GAOのデータプライバシーに関する勧告の60%以上が24の米国連邦機関で未実施

米国連邦政府のデータプライバシー推奨事項は1997年に遡る

データプライバシーと個人識別情報（PII）の保護は、ほぼすべての組織が真剣に取り組むべき活動であり、これには米国連邦政府機関も含まれます。情報を保護する義務は1997年に遡り、米国政府説明責任局（GAO）がすべての連邦機関にとって情報セキュリティを高リスク領域と特定しました。この義務は2003年に拡大され、重要なサイバーインフラストラクチャを含む高リスクに拡大されました。2015年には個人情報のプライバシーを含むように再び拡大されました。

GAOはデータプライバシーとPIIの保護を真剣に受け止めています。2010年以来、GAOはPIIのプライバシーに関する236の異なる推奨事項を発行しています。

連邦機関がデータプライバシーでどれだけうまくやっているかを評価する

連邦機関がこれらをどれだけうまく実施しているかを判断するために、GAOは24の異なる機関にわたる236の推奨事項を評価しました。GAO-23-106443レポートでは、140の推奨事項がまだ実施されていないことが明らかになりました。報告によれば、多くの機関はプライバシーをサイバーセキュリティリスク管理戦略に完全に組み込んでおらず、PIIを含むシステムの認可にプライバシー担当者の意見を反映させたり、プライバシーのための継続的な監視戦略を開発したりしていません。

データプライバシーの露出リスク管理、追跡、セキュリティの欠如は、プライベートデータを危険にさらします。サイバー犯罪者はネットワークやアプリケーションの脆弱性を悪用して機密コンテンツにアクセスし、ランサムウェア攻撃で機関を人質に取ったり、競争や国家の利益のために盗んだりすることができます。

連邦機関のデジタルトランスフォーメーションがサイバー攻撃の標的を拡大

連邦機関や重要インフラ所有者による技術システムの使用は、政府の運営にますます重要になっています。機関内、機関間、そして第三者との間で。しかし、サイバー攻撃の増加に伴い、これらのシステムのセキュリティが懸念事項となっています。悪意のある行為者は、人間の安全、国家安全保障、環境、経済に深刻な被害をもたらす可能性のあるサイバー攻撃を実行する意欲と能力をますます持つようになっています。これらのシステムの機密性、整合性、可用性を保護することは、国家の福祉を確保するために必要です。

GAOのデータプライバシー推奨事項は、PIIやその他の種類の機密コンテンツにアクセスすることをサイバー犯罪者や悪意のある国家が非常に困難にすることを目的としたガバナンスとセキュリティコントロール、追跡のギャップに対処しています。残念ながら、2010年以来のGAOの推奨事項の60%が未実施であるため、米国連邦機関によって送信、共有、受信、保存される機密コンテンツへのリスクは大きいです。

このブログ投稿では、GAO-23-106443とその最大の発見のいくつかをレビューし、報告書内で見つかった重要なポイントを特定します。これには、公共部門と民間部門の両方が含まれます。

サイバー犯罪者がPIIを狙う理由

デジタルトランスフォーメーションへの移行の一環として、連邦機関は、機関内、機関間、外部の第三者との間で共有、送信、受信する機密コンテンツの量を増やしています。送信されるメールの量が増加するだけでなく、セキュアなファイル共有とマネージドファイル転送（MFT）は、連邦機関にとってますます重要になっています。その結果、ファイル共有とMFTはサイバー犯罪者や悪意のある国家の主要な標的となっています。適切なセキュリティコントロールと追跡が欠如している場合、共有、受信、保存される機密コンテンツは重大なリスクとコストをもたらします。この機密コンテンツには、PIIだけでなく、財務記録や口座番号、知的財産、その他の政府の秘密も含まれます。

サイバー犯罪者は、金銭的利益のために機密コンテンツとPIIを狙います。特定の業界、例えば医療業界のPIIは、他の業界のPIIよりも収益性が高いです。ファイル共有とMTFツールは、ユーザー名とパスワードを盗むために悪用され、それを使用して組織内の他のアカウントにアクセスすることができます。さらに、これらのシステムの多くは、ネットワークを無効にし、内部のコンテンツを暗号化するために使用されるマルウェアやランサムウェア攻撃に対して脆弱です。

