政府機関のセキュリティ管理 第1回「米国情報管理法(FISMA)」 | ScanNetSecurity
2024.03.29(金)

政府機関のセキュリティ管理 第1回「米国情報管理法(FISMA)」

検察庁における情報改ざん、警察機密情報の漏えい、海上保安庁のビデオ流出、など、このところ米国を含め政府機関における情報セキュリティの重要問題が相次で発生しており、電子化が急速に進展する中、重要情報への脅威が増すばかりです。さらに一旦情報が漏えいすると

特集 特集
検察庁における情報改ざん、警察機密情報の漏えい、海上保安庁のビデオ流出、など、このところ米国を含め政府機関における情報セキュリティの重要問題が相次で発生しており、電子化が急速に進展する中、重要情報への脅威が増すばかりです。さらに一旦情報が漏えいすると、瞬時にインターネットを通じて全世界に流れ、回収・消去すら不可能になります。特に個人情報や公的な戦略情報、国家機密情報となると一組織に止まらず広範に甚大な影響を与え、国家的な安全保障問題にも発展しかねません。本コラムでは、情報セキュリティの先進国でもある米国政府機関の施策について鳥瞰していきます。

1. セキュリティ統一基準

(1)米国情報管理法(FISMA)

2001年9月11日のテロ以降、米国政府のセキュリティに関する取組は大きく変わりました。連邦情報セキュリティ管理法(Federal Information Security Management Act:FISMA)(参考1)は、連邦政府が2002年12月に電子政府法の一環として成立させたもので、各省庁は年に一度、情報セキュリティを見直し、行政管理予算局(OMB)にセキュリティ報告書を提出するように義務付けられたものです。この法律の対象となるのは、連邦政府機関や、連邦政府機関より業務委託を受けている民間の外部委託先です。

FISMAでは、この他、(a)新システムにおけるセキュリティ計画についての明記、(b)セキュリティ監査の実施、(c)既存ITシステムについてセキュリティについての認証取得、(d)標準技術局(NIST)におけるITの適切なセキュリティレベルを定めるガイドラインの作成、(e)各省庁における情報セキュリティ責任者(Chief Security Officer、CSO)の設置、などを求めています。FISMAにより2003年12月には、NISTがセキュリティガイドラインのドラフトを発表しています。

参考1:FISMA
http://www.ipa.go.jp/security/publications/nist/fisma.html

(2)連邦コンピュータセキュリティの評価(成績表)

2003年12月FISMAに基づいて連邦コンピュータセキュリティ成績表(Computer Security Report Card)が公表されました。成績表によると、当初、政府機関におけるセキュリティ対策の遅れが目立っていましたが(参考2)、2007年度になると政府全体の総合評価は、改善されてきているようです(参考3)。司法省と環境保護庁を含む4つの機関は「A+」で、「A」もしくは「A-」の機関も4つありました。一方、原子力規制委員会や国防省、農務省、労働省、退役軍人省など、9つの機関が「F(不可)」の評価が下されています。 この成績表は、各省庁が行政管理予算局(OMB)に提出した報告書に基づき、(a)IT資産の棚卸し実施の有無、(b)セキュリティインシデントの対応手順等について決められているか、(c)データへのアクセス制限などのセキュリティポリシーが構築されているか、(d)脆弱性を改善するための手順が準備されているか、(e)職員へのセキュリティ研修、などの観点から評価しています。

参考2:連邦コンピュータセキュリティ成績表
FEDERAL COMPUTER SECURITY REPORT CARD(December9,2003)
GOVERNMENTWIDE GRAD 2003:D
csrc


参考3:政府全体の情報セキュリティレベルが向上したFISMAスコアカード
http://e-public.nttdata.co.jp/f/repo/551_m080529/m080529.aspx#1

(林 誠一郎)

セキュリティ対策コラム
http://www.nttdata-sec.co.jp/article/
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×