ビザ詐欺の摘発を担当する米国国務省の部門が、基本的な情報セキュリティ慣行を無視していることが判明した。
NextGovが指摘しているように、国務省監察総監室が最近実施した監査で、領事局詐欺防止室がシステムの更新の確認やマルウェアスキャンの実行といった基本的なタスクの実行を怠っていたことが判明した。
1986年に設立された領事局詐欺防止プログラム(CA/FPP)は、ビザおよびパスポート制度における詐欺を阻止することで「米国のビザおよび市民権手続きの整合性を監視および調整する」ことを任務としています。
しかし残念なことに、CA/FPP の情報セキュリティ プログラムは非常に不十分で、場合によっては基本的なアクセス制御さえ欠如しているようです。
OIGが発見した問題の中には、時代遅れで監視が不十分な機器が含まれていました。これらのシステムの一つは、局のデータ分析テストネットワークでした。これは、国土安全保障省の入国・出発情報システムとCA独自の社内SAP HANAデータベースからのデータを分析するスタンドアロンネットワークです。
「OIGは、パスワードの共有やアクセス制御リストや訪問者ログの欠如などの欠陥を発見した」と報告書には記されている。
「さらに、CA/CSTの情報システムセキュリティ担当者は、ネットワーク上で定期的なパッチ管理やウイルス対策スキャンを実施しておらず、データの損失や侵入者の潜在的な活動を特定するための定期的な監査や説明責任のレビューも実施していませんでした。」
監視サーバーを監視するのは誰ですか?誰も
さらに、CA/FPPのケース管理システムは、同局が「領事の不正行為の可能性」の記録を保管するために2008年に稼働させたSharePointサイトだが、そのセキュリティ分類がどうあるべきかを確定するためのチェックすら一度も行われたことがなかった。
国土の不安定さ:OIG監査で多数の欠陥が判明
続きを読む
「CA/FPPとCA/CSTの経営陣は、システムにSharePointのセキュリティ分類を超える情報が含まれているかどうかを判断するための評価が一度も実施されていなかったことを認識していなかった」と報告書には記されている。
「ケース管理システムを評価することで、CA/FPPとCA/CSTは、現在のSharePointプラットフォームと別のアプリケーションのどちらが情報に対して最適な保護を提供できるかを判断できます。適切な管理策を適用しなければ、ケース管理システムとその情報は不正アクセスや侵害に対して脆弱になります。」
この問題に対する OIG の推奨事項は非常に明確でした。修正してください。
報告書は、パッチ未適用のマシンにはアクセス制御や定期的なパッチ適用、スキャンを含む「セキュリティ監視手順」を適用することを提案している。FBIは11月までにこの方針を実施するとしている。
報告書はまた、ケース管理システムについて、まずセキュリティ分類を設定し、その後必要なセキュリティ管理体制を構築するための評価を実施することを提案している。領事局は、この評価は2019年2月までに実施される予定であると述べた。®
