米国防総省のセキュリティ対策はまだ不十分、GAO が指摘

米国防総省は、米国の各省庁で一貫したセキュリティ体制を確保するための情報保全 (IA) プログラムを導入しているが、米会計検査院 (GAO) は、米政府の定めるセキュリティポリシーへの準拠を包括的に示すメカニズムが、まだ不十分だと指摘した。

米国政府機関のシステムがサイバー攻撃に対して脆弱との懸念を背景に、同国では、政府機関のセキュリティを改善すべく、『Government Information Security Reform Act』(GISRA 法) を制定し、各政府機関に対して情報セキュリティプログラムの構築と評価実施、およびその報告を義務づけた。以来 GAO は、各機関が GISRA 法 に準拠しているか、進捗状況を毎年報告している。

GAO 情報技術チームディレクタの Robert F. Dacey 氏は、米下院軍事委員会の席上で、「個別の機関ではある程度改善を達成しているが、当会計検査院の調べでは、主要24省庁の情報セキュリティに、重大な弱点がなお存在することがわかっている。そのため、政府機関のかなりの業務および資産を、不正行為や悪用、混乱の危険にさらしている」と述べた。

同氏はまた、国防総省は「精力的な IA プログラム」を実施しているが、「ポリシーや手続きの制定と、法令に基づくセキュリティ上の必須事項の達成いずれにおいても、まだまだ課題を多く残している」とした。

コンピュータのスキルを持つ人が増え、不正侵入やクラックツールが数多く出回るようになったため、IA プログラムの必要性は飛躍的に高まっている。実際、こういったツールは、インターネット上でダウンロードして、ごく容易に攻撃を開始することができるうえ、攻撃技術は着実に巧妙化の一途をたどり、効果のほどを増しているというのが、専門家の一致した見方だ。

コンピュータ緊急対応センター (CERT/CC) が受け取るセキュリティ侵害報告は、1999年の9859件から2002年には8万2094件にまで増加し、今年前半だけでも、7万6404件に上っている。