米国防総省は、ロッキード・マーチン社のデータベースの情報セキュリティ上の欠陥により、非常に高価なF-35統合打撃戦闘機(JSF)の重要なメンテナンス状況を確認することができなくなっている。
データベースに含まれるエンジンおよび機体のメンテナンスデータは、米国サイバーコマンドのセキュリティ要件に準拠していないため、アクセスできません。
その結果、職員は政府のネットワークからデータベースにアクセスできなくなります。
国防総省(DoD)の運用試験評価責任者マイケル・ギルモア氏は年次報告書の中で、この不遵守により職員は政府のネットワーク経由で予定されている審査のためのデータベースにアクセスできなくなったと述べた。
したがって、F-35の戦闘試験は1年以上遅れる可能性がある。
ギルモア氏はまた、国防総省のインフラ全体に情報セキュリティ上の問題(PDF)を発見し、以前の監査と同様に、公開された、または適切に管理されていない認証情報、誤って設定されたシステムやパッチが適用されていないシステム、壊れた信頼関係において重大な欠陥が「一貫して見つかった」と指摘した。
同氏によると、国防総省は、運動訓練演習に影響を及ぼす恐れがあるため、訓練中にレッドチームに敵対勢力(OPFOR)として行動する完全な権限を与えることに消極的だという。
監査人によれば、これは誤った結論であり、国防総省はすべてのミッションクリティカルなシステムに対する攻撃を想定すべきだと述べている。
今後のセキュリティ監査。
防衛レッドチームは、年間を通して完全な能力を備えたOPFOR(戦争ゲームにおける敵対勢力)として活動します。民間部門では、セキュリティに精通した組織にのみ配備され、防御体制の徹底的なストレステストを実施します。
「高い任務即応性を達成するために、CCMD(戦闘司令部)と支援防衛部隊は、先進国が実行するであろうサイバー攻撃とその影響を典型的に含む現実的なテストと訓練を実施する必要がある」とギルモア氏は書いている。
国防総省のブルーチームの防御側がレッドチームを検知する可能性は一貫して低く、この不均衡は民間部門にも反映されています。
報告書では、実際の攻撃がより起こりやすい時期に、同庁のレッドチームのメンバーが民間部門に移ったとギルモア氏は付け加えた。
この報告書は、国防総省に対し、特権ユーザーの削減、トレーニングの強化、サイバー作戦を担当する執行官の任命など、ベストプラクティスの推進を勧告している。
監査チームは、国防総省に、実験的なサイバー保護チームのトレーニングにレッドチームのメンバーが適しているかどうかを評価するツールを提供した。このメカニズムにより、テストではメンバーの攻撃能力が「大幅に」向上した。
昨年5月に実施されたこの訓練により、米国のハッカー部隊ははるかに有能になる可能性がある。
監査局は、新しいトレーニング計画の有効性に関する完全な結果を国防総省に提出する予定です。®
