［米国］
ニューヨーク州ウェストチェスター郡、無線ネットワークのセキュリティ対策を法律で義務化

（2006年04月25日）

　米国ニューヨーク州のウェストチェスター郡は先ごろ、地域の事業者に対し、無線ネットワークの保護に向けた“最小限のセキュリティ対策”を実装するよう義務づける新たな法律を制定した。

　同法は、社会保障番号やクレジットカード情報、銀行口座情報などの個人情報を収集し、なおかつ無線ネットワークを有するすべての営利企業に適用される。また、公衆インターネット・アクセスを提供している企業も対象となる。米国内でこの種の法律が制定されるのは初めて。

　ウェストチェスター郡は、身元情報の窃盗などコンピュータにまつわる各種不正行為から利用者を守る手段として同法律を制定したとしている。同郡幹部のアンディ・スパーノ氏は、「安全が確保されていない無線ネットワークが数多く存在し、本来機密が保持されるべき情報に何の障害もなくアクセスできるという事実が判明している」と述べている。

　同法が提案された昨年秋、ウェストチェスター郡のIT部門内に設置されたチームが、ノートPCを用意してホワイトプレーンズの下町を自動車で走ってみたところ、248の無線ホットスポットが検知され、そのうちの120については、目に見えるようなセキュリティ対策が何も施されていなかったという。

　スパーノ氏は、「これらの企業が自社のネットワークの安全を守るのに必要な手だてを講じてくれていれば良かったのだが、悲しいことに、多くの企業は何の対策も実行していない。われわれが一歩踏み込んで法律を制定したのはこのためだ」と説明している。

　同法では、個人情報を収集、保存、利用している企業は、180日以内に法令順守に向けた措置を講じなければならないことになっており、ネットワーク・ファイアウォールのインストール、無線LANシステムのSSIDの設定やネットワーク名の変更、SSIDブロードキャスティングの停止といった対策を実施することを義務づけている。ウェストチェスター郡の声明によると、「（これらの対策は）最小限の努力で実施することができ、システム運営者が負担しなければならない追加コストも非常に少ない」という。

　また、同法では、インターネット・カフェや無料の無線アクセスを提供している組織なども、顧客がインターネットにアクセスする際に、セキュリティ対策を講じるようアドバイスしなければならないことになっている。

　同法を守らなかった場合は、30日以内に状況を改善するよう警告が出され、それでも改善されない場合には250ドルの罰金、さらに違反を続けた場合には500ドルの罰金が科されることになっている。なお、同法は一般家庭のユーザーには適用されない。

　米国スピア・セキュリティのアナリスト、ピート・リンドストロム氏は、「自治体がサイバー攻撃の脅威に対して高い関心を抱いている点は賞賛したい。しかし、同法が適切な方法で施行できるものなのかどうかを見極める必要がある」と指摘する。

　一方、米国ヤンキー・グループ・リサーチのアナリスト、アンドリュー・ジャキス氏も、「例えば、メインストリートを歩き、開いているアクセス・ポイントを200カ所特定できたとしよう。しかし、その中のだれが法律に違反しているかをどうやって突き止めればよいのか。また、安全なWi-Fi接続になっていないからといって、コーヒーショップのオーナーを逮捕できるのだろうか」と、同法に対して疑問を投げかけている。

　同氏は、加えて、「施行が困難な法律を制定するよりも、無線ネットワークに対する脅威を消費者に警告するような広報活動を行ったほうがもっと効果的だったのではないか」と指摘している。

(ジャイクマー・ビジャヤン／Computerworld オンライン米国版)