米国会計検査院は、重要インフラ保護の情報共有について報告書を発表 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.16(土)

米国会計検査院は、重要インフラ保護の情報共有について報告書を発表

国際 海外情報

概要:
 米国会計検査院 (General Accounting Office = GAO)は、レポート番号 GAO-02-24、" Information Sharing: Practices That Can Benefit Critical Infrastructure Protection (CIP)" (「情報共有:重要インフラ保護に役立つ慣行」)を発表した。当該報告書では、重要インフラに関する情報共有で成功している、幾つかの団体を紹介している。

 会計検査院によると、下記11の団体が情報共有分野で成功を収めているとのこと:

・シアトルに本社をおく Agora社。同社は、情報システムセキュリティ分野を含む各業界代表約600のメンバー間で、情報共有を成功させている。
・疾病対策センター (Center for Disease Control)
・米国コンピューター緊急対応センター (CERT Coordination Center)
・連邦コンピューター事件対応センター (Federal Computer Incident Response Center = FedCIRC)
・The International Information Integrity Institute (I-4)。セキュリティコンサルティング会社のアトミック・タンジェリン社がスポンサーで、75企業からなるフォーラム。
・インフラガード (Infraguard)。連邦捜査局 (FBI)の一部で、民間セクターと協力して、サイバーと物理的脅威に対応する団体。現在は、約 2,000のメンバーと、65の支部から成る。
・The Joint Task Force - Computer Network Operations (JTF-CNO)
・The National Coordinating Center for Telecommunications (NCC)。1983年設立。
・The Network Security Information Exchanges (NSIEs)。1991年に National Communications System (NCS) 及びNational Security Telecommunications Advisory Committee (NSTAC)によって設立。国家安全保障及び緊急対応時の電気通信に悪影響を及ぼす可能性があるコンピューター事件に関する情報を、収集・研究・共有する団体。
・New York Electronic Crimes Task Force (ニューヨーク州の電子犯罪タスクフォース)。米国 Secret Serviceによって 1995年に設立。現在は個人 400名以上、企業は 100社以上が参加。
・North American Electric Reliability Council (NERC)。1968年に設立され、後ほど電力業界へのコンピュータ攻撃に対応する、正式な情報共有分析センター(Information Sharing Analysis Center = ISAC)となる。

 当該報告書の主要な結論は下記の通り:

・上記団体が成功した最も大きな要素は、信頼関係が築き上げられた事である。この信頼関係はほとんどの場合、個人的な関係に基づいていた。
・団体の中に、「効果的かつ適度にセキュアな通信手段」が存在した。例えば、定期的なミーティングの開催や、セキュアなウェブサイトの使用など。
・団体メンバー各社のトップマネジメントの支援は不可欠であった。特に、機密情報の共有や、リソースのコミットなどに関する支援が重要であった。
・各団体で、継続的な指導者が存在していたことが、成功の重要な要素であった。

 上記に加え、当該報告書は「情報共有団体が成功するためには、そのメンバーに対し、現在の脅威、脆弱性、事件、及び過去の教訓など、有益な情報を提供する必要がある。」と結論付けている。

 当該報告書のベースとなった会計検査院調査は、2001年5月から10月にかけて実施された。本調査は、上院の共同経済委員会 (Joint Economic Committee)のメンバーであるロバート・F・ベネット上院議員(ユタ州代表、共和党)からの依頼であった。ベネット氏は、政府間及び政府と民間セクター間で、重要インフラに関する、より良い情報共有システムを構築することの、強力な支持者である

情報ソース:
GAO (GAO-02-24,), Oct. 15, 2001
http://www.gao.gov/new.items/d0224.pdf
FCW.com Oct. 24, 2001
http://fcw.com/fcw/articles/2001/1022/web-gao-10-24-01.asp

分析:
 本調査結果は、目新しいものではないし、驚く内容でもない。メンバーの会員基準を遵守するメカニズムを保有し、かつ各メンバー及びグループ全体の利益、双方について考えられる団体が、結果的に成功を収めている。一方、そうでない団体は、いつまでもフラフラしているか、いずれは失敗するだろう。GAO調査で取り上げられた成功団体は、構成メンバー及び目的は多種多様であるものの、全部あるいはほとんどが、上記の基本的原則を取り入れているようである。

 この調査は、現在あまり成功していない重要インフラ関係の団体に対し、成功の模範例を提示している。また、情報共有の成功例を、失敗例と比較してみるのも興味深かったかもしれない。他の団体が失敗したり、目指すレベルまで到達できない理由として、地方意識、傲慢さ、なわばり意識、特定メンバーへのひいきなどが挙げられる。これら問題点を明らかにしていくことが、今後成功していく唯一の方法であろう。よって、今回の報告書のように、成功した団体が過去に何をしてきたかを単に分析する以上のものが求められている。

 本調査の重要な欠点は、取り挙げた成功例に基づき、今後国家レベルでの重要インフラ情報共有について、具体的にどのようなステップが必要なのか、提示していないところである。


(詳しくはScan本誌をご覧下さい)
http://www.vagabond.co.jp/vv/m-sc.htm

※この情報はiDEFENSE社( http://www.idefense.co.jp/ )より提供いただいております。情報の内容は以下の時点におけるものです
【13:08 GMT、10、29、2001】


《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

    死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

  2. どこかへ跳んでいけ、出来の悪いラビット(The Register)

    どこかへ跳んでいけ、出来の悪いラビット(The Register)

  3. 米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

    米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

  4. 捜査中だった米大統領選に使用されたサーバのデータが消失(The Register)

  5. ロシアが中印らと独自インターネット構築か、グローバルDNS分裂の危機を追う(The Register)

  6. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  7. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

  8. インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

  9. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

  10. Mac OS X のシングルユーザモードの root アクセス(2)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×