［米国］
連邦政府機関の情報セキュリティ管理は依然として不十分

「重要な情報が危険にさらされている」と会計検査院が厳しく批判

（2007年06月11日）

　米国会計検査院（GAO）は6月7日、米国連邦政府機関の情報セキュリティ管理体制が不十分だとする内容の調査リポートを公表した。GAOによると、連邦政府機関の情報セキュリティ管理体制は、一定の前進は見られるものの、依然として重大な弱点を抱えているという。

　GAOのリポートは、24の主要な連邦政府機関の調査員が2006年中に提出した報告に基づいて作成された。33ページにわたる同リポートは、連邦政府機関における重要な情報や情報システムの機密性、統合性、可用性が危険にさらされているとして、同機関の情報セキュリティ管理を厳しく批判する内容となっている。

　GAOの情報セキュリティ問題担当ディレクター、グレゴリー・ウィルシューセン氏は、米国議会下院の監督および政府改革委員会に出席し、「ほぼすべての主要な連邦政府機関が、1つまたは複数の情報セキュリティ管理分野で弱点を抱えている」と証言した。

　同氏によると、ほとんどの連邦政府機関は、コンピュータ・ネットワーク、システム、情報へのアクセスを十分に防止、制限、あるいは検知できるような管理機能を実装していないという。

　もっとも、職員や請負業者を対象にセキュリティ関連の研修を実施するなど、一部の政府機関では一定の前進が見られたとリポートでは述べている。また、年1回のペースでテストと評価を行っているシステムの比率が高まっていることにも言及。安全性が保障／認定されたテスト済みの偶発事態対応計画を組み込んだシステムも増えていると評価している。

　しかし、複数の重要なセキュリティ機能に大きな“穴”があるため、こうした成果もかすみがちだとリポートには記されている。主な問題点としては、許可された人物だけに重要データへのアクセスを認めるアクセス権限管理、不正なソフトが政府のシステム上で稼働するのを防ぐ構成管理制御、職務分掌、業務継続計画などが挙げられている。

　そのうえでGAOのリポートは、こうした「永続的な弱点」が、2006年に複数の機関で多発した深刻なセキュリティ侵害の一因になっていると指摘する。

　同リポートが挙げているセキュリティ侵害の例としては、2,600万人に及ぶ復員軍人の個人情報が漏洩したと見られる復員軍人援護局の事件や、5万件近い個人記録が奪われた可能性のあるメディケア／メディケイド・サービス・センターのノートPC盗難事件、3万9,700人の個人データが公衆Webサイトに誤ってポストされた農務省（USDA）の事件、およそ10万人分の職員記録が危険にさらされたとされる運輸保安局の事件などがある。

　SANSインスティチュートの調査ディレクター、アラン・パラー氏は、「GAOのウィルシューセン氏が下院公聴会で証言したことは、FISMAが致命的な欠陥を抱えていることへの警鐘でもある。GAOのリポートの行間から読み取れる結論も、こうした認識と一致している」と述べている。

　パラー氏が指摘するFISMAとは、Federal Information Security Management Act（連邦情報セキュリティ管理法）のことで、すべての主要な連邦政府機関が順守すべき情報管理の細目を定めたものだ。しかしこの法律については、単なる官僚主義の産物という見方が支配的であり、かねてから強い批判を浴びている。

(ジャイクマール・ビジャヤン／Computerworld オンライン米国版)