［米国］
「FRBの情報セキュリティ手法には大幅な改善が必要」──GAOが勧告

（2006年09月04日）

　米国政府説明責任局（GAO）は、このほど公開した新たな報告書の中で、政府の重要な財務情報を守るため、連邦準備制度理事会（FRB）の連邦準備銀行のシステムのデータ・セキュリティ手法を大幅に改善する必要があると指摘、強力な暗号機能やアクセス管理、トランザクション処理に対する包括的なロギング機能や監査などを導入するよう提言した。

　『Information Security: Federal Reserve Needs to Address Treasury Auction Systems（情報セキュリティ：連邦準備における国債入札システム改善の必要性）』と題した21ページの報告書は、連邦準備銀行が実施する国債電子入札の安全を確保するために使用されているデータ・セキュリティ手法について、不正なアクセスから国債入札制度を守るのには不適切と結論づけている。

　GAOは、現在使用されているデータ・セキュリティ手法を検査した結果、「連邦準備銀行が財務省公債局に代わって、保守と運用を行っているメインフレーム・アプリケーションには、おおむね効果的な管理機能がインプリメントされている」ことが明らかになったとしている。

　その一方で、GAOの報告書は、「国債入札にかかわる分散ベース・システムと支援ネットワーク環境に対応する機密データとコンピューティング・リソースの機密性、統合性、可用性を保護するための情報システム管理が効果的にインプリメントされていない」と付け加えている。

　報告書は、ユーザーを一貫性のある方法で特定・認証することによって不正なアクセスを防止するといった対策が取られておらず、必要かつ適切な場合の正規アクセスを保証する最低限の特権ルールも実施されていないと指摘する。

　また、トランザクション処理システムへの接続を制限する適切な境界保護機能がインプリメントされておらず、ストレージやネットワークに格納されている機密データを保護するための強力な暗号技術が導入されていないほか、セキュリティ関連イベントのロギング、監査、監視も不適切であり、サーバとワークステーションの安全な構成も適切に維持されていないとし、次のように警告している。

　「この結果、連邦準備銀行が（公債局に代わって）保守と運用を行っている重要な分散ベースの入札システムに対応する入札情報とコンピューティング・リソースで、不正かつ検知されない利用、改竄、破壊、漏洩のリスクが高まっている」

　そのうえで報告書は、連邦準備銀行のIT管理システムが抱えるこうした問題は、「FRB組織の境界をまたいで行われる情報セキュリティ活動の調整、意思疎通、監督に対する効果的な管理構造の欠如や、入札アプリケーションを十分にテストできる適切な環境の不備によって生まれる」と指摘している。

　GAOは、連邦準備銀行のシステムを改善するため、財務省に対し「重要な情報セキュリティ活動をインプリメントするための効果的な管理構造と入札システムのためのテスト環境を確立する」よう勧告している。

　GAOの報告書は、「適切な保護対策、スピード、アクセス機能が導入されなければ、悪意を持つ個人やグループがシステムに不正アクセスして、機密情報を入手したり、不正行為を行ったり、業務を妨げたり、他のサイトへの攻撃を行ったりする危険性がある」と警鐘を鳴らす。

　連邦準備銀行業務／支払システム担当のディレクター、ルイーズ・ローズマン氏は、この報告書に対する回答の中で、「GAOの検査実施後に、複雑なITシステムを効果的に調整、監督する能力を強化するための対策を講じており、その中には、連邦準備銀行内での情報セキュリティ管理構造の再調整や、組織全体の情報セキュリティの焦点となるIT組織のディレクター選任なども含まれている」と説明した。

　ローズマン氏は、その書簡で、「GAOの報告書で検査対象となった国債入札アプリケーションは、1998年初頭に開発されたものであり、当時はWeb技術やツール、開発手法が現在ほど発展していなかった」と弁明している。

　そのうえで同氏は、「財務省と連邦準備銀行は、2007年末までに既存のアプリケーションと業務インフラストラクチャを置き換えるため、大規模な開発構想を実施している。新しい入札アプリケーションは、連邦準備銀行の強力な情報セキュリティ・アーキテクチャの下で運用され、情報セキュリティの順守状況は、強化された情報セキュリティ・ガバナンス構造により監視される」と述べている。

　連邦準備銀行は、財務省の財務代理機関として、財務省に代わって入札の受け付け、落札者への証券発行、支払徴収などの業務を行っているほか、財務省口座から国債所有者口座への金利や償還金の支払い業務も担当しているという。2005会計年度には、およそ4兆5,000億ドルの国債発行と4兆2,000億ドルの償還、1,280億ドルの金利支払いを処理している。

(トッド・ワイス／Computerworld オンライン米国版)