残念ながら、PIIへの潜在的な脅威は連邦機関に限定されていません。政府機関は、請負業者、コンサルタント、その他の外部団体などの第三者と重要な情報を頻繁に共有します。これにより、ファイル共有、マネージドファイル転送システム、ウェブフォーム、メールを介して共有および送信される際に、悪意のある行為者が機密情報にアクセスする機会が生まれます。サプライチェーンの性質と成長のため、PIIの露出リスクは何倍にもなります。サプライチェーンの一つの弱点が、何百、何千もの組織のPIIを露出させる可能性があります。

連邦機関がPIIを保護するために必要なこと

その重要性から、連邦機関はこれらのシステムを使用する際にPIIを保護するための最新のセキュリティ対策を講じることが不可欠です。例えば、すべてのデータ送信が暗号化されていることを確認し、強力な認証手段を使用する必要があります。また、これらの文書を共有および保存するために使用されるネットワークとシステムを定期的に監査し、潜在的な問題が迅速に特定され、対処されるようにする必要があります。最終的に、メール、ファイル共有、MFT、ウェブフォームを介してPIIを保護することは、連邦機関およびその他の組織にとって継続的かつ継続的な取り組みです。

GAOが特定したデータプライバシーの欠陥

GAOレポートは、さまざまな連邦機関で見つかったデータプライバシーの欠陥を要約しています。それらは次の領域に分かれています：

1. 効果的なデータ管理の欠如。 連邦機関は効果的なデータ管理の実践が欠如しており、機密データを特定、分類、保護することが困難です。
2. 不十分なセキュリティコントロール。 連邦機関は、暗号化、多要素認証、アクセス制御を含む機密データを保護するための不十分なセキュリティコントロールを持っています。
3. PIIの不完全または不正確なインベントリ。 連邦機関は、PIIの完全または正確なインベントリが欠如しており、機密データを特定し保護することが困難です。
4. 不十分なインシデント対応計画。 連邦機関は、サイバー攻撃に効果的に対応し、機密データを保護するための不十分なインシデント対応計画を持っています。

GAOレポートは、連邦機関の最も欠如している領域をいくつか発見しました。例えば、24のうち14の機関がプライバシーリスク管理戦略を開発しておらず、システム認可ステップにプライバシーを組み込んでいるのは半数のみであり、24のうち10の機関がプライバシーの継続的な監視戦略を開発していないか、部分的にしか開発していません。報告書のリスクの原因を詳述する領域の一つは、第三者に共有および送信されるプライベートデータに関するコントロールと追跡の欠如に関連しています。GAOによれば、組織は収集、使用、共有するPIIのプライバシーを確保する必要があります。

GAOのPIIプライバシー推奨事項

上記の欠陥に対処するために、GAOレポートは一連の推奨事項を明示しています：

1. 効果的なデータ管理の実践を開発する。 連邦機関は、機密データを特定、分類、保護するための効果的なデータ管理の実践を開発する必要があります。また、保存される機密データの量を減らすためにデータ最小化の実践を実施するべきです。
2. セキュリティコントロールを改善する。 連邦機関は、機密データを保護するためにセキュリティコントロールを改善するべきです。これには、暗号化、多要素認証、アクセス制御を実施して、許可された人員のみが機密データにアクセスできるようにすることが含まれます。
3. PIIの正確なインベントリを維持する。 連邦機関は、機密データの特定と保護を可能にするためにPIIの正確なインベントリを維持するべきです。また、インベントリが完全で正確であることを確認するために定期的な監査を実施するべきです。
4. 包括的なインシデント対応計画を開発する。 連邦機関は、サイバー攻撃に効果的に対応し、機密データを保護するために包括的なインシデント対応計画を開発するべきです。これらの計画には、サイバー脅威の特定と軽減、影響を受けた個人への通知、調査のための証拠の保存の手順が含まれるべきです。
5. サイバーセキュリティトレーニングを増やす。 連邦機関は、データプライバシーとセキュリティの重要性についての意識を高めるために、従業員向けのサイバーセキュリティトレーニングを増やすべきです。これには、サイバー脅威の特定と対応方法、データ保護のベストプラクティスに関するトレーニングを提供することが含まれます。
6. 他の機関や利害関係者と協力する。 連邦機関は、データプライバシーとセキュリティのための情報とベストプラクティスを共有するために、他の機関や利害関係者と協力するべきです。これには、脅威インテリジェンスの共有、インシデント対応計画の協力、サイバーセキュリティ意識を促進するための民間セクターとの関与が含まれます。
7. アカウンタビリティを増やす。 連邦機関は、データプライバシーとセキュリティのアカウンタビリティを増やすべきです。これには、データプライバシーの実践の定期的な監査を実施し、欠陥に対処する進捗を測定するための指標を確立し、データ侵害に対して個人や組織を責任を持たせることが含まれます。

