［米国］
米国政府機関所有のノートPCで、暗号化されていたのはわずか3割

会計検査院が2007年9月時点のセキュリティ調査結果を報告

（2008年07月30日）

　米国会計検査院（GAO）は7月27日、政府機関のノートPCやモバイル・デバイスに保存されている機密情報のうち、1年前の時点で暗号化されてデバイスは30％にすぎなかったとのセキュリティ調査リポートを発表した。この機密情報には米国民の個人情報も含まれる。近年、政府機関でデータのセキュリティ違反が相次いで発覚したにもかかわらずの実態に批判の声が寄せられている。

米国会計検査院（GAO）が7月27日に発行したセキュリティ調査リポート「Federal Agency Efforts to Encrypt Sensitive Information Are Under Way, but Work Remains」は、Webサイトより入手が可能だ

　このたび発表されたGAOの調査リポート「Federal Agency Efforts to Encrypt Sensitive Information Are Under Way, but Work Remains」（PDFファイル）によると、2007年9月の時点で米国の主要政府機関24省庁のノートPC／モバイル・デバイスに保存されている機密情報のうち、暗号化されてないものが70％に上ったことが判明した。患者のカルテなどの個人情報から捜査機関のデータ、国土の安全にかかわる情報までさまざまだ。

　「どの政府機関も暗号化技術を積極的に採用し始めてはいるものの、その導入に向けて包括的なプランを文書化した機関は皆無だ。この結果、連邦政府の情報はいまだに不正開示、消失、改竄のリスクにさらされている」と同リポートは警告している。

　また、同リポートは近年における米国政府機関の一連のセキュリティ事件についても触れている。2007年3月、米国内国歳入庁（IRS）は、過去3年間でノートPCの紛失／盗難台数が490台に達していることを明らかにした。IRSの監査機関が発表したリポートによると、それらノートPCの中には、米国の納税者についての個人情報が含まれていた可能性が高いという。また、2006年9月には、米国商務省が2001年以降1,137台のノートPCが紛失／盗難の被害にあい、そのうち249台に何らかの個人情報が含まれているとの調査結果を発表している。

　ノートPCの紛失／盗難を報告した米国政府機関はこれだけにとどまらない。2006年5月に発覚した退役軍人省のケースでは、同省職員の自宅から、2,650万人の退役軍人とその配偶者に関する個人情報が保存されていたノートPCとハードディスク・ドライブが盗まれた。このケースでは、捜査機関がハードウェアを無事回収し、同省はその年、ノートPCの暗号化に取りかかった。

　GAOのリポートによると、政府機関は2002年に制定された「連邦情報セキュリティ・マネジメント法（FISMA：Federal Information Security Management Act）」など、複数の法律によりデータ保護を義務付けられているという。また、米国政府の行政管理予算局（OMB）は、2006年に政府機関に対し、モバイル・デバイス上のあらゆる機密情報を暗号化するよう勧告し、2007年5月に法制化した。

　だが、暗号化ソフトなどのセキュリティ製品を扱うベンダー、米国PGP CorporationのCEOを務めるフィル・ダンケルバーガー（Phil Dunkelberger）氏は、IDG News Serviceの取材に対し、「OMBの法制化にしろGAOのリポートにしろ、米国政府の情報セキュリティを狭い視野から見ているにすぎない」と指摘した。

　「米国政府は、ネットワーク上のデータ保護を強化するなど、サイバー・セキュリティに向けてより幅広いアプローチで臨むべきだ。端末の暗号化だけでなく、ロール・ベースやポリシー・ベースの暗号化など、いつになったらデータ保護に本気で取り組むのか。データをもっと戦略的な視点で見ないと、現状を大きく改善することはできない」（Dunkelberger氏）

　ノートPCだけ暗号化しても、USBメモリなど、リムーバブル・メディアのセキュリティ問題は解決されない、とDunkelberger氏は付け加える。また、多くの政府機関は数千台のノートPCを暗号化するためにかかる時間や、端末を暗号化したあと暗号化キーをどう管理するかといった問題にも直面しているという。

　「政府機関が使用している端末の多くは、古すぎて最新の暗号化技術に対応できないうえ、一部の職員は標準以外の端末で機密情報にアクセスしている。これらの問題を考えれば、GAOのリポートは当然の結果だ。米国政府のデータ保護法はきちんと練られてはいるものの、そのやり方には疑問を感じる。OMBから発令すれば、直ちに魔法のようにすべて修正されると期待するのは大きな誤りだ」と、同氏は不満を漏らす。

　米国連邦議会下院国土安全委員会の民主党議員2人は、政府機関の暗号化対策は期待外れだったと発言している。同委員会は7月28日にGAOのリポートを発表した。

　同発表声明において、ミシシッピ州選出の民主党議員で同委員会の会長を務めるベニー・トンプソン（Bennie Thompson）氏は、「暗号化はオプションでなく義務だ」と前置きしたうえで、「OMBの法制化にもかかわらず、連邦政府の暗号化が30％しか進んでないのはむしろ予想どおりだ。だが、今からサイバー・セキュリティに適切な投資をしていけば、長期的に莫大なコストを強いられずに済む」と力説した。

　また、カリフォルニア州選出の民主党下院議員、ゾー・ロフグレン（Zoe Lofgren）氏は、「連邦政府機関はデータの保護／暗号化の面で民間に大きく遅れを取っている。われわれの政府は、システムとプロシージャのセキュリティ対策が遅すぎるのではないかと懸念している」と述べた。

(Grant Gross／IDG News Serviceワシントン支局)