政府機関のセキュリティ管理 第2回「米国セキュリティ監査ガイドライン(CAG)」 | ScanNetSecurity
2022.12.08(木)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

政府機関のセキュリティ管理 第2回「米国セキュリティ監査ガイドライン(CAG)」

検察庁における情報改ざん、警察機密情報の漏えい、海上保安庁のビデオ流出、など、このところ米国を含め政府機関における情報セキュリティの重要問題が相次で発生しており、電子化が急速に進展する中、重要情報への脅威が増すばかりです。さらに一旦情報が漏えいすると

特集 特集
検察庁における情報改ざん、警察機密情報の漏えい、海上保安庁のビデオ流出、など、このところ米国を含め政府機関における情報セキュリティの重要問題が相次で発生しており、電子化が急速に進展する中、重要情報への脅威が増すばかりです。さらに一旦情報が漏えいすると、瞬時にインターネットを通じて全世界に流れ、回収・消去すら不可能になります。特に個人情報や公的な戦略情報、国家機密情報となると一組織に止まらず広範に甚大な影響を与え、国家的な安全保障問題にも発展しかねません。本コラムでは、情報セキュリティの先進国でもある米国政府機関の施策について鳥瞰していきます。

2.FISMAの問題点

FISMAは、連邦政府のセキュリティ意識を高めたものの、手続きの問題に重点を置き過ぎたり、書類に縛られすぎていたため、もっと現実的なセキュリティ対策になるようプロセス全体を抜本的に見直すべきと主張する専門家も出てきました。

さらに、政府機関がセキュリティ・コントロールを効果的に導入していることを実際に証明する必要がないことも問題であると言われています。例えば、「教育プログラムを策定してさえいれば、実際には教育を受けていなくてもその要件を満たしていると判断される」と指摘しているところもあります。

当初は連邦政府の情報セキュリティを強化するうえで不可欠となる施策と見られていましたが、最近では多くの機関がFISMAのプロセスを単なるペーパーワークとして扱うようになり、実際のセキュリティ改善に役立っていないのではないかとの懸念が強まっています。このような問題も契機の一つになり、新たなセキュリティガイドライン(CAG)が開発されることになっていきます。

3.米国セキュリティ監査ガイドライン(CAG)

NISTが作成した1,000ページにわたる膨大なガイドライン(FISMAで作成が義務付けられていた)は、具体的な対策基準となっていないため、役に立たず、読まれていないとの批判がよく聞かれます。

例えば、クレジットカード業界のデータ・セキュリティ規格「PCIDSS(Payment Card Industry Data Security Standard)」のような実際の攻撃を反映したものにすべきである、との声も強まっていました。2008年初頭には、大手企業におけるデータ紛失の多発を受け、米国家安全保障局(NSA)、米国土安全保障省(DHS)のUS-CERT、米MITRE、米国防総省の各部門などが参加してプロジェクトが立ち上がりました。プロジェクトでは、サイバー・セキュリティ対策とFISMA(連邦情報セキュリティ管理法)準拠のための項目を定めたガイドライン「CAG(Consensus Audit Guidelines)」を2009年3月に公開されました(参考4)。

CAGは、現在のセキュリティ対策についてポリシーの有無をチェックするのではなく、CAGにある有効性の尺度を使用して、対策の質をテストすることが重要であると指摘されています。

参考4:Resulting Consensus Audit Guidelines (CAG) put into action the national imperative: “Offense Must Inform Defense”(英語)
http://www.sans.org/critical-security-controls/press_release.pdf

あとがき
本稿執筆中に、ウィキリークスによって国務省の機密文書が多数公表された事件が報道されました。これを受け米国行政予算管理局(OMB)は、政府機関に対して機密情報保護手順のレビューを実施するように指示したようですが、情報管理、アイデンティティ管理、アクセス制御の体系的な取組みが益々求められているところです。次回は日本の政府機関のセキュリティ政策について解説する予定です。

(林 誠一郎)

セキュリティ対策コラム
http://www.nttdata-sec.co.jp/article/
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

米 CISA、サプライチェーン安全確保ガイダンス発表/Zoom における 3 つの脆弱性/APT41 の新たなサブグループ「Earth Longzhi」 ほか [Scan PREMIUM Monthly Executive Summary 2022年11月度] 画像

米 CISA、サプライチェーン安全確保ガイダンス発表/Zoom における 3 つの脆弱性/APT41 の新たなサブグループ「Earth Longzhi」 ほか [Scan PREMIUM Monthly Executive Summary 2022年11月度]
CSIRT支援室 第34回 WordPress プラグイン Advanced Custom Fieldsの脆弱性について 画像

CSIRT支援室 第34回 WordPress プラグイン Advanced Custom Fieldsの脆弱性について
ユニモテクノロジー製デジタルビデオレコーダに複数の脆弱性 画像

ユニモテクノロジー製デジタルビデオレコーダに複数の脆弱性
警察庁が注意喚起、学術関係者を標的とした講演や取材依頼を偽装したサイバー攻撃 画像

警察庁が注意喚起、学術関係者を標的とした講演や取材依頼を偽装したサイバー攻撃
WordPressプラグインAdvanced Custom Fieldsの脆弱性 発見者 イエラエ山崎氏解説 画像

WordPressプラグインAdvanced Custom Fieldsの脆弱性 発見者 イエラエ山崎氏解説
アプリゲーム「BLUE REFLECTION SUN/燦」のなりすましアカウントを確認、注意を呼びかけ 画像

