［米国］
「SECのセキュリティ対策は不十分」──GAOが改善を勧告

（2006年04月04日）

　米国政府説明責任局（GAO）は、先週末に発表した報告書の中で、財務データや機密データ、情報システムの機密保持、統合性、可用性を守るために、証券取引委員会（SEC）の情報セキュリティを強化する必要があると指摘している。

　GAOによると、SECは、昨年の報告書の中で未解決の課題と指摘された51の脆弱点のうち8つを修正または一部改善したものの、その取り組みはまだ不十分だという。

　これまでにSECが実施した対策には、一般の人がアクセスできる脆弱なワークステーションの置き換えや、主要なアプリケーションに対する変更管理手続きの開発・実装などがある。

　しかし、サーバへのリモート・アクセスの管理、パスワード管理、システムとデータに対するアクセスの管理、ネットワーク・デバイスとサーバの安全な構成、セキュリティの状況を検知して追跡するための監査・監視メカニズムの実装、などが“効果的に行われたとは言い難い”と指摘されている。

　今年の報告書では、修正されていない43の脆弱点に加え、新たに15の脆弱点が特定されている。その大半は、ユーザー・アカウントやパスワード、ネットワーク・デバイスやサービスなどの電子的なアクセス管理に関係しているという。こうした脆弱点が解消されなければ、SECの機密財務情報が、漏洩、改竄、喪失などのリスクにさらされ続けることになる。

　GAOは、その一例として、ユーザー・アカウントとパスワードを適切に管理し、認証された人物だけがシステムやデータにアクセスできる状態になっていない点を挙げている。このままでは、認可されていないユーザーが、SECのシステムにアクセスするのに必要な認証証明とパスワードを取得してしまう危険が高い。

　またSECでは、ユーザーによる機密情報や重要なシステム・ファイル、ディレクトリの変更が認められているうえ、許可も特に必要とされないという。このため、SECの財務データや機密データ、アプリケーションが改竄されるリスクは高いという。

　GAOは、情報セキュリティ・プログラムの主な要素が完全に開発、実装、文書化され、効果的な管理が確実に導入、維持されるようになるまで、SECの情報システムは危険にさらされ続けることになると指摘する。

　そのうえでGAOは、SECに対して、組織全体をカバーする情報セキュリティ・プログラムを完全実施するよう勧告した。一方、SECは、書面による回答の中で、GAOの指摘に同意し、勧告内容の実施に向け努力すると説明している。

　なお、SECのセキュリティ対策の弱さを指摘した今回の報告書は、GAOのサイト上で閲覧できる。

(リンダ・ローゼンクランス／Computerworld オンライン米国版)