連邦レベルで機密データを保護するための警鐘

機密データの保護は、個人のプライバシー、国家安全保障、国の福祉を守るために重要です。連邦政府は情報セキュリティを高リスク領域と特定し、データプライバシーとセキュリティの欠陥に対処するための推奨事項を行ってきました。しかし、最新のGAOレポートは、これらの推奨事項の実施において依然として重大な欠陥があることを浮き彫りにしています。

連邦機関は、これらの欠陥に対処するために緊急の行動を取る必要があります。これには、効果的なデータ管理の実践を開発し、セキュリティコントロールを改善し、PIIの正確なインベントリを維持し、包括的なインシデント対応計画を開発し、サイバーセキュリティトレーニングを増やし、他の機関や利害関係者と協力し、データプライバシーとセキュリティのアカウンタビリティを増やすことが含まれます。

これらの推奨事項が完全に実施されるまで、連邦機関は委託されたプライベートおよび機密データを保護する能力が制限されます。機密データの保護は、国の福祉を確保するために不可欠であり、連邦機関と重要インフラ所有者にとって最優先事項でなければなりません。

Kiteworksを使用してPIIを追跡、制御、保護する

ゼロトラストがネットワーク、インフラストラクチャ、アプリケーションを悪意のあるサイバー攻撃から保護するために重要であるのと同様に、PIIを含む機密コンテンツを保護することも同様に重要です。コンテンツ定義のゼロトラストは、最小特権アクセスと常時監視およびポリシーを使用して、誰がコンテンツにアクセスできるか、誰が編集できるか、誰にどこで共有または送信できるかを追跡および制御します。

FedRAMP認定。

KiteworksはFedRAMPの中程度の影響レベルに認定されており、プライベートコンテンツネットワークが厳格なセキュリティ基準を満たしていることを意味します。ポリシーフレームワークを通じて、機関はネットワークに保存されたデータに対するユーザー固有の権限とアクセス制御を迅速かつ簡単に設定できます。これにより、許可されたユーザーのみがPIIにアクセスでき、各ユーザーには必要なデータのみがアクセスされることが保証されます。

Kiteworksの強化された仮想アプライアンス。 プライバシーポリシーフレームワークに加えて、Kiteworksは強化された仮想アプライアンスも提供しています。このアプライアンスは、ネットワークへのアクセスを制限し、ユーザーデータを潜在的な悪意のある行為者から保護することで、セキュリティと信頼性の追加レイヤーを提供します。Kiteworksの強化された仮想アプライアンスは、デジタルで送信および共有されるPIIやその他の機密コンテンツを確実に保護します。

ファイルおよびボリュームレベルでの二重暗号化。 PIIを潜在的な脅威から保護するために、Kiteworksは二重暗号化を使用しています。二重暗号化は、データを2回暗号化するプロセスであり、ファイルレベルでAES-256暗号化を使用して静止状態で暗号化し、その後ボリュームレベルで再度暗号化してディスクに書き込みます。このプロセスを使用することで、ユーザーはデータが転送中に傍受された場合でも、悪意のある行為者から保護されていることを確信できます。

AI対応の異常検出。 Kiteworksプライベートコンテンツネットワークは、AI対応の異常検出を使用して悪意のある活動を検出し、PIIを保護します。異常検出は、機械学習アルゴリズムが悪意のあるソフトウェアなどの潜在的な脅威を特定し、ユーザーに潜在的な侵害や不正アクセスの試みを警告するプロセスです。

コンテンツネットワークは優れた選択肢です。Kiteworksを使用することで、連邦機関はPIIを統合、追跡、制御、保護しながらFedRAMP要件を満たすことができます。Kiteworksはまた、CMMC（サイバーセキュリティ成熟度モデル認証）レベル2のコンプライアンスを加速し、CMMC 2.0レベル2要件の約90%を即座にサポートします。

PIIやその他の機密コンテンツを保護するための支援を求める連邦機関やその他の政府機関、さらには無数の民間部門の組織は、カスタムデモをスケジュールして、Kiteworksプライベートコンテンツネットワークの実際の動作を確認することができます。