【解説】
米国連邦政府のセキュリティ対策、2007年の総合評価は「C」

評価プロセスの形骸化を批判する声が専門家の間で高まる

（2008年05月21日）

多くの専門家がFISMAによる評価を疑問視

　米国SANS Instituteのリサーチ担当ディレクター、アラン・ポーラー（Alan Paller）氏は、「現在のFISMAの報告書は、政府のセキュリティ対策を正しく反映していない。まるで報告書の作成義務を果たすために行われているようなものだ」と批判する。

　Paller氏など、FISMAに批判的な専門家によると、一番の問題は政府機関がセキュリティ・コントロールを効果的に導入し、ITセキュリティの強化に役立てていることを実際に証明する必要がないことにあるという。「例えば、セキュリティ意識に関する教育プログラムを策定したことさえ示せれば、実際にはだれも教育を受けてなくてもその要件を満たしていると判断されるのだ」とPaller氏は指摘する。

　しかも、皮肉なことに、FISMAの396ページに及ぶ法令に隅々まで従おうと努力している機関が評価表で低いスコアとなり、逆にプロセスを単なるペーパーワークとして扱っている機関が高いスコアを得ているケースもあるという。「FISMAは出来の悪い教科書のみたいなものだ。まず議会が無用の報告を義務づけるFISMAを書いてむだを作り出し、さらに無用のスコアにスポットライトを当ててかえって連邦政府の方向性を誤らせている」（Paller氏）

　業界団体Cyber Security Industry Allianceの代表を務めるティム・ベネット（Tim Bennett）氏も、今年3月の上院小委員会の公聴会に先駆けて提出した証言書で同様の懸念を表明していた。「FISMAを見たところで、政府機関の情報セキュリティ・プラクティスの全体像を把握することはできない。FISMAでは政府機関の侵入検出／対策能力がまったく測られていない」（Bennett氏）。

　また、米国会計検査院（GAO）の情報セキュリティ問題担当ディレクター、グレゴリー・ウィルシューセン（Gregory Wilshusen）氏も昨年6月に、「FISMAを順守するだけでは、ほとんどの連邦機関はITセキュリティ・コントロールのギャップを埋めることはできないだろう」と述べていた。

　米国Gartnerのアナリスト、ジョン・ペスカトーレ（John Pescatore）氏は、FISMAは連邦政府全体のサイバー・セキュリティに対する意識を高めたという点ではおおむね成功したと評価する。「少なくとも、セキュリティへの取り組みを政府機関に公開させたことの意味は大きい」（Pescatore氏）

　その一方で同氏は、「他の多くの政府イニシアチブと同様、FISMAの評価はあまりに“書類に縛られすぎ”で、プロセスの問題に重点を置きすぎている」と指摘している。

　加えて同氏は、「FISMAは、今こそペーパーワークを減らし、もっと現実的なセキュリティ対策になるようプロセス全体を抜本的に見直す時期にある」と強調する。例えば、クレジットカード業界のデータ・セキュリティ規格「PCIDSS（Payment Card Industry Data Security Standard）」のような継続的に脆弱性を評価するための要件を重視する、あるいは、連邦機関が採用を進めている新しいテクノロジーに十分なセキュリティ・コントロールが組み込まれているかどうかにも注目すべきとPescatore氏は述べている。

　Davis議員のスタッフにインタビュー取材を申し込んだところ、匿名を条件に話を聞くことができた。同スタッフはFISMAにいくつか問題があることを認めながらも、FISMAは政府内における情報セキュリティの問題に注意を向けるうえで大きな役割を果たしたとコメントした。「今後もスコアの有効性を見直しつつ、本来の目的をきちんと果たせるよう改善していくつもりだ」（同スタッフ）。

　同スタッフによると、Davis議員はFISMAの条項にもっと強制力を持たせる法案に取り組んでいるところだという。法案では、政府機関に対し、ITセキュリティを強化する手段としてFISMAを使うよう奨励することを目的としており、これを怠る機関には「断固たる罰則」が科されるという。

(Computerworld.jp)

前のページへ < ｜1｜2｜