［米国］
米国政府、IT製品の製造段階で仕込まれるバックドアへの対策に本腰

旧式化したネットワーク周辺防衛システムを刷新し、頻発するサイバー犯罪に対抗

（2008年09月16日）

　米国政府は、総合的なサイバー・セキュリティ対策の一環として、電子機器の製造過程で仕込まれる悪意あるソフトウェア・コードから保護するため、ネットワーク防衛能力の改善と調達ルールの改定に取り組む意向だ。

米国国土安全保障省（DHS）のWebサイト

　米国国土安全保障省（DHS）をはじめとする連邦政府の職員らは9月15日、米国情報技術協会（ITAA）主催のセキュリティ関連コンファレンスにおいて、今年1月にジョージ・ブッシュ（George Bush）米国大統領が発表した「National Cybersecurity Initiative」により、政府の旧式化したネットワーク周辺防衛システムを刷新すると語った。

　DHS、ホワイトハウス、米国国家情報局（DNI：Office of the Director of National Intelligence）の職員らは、同コンファレンスにおいて、複数の政府機関が関与するサイバー・セキュリティ・イニシアチブについての新たな詳細を明らかにした。

　「サイバー攻撃はこの1年でいっそう巧妙化し、標的を絞るようになってきた」と、DNIのサイバー・セキュリティ担当シニア・アドバイザー、メリッサ・ハサウェイ（Melissa Hathaway）氏は述べた。「われわれは今、既知と未知の脆弱性、敵の強力な攻撃力、そして非常に弱い状況認識という危険な状態にいる。経済面からも国家安全保障の面からも危機が高まっており、一刻も早い対策が求められている」（ハサウェイ氏）

　また、DHSの副長官、ポール・シュナイダー（Paul Schneider）氏は、「市販のIT製品に潜む脆弱性とトロイの木馬が、政府職員にとってますます大きな不安材料になりつつある。IT製品の海外生産が増えるなか、米国政府はサプライチェーンの保護を強化する必要に迫られている。きわめて深刻な問題だ」と力説した。「米国政府はサプライチェーンの不安を解消すべく、民間のベンダーと連携していくつもりだ。DHSは、IT製品に対する調達ルールの厳格化を検討しているところだ」（シュナイダー氏）

　ハサウェイ氏は、「最近ではクレジットカードのPOSマシンでカード番号とパスワードを盗む事件が頻発している。サプライチェーンのバックドアについて、もっと本気で考えるべきだ」と警鐘を鳴らした。

　もう1つの大きな不安は、米国政府の周辺防衛だという。「Einsteinの名で知られる現行の周辺防衛スキャナは2004年にスタートしたものだが、基本的に受け身の監視システムにすぎない」とシュナイダー氏は指摘した。「単純に言えば、Einsteinは攻撃されてはじめてそれに気づくレベルのフロー管理システムだ」と、ホワイトハウスのサイバー・セキュリティ担当特別補佐官、ニール・シアローネ（Neill Sciarrone）氏は述べた。

　また、DHSの国家防衛／プログラム担当次官、ロバート・ジャミソン（Robert Jamison）氏の話では、Einsteinで保護できるのは連邦政府のネットワークへのアクセス・ポイントのうちごく一部にすぎないとのことだ。DHSは現在、政府のネットワークをすべて保護する新バージョンのEinsteinを試験中だという。「政府は一時、約4,500のインターネット・ゲートウェイを持っていたが、今は100未満に減らす作業を進めている」とジャミソン氏はコメントした。

　「新バージョンのEinsteinは、どこから攻撃されるかを予測し、攻撃者をシャットダウンする能動的な機能を備える予定だ。もはや攻撃を検出するだけでは不十分だ。防止に向けて動き出すべきである」（シアローネ氏）

　長期的なサイバー・セキュリティ・イニシアチブでは、サイバー攻撃についての情報を効率的に共有するとともに、政府の防衛能力を民間企業と共有するなど、他にもいくつかの問題に焦点を当てるという。また、政府機関で働くサイバー・セキュリティ専門家の増員や、インターネット・ユーザーに対する脆弱性の教育にも力を注ぐそうだ。

(Grant Gross／IDG News Serviceワシントン支局)