米政府史上最大級のサイバー攻撃を受けてから3年以上が経過したが、人事管理局は捜査官らが命じたセキュリティ対策の数十項目を未だ導入していない。パスワードの変更といった基本的な対策も含まれている。
米政府監査院(GAO)が今週発表した報告書によると、OPMは同院のネットワークセキュリティとデータ保護の改善のために調査官らが行った勧告の3分の1以上を遵守していないことが明らかになった。
GAOの監査(PDF)では、2015年から2017年にかけて調査官らが発行した、約2,150万人の現職、元職、および将来の政府職員に関する機密記録が米国のコンピュータシステムから大量に盗難された事件に関する4つの一連の報告書を精査した。
GAOによると、前回の報告書が2017年8月に作成されて以来、OPMは80項目のうち51項目しか遵守していないという。監査で指摘された不備は、抽象的で官僚的な措置ではなく、非常に基本的なセキュリティ対策も含まれている。
実施されていない勧告の中には、ネットワークが荒らされた後にOPMにパスワードをリセットするよう求める要求や、「重要なパッチを適時にインストールし、特権アクセスが保証されていることを確認するためにアカウントを定期的に評価し、継続的な監視計画で定義されているように選択されたシステムの制御を評価する」という不履行などがある。
殺害:労働組合による米国OPM大規模ハッキング訴訟(米国政府に対するもの)
続きを読む
言い換えれば、明らかに中国人によってハッキングされ、諜報活動許可書類を含む 2,000 万人以上のアメリカ人の機密個人情報が盗まれてから 3 年以上が経過したが、OPM は未だにパスワードを変更したり、Windows アップデートをインストールしたりすることを気にしていないのだ。
GAOの監査ではさらに、複数の職員による管理者アカウントの共有、パスワードの暗号化の失敗(保存時および転送時の両方)、機密データを含む「高影響」マシンに接続するネットワークデバイスへの最新パッチのインストールの失敗など、機関内のその他のセキュリティ慣行の不備も指摘されている。
GAOの報告書は、「OPMが適切なセキュリティ管理が実施され、意図したとおりに機能していることを保証するには、残りの未解決の推奨事項をすべて迅速に実施することが不可欠である」と結論付けている。
「OPMがこれらの勧告を実施するまで、そのシステムと情報は不正アクセス、使用、開示、変更、または中断のリスクが増大することになります。」
一方、OPMは勧告への対応に取り組んでいます。GAOによると、OPMは未解決の29項目のうち25項目を年末までに、さらに3項目を2019年中に解決する予定とのことです。®
