米国土安全保障省のサイバーセキュリティ対策は「不合格」レベル--下院委員会調査

　米下院政府改革委員会が米国時間3月16日に発表した毎年のコンピュータセキュリティ評価で、米国土安全保障省が「不合格」となった。

　つまり、国家のサイバーセキュリティに対する筆頭責任者である同省が、下院政府改革委員会から3年連続で「F（不合格）」の成績をつけられた。3年と言うのは、同省設立以来、毎年を意味する。

　Fの評価を受けたのは国土安全保障省だけではない。評価表（PDFファイル）によると、24機関のうち、エネルギー省、農務省、退役軍人局、国務省、国防総省を含む7つの機関の2005年の成績も「F」だった。国防総省と国務省の2004年の評価はそれぞれ「D」と「D+」で、合格ラインぎりぎりだった。全政府機関の総合評価は、2004年と同じ「D+」だった。

　この結果は驚くには値しないものの、とにかく「ひどい」と、パデュー大学コンピュータサイエンス学部のGene Spafford教授は言う。同教授は、大規模なサイバーセキュリティ研究の実施や、開発費増加の必要性を長年警告してきた。また、「The Cyber Security Crisis: A Failure of Prioritization（サイバーセキュリティ危機：優先順位の誤り）」という名前の痛烈な報告書を2005年に発表した大統領諮問委員会のメンバーも務めた。

　「国家に損害をもたらす恐れのある行為への用意と防御体制について、政府高官はさまざまな言い訳をするが、彼らがいまだにITセキュリティを理解していないのは明らかだ」。Spafford教授は電子メールによるインタビューでそう答えた。

　この評価表は、2002年に制定された連邦情報セキュリティマネジメント法（Federal Information Security Management Act）への対応に関する各機関の報告書をもとに作成された。