- CISAは1億3800万ドル以上のサイバーセキュリティ人材維持資金を誤って管理し、資格のないまたは無関係な職員にインセンティブを支給した
- 同庁は適切な監督、文書化、コンプライアンスを欠き、重要なサイバーセキュリティ人材の維持能力を損なった
- DHS監察官室は8つの是正措置を勧告し、7つは実施済み、1つは不適切な支払いの回収に関して未解決
米国サイバーセキュリティ・インフラストラクチャ庁(CISA)は資金を誤って管理し、さまざまな資金インセンティブの監督や文書化を適切に行わず、優秀なサイバーセキュリティ人材の維持能力を危険にさらした。
これは、DHS監察官室(OIG)が発表した新しい報告書「CISAはサイバーセキュリティ人材維持インセンティブプログラムを誤管理し、資金を浪費、重要な人材維持を危険に晒した」の結論である。
CISAは重要インフラの保護と連邦政府のサイバーセキュリティ対策を主導する米国政府機関だが、最近はその職務を十分に果たせていないようだ。
監督の欠如
報告書でOIGは、同庁がサイバーセキュリティ人材維持インセンティブプログラムの設計・実施・管理を適切に行わず、誤管理およびコンプライアンス違反があったと厳しく非難した。
その結果、2020年から2024年にかけて受け取った連邦資金1億3800万ドル超の利用が大部分で非効率的だった。OIGによれば、同庁はミッションクリティカルまたは高資格基準を満たさない職員にもインセンティブを支給していたという。
実際、一部の受給者はサイバーセキュリティとは無関係の管理職であり、348人が認められていない過去の支払いとして141万ドルを受け取っていた。
またOIGは、CISAには監督と文書化が欠如していたとし、人事責任者室が受給者や支払いの正確な記録を保持しておらず、適切な手続きを経ずに対象要件を拡大したと指摘。DHSの監督も不十分だったと付け加えた。
これらすべてにより、CISAはサイバーセキュリティ人材の維持を危険にさらしていた。OIGは、インセンティブプログラムの希薄化が有資格のサイバーセキュリティ専門家の士気を低下させ、CISAの重要人材維持能力を損なったと主張した。
「CISAがこのサイバーインセンティブを本来の趣旨を逸脱して幅広い職員に提供し続ければ、離職やサイバー脅威への脆弱性増大、不要な支出のリスクが高まる」とOIGは警告した。
最後に、同庁はプログラムの健全性向上のため8つの措置を勧告し、CISAはすべてに同意した。7つはすでに実施済みで、8つ目は現在未解決であり、不適格な職員への不適切な支払いの回収に関するものだ。
出典:Cybernews
