米上院の調査により、米国政府のコンピューターおよび情報セキュリティの悲惨な状況が改めて明らかになった。
今週発表された10年間の内部監査を調査した委員会の報告書(PDF)は、時代遅れのシステム、パッチ未適用のソフトウェア、脆弱なデータ保護が蔓延しており、米国の官僚が基本的なセキュリティ要件さえ満たしていないことは明らかだと結論付けている。
この非難に値する文書を作成するために、上院の常設調査小委員会は、国土安全保障省、国務省、運輸省、住宅都市開発省、農務省、保健福祉省、教育省、社会保障局内の情報セキュリティ慣行に関する監察総監主導の調査から得られた10年以上にわたる調査結果を精査した。
これら 8 つの組織のうち、7 つの組織はシステムに保存されている個人情報を適切に保護できず、6 つの組織はセキュリティの脅威に対してシステムに適切なパッチを適用できず、5 つの組織は IT 資産の在庫保管要件に違反しており、8 つの組織すべてがベンダーによって廃止されサポートが終了したハードウェアまたはソフトウェアを使用していたことが判明しました。
監査により国土安全保障省のセキュリティが不十分であることが判明
続きを読む
「OPMのような大規模なデータ侵害にもかかわらず、連邦政府は今日の動的なサイバー脅威に対処する準備ができていない」と報告書は指摘した。
「監察総監が一貫して指摘してきた長年のサイバー脆弱性は、連邦政府が機密データを保護するための基本的なサイバーセキュリティ基準を満たしていないことを示している。」
報告書を提出するにあたり、上院委員会は、2013年に初めて導入されたマルウェアスキャンツールが当時、機関の65%でしか正常に動作していなかったという、2017年の国土安全保障省監査の結果など、以前に報告されたセキュリティに関する調査結果のいくつかを指摘しました。また、2018年の監察総監による調査では、国土安全保障省が効果的なセキュリティプログラムに関する独自の基準さえ遵守できていないという結果が出ています。
調査結果は他の主要な連邦省庁にとっても同様に厳しいものでした。例えば、保健福祉省では、ITスタッフは102億ドルの運用・保守予算のうち、場合によっては14年も使用されている時代遅れのレガシーシステムにどれだけの費用が費やされているのかを説明できませんでした。
一方、教育省の監察官は、2011年以降、同省は毎年、権限のないユーザーが同省のプライベートネットワークにアクセスして個人情報を盗むのを防ぐ能力を測る年次テストに不合格だったと述べた。
委員会は、このような失敗は調査対象となった8つの組織すべてにおいて悲惨なほど多く見られ、機密データの保護に対する緊急性がはるかに広範囲に欠如していることを示していると指摘した。
米国政府の60億ドル規模のスーパーファイアウォールはウェブトラフィックすら監視していない
続きを読む
「上記の失敗は目新しいものではない」と委員会は指摘した。「監察官たちは過去10年間、同様の脆弱性を数多く指摘してきた。」
厳しい報告書を発表したにもかかわらず、上院が実際にこの失態について誰かを責任追及するとは期待できない。ワシントンのニュースサイト「ザ・ヒル」は、匿名の議会関係者を引用し、報告書の調査結果に対処するための公聴会は予定されておらず、法案も審議されていないと報じた。
言い換えれば、政府機関は自らのセキュリティを適切に管理できないことが判明したが、それでも引き続きそうすることが許可されることになる。
関係ありませんが、アメリカ人はここで州および連邦選挙の投票者登録を行うことができます。®
