2002年12月に制定された「連邦情報セキュリティマネジメント法(FISMA)」に従い、行政管理予算局(OMB)は情報セキュリティ対策の結果について年次報告書を提出することが義務付けられています。連邦人事管理局(OPM)のコンピュータシステムが不正アクセスされ、政府職員など約2,150万人の個人情報が流出するなど、政府機関に対するサイバー攻撃の被害が深刻化している中、以下のサイバーセキュリティの取り組みが行われたことが記載されています。
■連邦政府サイバーセキュリティにおける行政管理予算局の役割
2015年度にCIO室内にOMBサイバー及び国家安全保障ユニットを創設
■Cyberstatレビュー
レビュープロセスCyberstatを通じた行政管理予算局による政府機関の監督増大
■30日間のサイバーセキュリティスプリント
2015年6月にサイバーセキュリティスプリント(評価)を開始し、以下の行動を指示。
1) 国土安全保障省が提供するインジケータのデプロイ
2) 緊急性の高い脆弱性に対するパッチの速やかな適用
3) 特権ユーザのポリシーと実装の厳格化
4) 多要素認証の実装の促進
■サイバーセキュリティ戦略及び実行計画 (CSIP)
2015年10月に行政管理予算局覚書「M-16-04」として、サイバーセキュリティ戦略及び実行計画を公表。
以下の5つの目的を通じて、サイバーセキュリティを強化
1) 資産及び情報の優先順位付けと保護
2) インシデントの発見及び迅速な対処
3) サイバーセキュリティスプリントの実施から得られたインシデントの急速なリカバリ
4) サイバーセキュリティ人材の獲得と維持
5) 技術の効果的な獲得と展開
■2015年度におけるポリシー等更新
・2015年6月8日に行政管理予算局覚書「M-15-13」を公表。2016年12月31日までに連邦Webサイト及びWebサービスについてHTTPSを利用したアクセスとするよう指示。
・2015年10月30日に行政管理予算局覚書「M-16-03」を公表。セキュリティとプライバシーに関する報告期日について案内。
・行政管理予算局告知A-130の改訂。
■持続可能な連邦政府サイバーセキュリティ労働力の構築
2016年4月までにサイバーセキュリティ人材戦略を編集する努力を開始。
■増大する脅威に対抗するための連邦政府プログラム設計
以下を含む連邦政府プログラムを設計。
・診断ツール (CDM)
・国家サイバーセキュリティ保護システム (EINSTEIN)
・モバイルセキュリティ
・安全及びセキュアなクラウド (FedRAMP)
また、連邦政府におけるサイバーセキュリティインシデントは、2014年度の69,851件に対して、2015年度は77,183件と約10%増加しており、インシデントの件数が増加傾向にあることが判明しました。
