GAOの2006年11月米国政府機関セキュリティ調査報告

米国のGAO(General Accounting Office/米国連邦会計監査院)は2006年11月20日に「Information Security(情報セキュリティ)」に関してセキュリティ・テストを実施した新しいレポートを公開し、政府機関は周期的なテストのための適切な政策を開発して、実施する必要があると報告した。詳細情報はURL(http://www.gao.gov/cgi-bin/getrpt?GAO-07-65)で知ることができる。レポートは、批評に指定された1つの主要な領域では、責任組織の中で不十分に定義された方法で、連邦機関がそれらのネットワークの中のテストITセキュリティで「適切に政策を設計して、事実上、実施していない。」ことを明らかにした。GAOは全部で24の主要な連邦機関のセキュリティ・テストをする方針を調査し、30台のITシステムがレポートのために分析され、6つの政府機関で使われた手順は行政管理予算庁と標準・技術院によって発行された監査基準規格に従って、2005年11月から2006年7月まで徹底的な精査にかけられた。新しい通信技術、とくにインターネットは需要増についてネットワークの頑丈さに調査対象を置き、レポートでは問題が解決されるにはほど遠い状況であった。全体的に見て、ほとんどの政府機関が必要書類を持っていなかったか、または必要な習慣を確立していたという、非常に貧しい結果であった。重要なセキュリティ要素は通常見落とされ、そして、リスクテストは実行されていなかった。30のすべてで見直した6つの徹底的なケーススタディでは、ITシステムは有効で周期的なテストにかけられていなかった。それらの総合的なセキュリティに関する疑問から、メソッドと習慣は不十分であることが宣告された。監査された30台のシステムでは、合計28が不十分なテスト・ドキュメンテーションで、セキュリティ・コントロールでは24台のシステムで不十分なテストであった。このすべてが、IT安全保障問題と、特に連邦機関における増強された宣伝にもかかわらず、今後のネットワーク不履行、データの損失、およびID窃盗を無視することができないことを意味している。セキュリティを向上させるために、より強い政府指導が問題にあり、GOAはテスト・プログラムの準備と実施を推薦した。
レポートで新指導要綱を準備することを課された行政管理予算庁は、これらが新しい提案に同意したと報告している。そういえば、HarrisInteractiveは2006年11月10日に、米国で個人情報の流出・紛失が最も多いのは政府機関であり、全体の48%が政府機関で発生し、金融機関の29%や金融以外の企業の12%を上回るることが分かったと「Many U.S. Adults Claim to Have Been Notified that Personal Information Has Been Improperly Disclosed」を公開し、発表している。詳細情報はURL(http://www.harrisinteractive.com/harris_poll/)で知ることができる。つまり、インターネットを生んだ米国の政府機関でもほとんどが落第であり、日本では独立行政法人情報処理推進機構になったIPAが中心になってインターネットを中心としたネットワーク調査を巨額を使って実施しているようだが、その実態はウイルスの量(ウィルス届出状況)やネットワークの危険性のある事例を紹介する程度で、およそネットワークの実施状況レポートと言ったモノにはほど遠い生ぬるい状態で、本来なら全政府機関の徹底調査を実施し、それができていない政府機関の責任を追求し、期限を指定して改善要求を行い、それが実施できない場合には責任不履行として責任者の処分を要求するところまで行わない限り、国民に安全なネットワーク環境を要求することもできず、さらに政府機関が個人情報を要求することも危険すぎると言える。とくに企業や個人にネットワーク・セキュリティを警告しているようだが、それ以上に危険なのは身内である政府機関なのだということを自覚すべきと言える。ところで、最初の一歩である政府機関のセキュリティ・チャックを実施するための確実な行政機関用セキュリティ管理基準は確立されているのか？それさえ不安な状況と言えるのが現状と言える。「コンピュータウイルス・不正アクセスの届出状況」などを定期的に公開しているから責任を全うしていると考えるのでは、セキュリティ機関としては、およそ及第点をもらえるとは言えず、留年、落第、または退学処分にし、まったく別のセキュリティ管理チェック組織を作る必要がある。また、やたらに情報セキュリティに関する組織や委員会が雨後の竹の子のように誕生しているが、これは混乱するだけで意味が無く、政府機関の精査管理組織と民間向け情報セキュリティ組織だけに絞り、そこを内閣が監視し、それらが責任を取れなければ解体して、責任を取れる組織に構築をするといった全体の構図構築がまず必要と言える。無責任な政府からの予算取り、情報セキュリティ組織は即刻解体すべきだろう。ただし、こんなことを書くと必ず出てくるさらに危険な税金にたかる脅し、恐怖を与え、稼ぎ出すビジネス組織があることも事実である。