ワシントン DC は、米国政府の IT 管理およびセキュリティ慣行に関する、またしても落胆させるような評価に直面している。
今週、連邦政府機関の2年ごとの格付け[PDF]が発表されましたが、概して、アメリカの政府官僚は、ネットワークとデータの保護、更新、管理に関して、やるべきことが山積していることがわかりました。
この評価は、下院監視委員会の政府運営小委員会が、2013年連邦情報技術調達改革法として知られるFITARAの進捗状況を調査した後に発表された。FITARAは、アメリカの事務官らにIT技術の向上を促すことを目的としている。
今期、特に低い評価を受けた機関が2つあります。NASAと国土安全保障省はどちらも報告書でDマイナスでした。重要な業務を扱っていないので、ありがたいですね。
補足: アメリカの成績評価システムに馴染みのない方のために説明すると、高校の成績は伝統的に文字による成績で表され、通常、最高は A+、最低は合格点の D-、F は不合格点を示します。
国土安全保障省にとって最大の失策は、最高情報責任者(CIO)に十分な権限と業務遂行能力を与えなかったことです。CIOの権限を段階的に拡大し、情報セキュリティをより優先事項としなかったこと、そしてCIOが省長に直接報告する体制を整備しなかったことが、同省の評価を不合格にしました。
こんな話を聞いたことがあるなら、ここで止めてください。米国政府職員は基本的なコンピューターや情報セキュリティの安全対策を全く理解していません。
続きを読む
一方、国土安全保障省はソフトウェアライセンスの遵守においてA評価を獲得し、連邦情報セキュリティ近代化法(FISMA)への準拠は、調査対象となった24の連邦機関の中で最も優れた水準でした。FISMAは、職員に対し、既存のセキュリティ業界標準への準拠を義務付けています。
一方、NASAは透明性とリスク管理の実践で不合格となり、FISMA(連邦情報サービス法)の遵守はD評価にとどまった。宇宙科学者たちは、CIOをNASA長官に直接報告させる権限を与えなかったことでも非難された。
しかし、NASA はポートフォリオレビューとソフトウェアライセンスで A 評価を獲得することができました。
24の機関のうち、総合評価でAを獲得できた機関はなかったが、少なくともすべて合格し、環境省、住宅都市開発省、退役軍人局、一般調達局、国立科学財団、中小企業庁、社会保障局の7機関はB+を獲得した。
「2回連続で、不合格の評価を受けた機関はありません」と、委員会委員長のジェラルド・コノリー下院議員(民主党、バージニア州選出)は指摘した。「今回のスコアカードにはA評価はありませんが、労働省(B-)と米国国際開発庁(B-)は、最高情報責任者(CIO)が機関長または副長官に報告できるよう報告体制を変更していれば、それぞれA+の評価を受けていたでしょう。」
この報告書は、イランなどの外国政府支援ハッカー集団による攻撃が激化しているとの報告を受け、連邦政府関係者が新たな監視の目にさらされている中で発表された。今週初め、米国政府機関に対する10年間分の監査を検証した結果、多くの機関が最も基本的なサイバーセキュリティ要件さえも遵守していないという結論が出された。®
