［米国］
米国下院議会、連邦政府機関のセキュリティ対策に再び厳しい評価

（2006年03月15日）

　米国連邦下院議会が3月16日に公表したリポートによると、連邦政府機関のコンピュータ・システムの2005年の総合セキュリティ・レベル評価は、2004年と同じ平均「D+」にとどまったほか、米国の安全に重要な役割を果たしている一部政府機関が落第点の「F」と評価されている。下院の政府改革委員会によってまとめらた同評価リポートは「Federal Computer Security Report Card」と呼ばれ、年1回公表されている。

　2005年版の評価リポートでは、国防総省（DoD）と国土安全保障省（DHS）が「F」と評価されている。DHSは米国の重要インフラを守るために新設された省だが、2003年（初回）と2004年に続いてF評価が与えられた。一方、労働省（DoL）と社会保障庁（SSA）の評価は「A+」に高まった。

　スコアが2004年よりも低下した政府機関には、運輸省（A-からC-へ）、原子力規制委員会（B+からD-へ）、内務省（C+からF［落第点］へ）などがある。

　政府改革委のメンバーの1人であるヘンリー・ワックスマン下院議員（カリフォルニア州選出民主党）は声明の中で、特に国土安全保障省のセキュリティ対策の現状について次のように懸念を表明している。

　「セキュリティ対策で1つの政府機関が前進すると、別の政府機関が後退する。国土安全保障省のように、きわめて重要なシステムと機密性の高いデータを扱っている政府機関がまたもや落第点を取ったことに危機感を感じている」

　今回のリポートは、各政府機関が2002年に成立した連邦情報セキュリティ管理法（FISMA）に従って下院に提出する報告書群に基づいて作成された。FISMA報告書は、政府機関が連邦セキュリティ基準を満たしているかどうかの評価を目的として作成されるものだが、FISMA報告書では政府機関内のITシステムのセキュリティ対策のレベルを正確に評価することはできないと指摘する声もある。

　例えば、SANSインスティチュートのリサーチ担当ディレクター、アラン・パラー氏は次のように指摘している。

　「Certification & Accreditation Reportsと呼ばれる報告書群をすべて完成しなければ、非常に低いスコアしか得られない。9割方がシステムのドキュメンテーション次第だ。さらに、コンピュータ・システムのセキュリティ保護を実施した経験のないコンサルタントが、それらの報告書群を作成している。彼らに安全なシステムかどうかの区別がつくとは思えない」

　連邦政府は、FISMAの要件を満たしているかどうかをチェックするよりも、コンピュータ・システムが現実社会の状況に対応できるかどうかを測定できるスコアカードを採用すべきであり、それは、兵器システムの戦闘準備が万端かどうかを、軍隊が確かめるのと同じことだとパラー氏はアドバイスしている。

(ロバート・マクミラン／IDG News Service サン・フランシスコ支局)