【解説】
米国連邦政府のセキュリティ対策、2007年の総合評価は「C」

評価プロセスの形骸化を批判する声が専門家の間で高まる

（2008年05月21日）

米国連邦議会の下院監査政府改革委員会は5月20日、2007年度における各政府機関のコンピュータ・セキュリティ対策に関する評価表を発表した。それによると、政府全体の総合評価は「C（可）」であった。その一方で、評価表とその基準となる内部セキュリティ報告書は、サイバー脅威に対する連邦機関の対応度を正確に反映していないと批判する声も上がっている。

Jaikumar Vijayan
Computerworld米国版

米国連邦議会の下院監査政府改革委員会で共和党筆頭委員を務めるTom Davis下院議員

　政府全体の総合評価は、昨年発表された2006年度の「C-」から改善され、2年連続してわずかながら上向き傾向となった。だが、下院監査政府改革委員会の共和党筆頭委員を務めるトム・デイビス（Tom Davis）下院議員が評価した24の機関のうち、2007年度の評価表では、原子力規制委員会や国防省、農務省、労働省、退役軍人省など、9つの機関が「F（不可）」の評価が下された。

　一方、司法省と環境保護庁を含む4つの機関は「A+」だった。また、「A」もしくは「A-」の機関も4つあった。

下院監査政府改革委員会のサイトに公開されている2007年度の評価表

　この評価は、Davis議員が起草した「連邦情報セキュリティ・マネジメント法（FISMA：Federal Information Security Management Act）」への順守度を測るため、各機関の監査総監が毎年編纂する報告書に基づいて与えられる。FISMAは政府機関に対し、セキュリティ・コントロールと緊急対応計画をテストするためのプロセスを開発することに加え、標準的なシステム構成の採用、インシデント・レスポンスと違反開示の方針確立、セキュリティ教育とシステムの認定／認可のプログラム導入を義務づけている。

　同法案は2001年9月11日の同時多発テロ事件後に採択され、当初は連邦政府の情報セキュリティを強化するうえで不可欠となる施策と見られていた。だが、この2～3年は多くの機関がFISMAのプロセスを単なるペーパーワークとして扱うようになり、実際のセキュリティ改善に役立っていないのではないかとの懸念が強まっている。

｜1｜2｜ > 次のページへ