1. セキュリティ統一基準
(1)米国情報管理法(FISMA)
2001年9月11日のテロ以降、米国政府のセキュリティに関する取組は大きく変わりました。連邦情報セキュリティ管理法(Federal Information Security Management Act:FISMA)(参考1)は、連邦政府が2002年12月に電子政府法の一環として成立させたもので、各省庁は年に一度、情報セキュリティを見直し、行政管理予算局(OMB)にセキュリティ報告書を提出するように義務付けられたものです。この法律の対象となるのは、連邦政府機関や、連邦政府機関より業務委託を受けている民間の外部委託先です。
FISMAでは、この他、(a)新システムにおけるセキュリティ計画についての明記、(b)セキュリティ監査の実施、(c)既存ITシステムについてセキュリティについての認証取得、(d)標準技術局(NIST)におけるITの適切なセキュリティレベルを定めるガイドラインの作成、(e)各省庁における情報セキュリティ責任者(Chief Security Officer、CSO)の設置、などを求めています。FISMAにより2003年12月には、NISTがセキュリティガイドラインのドラフトを発表しています。
参考1:FISMA
http://www.ipa.go.jp/security/publications/nist/fisma.html
(2)連邦コンピュータセキュリティの評価(成績表)
2003年12月FISMAに基づいて連邦コンピュータセキュリティ成績表(Computer Security Report Card)が公表されました。成績表によると、当初、政府機関におけるセキュリティ対策の遅れが目立っていましたが(参考2)、2007年度になると政府全体の総合評価は、改善されてきているようです(参考3)。司法省と環境保護庁を含む4つの機関は「A+」で、「A」もしくは「A-」の機関も4つありました。一方、原子力規制委員会や国防省、農務省、労働省、退役軍人省など、9つの機関が「F(不可)」の評価が下されています。 この成績表は、各省庁が行政管理予算局(OMB)に提出した報告書に基づき、(a)IT資産の棚卸し実施の有無、(b)セキュリティインシデントの対応手順等について決められているか、(c)データへのアクセス制限などのセキュリティポリシーが構築されているか、(d)脆弱性を改善するための手順が準備されているか、(e)職員へのセキュリティ研修、などの観点から評価しています。
参考2:連邦コンピュータセキュリティ成績表
FEDERAL COMPUTER SECURITY REPORT CARD(December9,2003)
GOVERNMENTWIDE GRAD 2003:D
参考3:政府全体の情報セキュリティレベルが向上したFISMAスコアカード
http://e-public.nttdata.co.jp/f/repo/551_m080529/m080529.aspx#1
(林 誠一郎)
セキュリティ対策コラム
http://www.nttdata-sec.co.jp/article/
