一向に改善されない連邦政府機関のサイバーセキュリティ事情 | ScanNetSecurity
2024.04.25(木)
コンテンツ
注目検索ワード
ホーム 国際 海外情報 記事

一向に改善されない連邦政府機関のサイバーセキュリティ事情

Richard Forno
2004年3月22日 11:39 GMT

国際 海外情報
Richard Forno
2004年3月22日 11:39 GMT

 過去数年間にわたり、会計検査院(GAO)から議会の委員会に至るまでワシントンの様々な政府機関が情報セキュリティに関する調査を毎年行い、その報告書を発表している。各ケースにおいて多少の例外はあるものの、調査結果は極めて厳しいものから呆れてしまうものまで多種多様だ。しかし、基本的に 1990 年代の中頃からその状況は変化していないようだ。

 政府機関の監視に関連する他の問題と同様、情報セキュリティに関する報告書の発表はワシントンの毎年恒例の行事となりつつある。そして連邦政府機関ネットワークの安全性をこれまで以上に確保するため、我々が "行う" 必要のある施策について様々な論議が議会で繰り広げられる。政府機関の高官や最高情報責任者(CIO)が議会に召喚され、証言する場合もある。また、法案を提出しても上院に上程される前に廃案になる場合もある。結果、この問題は翌年の報告書の発表までデジタル・メモリの中に仕舞い込まれ、状況は何も改善されることなく、また同じことが繰り返されるのだ。

 これは、我々が年に一度歯医者に行くのと似ている。つまり、歯科医は歯をよく磨き、甘いものを控えるよう注意する。歯科医は患者を前にしてそれらの忠告を行い、カルテに書き込む。他方、患者である我々はその時、一種の居心地の悪さを覚えるだろう。何故なら、それらの忠告は十二分に分かりきったことだからだ。それを我々は毎年、耐えているのである。何故なら、良好な口腔衛生を保つためにはしなければならないことだからだ。当然のことながら、我々は歯科医の忠告を無視する。理由は面倒だから。加えて、キャンディはセロリよりも美味しい。

 前述の患者の態度は、連邦政府機関の多くの情報システム・セキュリティ担当者にも当てはまる。以下に 1990 年代後半まで遡った報告書の一部を記述した。そこには悪い調査結果が多数報告されており、それに対する改善策も提案されている。しかし、患者は言うことをきかないのである...。他方、歯科医は患者の歯に対する態度を改めさせることはできない(この場合、歯科医にその気がないとも言う)。


●危機に晒されている政府機関のネットワーク
 1998年9月24日

 議会の調査機関によると、内国税歳入局や国防省を含む 24 の主要政府機関のネットワーク・セキュリティは脆弱と見なされ、重要な政府の運用およびデータを詐欺、不正使用、破壊の危険に晒すものだ。

●報告:政府の Web サイトはプライバシー、セキュリティに関して脆弱
 2000年9月12日

 会計検査院(GAO)が発行した報告書によると、米政府の Web サイトおよびコンピュータ・システムはプライバシーおよびセキュリティを適切に確保していない。同報告書は、連邦政府の様々な機関の Web サイトに提出された情報を連邦政府が十分に保護しておらず、もしくは悪意ある人物から情報システムを十分に防衛していないと強く指摘している。GAO のプライバシーに関する調査では、政府機関の Web サイト方針を評価するための基準として連邦取引委員会(FTC)が商用サイトの判定に用いている方法を採用した。FTC の公正情報ガイドラインは次のように述べている。Web サイトは消費者から情報を収集する前にプライバシー方針を掲載する必要がある。情報の開示を禁止するオプト・アウトの選択肢を消費者に与える。消費者が情報を提出する前に情報を精査できるようにする。許可されていない使用を阻止するために適切なセキュリティを施す。

●FAA のセキュリティ不備、改善されず
 2000年9月27日

 本日リリースされたコンピュータ・セキュリティに関する政府の最新報告書によると、連邦航空局(FAA)は今夏、政府の調査で明らかにされた深刻なセキュリティ問題を修正しようとしている。しかし、航空交通管制で使用されているような基幹コンピュータ・システムのセキュリティは依然として十分に確保できていない。また、下院科学委員会の声明文によると、依然として改善されない FAA のコンピュータ・セキュリティ不備に関する会計検査院の報告書は、下院科学委員会を前にして聴聞会で発表され議論された。尚、下院科学委員会は、それらの不備が旅行者に与える影響などを調査している。

●米政府機関のハイテク・セキュリティ、落第
 2001年11月9日

 金曜日に開かれた議会聴聞会での証言によると、政府機関は自身のコンピュータ・セキュリティに関して複数の慢性的問題を抱えている。下院政府改革委員会の小委員会が、政府機関のハッカーやテロリストそして他の犯罪者対策についてランク付けを行ったところ、ほとんどの機関が落第の烙印を押された。行政管理予算局の情報技術(IT)および電子政府担当の Mark Forman 氏は次のように述べている。「政府機関が IT セキュリティに投資する割合とセキュリティの評価には、あまり関連性はない」。


[情報提供:The Register]
http://www.theregister.co.uk/

[翻訳:関谷 麻美]

(詳しくはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

RoamWiFi R10 に複数の脆弱性 画像

RoamWiFi R10 に複数の脆弱性
Linux の GSM ドライバにおける Use-After-Free の脆弱性(Scan Tech Report) 画像

