|
■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■
NTTDATA DIGITAL GOVERNMENT
メールマガジン 2006年10月12日号
■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■
※本メールマガジンは毎月2週目と4週目にお送りします。購読は無料です。
こんにちは、NTTDATA DIGITAL GOVERNMENT編集部の村岸です。
システムのセキュリティに関するレポートをお届けします。
さて、この夏から弊社でテレワークの実験を開始し、私も参加しています。自宅でリモートデスクトップ(要するにオフィスの自席のPCをNWを通じて使える)を使って、共有ファイルも使えて非常に便利です。特に、資料のまとめ作業などでは静かな自宅で集中できてありがたいです。
とはいえ、実施に当たって、研修、誓約書、PCの設定等々、セキュリティを確保するため、これでもかというくらいの準備をしないといけませんでした。初の試みゆえ仕方ないのですが、かなり嫌気が差したことを覚えています。
メインレポートにあるようなセキュリティの問題を見ると、避けて通れない、つまり日々のセキュリティ確保にもっと慣れないといけないのでしょうね。
■ ■ ■ インデックス ■ ■ ■
■メインレポート
さらなる安全性が求められる連邦政府機関のITシステム
[内国歳入庁(IRS)は納税者のプライバシーを十分保護していない]
[国土安全保障省(DHS)のコンピュータはまだ安全ではない]
■最近のニュースから
・新サービス
・市場動向
■AgileNetコラムNo.51
運転免許証の更新手続き、「じっくり5分」
■ワールドレポート新着情報
1.韓国の電子政府におけるIT投資評価(アジア2006年10月12日掲載予定)
2.定量的な目標設定・業績評価の考え方と活用事例−櫻井 通晴 専修大学経営学部教授 商学博士−(有識者2006年10月5日)
■メインレポート
------------------------------------------------------------
さらなる安全性が求められる連邦政府機関のITシステム
------------------------------------------------------------
今週は、2つの監察総監(IG:Inspectors General)レポートについてお伝えします。別々のタイミングで出された2つのレポートですが、共通してITシステムに関する問題点を指摘しています。
[内国歳入庁(IRS)は納税者のプライバシーを十分保護していない]
・財務省のIGレポートによる指摘。
・IRSの半数以下のシステムに、ITシステムがプライバシーに及ぼす影響を見極めるための評価ツールPIAによるアセスメントを行ったところ、プライバシー法のアプリケーションを適切に監視していないことが判明した。
・2002年電子政府法とIRSガイドラインは、個人情報を収集する各コンピュータシステムやプロジェクトに対して、プライバシー室がPIA(プライバシー影響評価)を実施することを要求している。だが、2005年8月の時点で、機密情報を収集している241のIRSのコンピュータシステムのうち、130システムでPIAの実施を確認できなかった。
・IGによる勧告は、次の通り。
- PIAに関する検索可能なデータベースの構築。四半期毎にその正確性を検証し、PIAのケース収集の重要性を強める。
- 幹部による、職員のプライバシーに関するトレーニングの再調査と、IRSの体制が規制に準拠しているかの確認。
[国土安全保障省(DHS)のコンピュータはまだ安全ではない]
・レポートで指摘されたのは、DHSの監察総監室(OIG)のラップトップコンピュータ。セキュリティ強化の対応を最近行ったにも関わらず、未だにサイバー攻撃に対して影響を受けやすい。
・IT室IGの報告によれば、OIGは国家安全保障局(NSA)とDHSのガイドラインに基づいた、標準ソフトウエアインストールのデザインに成功したが、「取扱注意ではあるが機密扱いではない(SBU)」ラップトップコンピュータ内の重大な脆弱性を修正していないという。
・主な欠陥には、OIGがSBUラップトップコンピュータのためのモデルを継続的に実装していないことがある。モデルシステムとは、新バージョンシステムを構築するために使われる、読み取り専用のメカニズム。一度開発されれば、IG室のモデルシステムは、画像やコピーとしてサーバーにロードされ、ラップトップにインストールされる。94台のSBUラップトップコンピュータをテストした結果、40%のコンピュータが、モデルシステムでは発見されない設定上の脆弱性を保有していた。
・その他、ソフトウェアにパッチをあてたり、更新したりする効果的な手順がないこと、ラップトップコンピュータを追跡する正確な在庫管理の手段がないこと、システム再利用時や廃棄の際に、機密情報が消去されたかどうかを確認する手順がないことも問題として報告されている。
