« Winnyの話 | Main | 内部統制の制度 効果があるかないかが論点ではなくて、費用対効果があるかどうかが論点なんですけど・・・ »

2007.06.14

米国会計検査院 連邦政府機関の情報セキュリティ管理は依然として不十分

 こんにちは、丸山満彦です。セキュリティホール memoの2007.06.12からです。。。

■Open Tech Press
・2007.06.11 連邦政府機関の情報セキュリティ管理は依然として不十分――「重要な情報が危険にさらされている」と会計検査院が厳しく批判
=====
・・・
 ほとんどの連邦政府機関は、コンピュータ・ネットワーク、システム、情報へのアクセスを十分に防止、制限、あるいは検知できるような管理機能を実装していないという。
 もっとも、職員や請負業者を対象にセキュリティ関連の研修を実施するなど、一部の政府機関では一定の前進が見られたとリポートでは述べている。また、年1回のペースでテストと評価を行っているシステムの比率が高まっていることにも言及。安全性が保障/認定されたテスト済みの偶発事態対応計画を組み込んだシステムも増えていると評価している。
 しかし、複数の重要なセキュリティ機能に大きな“穴”があるため、こうした成果もかすみがちだとリポートには記されている。主な問題点としては、許可された人物だけに重要データへのアクセスを認めるアクセス権限管理、不正なソフトが政府のシステム上で稼働するのを防ぐ構成管理制御、職務分掌、業務継続計画などが挙げられている。
 そのうえでGAOのリポートは、こうした「永続的な弱点」が、2006年に複数の機関で多発した深刻なセキュリティ侵害の一因になっていると指摘する。
・・・
=====

 米国の場合はFISMAがあるわけですが、FISMAについても官僚主義の産物という批判もあるようですね。。。


原典からあたることが重要ということで・・・
GAO
■GAO-07-935T
・2007.06.07 Information Security: Agencies Report Progress, but Sensitive Data Remain at Risk
・・Abstract
・・Highlights PDF
・・Report (GAO-07-935T) PDF


 ほとんどの省庁でアクセスコントロールに問題があるようですね。。。
 国勢調査局では672台のPCが行方不明になっているとか・・・104台は、車の中から盗まれたようですね。。。
 結構すごい事例がのっています。。。


過去のケースについては次のとおりです。(網羅性はないですが・・・)
=====
【GAO】
■GAO-07-65
・2006.10.20 Information Security: Agencies Need to Develop and Implement Adequate Policies for Periodic Testing,
・・Abstract
・・Highlights PDF
・・Report (GAO-07-65) PDF

■GAO-05-231
・2005.06.13 Information Security : Emerging Cybersecurity Issues Threaten Federal Information Systems
・・Abstract
・・Highlights PDF
・・Report (GAO-05-231) PDF

■GAO-05-434
・2005.05.26 Critical Infrastructure Protection : Department of Homeland Security Faces Challenges in Fulfilling Cybersecurity Responsibilities
・・Abstract
・・Highlights PDF
・・Report (GAO-05-434) PDF

■GAO-05-567T
・ 2005.04.12 Information Security : Department of Homeland Security Faces Challenges in Fulfilling Statutory Requirements,
・・Abtsract
・・Highligahts PDF
・・Report (GAO-05-567T) PDF
=====

検索すると・・・

【参考】このブログ
GAO関係
・2006.11.30 米国会計検査院 省庁に情報セキュリティに関する定期的な検査のための適切な方針の開発と導入が必要

・2005.06.16 米国会計検査院 米国政府機関はネット上の脅威に対し無防備と警告
・2005.05.31 米国会計検査院 プライバシーに対する配慮不足とRFID使用に警告
・2005.05.31 米国会計検査院 国土安全保障省はサイバーセキュリティに無防備と批判
・2005.04.22 米国の会計検査院は情報セキュリティ監査でがんばっている

米国政府通知簿関係
・2007.04.15 米国政府 情報セキュリティ通知簿2006
・2007.04.01 米国政府 セキュリティ評価関係
・2006.03.18 米国政府 情報セキュリティ通知簿2005 2
・       米国政府 OMB Releases Annual FISMA Report
・2006.03.17 米国政府 情報セキュリティ通知簿2005
・2005.02.23 米国政府 情報セキュリティ通知簿2
・       米国政府 情報セキュリティ通知簿

●日本関係
・2007.05.28 会計検査報告書 H17 各府省等におけるコンピュータシステムに関する会計検査の結果について
・2005.06.07 参議院 会計検査院にITシステムの運用に関して重点検査要請


【過去の今日】
・2006.06.14 ITを利用したITの統制も重要
・2005.06.14 フィッシングで逮捕@日本
・       省庁のITシステム運用費 950億円削減可能
・       政府 有害サイト規制を検討?
・       証券取引所の上場と上場基準
・       米国 ファーミングを中心とした悪意ある行為
・       米国企業における情報セキュリティ・ガバナンス
・       インターネットホットライン連絡協議会 インターネット有害情報(闇職業)に関する調査報告書

|

« Winnyの話 | Main | 内部統制の制度 効果があるかないかが論点ではなくて、費用対効果があるかどうかが論点なんですけど・・・ »

Comments

Post a comment



(Not displayed with comment.)




TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/64462/15416818

Listed below are links to weblogs that reference 米国会計検査院 連邦政府機関の情報セキュリティ管理は依然として不十分:

« Winnyの話 | Main | 内部統制の制度 効果があるかないかが論点ではなくて、費用対効果があるかどうかが論点なんですけど・・・ »