更新:米国国務省は効果的なサイバーセキュリティリスク対策をほぼ実施できていないと、監査官が先週発表した報告書で結論付けた。これは、アメリカ政府の重要な機関が、特定または阻止できない可能性のあるサイバー攻撃に潜在的に無防備になっていることを意味する。
外交と米国の外交政策を担う国務省は、ITセキュリティに関するリスク管理戦略を策定したものの、実質的にはそこで諦めてしまったと、政府監査院(GAO)は述べている。その結果、省全体のリスクは必ずしも軽減されておらず、全体的な監視プログラムも整備されておらず、国務省が利用するITインフラは十分に保護されていなかった可能性がある。
GAOは報告書の中で、「国務省が必要なリスク管理活動を実施するまでは、セキュリティ管理が意図したとおりに機能しているという保証が得られない」と述べている。「さらに、国務省は情報セキュリティの脆弱性や将来の業務に影響を与える脅威を十分に認識していない可能性が高い」
リスク管理プログラムの導入にはまだ少し作業が必要です…国務省の進捗状況を調査した監査人の調査結果…クリックして拡大
国務省は、米国政府が利用していたマイクロソフトがホストするメールサービスに中国のスパイがアクセスし、データを盗まれた連邦政府機関の一つだった。国務省によると、侵入者によって国務省職員の非機密扱いのメッセージ約6万件が盗まれたという。
「国務省は情報保護の責任を真剣に受け止めており、情報の保護を確実にするために継続的に措置を講じています」と、国務省報道官はThe Register紙に語った。「世界的に展開する他の大規模組織と同様に、私たちはサイバーセキュリティの状況を綿密に監視しています。」
国務省のサイバーセキュリティ対策が優れていれば、Azureの巨人自身の不手際により、Microsoftアカウントを介したメール盗難を直接防ぐことができた可能性は低いものの、この問題は米国政府のサイバーセキュリティの脆弱さを如実に物語っています。GAOは以前にもこの問題に注意を喚起しており、1月には2010年以降に作成したセキュリティ勧告の約60%が未だ実施されていないと発表しました。
国務省は必ずこれを実施しなければなりません。なぜなら、向こうの状況は潜在的に非常に悪いからです。「特定のオペレーティングシステムソフトウェアのインストールは13年以上前にサポート終了に達していました」というのは、実際、ひどい状況です。
国務省は、時代遅れのOSに加え、23,689台のシステムと3,102台の「ネットワークおよびサーバーOSソフトウェア」がサポート終了を迎えている。ネットワーク上にこれほど多くの旧式システムが存在しているため、国務省のITインフラは既知の脆弱性に対して非常に脆弱であり、「サイバーセキュリティ関連のインシデントを完全に検知、調査、軽減できない可能性がある」とGAOは警告している。
連邦の混乱
少なくともGAOによれば、国務省のサイバーセキュリティ計画の失敗の責任の大部分は、IT管理責任を同省のCIOと他の下部組織に分割する国務省の連邦構造にあるという。
GAOは、このようなやり方は「最高情報責任者(CIO)が国務省のITセキュリティ態勢を効果的に監視する能力を制限する」と述べ、コミュニケーションの問題につながる「孤立した文化」(例えば、国務省のさまざまな局が大部分独立して運営されている)によって状況はさらに悪化している。
GAOによると、国務省のセキュリティには、その孤立した文化による欠陥があるという。拡大するにはクリックしてください。
GAOによると、一例として、国務省のエンタープライズ構成管理(ECM)データベース(同省が使用するIT資産とインベントリの追跡に使用)は、1つのオペレーティングシステムに固有の情報しか記録できないため、使用されているハードウェアやソフトウェアの様々な詳細情報が欠落しているという。さらに、ECMデータベースは20の外交拠点からのデータを取得するように設定されておらず、これらの拠点のネットワーク資産がすべて欠落していることになる。また、GAOの調査によると、国務省はファイアウォールを通過するネットワークデータも取得していないという。
国務省でのコミュニケーションの崩壊は、最高情報責任者 (CIO) がシステムの導入および運用の要請を承認または拒否しなければならないと規定しているリスク管理フレームワークに反して、約 56 パーセントのシステムが適切な承認なしに稼働しており、その中には 15 の高価値資産と 7 つの高リスク システムが含まれていたことを意味します。
突破を続ける
GAOの結論は厳しい。これらの問題が解決されなければ、アメリカ政府で最も重要な機関の一つが、攻撃の標的になる可能性もある。
GAOは「国務省の任務を支える情報とシステムの安全確保は、サイバーセキュリティリスクを効果的に管理する同省の能力にとって極めて重要だ」と述べ、近年の進歩は国務省を健全な状態にするには十分ではないと指摘した。
- 米国務省がサイバーセキュリティ政策局を開設
- 米政府、中国のマイクロソフトメール侵害を調査へ
- 国防総省は、不適切なクラウド契約をどう処理すればいいのか全く分かっていないと監査人は言う
- NSAはAIセキュリティセンターが米国が敵を出し抜き、出し抜き、そして生き残るのに役立つことを期待している
継続的な監視戦略を実装していないため、国務省はリスクの状況を完全に把握できません。同様に、インシデント対応プロセスを実装しておらず、古いシステムを使用しているため、国務省は「インシデントになる前に」脆弱性を効果的に検出して対応することができません。
GAO は国務省に対して 15 件の勧告を行いましたが、これはご想像のとおり、策定以来放置されていた計画中のサイバーリスク管理戦略のさまざまな要素の実施に関係しています。
しかし、それだけではありません。調査結果の多くは機密性が高いため、GAOは後日、「国務省のITインフラにおける技術的セキュリティ管理上の欠陥」に焦点を当てた限定配布の報告書を公開すると述べました。GAOによると、この報告書では、国務省の3つの局と16の部署で特定された40件の欠陥が詳述され、「約500件」の勧告が含まれています。つまり、外交官たちを支えるITスタッフの無能さは、実に嘆かわしいということです。®
2023年10月3日14時12分UTCに更新され、
国務省の報道官は追加の声明を私たちに送った。
GAOは2019年にこのレビューを開始しており、報告書は現状を概観したものです。国務省はGAOが提供する洞察力と説明責任を高く評価しています。国務省は、現在も有効な勧告を優先して対応し、既に国務省が対応済みの勧告についてはGAOと連携して解決に取り組んでいます。
2019年以降、国務省はサイバーセキュリティ運用とサイバーセキュリティガバナンスにおいて意義深い改善を行ってきました。これには、多要素認証とデータ暗号化の大幅な強化、そして2021年の国務省情報セキュリティ最高責任者の設置が含まれます。同責任者は、サイバーセキュリティ監視と、局レベルのサイバーセキュリティスコアカードを含む責任共有モデルの導入を通じて、急速な改善を推進してきました。