・IGによる、DHSのCIOに対する勧告は次の通り。
- IG室のデータを保護するためにモデルシステムが作られ、更新されているかどうかを確認する手順を確立すること。
- ラップトップコンピュータが再利用される前にデータの削除を実施すること。
- ラップトップコンピュータの正確な在庫管理を行うための資産管理システムを実現すること。
[NTTデータからのコメント]
IRSに関するレポートでは、連邦政府職員の組合であるNTEU代表Colleen Kelly氏が、「IRSは、米国納税者の機密財務情報を集金代行企業にアウトソースしており、セキュリティ侵害のリスクを飛躍的に増大させている」と語っています。また、DHSに関するレポートでは、ラップトップ管理に関する不文律の手順はあるが、IG室のヘルプデスクはその手順に従っていないことが報告されています。
技術などの進展とともに、プライバシーおよびセキュリティに関するリスクや脆弱性は、多様化、複雑化するとともに、このようなリスクを評価するためのツールや脆弱性を改善するための技術も開発・利用されていきます。今回の2つのレポートでは、ツールや技術を有効に活用するためには、運用上の手順を確立するとともに、適切な監視を行うことが重要であることが示されています。
上記に関連する情報等:
・IG:IRSは納税者のプライバシーを十分保護していない
Federal Computer Week(2006年10月4日記事)[英語サイト]
・DHSのラップトップは、未だ脆弱であることをIGが発見
Federal Computer Week(2006年10月4日記事)[英語サイト]
■最近のニュースから
-------------------------------------------------------------
新サービス
-------------------------------------------------------------
(1)ニューヨーク州、メディケイド改善に30億ドルを投資(10月4日)
・メディケイドは州政府が主導する公的保険制度で、全米で最も利用者が多いのはニューヨーク州で、すでに15億ドルを医療IT化等に投資しているが、先月CMSによって認可された「Waiver」と呼ばれる予算措置により、最大15億ドルを医療IT関連に投資することとなった。
・この予算措置により、ニューヨーク州は次のことを要求されている。
- メディケイドのコスト削減、および、プログラムそのものと設備の改善
- メディケイドの不正行為からの回復
- メディケイド用優先医薬品リストの実現
- 無保険の就労者の保険契約
- 長期医療を必要としている人々へのガイダンス提供
・The Government HealthIT[英語サイト]
-------------------------------------------------------------
(2)テキサス州フリーポート港、港湾セキュリティ契約を締結(10月4日)
・契約先はCiberで金額は230万ドル、主に港湾管理とセキュリティシステムを展開する予定で、現在行っているビデオ監視システムとワイヤレスネットワークは、Ciberが提供する、高度レーダー、指揮統制状況表示等を含む技術と統合される予定。
・フリーポート港は、全米で13番目の国際貨物総トン数、23番目の国内外貨物総トン数を誇り、テキサス経済に90億ドルをもたらしている。
・Federal Computer Week(2006年10月4日記事)[英語サイト]
-------------------------------------------------------------
市場動向
-------------------------------------------------------------
(1)米国標準技術局(NIST)がRFIDのリスクを指摘(10月3日)
・NISTが指摘するRFID技術に関連した、セキュリティとプライバシーに関するリスクは次の通り。
- 不正ユーザーによる情報収集の可能性:省庁は、タグに搭載する情報とその保護方法を決める必要がある
- タグ付配送物が監視されている可能性:タグに識別子以外の情報を含んでいなくても、省庁が認識している以上の情報が監視員等によって明らかにされうる
- RFIDがバックエンドデータベースと接続され、かつ、データベースが適切に保護されていない場合、RFIDのリーダ/ライタをデータベースの侵入口(バックドア)として使われる可能性がある
- 同時にNISTは、セキュリティエンジニアリングの原則に則っていれば、RFID技術は、十分な生産性上昇と効率性を得られることを幅広く認識させることができると述べている
・Federal Computer Week(2006年10月3日記事)[英語サイト]
-------------------------------------------------------------
