米国の政府機関では、スパム、フィッシング、スパイウェアというインターネット上の3つの脅威に対処する体制が整っていない、と米政府の監査官らは結論づけた。
米会計検査院(GAO)が大規模な政府機関を対象に実施した調査から、大半の機関が迷惑メールなどの被害にあっているにも関わらず、インターネット上の脅威への対応策を講じている機関は1つもないことが判明した。またこれらの機関は、脅威に遭遇した場合の対応についても限られた指導しか受けていなかった。
GAOは米国時間13日に発表した報告書の中で、「20の機関から提供された緊急事態対応計画/方法を分析した結果、スパイウェアやフィッシングへの対策を講じている機関は皆無だった」と述べている。
さらに悪いことに、政府機関で使用されているコンピュータの安全性確保の責務を担っている国土安全保障省(DHS)が職務怠慢だったようだ。DHSは報告書の中で、「2005年3月31日現在、DHSの国立サイバーセキュリティ局(National Cyber Security Division:NCSD)は各政府機関向けに、スパム、フィッシング、スパイウェアといった新たな脅威に対する防御策について、最低限の指導書しか作成していなかった」と警告し、さらに「実際、連邦政府機関向けの防御策関連の指導書が発行されたのは2年以上前だった」と述べている。
これはもはや仮説に基づいた懸念ではない。FBI、国税庁、国務省、DHSの移民税関捜査局(Immigration and Customs Enforcement:ICE)の職員が、クレジットカード番号、銀行の預金口座番号、社会保障番号を尋ねるメール詐欺の被害にあっている。また機密情報を管理する政府のコンピュータにスパイウェアが侵入すれば、個人情報の流出や犯罪捜査の妨害といった深刻な事態を招きかねない。
GAOが今週、報告書を発表する以前にも、インターネット上の脅威に対する連邦政府のお粗末な防御能力に対し度々批判がなされてきた。
先月もGAOの調査で、DHSが同省に課されたサイバーセキュリティに関する責任を果たしておらず、緊急事態に対しても全くの「無防備状態」であることが判明した。DHSは緊急時にインターネットの様々な機能を回復するためのコンティンジェンシープラン(非常事態計画)や、最悪の場合どのような事態が想定し得るかといった脆弱性に関する評価レポートをいまだに作成していない。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」