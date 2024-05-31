最近、米国官公庁・自治体説明責任局は、大統領令14028号「国家のサイバーセキュリティーの改善」の進捗状況に関する最新情報を発表しました。
2021年、米国政府は連邦ITシステムにおけるサイバーセキュリティーを向上させるために満たすべき55のリーダーシップと監視の要件を特定し、すべてのシステムは、概説された基準を満たすかそれを超える必要があります。国家のサイバーセキュリティーの向上に関する大統領令（14028）は、この要件の理由について詳しく説明しました。「サイバー・インシデントの予防、検知、アセスメント、修復は最優先事項であり、国家および経済の安全保障に不可欠である」と述べています。
さらに、大統領令（EO）では、政府が民間企業にサイバーセキュリティー侵害や攻撃のリスクを軽減するために例を示して奨励する必要があるため、これらを完了することが不可欠であると述べています。
EOは、要件の実施を担当する政府機関、つまり国土安全保障省のサイバーセキュリティー・社会基盤安全保障庁（CISA）、米国国立標準技術研究所（NIST）、経営予算局（OMB）を指定しました。
この命令の主要な要件は、以下のようなサイバーセキュリティー・ソリューションに焦点を当てていました。
2024年4月の更新では、担当する3つの機関が要件のうち49を完了したことが報告されました。サイバーセキュリティーの脆弱性やインシデントに対応するためのプレイブックを標準化する要件は、適用できないと判断されました。さらに、政府機関は残りの5つの要件を部分的に完了しています。
主要な要件の中で、連邦政府のサイバーセキュリティーをモダナイズすることだけが、完全に満たされている要件です。この分野での取り組みには、連邦政府機関向けのゼロトラストアーキテクチャーの導入または導入開始、クラウド・サービスへの安全確保、サイバーセキュリティー・データへのアクセスの一元化などが含まれます。
その他の取り組みとしては、未分類のデータへの対応、多要素認証と暗号化の実施、クラウドセキュリティ技術参照アーキテクチャのドキュメンテーション作成などがありました。
この更新では、各機関の連邦サイバーセキュリティーの向上に向けた取り組みが称賛されましたが、結論では残りの要件を満たすことが重要であると強調されました。
残りの5つの要件は次のとおりです。
OMBはコスト分析を年間予算プロセスに部分的に組み込んでいたものの、命令に含まれるすべてのリーダーシップと監督要件の実施に関する詳細な証拠は提供していませんでした。
CISAとOMBは、NISTが必要とする官公庁・自治体のソフトウェア・セキュリティー対策の基準とガイドラインについて支援しました。CISA、OMB、NISTは、クリティカルソフトウェアの定義と、その定義と一致するソフトウェアの一般的なカテゴリーの予備リストを作成しました。しかし、CISAは2023年9月の締め切りまでに、一般的なソフトウェアのカテゴリーのリストを発行しませんでした。
CISAは、将来のオペレーション改善に関する勧告を通じて、オペレーションを改善するために取られた措置の証拠を提供していません。最新情報には、このステップが取締役会による将来のインシデントレビューを効果的に実施するための鍵であることが記載されています。
OMBは、2023会計年度に、各機関への予算提出ガイダンスにEDRを組み込み、FISMAメトリクスのリストにEDRを含めたと報告しましたが、政府機関はこのドキュメンテーションの証拠を提供できませんでした。この更新情報では、証拠がなければ政府機関がEDRの取り組みに十分な資金を受け取らない可能性があるという懸念が共有されています。
OMBは、ログ保存やログ管理などのロギングに関するガイダンスを各機関に提供しました。しかし、OMBは、政府機関がロギングやログ保存、ログ管理を実装するのに十分なリソースがあるとは証明できませんでした。
この更新により、2024年12月31日までに完了する予定の残りの5つの要件について、具体的な行政措置が提言されました。