(2)GAOレポート:省庁間契約の賢明な利用を求められるDHS(9月28日)
・GAOによれば、国土安全保障省(DHS)の省庁間契約について、スピードと利便性を高めるために、個別調達よりも省庁間契約を通して数十億ドルを支払っているが、資金が適切に支払われているかを確認するために必要な管理・監視を行っていない等の点が明らかとなった。
・GAOによる勧告は、
- 省庁間契約に関するガイダンスを発行する
- 連邦政府が、DHSの全組織における調達活動に対する十分な権限を最高調達責任者(CPO)に付与する取り組みについて報告することをDHS長官に求める
の2点で、この勧告に対してDHSは、CPOを重要なDHSプログラムをレビューするための重要な地位に設置するなど、勧告に沿った対応をすでに実施しているという。
・Federal Computer Week(2006年9月28日記事)[英語サイト]
・The Government Accountability Office[英語サイト・PDFファイル]
■AgileNetコラムNo.51
------------------------------------------------------------
運転免許証の更新手続き、「じっくり5分」
------------------------------------------------------------
米国民の大半が数年に1度実施している手続きに、運転免許証の更新がある。免許証の有効期限が残り2ヶ月となった筆者のところにも、先日、更新の案内が郵送されてきた。
米国では運転免許は各州の管轄となっているため、筆者に適用される更新制度はメリーランド州のものである。数年前に転入してきた際は、ワシントン州の免許証から書き換えるだけでも各種書類の準備などに大変時間がかかったものだが、今回の案内には大きく「郵送で更新できます!」と書かれていた。メリーランド州では最近、26歳から40歳までの者は、更新時の視力検査は1回おきでよいことになった。また、顔写真は前回手続きの際に撮影したデジタル写真が陸運局に登録されているため、今回の更新では仕事を休んで窓口に出頭する必要がないのだ(都合10年近く同じ写真を使うことになるため、視力は良くても顔の変わりやすい若者は郵送更新の対象外になっているのだろう)。
実際の手続きは、更新申請書にある「心身に障害ありと診断されましたか?」「臓器提供の意志はありますか?」といった簡単な6つの問いに答え、更新料$30ほどを添えて投函するだけである。あとは、新しい免許証が郵送されてくるのを待つだけだ。筆者の場合、郵送更新がどのような仕組みになっているのかを理解しようとして説明をじっくり読んでしまったため、申請書完成まで5分「も」かかったが、取扱説明書を読まずに電気製品を使い始めるタイプの人であれば、いきなり申請書へ記入し、2分程度で済むと思われる。
更新案内に認証番号を記載するなどしておけば、住所確認をしつつインターネットを使った更新申請をすることも可能であろう。オンライン化される前に手続きが簡素化されているので、オンライン化も容易で、国民にとっても使いやすいシステムができるに違いない。「電子政府への移行を進める際は、既存制度の見直し・刷新も行うべし。」よく言われるベストプラクティスだが、ちゃんと励行しているところがすばらしい。これまで、免許証関連の手続きは時間と手間がかかって不評を買いがちであったが、今後は急速に顧客満足度が高まりそうだ。
NTT DATA AgileNet (岡田)
■ワールドレポート新着情報
------------------------------------------------------------
1.(アジア)韓国の電子政府におけるIT投資評価(2006年10月12日)
2005年度以降、韓国政府においては、拡大する電子政府事業に対して、システム構築実績に重点を置いた量的評価主義から、政策成果達成度合いなどを考慮した質的評価主義へと転換が図られようとしている。本レポートでは、韓国政府が質的評価を行うために取り組まれている「行政情報資源現況管理システムの構築・運営」、「政府業務評価基本法の制定」、「政府情報資源統合管理体系の構築」等の状況について紹介する。
------------------------------------------------------------
2.(有識者)定量的な目標設定・業績評価の考え方と活用事例−櫻井 通晴 専修大学経営学部教授 商学博士−(2006年10月5日)
行政や民間企業において戦略立案・実行後の評価において、バランスト・スコアカード等を用いた業績評価手法が近年高まりつつある。今回は専修大学経営学部教授である櫻井通晴氏に、定量的な目標設定・業績評価の考え方と、活用事例について語っていただいた。
------------------------------------------------------------
|
概要
