政府機関のセキュリティ管理 第2回「米国セキュリティ監査ガイドライン(CAG)」 | ScanNetSecurity
2021.01.26(火)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

政府機関のセキュリティ管理 第2回「米国セキュリティ監査ガイドライン(CAG)」

検察庁における情報改ざん、警察機密情報の漏えい、海上保安庁のビデオ流出、など、このところ米国を含め政府機関における情報セキュリティの重要問題が相次で発生しており、電子化が急速に進展する中、重要情報への脅威が増すばかりです。さらに一旦情報が漏えいすると

特集 特集
検察庁における情報改ざん、警察機密情報の漏えい、海上保安庁のビデオ流出、など、このところ米国を含め政府機関における情報セキュリティの重要問題が相次で発生しており、電子化が急速に進展する中、重要情報への脅威が増すばかりです。さらに一旦情報が漏えいすると、瞬時にインターネットを通じて全世界に流れ、回収・消去すら不可能になります。特に個人情報や公的な戦略情報、国家機密情報となると一組織に止まらず広範に甚大な影響を与え、国家的な安全保障問題にも発展しかねません。本コラムでは、情報セキュリティの先進国でもある米国政府機関の施策について鳥瞰していきます。

2.FISMAの問題点

FISMAは、連邦政府のセキュリティ意識を高めたものの、手続きの問題に重点を置き過ぎたり、書類に縛られすぎていたため、もっと現実的なセキュリティ対策になるようプロセス全体を抜本的に見直すべきと主張する専門家も出てきました。

さらに、政府機関がセキュリティ・コントロールを効果的に導入していることを実際に証明する必要がないことも問題であると言われています。例えば、「教育プログラムを策定してさえいれば、実際には教育を受けていなくてもその要件を満たしていると判断される」と指摘しているところもあります。

当初は連邦政府の情報セキュリティを強化するうえで不可欠となる施策と見られていましたが、最近では多くの機関がFISMAのプロセスを単なるペーパーワークとして扱うようになり、実際のセキュリティ改善に役立っていないのではないかとの懸念が強まっています。このような問題も契機の一つになり、新たなセキュリティガイドライン(CAG)が開発されることになっていきます。

3.米国セキュリティ監査ガイドライン(CAG)

NISTが作成した1,000ページにわたる膨大なガイドライン(FISMAで作成が義務付けられていた)は、具体的な対策基準となっていないため、役に立たず、読まれていないとの批判がよく聞かれます。

例えば、クレジットカード業界のデータ・セキュリティ規格「PCIDSS(Payment Card Industry Data Security Standard)」のような実際の攻撃を反映したものにすべきである、との声も強まっていました。2008年初頭には、大手企業におけるデータ紛失の多発を受け、米国家安全保障局(NSA)、米国土安全保障省(DHS)のUS-CERT、米MITRE、米国防総省の各部門などが参加してプロジェクトが立ち上がりました。プロジェクトでは、サイバー・セキュリティ対策とFISMA(連邦情報セキュリティ管理法)準拠のための項目を定めたガイドライン「CAG(Consensus Audit Guidelines)」を2009年3月に公開されました(参考4)。

CAGは、現在のセキュリティ対策についてポリシーの有無をチェックするのではなく、CAGにある有効性の尺度を使用して、対策の質をテストすることが重要であると指摘されています。

参考4:Resulting Consensus Audit Guidelines (CAG) put into action the national imperative: “Offense Must Inform Defense”(英語)
http://www.sans.org/critical-security-controls/press_release.pdf

あとがき
本稿執筆中に、ウィキリークスによって国務省の機密文書が多数公表された事件が報道されました。これを受け米国行政予算管理局(OMB)は、政府機関に対して機密情報保護手順のレビューを実施するように指示したようですが、情報管理、アイデンティティ管理、アクセス制御の体系的な取組みが益々求められているところです。次回は日本の政府機関のセキュリティ政策について解説する予定です。

(林 誠一郎)

セキュリティ対策コラム
http://www.nttdata-sec.co.jp/article/
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

2020年 企業へのサイバー攻撃動向総括 ~ 盗まれた認証情報はいくらで売りに出されるか 画像

2020年 企業へのサイバー攻撃動向総括 ~ 盗まれた認証情報はいくらで売りに出されるか
Oracle製品のクリティカルパッチアップデートに関する注意喚起 画像

Oracle製品のクリティカルパッチアップデートに関する注意喚起
GROWIにXSSの脆弱性、最新版へのアップデートを呼びかけ 画像

GROWIにXSSの脆弱性、最新版へのアップデートを呼びかけ
無料メール配信システム acmailer にアクセス制限不備、権限昇格の脆弱性 画像

無料メール配信システム acmailer にアクセス制限不備、権限昇格の脆弱性
ウイルスバスタービジネスセキュリティシリーズ他に複数の脆弱性 画像

ウイルスバスタービジネスセキュリティシリーズ他に複数の脆弱性
Apache Tomcat における Java API の実装不備に起因する情報漏えいの脆弱性 画像

