［米国］
連邦政府機関のサイバーセキュリティ成績は平均「D+」

（2005年02月18日）

　今週公表された米国連邦コンピュータ・セキュリティ成績表で、米国連邦政府機関のコンピュータ・システムの総合セキュリティ度の評価は1年前より多少は改善されたものの平均「D+」に留まり、24の政府機関のうち7つが落第点となった。

　この成績表を２月14日に公表した米国連邦議会下院の政府改革委員会の委員長トム・デイビス氏は、16日の声明で、１年前のDよりやや向上した平均D+という評価は米政府機関が正しい方向に向かっていることを示すものだ、と述べた。「朗報は、過去1年で政府機関全体の成績が2.5ポイント高まったこと。凶報は、平均評価がD+にとどまったことだ」

　今回の成績表で、最も大きな進歩を示したのは、運輸省（前回はD+、今回はA-）、司法省（前回はF［落第点］、今回はB－）、内務省（前回はF、今回はC+）だった。一方、落第点だった7つの政府機関には、2002年後半に新設された国土安全保障省や、エネルギー省、保健福祉省などの大きな省庁も含まれている。例えば、国土安全保障省は前回に続いて2年連続のFだった。

　連邦コンピュータ・セキュリティ成績表は、2002年に成立した連邦情報セキュリティ管理法（FISMA）に基づいて、連邦議会下院の政府改革委員会が年1回発行している。評価は、各省庁の監察官からの情報に基づいて同委員会がまとめている。

　一方、ITサービス・プロバイダーのテロス（米国バージニア州アッシュバーン）による別の調査では、連邦コンピュータ・セキュリティ成績表自体について、連邦政府機関の最高情報セキュリティ責任者（CISO) 30人が「C」の評価を与えており、評価のための基準を大幅に改善する必要性が指摘されている。この結果は、連邦政府機関のCISOの26％の電話調査に基づいたものだ、とテロスは述べている。

　テロスが調査したCISOの60％は、連邦コンピュータ・セキュリティ成績表は自分たちのセキュリティのための備えについて有用な見識を与えてくれると回答した。しかし、同時に彼らは、この成績表の影響力を疑問視し、その評価の高低は政府機関のITセキュリティへの資金拠出に影響を及ぼさないとしている。

　また、同じ調査でCISOたちはいくつかの点に懸念を示しており、それには、セキュリティ要件、システムの定義、監査官が使用している評価方法についての案内・指導がないことが含まれていた、とテロスのCSO（最高セキュリティ責任者）リチャード・トレイシー氏は指摘している。

（As reported by Jaikumar Vijayan, Computerworld (US) 02/17/2005）

(Computerworld (US))