［米国］
国家安全保障局、機密情報の“うっかり公開”を避けるためのガイドラインを公開

（2006年01月25日）

　米国の国家安全保障局（NSA）は、機密情報を含んだままの文書ファイルをうっかり公開しないようにするための編集方法について説明した文書をWebサイトで公開している。昨年何件も発生した政府機関のうっかりミスによる機密情報の漏洩を防ぐことを目的としている。

　今回公開された『Redacting with Confidence: How to Safely Publish Sanitized Reports Converted from Word to PDF（間違いのない文書編集の手引き：不適切な部分を削除したリポートをWord形式からPDF形式に変換して安全に公表するために）』は、NSAのシステムズ＆ネットワーク・アタック・センター（SNAC）のアーキテクチャ＆アプリケーション部門が12月13日付で発行したもの。

　同文書では、「Microsoft WordもPDFも、複雑で洗練されたコンピュータ・データ・フォーマットであるがゆえに、思いがけず機密情報が公開されてしまうおそれがある」としており、機密情報の公開につながる一般的なミスとして、以下の3つを挙げている。

テキストやチャート（グラフ）や表を、データが読まれないようにするつもりで、スミベタで覆い隠す。
画像を判読しにくくするつもりで、縮小したりスミベタで覆い隠したりする。
WordやPDFなどの多くのファイルに自動的に埋め込まれるメタデータ、つまり隠されている情報や更新履歴を見逃してしまう。

　「注意しなければならないのは、コンピュータ文書内で隠されている情報や覆い隠した情報はいつてもリカバーできてしまうということである。不慮の公開を避けるためには、機密情報を単に視覚的に隠したり、判読しにくくしたりするのではなく、実際に元の文書から削除する必要がある」（同文書）

　サンフランシスコに本社を置くドキュメント・セキュリティ・ツールのベンダー、ワークシェア・テクノロジーのCEO、ジョー・ファンツージ氏は、機密データを万一公開してしまった場合の影響はきわめて大きいと指摘する。

　同氏によると、例えば、昨年（2005年）12月には、ホワイトハウスのイラク政策に関する文書に埋め込まれていたメタデータから、同文書の本当の筆者がデューク大学の政治学者であり、ブッシュ政権のメンバーではないことが明るみに出てしまったという事件が発生した。

　また、国防総省が昨年5月に自らのWebサイトで公開したリポートには、同省がスミベタで塗りつぶしたつもりだったにもかかわらず、イラクでイタリアの情報部員を誤って射殺してしまった米国兵士の名前に関する情報が含まれていた。

　「こうした機密情報の開示ミスは、政府機関だけではなく民間企業でも起こりうる」とファンツージ氏は指摘する。

　例えば、昨年12月には、医薬品大手のメルクが、医学情報誌『The New England Journal of Medicine（NEJM）』に提出した論文の最終原稿からVioxxと心臓病のリスク増加を結び付ける記述を削除していた事実が、NEJM編集部によって公表された。削除したつもりの情報が、原稿の文書ファイルに埋め込まれたメタデータに含まれていたのが原因だ。

　また、昨年11月に、オーストラリアのシドニーに本社を置くウェストパック・バンキングが証券アナリストに送った電子メールには、年度利益の暫定数値が塗りつぶされた状態で含まれていたが、実際には、受け取った相手がその情報を取り出すことができたという。

　米国ペンシルバニア州マルバーンに本社を置くスパイア・セキュリティのアナリスト、ピート・リンドストロム氏は、こうした事件は、まれとはいえ、組織が機密情報の漏洩を防ぐことがいかに困難であるかを示すものだと指摘する。

　「米国経済界が心配しなければならないのはもっと大きな問題、つまり、企業全体のデータ管理をどのように実施するかということだ。機密情報の漏洩は、メタデータや文書編集上のミスによるものだけとはかぎらない。電子メール、FTP、チャットなど、その他の経路でも十分に起こりうる」（リンドストロム氏）

(Computerworld オンライン米国版)