Apache Tomcat における Java API の実装不備に起因する情報漏えいの脆弱性

インシデント・事故 記事一覧へ

自治体のWebサーバにメール送信機能をインストール、迷惑メール送信踏み台として悪用 画像

自治体のWebサーバにメール送信機能をインストール、迷惑メール送信踏み台として悪用
FXサービスで誤送信、12月にやり取りした顧客情報ファイルを誤ってメール添付 画像

FXサービスで誤送信、12月にやり取りした顧客情報ファイルを誤ってメール添付
中学校事務主任44歳 児童ポルノ動画データ販売、懲戒免職 画像

中学校事務主任44歳 児童ポルノ動画データ販売、懲戒免職
仮想通貨取引所「Liquid」への不正アクセス最終報、APIキー等169,782件の流出を確認 画像

仮想通貨取引所「Liquid」への不正アクセス最終報、APIキー等169,782件の流出を確認
ファイル誤添付、Excel 別シートに新型コロナ接触者情報記載 画像

ファイル誤添付、Excel 別シートに新型コロナ接触者情報記載
「IVYCS FEE PAYMENT」へ不正アクセスでカード情報流出の可能性、東京女子大購買センターや青学購買サイトも被害に 画像

「IVYCS FEE PAYMENT」へ不正アクセスでカード情報流出の可能性、東京女子大購買センターや青学購買サイトも被害に

調査・レポート・白書 記事一覧へ

日本も457台が被害に、テレワークがもたらしたPCからの情報窃取の現実 画像

日本も457台が被害に、テレワークがもたらしたPCからの情報窃取の現実
JPCERT/CC 活動四半期レポート公開、VPN製品の脆弱性への取り組みを報告 画像

JPCERT/CC 活動四半期レポート公開、VPN製品の脆弱性への取り組みを報告
VPN製品に関する脆弱性対策情報の深刻度別割合、「危険」「警告」で95%を占める 画像

VPN製品に関する脆弱性対策情報の深刻度別割合、「危険」「警告」で95%を占める
売上規模別に見た 全 IT 投資中のセキュリティ予算比率 ~ 東証上場企業 画像

売上規模別に見た 全 IT 投資中のセキュリティ予算比率 ~ 東証上場企業
トレンドマイクロが考えるインシデント対応の基本、NISTとSANSのフレームワークをもとに 画像

トレンドマイクロが考えるインシデント対応の基本、NISTとSANSのフレームワークをもとに
2021年の 5 つのセキュリティ脅威、CrowdStrike 予測 画像

2021年の 5 つのセキュリティ脅威、CrowdStrike 予測

研修・セミナー・カンファレンス 記事一覧へ

福井県鯖江市で学生向けワークショップ開催、川口洋氏登壇や初心者向け CTF 開催も 画像

福井県鯖江市で学生向けワークショップ開催、川口洋氏登壇や初心者向け CTF 開催も
我が社の IoT 活用の課題 総洗い出し ~ JSSEC IoT セキュリティチェックシート活用方法 画像

我が社の IoT 活用の課題 総洗い出し ~ JSSEC IoT セキュリティチェックシート活用方法
SPFにまだできること ~ オランダ徴税税関管理局が採用するフィッシングメール対策 画像

SPFにまだできること ~ オランダ徴税税関管理局が採用するフィッシングメール対策
CrowdStrike ハンティングチームリーダーが教える、ハンターに必要な資質 ~ 1月末迄オンライン配信 画像

CrowdStrike ハンティングチームリーダーが教える、ハンターに必要な資質 ~ 1月末迄オンライン配信
NRIセキュア創立20周年記念し100名無料招待、SANS謹製ハッキングトーナメント開催 画像

NRIセキュア創立20周年記念し100名無料招待、SANS謹製ハッキングトーナメント開催
セキュリティインシデントの当事者になったその後 画像

セキュリティインシデントの当事者になったその後

製品・サービス・業界動向 記事一覧へ

カスペルスキーがインテリジェンスサービス拡充、APT や ICS 情報 画像

カスペルスキーがインテリジェンスサービス拡充、APT や ICS 情報
国立情報学研究所、NII-SOCS の蓄積データを研究者向けに提供 画像

国立情報学研究所、NII-SOCS の蓄積データを研究者向けに提供
先端セキュリティ企業は互いをどう評価したか、ゼロトラストネットワーク 4 つの条件 画像

先端セキュリティ企業は互いをどう評価したか、ゼロトラストネットワーク 4 つの条件
SHIFT SECURITYがSOCサービス提供開始、1デバイス月額9万円から 画像

SHIFT SECURITYがSOCサービス提供開始、1デバイス月額9万円から
みずほ銀行が「eKYC」採用、なりすまし防止強化 画像

みずほ銀行が「eKYC」採用、なりすまし防止強化
LogStare に Active Directory 監査テンプレートを追加 画像

LogStare に Active Directory 監査テンプレートを追加

おしらせ 記事一覧へ

特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄 画像

特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄
ScanNetSecurity 創刊22周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊22周年御礼の辞(上野宣)
上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity) 画像

上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity)
上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード) 画像

上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード)
上野宣から編集長就任10周年の御礼 画像

上野宣から編集長就任10周年の御礼
ScanNetSecurity 創刊21周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊21周年御礼の辞(上野宣)
Page Top
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。
×