米国会計検査院は、重要インフラ保護の情報共有について報告書を発表

国際海外情報

2001年10月31日（水） 12時00分

概要：
　米国会計検査院 (General Accounting Office = GAO)は、レポート番号 GAO-02-24、" Information Sharing: Practices That Can Benefit Critical Infrastructure Protection (CIP)" （「情報共有：重要インフラ保護に役立つ慣行」）を発表した。当該報告書では、重要インフラに関する情報共有で成功している、幾つかの団体を紹介している。

　会計検査院によると、下記１１の団体が情報共有分野で成功を収めているとのこと：

・シアトルに本社をおく Agora社。同社は、情報システムセキュリティ分野を含む各業界代表約600のメンバー間で、情報共有を成功させている。
・疾病対策センター (Center for Disease Control)
・米国コンピューター緊急対応センター (CERT Coordination Center)
・連邦コンピューター事件対応センター (Federal Computer Incident Response Center = FedCIRC)
・The International Information Integrity Institute (I-4)。セキュリティコンサルティング会社のアトミック・タンジェリン社がスポンサーで、75企業からなるフォーラム。
・インフラガード (Infraguard)。連邦捜査局 (FBI)の一部で、民間セクターと協力して、サイバーと物理的脅威に対応する団体。現在は、約 2,000のメンバーと、65の支部から成る。
・The Joint Task Force - Computer Network Operations (JTF-CNO)
・The National Coordinating Center for Telecommunications (NCC)。1983年設立。
・The Network Security Information Exchanges (NSIEs)。1991年に National Communications System (NCS) 及びNational Security Telecommunications Advisory Committee (NSTAC)によって設立。国家安全保障及び緊急対応時の電気通信に悪影響を及ぼす可能性があるコンピューター事件に関する情報を、収集・研究・共有する団体。
・New York Electronic Crimes Task Force （ニューヨーク州の電子犯罪タスクフォース）。米国 Secret Serviceによって 1995年に設立。現在は個人 400名以上、企業は 100社以上が参加。
・North American Electric Reliability Council (NERC)。1968年に設立され、後ほど電力業界へのコンピュータ攻撃に対応する、正式な情報共有分析センター(Information Sharing Analysis Center = ISAC)となる。

　当該報告書の主要な結論は下記の通り：

・上記団体が成功した最も大きな要素は、信頼関係が築き上げられた事である。この信頼関係はほとんどの場合、個人的な関係に基づいていた。
・団体の中に、「効果的かつ適度にセキュアな通信手段」が存在した。例えば、定期的なミーティングの開催や、セキュアなウェブサイトの使用など。
・団体メンバー各社のトップマネジメントの支援は不可欠であった。特に、機密情報の共有や、リソースのコミットなどに関する支援が重要であった。
・各団体で、継続的な指導者が存在していたことが、成功の重要な要素であった。

　上記に加え、当該報告書は「情報共有団体が成功するためには、そのメンバーに対し、現在の脅威、脆弱性、事件、及び過去の教訓など、有益な情報を提供する必要がある。」と結論付けている。

　当該報告書のベースとなった会計検査院調査は、2001年5月から10月にかけて実施された。本調査は、上院の共同経済委員会 (Joint Economic Committee)のメンバーであるロバート・Ｆ・ベネット上院議員（ユタ州代表、共和党）からの依頼であった。ベネット氏は、政府間及び政府と民間セクター間で、重要インフラに関する、より良い情報共有システムを構築することの、強力な支持者である

情報ソース：
GAO (GAO-02-24,), Oct. 15, 2001
http://www.gao.gov/new.items/d0224.pdf
FCW.com Oct. 24, 2001
http://fcw.com/fcw/articles/2001/1022/web-gao-10-24-01.asp

分析：
　本調査結果は、目新しいものではないし、驚く内容でもない。メンバーの会員基準を遵守するメカニズムを保有し、かつ各メンバー及びグループ全体の利益、双方について考えられる団体が、結果的に成功を収めている。一方、そうでない団体は、いつまでもフラフラしているか、いずれは失敗するだろう。GAO調査で取り上げられた成功団体は、構成メンバー及び目的は多種多様であるものの、全部あるいはほとんどが、上記の基本的原則を取り入れているようである。

　この調査は、現在あまり成功していない重要インフラ関係の団体に対し、成功の模範例を提示している。また、情報共有の成功例を、失敗例と比較してみるのも興味深かったかもしれない。他の団体が失敗したり、目指すレベルまで到達できない理由として、地方意識、傲慢さ、なわばり意識、特定メンバーへのひいきなどが挙げられる。これら問題点を明らかにしていくことが、今後成功していく唯一の方法であろう。よって、今回の報告書のように、成功した団体が過去に何をしてきたかを単に分析する以上のものが求められている。

　本調査の重要な欠点は、取り挙げた成功例に基づき、今後国家レベルでの重要インフラ情報共有について、具体的にどのようなステップが必要なのか、提示していないところである。

（詳しくはScan本誌をご覧下さい）
http://www.vagabond.co.jp/vv/m-sc.htm

※この情報はiDEFENSE社（ http://www.idefense.co.jp/ ）より提供いただいております。情報の内容は以下の時点におけるものです
【13:08 GMT、10、29、2001】

《ScanNetSecurity》