【 ここから本文 】
セキュリティ・マネジメント
ソーシャルブックマークに登録 :
印刷用ページの表示
[米国]
「SECのセキュリティ対策は不十分」──GAOが改善を勧告
(2006年04月04日)
米国政府説明責任局(GAO)は、先週末に発表した報告書の中で、財務データや機密データ、情報システムの機密保持、統合性、可用性を守るために、証券取引委員会(SEC)の情報セキュリティを強化する必要があると指摘している。
GAOによると、SECは、昨年の報告書の中で未解決の課題と指摘された51の脆弱点のうち8つを修正または一部改善したものの、その取り組みはまだ不十分だという。
これまでにSECが実施した対策には、一般の人がアクセスできる脆弱なワークステーションの置き換えや、主要なアプリケーションに対する変更管理手続きの開発・実装などがある。
しかし、サーバへのリモート・アクセスの管理、パスワード管理、システムとデータに対するアクセスの管理、ネットワーク・デバイスとサーバの安全な構成、セキュリティの状況を検知して追跡するための監査・監視メカニズムの実装、などが“効果的に行われたとは言い難い”と指摘されている。
今年の報告書では、修正されていない43の脆弱点に加え、新たに15の脆弱点が特定されている。その大半は、ユーザー・アカウントやパスワード、ネットワーク・デバイスやサービスなどの電子的なアクセス管理に関係しているという。こうした脆弱点が解消されなければ、SECの機密財務情報が、漏洩、改竄、喪失などのリスクにさらされ続けることになる。
GAOは、その一例として、ユーザー・アカウントとパスワードを適切に管理し、認証された人物だけがシステムやデータにアクセスできる状態になっていない点を挙げている。このままでは、認可されていないユーザーが、SECのシステムにアクセスするのに必要な認証証明とパスワードを取得してしまう危険が高い。
またSECでは、ユーザーによる機密情報や重要なシステム・ファイル、ディレクトリの変更が認められているうえ、許可も特に必要とされないという。このため、SECの財務データや機密データ、アプリケーションが改竄されるリスクは高いという。
GAOは、情報セキュリティ・プログラムの主な要素が完全に開発、実装、文書化され、効果的な管理が確実に導入、維持されるようになるまで、SECの情報システムは危険にさらされ続けることになると指摘する。
そのうえでGAOは、SECに対して、組織全体をカバーする情報セキュリティ・プログラムを完全実施するよう勧告した。一方、SECは、書面による回答の中で、GAOの指摘に同意し、勧告内容の実施に向け努力すると説明している。
なお、SECのセキュリティ対策の弱さを指摘した今回の報告書は、GAOのサイト上で閲覧できる。
(リンダ・ローゼンクランス/Computerworld オンライン米国版)
- 米国政府説明責任局(GAO)
- http://www.gao.gov/
![サイバー・セキュリティ[罪と罰]](/images/_main/200805/SI-107409.jpg)