Linux の GSM ドライバにおける Use-After-Free の脆弱性(Scan Tech Report)
Armeria-saml に SAML メッセージ取り扱い不備 画像

Armeria-saml に SAML メッセージ取り扱い不備
LINE client for iOS にサーバ証明書の検証不備の脆弱性 画像

LINE client for iOS にサーバ証明書の検証不備の脆弱性
Adobe ColdFusion の脆弱性を悪用し webshell が設置される被害 画像

Adobe ColdFusion の脆弱性を悪用し webshell が設置される被害
PuTTY SSH クライアントの ECDSA 署名処理の実装に脆弱性 画像

PuTTY SSH クライアントの ECDSA 署名処理の実装に脆弱性

インシデント・事故 記事一覧へ

タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に 画像

タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に
LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導 画像

LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導
Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に 画像

Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に
笛吹市商工会へのサポート詐欺被害、調査結果公表 画像

笛吹市商工会へのサポート詐欺被害、調査結果公表
「相鉄ポイント」引き継ぎで会員情報を取り違え、他の顧客の個人情報が閲覧可能に 画像

「相鉄ポイント」引き継ぎで会員情報を取り違え、他の顧客の個人情報が閲覧可能に
NDIソリューションズの RAG サービスに不正アクセス、個人情報を格納するサービスへの痕跡は確認されず 画像

NDIソリューションズの RAG サービスに不正アクセス、個人情報を格納するサービスへの痕跡は確認されず

調査・レポート・白書・ガイドライン 記事一覧へ

重い 高い 検索も使いにくいメールを企業の 6 割が使う理由 画像

重い 高い 検索も使いにくいメールを企業の 6 割が使う理由
2024年第1四半期 IPA 情報セキュリティ安心相談窓口の相談状況、サポート詐欺被害時の漏えい可能性判断ポイントほか 画像

2024年第1四半期 IPA 情報セキュリティ安心相談窓口の相談状況、サポート詐欺被害時の漏えい可能性判断ポイントほか
2024年第1四半期「JVN iPedia」登録状況、最多アクセスは WordPress 用プラグイン WordPress Quiz Maker Plugin における不適切な入力確認の脆弱性 画像

2024年第1四半期「JVN iPedia」登録状況、最多アクセスは WordPress 用プラグイン WordPress Quiz Maker Plugin における不適切な入力確認の脆弱性
国内カード発行会社のドメイン毎の DMARC 設定率 36.2%「キャッシュレスセキュリティレポート(2023年10-12月版)」公表 画像

国内カード発行会社のドメイン毎の DMARC 設定率 36.2%「キャッシュレスセキュリティレポート(2023年10-12月版)」公表
社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表 画像

社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表
セキュリティにおける効果は実感できるのか ~ SECURITY ACTION 宣言「得られた効果はない」最多 画像

セキュリティにおける効果は実感できるのか ~ SECURITY ACTION 宣言「得られた効果はない」最多

研修・セミナー・カンファレンス 記事一覧へ

札幌でワークショップ「CSIRTのはじめ方 ー そして続けられるように」5/16 開催 画像

札幌でワークショップ「CSIRTのはじめ方 ー そして続けられるように」5/16 開催
スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談 画像

スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談
ガートナー クラウドクッキング教室 ~ CCoE 構築の重要性 画像

ガートナー クラウドクッキング教室 ~ CCoE 構築の重要性
Reject 運用のポイント他 ~ 日本プルーフポイント「DMARC Conference 2024」5 月末 大手町で開催 画像

Reject 運用のポイント他 ~ 日本プルーフポイント「DMARC Conference 2024」5 月末 大手町で開催
韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ~ SECON & eGISEC 2024 開催 画像

韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ~ SECON & eGISEC 2024 開催
エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催 画像

エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催

製品・サービス・業界動向 記事一覧へ

脆弱性診断自動化ツール「AeyeScan」を基盤に「診断マネジメントプラットフォーム」を提供 画像

脆弱性診断自動化ツール「AeyeScan」を基盤に「診断マネジメントプラットフォーム」を提供
脆弱性診断自動化ツール「AeyeScan」アップデート、Apache httpd の脆弱性スキャンルール追加 画像

脆弱性診断自動化ツール「AeyeScan」アップデート、Apache httpd の脆弱性スキャンルール追加
研究開発の推進責務が撤廃ほか ~「NTT法」改正法律成立を受け NTT がコメント 画像

研究開発の推進責務が撤廃ほか ~「NTT法」改正法律成立を受け NTT がコメント
SHIFT SECURITY、OWASP Top10 for LLMs に基づいた「生成AI活用システム診断」リリース 画像

SHIFT SECURITY、OWASP Top10 for LLMs に基づいた「生成AI活用システム診断」リリース
情報処理学会、高等学校情報科の全教科書の用語リスト公開 画像

情報処理学会、高等学校情報科の全教科書の用語リスト公開
脆弱性診断自動化ツール「AeyeScan」の SSO 機能が SAML 認証に対応 画像

脆弱性診断自動化ツール「AeyeScan」の SSO 機能が SAML 認証に対応

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です) 画像

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です)
人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典] 画像

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]
Scan PREMIUM 創刊25周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊25周年記念キャンペーン実施中
ScanNetSecurity 創刊25周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊25周年御礼の辞(上野宣)
小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄 画像

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄
「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ 画像

「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×