米航空交通管制センター、サイバー攻撃の懸念

Kevin Poulsen（SecurityFocus）
2004年10月15日（金）09:23 GMT

　米連邦航空局（FAA）は、米国中の航空交通管制センターのコンピュータ・セキュリティを精査することに同意した。FAA は政府の監査を受け、サイバー攻撃に対するセキュリティの甘さを指摘されていた。

　監査員は、米国の高高度航空交通を誘導する 20 の管制センターのコンピュータに対し FAA が十分なセキュリティ対策を施していないと指摘した。10月1日付きの報告書には次のようにある。『一般からのアクセスを制限すると同時に、管制センターのコンピュータ・システムのセキュリティをさらに強化する必要がある』。

　その査定は、2002 連邦情報セキュリティ管理法（FISMA：2002 Federal Information Security Management Act) の下、全連邦政府機関に対して行われる年一度のセキュリティ検査で米運輸省の監査官が作成するものだ。運輸省の全ての機関がその検査対象となっているが、FAA のみが国家の航空交通管制の管理機関として特別に配慮されている。つまり、大統領指令に基づく "基幹インフラ" と見なされているのだ。

　監査官の主たる不満は、FAA のセキュリティ認定プロセスが FAA の技術センター・コンピュータ研究所にある開発システムのみに限定されていることであり、またシステムが一旦導入されると、もう検査対象にはならないということだ。報告書は次のように提言している。『FAA は、管制センター、進入管制、空港ターミナル施設などの全ての稼動している航空交通管制システムの精査を行う必要がある』。

　FAA の IT セキュリティも検査対象に含まれている。報告書には次のようにある。『FAA は主要なコンピュータ・サーバの脆弱性をチェックしているが、我々の調査でエンドユーザのコンピュータまでは調べていないことが判明した。つまり、ネットワーク上の何万というワークステーションの脆弱性チェックは行われていないことになる』

［情報提供：The Register］
http://www.theregister.co.uk/

［翻訳：関谷　麻美］

（この記事には続きがあります。続きはScan本誌をご覧ください）
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec