GAO、重要インフラ保護について報告

政府説明責任局(Government Accountability Office: GAO)は今般、「重要インフラ保護:連邦機関はサイバーセキュリティ・ガイダンスの採択を評価する必要がある(Critical Infrastructure Protection: Agencies Need to Assess Adoption of Cybersecurity Guidance)」と題する報告書を発表した。米国には、水道、ガス、銀行、その他の重要なサービスを提供する重要インフラ部門が16件あるが、それらの重要インフラを保護するため、米国標準技術局(National Institute of Standards and Technology:NIST)は2014年にサイバーセキュリティ基準及び手順をまとめた「重要インフラのサイバーセキュリティ向上の枠組み(Framework for Improving Critical Infrastructure Cybersecurity)」を策定し、各部門内の組織が任意に利用できることとした。16の重要インフラを支援及び保護する先導的役割を担う連邦機関は、「部門のリスク管理機関(sector risk management agencies: SRMA)」と呼ばれる。GAOの調査によれば、16部門のうち、3部門を管轄するSRMAはNISTの枠組みの採用を決定し、4部門を管轄するSMRAは採用の判断をするための初期ステップに着手している。しかし、9部門のSMRAは、枠組み採用を判断するためのステップに取り組んでいない。

Government Accountability Office “Critical Infrastructure Protection: Agencies Need to Assess Adoption of Cybersecurity Guidance” (2/9/22)