業界団体が判定、米国政府のセキュリティ対策は「C-」ランク――国防省と国務省は最低の「F」ランクに

 米国サイバーセキュリティ業界連合(CSIA)は4月12日、最新の情報セキュリティ対策評価を発表し、米国連邦政府のサイバーセキュリティ対策を「C-」ランク(A~Fの6段階)と判定した。

 各省別では、国防総省と国務省が「F」ランク、国土安全保障省が「D」ランクと判定された。国土安全保障省は2005年の「F」ランクよりも改善が見られたものの、依然として厳しい評価となった。

 共和党下院議員のトム・デービス氏(バージニア州選出)は、「テロ対策の中核となる3省が低い評価なのは“やっかい”だ。連邦政府は情報セキュリティ対策を率先して行うべきであり、実行できるはずだ」とコメント。「国防総省、国務省、国土安全保障省はサイバーテロに対して十分な防衛対策を講じていると国民は信じてよいのか」との質問には、「自信を持って大丈夫だとは言えない」と回答した。

 デービス氏は、連邦情報セキュリティマネジメント法(FISMA)の制定を推進した人物である。FISMAは2002年12月に制定された法律で、各連邦政府機関とその外部委託先に情報セキュリティの強化を義務づけるものだ。

 情報セキュリティ対策の改善が見られたのは、住宅都市開発省(「D+」ランクから「A+」ランク)、司法省(「D」ランクから「A-」ランク)、保健社会福祉省(「F」ランクから「B」ランク)である。デービス氏はこれらの結果について、「勇気づけられた」と評価した。

 また、デービス氏は「D」ランクの国土安全保障省について、「2002年に22の機関が合体して誕生した“新設省”であるため、サイバーセキュリティ対策をはじめとする業務の統合作業に時間をとられている」と一定の理解を示したものの、「(国土安全保障省は)管理が徹底されていない機関の集合体だ」と苦言を呈した。

 SANS Instituteの調査担当ディレクター、アラン・パラー氏は、「国土安全保障省が米国のサイバーセキュリティ対策の改善に貢献したことは片手の指で数えられるほどだ」と批判し、同省がサイバーセキュリティ対策の模範になるべきだと主張する。

 「そもそもの間違いは、サイバーセキュリティ対策の第一義的責任をホワイトハウスと司法省以外へ移管したことだ。この間違いを是正するには長い時間がかかるだろう」(パラー氏)

 ちなみに、ホワイトハウスの行政管理予算局、電子政府および情報技術担当行政官であるカレン・エバンズ氏は、米国連邦政府のサイバーセキュリティ対策が「C-」ランクと判定されたことに対し、以下のようにコメントしている。

 「昨年よりも判定が向上したことには勇気づけられたが、満足はしていない。自分の子どもの通知表に『C-』があったら認めない。平均点では不十分だ」

(グラント・グロス/IDG News Service ワシントン支局)

サイバーセキュリティ業界連合
https://www.csialliance.org/

提供:Computerworld.jp