米国会計検査院(GAO)の新たな報告書は、米国外務省が「サイバーセキュリティ慣行」の意味を(依然として)理解していないことを浮き彫りにしている。国務省は適切なサイバーセキュリティリスク管理計画があると主張しているが、それは机上の空論にすぎない。
GAO レポート GAO-23-107012 は、米国の外交を指揮し、米国の外交政策の形成を支援する政府機関である国務省におけるサイバー問題の劣悪な状況を調査しています。国務省の使命をサポートするITシステムのセキュリティを確保することは重要な目標であるはずで、これまでのところ国務省はその目標を達成する上で「非常に良い仕事」をしてきた。
GAOの報告書によると、国務省は「連邦政府の要件を満たす」サイバーセキュリティリスク管理計画を文書化したという。この計画では、リスク管理の役割と責任を特定し、適切なリスク管理戦略を策定します。しかし、この計画はまだ「完全に」実施されておらず、国務省はIT資産に対するリスクを特定したり監視したりすることさえできず、実際に保有しているIT資産の数も把握していない。
報告書全文では、米国国務省は任務の遂行に影響を与える情報セキュリティの脆弱性とサイバー脅威を「おそらく完全には認識していない」と述べている。米国国務省には、セキュリティ問題を24時間監視して特定する「サイバーインシデント対応チーム」が設置されているが、インシデント対応計画をサポートするための「包括的な実施プロセス」が欠けている。
米国国務省は IT インフラストラクチャを「適切に保護していない」が、同政府機関はまだ Windows XP ベースの PC を使用している可能性が高いため、これは今年の控えめな表現かもしれません。米国会計検査院は、一部のオペレーティング システムが「早ければ 13 年前」にサポート終了に達したことを確認しました。これは、2009 年 4 月 14 日の XP メインストリーム サポートの終了とほぼ一致しています。マイクロソフトは、伝説的な PC オペレーティング システムの延長サポートを 2014 年 4 月 8 日まで提供しています。
IT インフラストラクチャに関するその他の問題には、23,689 台の「ハードウェア システム」、3,102 台のネットワークおよびサーバー オペレーティング システムのインストールが耐用年数に達し、サポートされなくなっていることが含まれます。米国会計検査院の報告書は、情報技術セキュリティの問題が人々の懸念を引き起こすほどではないとすれば、米国国務省の官僚機構と共同組織は自己破壊に大成功していると指摘している。
国務省は IT 管理の責任を最高情報責任者とその下部組織に分割しており、この「サイロ文化」がコミュニケーションの欠如を助長し、最終的に報告書で指摘されている欠陥の多くにつながった。この通信の問題のため、国務省のエンタープライズ構成管理(ECM)データベースは、現在も使用されているすべてのハードウェアとソフトウェアの全体像を提供していないとGAOは述べた。 ECM データベースには、この国の 20 の外交拠点で使用されている IT 資産に関するデータがまったく欠けているようです。
米国政府会計検査院は、米国国務省の IT インフラストラクチャで特定された多くの問題に対処するために 15 の勧告を行いました。さらに、監視局は後に、米国の外交機関の劣悪な状態を是正するための追加の500件の勧告を強調した別の「限定配布」報告書を発表する予定だ。