カジノサイト

NASA は全庁的なサイバー リスク管理戦略を改善する必要がある、GAO が発見

米国会計検査院 (GAO) の最近の報告書によると、NASA は効果的なサイバー リスク管理戦略におけるいくつかの重要な手順を怠っており、民間宇宙プログラムのシステムと情報が危険にさらされています。

「NASA の主要ミッション プロジェクトに関連する機密データに対するサイバーベースの脅威がますます蔓延している」と、。 「NASA は、その使命を達成するために、相互接続された IT システムと機密データや機密データを含むデータの大規模なネットワークを活用しています。NASA の注目度の高い使命、複雑な IT インフラストラクチャ、および多数のパートナーシップのため、NASA がそのシステムと機密データを適切に保護するための措置を講じることが重要です。」

NASA のネットワークや衛星などの他の宇宙インフラに対する攻撃は新しいものではありませんが、重要な情報を盗む試みはますます一般的かつ複雑になっていると報告書は付け加え、継続的なデジタル リスク管理の重要性を強調しています。

GAO は、一部の主要プロジェクトに対する NASA のサイバー リスク管理を、国立標準技術研究所 (NIST) より。 NASA はプロジェクトの中核となるサイバーセキュリティタスクの少なくとも一部を完了しましたが、NASA がサイバー脅威に優先順位を付け、最も高いリスクを軽減できるよう支援する全庁規模のリスク評価など、いくつかの重要なタスクを省略していました。また、プロジェクトや部門にその方法についてのガイダンスがなかったため、システムレベルの継続的な監視戦略を文書化していませんでした。

「主要なサイバー担当者が十分に理解している文書化された戦略がなければ、組織はデータ侵害のリスク増大、脅威の検出の遅れ、攻撃への対応の遅れに直面することになります。」と報告書は述べています。

NIST リスク管理フレームワークには 7 つの重要なステップが含まれており、NASA は GAO がレビューしたプロジェクトにそれらのそれぞれを部分的に実装していました。

• 準備:組織がセキュリティとプライバシーのリスクを管理できるように準備するための重要なアクティビティ
  
  
• 分類:影響分析に基づいて、処理、保存、送信されるシステムと情報を分類する
  
  
• 選択:セットを選択リスク評価に基づいてシステムを保護するための制御
  
  
• 実装:コントロールを実装し、それらのコントロールがどのように展開されるかを文書化する
  
  
• 評価:コントロールが適切に設置され、意図したとおりに動作し、望ましい結果が得られているかどうかを判断するための評価
  
  
• 承認:高官はシステムの動作を許可するためにリスクに基づいた決定を下します
  
  
• 監視:制御の実装とシステムへのリスクを継続的に監視
  
  

2025 年 3 月の報告書 (編集版は 6 月下旬に公開) の中で、GAO は組織のリスク管理について NASA に 16 件の勧告を行いました。その中には、NASA の最高情報責任者が、管理ベースラインが適切に適用されていることを確認するための監督責任を含むガイダンスを更新することや、評価結果を文書化する方法についてより具体的なガイダンスを提供することなどが含まれます。

NASA は、CIO が組織全体のサイバーセキュリティ リスク評価を準備して承認するという GAO の勧告に同意しませんでした。

「具体的には、NASA は、組織全体のサイバーセキュリティ リスク評価の代わりに、システム レベルで特定して修正でき、NIST RMF の準備ステップを満たす実用的なリスクを集約して表示する、ほぼリアルタイムのサイバーセキュリティ ダッシュボードを使用していると報告書は述べています。」 「しかし、NASA は、文書化された組織全体のセキュリティ リスク評価の代わりに、ダッシュボードが情報システムのリスク情報を十分に集約していることを示す証拠を提供していません。したがって、私たちはこの推奨が正当であると信じています。」