ホワイトハウスは、10月30日、「サイバーセキュリティ戦略及び実行計画(Cybersecurity Strategy and Implementation Plan:CSIP)」を発表した。サイバーセキュリティを国家的最優先事項とするもので、サイバー空間上での不正侵入を早い段階で食い止めるための対策に焦点を当てている。
政府は、連邦人事管理局(OPM)で発生した大規模な個人情報流出を受け、セキュリティ対策の見直しを進めており、今回の新たなガイダンスも、連邦政府が持つ高価値な情報及資産を保護することを目的としている。
CSIPは2015年6月に実施された連邦資産及びネットワークの「30日間のサイバーセキュリティ・スプリント(評価)」を受けて策定されたもので、各省庁の副長官の監督の下、年内にその初期段階が完了することになっている。
CSIPは、ベストプラクティスの確立や優秀なサイバー人員の確保のための手続きに加え、既存技術や新たな技術を最大限に活用するための官民提携の必要性も強調。2006年から1100%の増加を見せている連邦省庁でのサイバーインシデントに対応する。
国土安全保障省(DHS)は、ネットワークへの不正侵入を検知するシステム「EINSTEIN」による保護体制を拡大し、全省庁は最新のメール及びネットワークの監視技術「EINSTEIN 3A」によって、悪意ある活動から保護されることになる。また、各省庁はすべてのサイバーセキュリティ担当者をOPMに報告することが義務付けられ、各省庁のCIOで新たに登場する技術の迅速な導入に専念する特別小委員会も創設される。
さらに、年内に国家情報長官主導でサイバー攻撃のターゲットとなるリスクの高い政府資源の評価作業が行われ、これとは別に、DHSが国防総省や情報機関等の代表から構成されるチームを率いて高価値資源のサイバーセキュリティ対策を継続的に診断していく。
◇CSIPでは、ToDoリストも提示した。
|
11月13日
|
全省庁は、重要な機密データを保管するシステムを高価値資産とし、その保有状況を国土安全保障省(DHS)に報告。
|
|
12月31日
|
国家情報長官の主導で各省庁の高価値資産が直面する脅威の評価を実施。また、国土安全保障省(DHS)が開発した侵入検知システム「EINSTEIN」を全ての連邦非軍事省庁に導入。また、各省庁のCIOがITのセキュリティ分野で人材が不足している部署を特定するとともに、連邦人事管理局(OPM)がサイバーセキュリティ人材の雇用に利用できる既存の特別権限をリストアップする。さらに、CIO会合の下に先端技術の迅速な活用に焦点を当てた委員会を設置。
|
|
2016年1月31日
|
行政予算管理局(OMB)は、サイバーセキュリティの共有サービス導入プランを公表。
|
|
3月31日
|
OMBは、個人情報保護に関するガイダンスを改訂。
|
|
4月30日
|
一般調達局(GSA)は、データ流出時に連邦省庁が活用できるインシデント対応サービスの契約手法を決定。また、省庁が調達過程におけるサプライチェーン内のリスクを認識・管理するためのサービスも開発。さらに、新たな「サイバーセキュリティ人材戦略」も公表。
|
|
6月30日
|
米国標準技術院(NIST)は、連邦省庁が様々なサイバーインシデントから復旧するための新たなガイダンスを策定。
|
|
9月末
|
DHSの進める「Continuous Diagnostics and Mitigation」プログラムの導入促進。9月末までに同プログラムの第2段階となるアクセス管理・認証制度を導入。
|