |
(U) We recommend that the DoD Chief Information Officer direct the Coast Guard Chief | (U) 国防総省の最高情報責任者(CIO)が、沿岸警備隊の最高情報責任者(CIO)に次のことを指示するよう勧告する。 |
Information Officer, in coordination with their Chief Information Security Officer and Authorizing Officials, to review the Enterprise Mission Assurance Support Service, or an equivalent system, to ensure that officials are correctly reporting the system authorization status for their non-national security systems and update the status for any miscategorized systems. | 情報責任者は、最高情報セキュリ ティ責任者及び認可担当者と連携して、エンタープライズ・ミッション保証サポート・サービス又はこれに相当するシステ ムをレビューし、担当者が非国家安全保障シス テムのシステム認可状況を正しく報告して いることを確認し、誤って分類されたシステムの状況を更新する。 |
(U) Recommendation 6 | (U) 勧告6 |
(U) We recommend that the DoD Chief Information Officer direct the Defense | (U) 国防総省の最高情報責任者(CIO)に対し、以下のことを指示するよう勧告する。 |
Security Cooperation Agency Chief Information Officer, in coordination with their Chief Information Security Officer and Authorizing Officials, to review the Enterprise Mission Assurance Support Service, or an equivalent system, to ensure that officials are correctly reporting the system authorization status for their non-national security systems and update the status for any miscategorized systems. | 安全保障協力局最高情報責任者は、最高情報セキュリ ティ責任者及び作成機関と連携して、エンタープライズ・ ミッション保証支援サービス又は同等のシス テムをレビューし、担当者が国家安全保障以外のシス テムのシステム認可状況を正しく報告していること を確認し、誤って分類されたシステムの状況を更新す る。 |
(U) DoD Chief Information Officer Comments | (U) 国防総省最高情報責任者のコメント |
(U) The official Performing the Duties of the DoD CIO agreed with Recommendations 2, 3, 4, 5, and 6, stating that they will release a memorandum directing the DoD Components to review the proper guidelines for reporting the system authorization status and update the status for any miscategorized systems. | (U) 国防総省CIOの職務を遂行する職員は、勧告2、3、4、5、6に同意し、システム認可状況を報告するための適切なガイドラインを検討し、誤って分類されたシステムの状況を更新するよう国防総省の構成員に指示する覚書を発表すると述べた。 |
(U) Our Response | (U)我々の対応 |
(U) Comments from the official Performing the Duties of the DoD CIO addressed all specifics of the recommendations; therefore, the recommendations are resolved but will remain open. We will close the recommendations once the DoD CIO provides documentation demonstrating that they directed the DoD Components to review the proper guidelines for reporting the system ATO status and update the status for any miscategorized systems in eMASS or their equivalent system. | (U)国防総省 CIO の職務を遂行する職員からのコメントは、勧告のすべての具体的な内容に対処している。国防総省CIOが国防総省の各部門に対し、システムのATOステータスを報告するための適切なガイドラインを検討し、eMASSまたは同等のシステムで誤って分類されたシステムのステータスを更新するよう指示したことを証明する文書を提出した時点で、この勧告は終了する。 |
● まるちゃんの情報セキュリティ気まぐれ日記
DoD Inpector General
・2023.12.11 米国 国防総省 内部監察官室 請負業者ネットワーク上の国防総省管理対象非機密情報保護に関するサイバーセキュリティの共通の不備 (2023.12.04)
・2023.08.04 米国 国防総省監察官室 米軍情報センターおよび米サイバー軍による分析標準の適用に関する統制の評価 (+情報コミュニティ指令203 分析標準)
・2023.02.14 米国 国防総省 国防総省のサイバーセキュリティに関する報告および証言の概要(2020年7月1日〜2022年6月30日) (2023.02.01)
・2022.10.01 国防総省 監察官室 国防総省内部関係者脅威管理・分析センターへの国防総省構成機関の内部関係者の脅威報告に関する監査
・2021.04.03 U.S. Office of Inspectors General(連邦監察官室)
・2020.07.05 米国 国防省の内部監査部門が「AIのプロジェクトのガバナンスとセキュリティをしっかりせい」とおっしゃっているようです。。。
FISMA Report
- [PDF] 2021 fisma report
- [PDF] 2020_fisma_report
- [PDF] 2019_fisma_report
- [PDF] 2018_fisma_report
- [PDF] 2017_fisma_report
- [PDF] 2016_fisma_report
- [PDF] 2015_fisma_report
- [PDF] 2014_fisma_report
- [PDF] 2013_fisma_report
- [PDF] 2012_fisma_report
- [PDF] 2011_fisma_report
- [PDF] 2010_fisma_report
- [PDF] 2009_fisma_report
- [PDF] 2008_fisma_report
- [PDF] 2007_fisma_report
- [PDF] 2006_fisma_report
- [PDF] 2005_fisma_report
- [PDF] 2004_fisma_report
- [PDF] 2003_fisma_report
FISMA関係...
・2022.09.30 米国 OMB FISMA Report 2021
・2022.08.02 米国 GAO 情報技術とサイバーセキュリティ:省庁の法定要件の実施を監視するためのスコアカードの使用
・2022.03.17 米国 司法省監察局 独占禁止法部門、麻薬取締局のFISMAに基づく内部監査結果
・2022.01.13 米国 GAO ざっとみたところ、各省庁のFISMA要件の実施は各省庁でばらつきがあるようだ...
・2021.05.04 米国 OMB FISMA Report 2020
・2020.06.05 米国行政管理局(OMB)が2019年度版政府機関のサイバーセキュリティーに関する報告書(FISMAレポート)を公表していますね。。。
・2011.05.29 NIST 2010 Computer Security Division Annual Report
・2009.12.25 連邦機関による年次FISMAレポートのメトリックに関するコメントを要求するOMB
・2009.05.08 GAO GAO Federal Information System Controls Audit Manual(FISCAM)
・2008.05.23 米国政府 セキュリティ評価関係 2007(2) 総合評価はC <= C-
・2008.04.15 米国政府 セキュリティ評価関係 2007
・2007.06.14 米国会計検査院 連邦政府機関の情報セキュリティ管理は依然として不十分
・2007.04.15 米国政府 情報セキュリティ通知簿2006
・2007.04.01 米国政府 セキュリティ評価関係
・2006.03.18 米国政府 情報セキュリティ通知簿2005 2
・2006.03.18 米国政府 OMB Releases Annual FISMA Report
・2006.03.17 米国政府 情報セキュリティ通知簿2005
・2005.02.23 米国政府 情報セキュリティ通知簿2
・2005.02.23 米国政府 情報セキュリティ通知簿
・2004.12.08 国家セキュリティ体制 米国の状況・・・
Recent Comments