サイバーセキュリティ・インフラストラクチャー庁(CISA)は、監査でプログラムの管理不備が指摘されたことを受け、特に価値の高いセキュリティ専門家を維持するために使用していたプログラムを廃止します。
2015年、国土安全保障省内のCISAの前身組織は、民間の高給職への転職が見込まれる職員に追加報酬を提供するため、サイバーセキュリティ維持インセンティブ(CRI)プログラムを創設しました。CRIインセンティブは、専門的なサイバーセキュリティスキルを持つCISA職員のごく一部にのみ適用されることを想定していました。しかし、9月に国土安全保障省監察官が指摘した通り、CISAはインセンティブを広範囲に提供していました。
CISAはCybersecurity Diveへの声明で、間もなくCRIプログラムを終了すると述べました。
「CRIプログラムはもともと恒久的なものではなく、サイバー人材管理システム(CTMS)が稼働するまでの一時的な維持策でした」とCISA広報部長のマーシー・マッカーシー氏は述べました。「そのため、CISAはCRIプログラムを終了し、今後はCTMSを最大限活用してサイバー人材の採用・雇用・維持を行う予定です。」
DHSはバイデン政権下でCTMSを開始し、サイバースタッフの迅速な採用経路を作り、通常の政府職員よりも高い給与を提供できるようにしました。
CRIプログラムは2段階で終了すると、Cybersecurity Diveが確認したCISA職員向けQ&A文書で述べられています。「すべての非サイバー職は2026年4月4日付でCRIプログラムから除外されます」と文書には記載されており、「CRIプログラム全体は2026年9月30日までに終了予定です。」
ブルームバーグが最初に報じたのは、CISAがこのプログラムの終了を決定したことでした。
CRI支給を受けている職員が今後どうなるかは依然として不明です。これらの支給額は年間数万ドルに上ることもあります。インセンティブは職員給与の10%から始まり、最大25%まで支給されます。
最近のスタッフ向けメモで採用イニシアチブを発表した際、CISAの代理長官は「サイバー維持インセンティブで維持されている既存職員は…CTMSの役職へ移行される可能性がある」と述べました。CISA幹部は11月19日のタウンホールミーティングでも同様の発言をしたと、事情に詳しい人物は述べています。
CRI受給者をCTMSに移行することで、CISAは実質的に同額の報酬を、通常の政府給与上限を超える形での給与として支払い続けることが可能になります。これは従来の政府給与への補助金ではなくなります。
しかし、何人の職員が移行されるかは不明です。「現状では、CTMSのために完全に再選考を受ける必要があります」と事情に詳しい2人目の人物は述べました。「そのシステムを大幅に見直す必要があるでしょう。」CTMSはCISAではなくDHSが運営しており、CISAがDHSに再選考要件の免除を求めることはできるものの、この人物は「DHSがそのような対応をするとは思えない」と述べています。
また、実務上の課題もあります。事情に詳しい2人目の人物によれば、CISAのサイバーセキュリティ部門職員の70%以上がCRI支給を受けています。「1年以内に全職員を新プログラムに移行できるとは到底思えません。」CTMSは「はるかに優れたプログラム」だとこの人物は述べ、今回の変更は「全体として正しい判断」だが、「期限内の実施には疑問が残る」としています。
CISAはCRI終了に関する声明で最近の監察官報告書には触れませんでしたが、無駄な資金への懸念が決定の要因となったことを示唆しました。
「国家のサイバー防衛機関として、才能と意欲のある専門家を採用・維持し、重要インフラに対してインテリジェンス、サービス、支援を提供しつつ、納税者資金の適切な管理を確保することが重要です」とマッカーシー氏は述べました。
職員向けFAQ文書で、CISAは3月末までにインセンティブ方針の概要を公表すると約束しました。「これらのプログラムには一連のレビューと内部統制が設けられ、監査コンプライアンスを効果的に満たすことになります」と文書には記載されています。
翻訳元: https://www.cybersecuritydive.com/news/cisa-eliminate-cyber-pay-incentives-ctms/806981/
