米政府のセキュリティ対策通信簿、評価は「お粗末」

米連邦政府によるコンピュータシステムのセキュリティ対策は、2004年には前年からやや改善したものの、総合的にはなお「D＋」とお粗末なレベルにあるとの評価が下った。

米国議会の下院政府改革委員会は、監査官の報告をもとに、各政府機関のセキュリティ対策について評価表を作成している。このほど発表となった2004年の評価表 (PDF ファイル)を見る限り、米政府が国家の重要な情報技術を確実に保護できるようになるには、まだまだ道は険しいようだ。

同委員会の Tom Davis 委員長は16日、記者会見で次のように述べた。「十分というにはほど遠い。2年前と比較すると全般的にかなり向上したが、脆弱な部分が依然かなり存在し課題は多い」

この評価表は、2002年制定の連邦情報セキュリティ管理法『Federal Information Security Management Act』(FISMA) が定めるセキュリティ評価規定をもとに、同委員会が毎年発表しているものだ。Davis 委員長は発表にあたり、特に優れている機関や劣っている機関について言及し、FISMA に照らして今後の課題を指摘した。

評価表を見ると、24の主要政府機関のうち、約3分の1が及第点に達していない。特に評価が低いのはエネルギー省と国土安全保障省で、前年に続いての落第となった。逆に、IT ネットワークのセキュリティ対策で最も顕著な改善が見られたのは、運輸省と司法省だ。

運輸省は前年の「D＋」から「A−」に、司法省は落第点の「F」から「B−」に、それぞれ一気に評価が上がった。ほかに評価が高かったのは内務省で、「F」から「C＋」に大きく躍進した。

たとえば国土安全保障省は、その下に数十にのぼる関連組織や事務所を抱えているなど、それぞれの政府機関で事情が異なるうえ、ネットワーク保護へ向けた課題も同じではない。しかし、Davis 委員長は、今後も各機関が規定のクリアに向けて努力していくことが最重要課題だとコメントした。