アプリゲーム「BLUE REFLECTION SUN/燦」のなりすましアカウントを確認、注意を呼びかけ

インシデント・事故 記事一覧へ

菱機工業へのサイバー攻撃、都立スポーツ施設の工事関連情報が流出した可能性 画像

菱機工業へのサイバー攻撃、都立スポーツ施設の工事関連情報が流出した可能性
件名「お振込不能のお知らせ【北國銀行】」メールを全契約者へ誤送信、ログインしづらい状況に 画像

件名「お振込不能のお知らせ【北國銀行】」メールを全契約者へ誤送信、ログインしづらい状況に
市職員、買い物は不正入手した他人のクレジットカード 画像

市職員、買い物は不正入手した他人のクレジットカード
山形スズキのパソコンにサイバー攻撃、遠隔操作され個人情報窃取の可能性 画像

山形スズキのパソコンにサイバー攻撃、遠隔操作され個人情報窃取の可能性
県立高校教諭、引率中にUSJで修学旅行教員マニュアル紛失 画像

県立高校教諭、引率中にUSJで修学旅行教員マニュアル紛失
個人情報管理の不備を指摘するため写真撮影し県に報告 画像

個人情報管理の不備を指摘するため写真撮影し県に報告

調査・レポート・白書・ガイドライン 記事一覧へ

Z世代の6割がSNS上のフェイクニュース・デマを信じた経験 画像

Z世代の6割がSNS上のフェイクニュース・デマを信じた経験
マネロン アズ ア サービス、仮想都市が攻撃対象に、ワイパーのコモディティ化 ほか ~ 2023年フォーティネット予測 画像

マネロン アズ ア サービス、仮想都市が攻撃対象に、ワイパーのコモディティ化 ほか ~ 2023年フォーティネット予測
CrowdStrike Adversary Calender 2022 年 12 月 画像

CrowdStrike Adversary Calender 2022 年 12 月
平均3分46秒 パスワード再設定に「浪費」する所要時間 画像

平均3分46秒 パスワード再設定に「浪費」する所要時間
日本の大学を詐称する日本語ばらまき型メールの解析結果 画像

日本の大学を詐称する日本語ばらまき型メールの解析結果
CSSC、ビルシステム向けセキュリティ対策カタログ公開 配布は申請認可式 画像

CSSC、ビルシステム向けセキュリティ対策カタログ公開 配布は申請認可式

研修・セミナー・カンファレンス 記事一覧へ

ロシア 十年がかりの戦争 画像

ロシア 十年がかりの戦争
2021年SFプロトタイピングの旅 第11回「サジェストの先にあるのは快適さだけ」 画像

2021年SFプロトタイピングの旅 第11回「サジェストの先にあるのは快適さだけ」
4匹のサイバーセキュリティコンサルタント 最前線の知見を共有「Cyber Summit 2022」12/7-8 開催 画像

4匹のサイバーセキュリティコンサルタント 最前線の知見を共有「Cyber Summit 2022」12/7-8 開催
2021年SFプロトタイピングの旅 第10回「大成功した西側の概念兵器『民主主義』」 画像

2021年SFプロトタイピングの旅 第10回「大成功した西側の概念兵器『民主主義』」
サイバー犯罪インテリジェンス企業 KELA社が日本で初めてワークショップ開催、アナリスト池上遥氏 登壇(CPEクレジット付与) 画像

サイバー犯罪インテリジェンス企業 KELA社が日本で初めてワークショップ開催、アナリスト池上遥氏 登壇(CPEクレジット付与)
2021年SFプロトタイピングの旅 第9回「サイバーセキュリティの課題『新しい物語の提供』」 画像

2021年SFプロトタイピングの旅 第9回「サイバーセキュリティの課題『新しい物語の提供』」

製品・サービス・業界動向 記事一覧へ

「i-FILTER@Cloud」にフィッシングサイトへのクレデンシャル送信ブロック機能 画像

「i-FILTER@Cloud」にフィッシングサイトへのクレデンシャル送信ブロック機能
文部科学省大臣官房政策課サイバーセキュリティ・情報化推進室の事務補佐員募集 画像

文部科学省大臣官房政策課サイバーセキュリティ・情報化推進室の事務補佐員募集
複数企業が関与する不正、機械学習活用したリスク評価モデルを共同開発 画像

複数企業が関与する不正、機械学習活用したリスク評価モデルを共同開発
警察庁、サイバー攻撃被害の潜在化防止に向け検討会開催 画像

警察庁、サイバー攻撃被害の潜在化防止に向け検討会開催
NordVPNがジャパンラグビー静岡ブルーレヴズのスポンサーに、曰く「ともにディフェンスに優れる」 画像

NordVPNがジャパンラグビー静岡ブルーレヴズのスポンサーに、曰く「ともにディフェンスに優れる」
MSYS、自己回復型セキュリティソリューションAbsoluteシリーズ販売 画像

MSYS、自己回復型セキュリティソリューションAbsoluteシリーズ販売

おしらせ 記事一覧へ

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄 画像

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄
「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ 画像

「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ
Scan PREMIUM 創刊24周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊24周年記念キャンペーン実施中
ScanNetSecurity 創刊24周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊24周年御礼の辞(上野宣)
【当選確率3倍】2022年 CrowdStrike カレンダープレゼント 画像

【当選確率3倍】2022年 CrowdStrike カレンダープレゼント
創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催 画像

創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×