|
■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■
NTTDATA DIGITAL GOVERNMENT
メールマガジン 2007年10月25日号
■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■
※本メールマガジンは毎月2週目と4週目にお送りします。購読は無料です。
こんにちは。NTTDATA DIGITAL GOVERNMENT編集部の澤田です。
ようやく秋らしくなって来ましたね。北の方では紅葉が見頃のようですね。東京でも、奥多摩の方ではそろそろ色づき始めているらしいです。今週末あたり、もしお天気がよければ、紅葉狩りに出かけてみるのもいいかも知れません。
さて今回は、ITセキュリティ人材育成に関する米国の取り組みについてご紹介します。米国でも我が国同様、人材育成は重要課題のようです。
■ ■ ■ インデックス ■ ■ ■
■メインレポート
DHSがITセキュリティ人材育成のためのフレームワークを発表
[フレームワーク策定の経緯]
[フレームワークの目的]
[ITセキュリティ能力分野と代表的な必須知識]
■最近のニュースから
・新サービス
・市場動向
■ワシントンDC便りNo.72
金属探知機に反応した(?)電子政府広告
■ワールドレポート新着情報
1.コンピュータベースの英語能力試験CB IELTS (欧州2007年10月25日)
2.ITを活用した学力検定(米国2007年10月18日)
■メインレポート
------------------------------------------------------------
DHSがITセキュリティ人材育成のためのフレームワークを発表
------------------------------------------------------------
国土安全保障省(DHS)は、サイバーテロ防止に必要と考えられるスキルと知識をまとめたフレームワーク「Information Technology(IT) Security Essential Body of Knowledge (EBK)」を発表しました。今週は、このフレームワークの内容についてお伝えします。
[フレームワーク策定の経緯]
・2001年10月重要インフラ用情報システム保護のための方針とプログラム策定のために大統領重要インフラ保護委員会(PCIPB)が設立。
・ITセキュリティ人材育成は重要戦略だったため、PCIPBは、ITセキュリティ認定ワーキンググループ(ITSC-WG)を設立。
・2003年に、ホワイトハウスが「サイバーセキュリティ国家戦略」を発表。同年に、DHSの国家サイバーセキュリティ部門(NCSD)が設置。国防総省(DOD)、アカデミック分野、民間の産業分野と共に、IT認定人材とセキュリティスキルの獲得の促進に必要な事項について調査を開始した。
・DODが発行した「情報アシュアランススキル標準」は、国家人材戦略と同様の目標を持っていたが、NCSDの開発チームは、何をITセキュリティ資格の中核と考えるかという点で特殊だった。
・その後、他のドメインベースのITセキュリティモデルと比較し、官民におけるあらゆるセキュリティの役割と機能をカバーする、14の主要な資格を作成した。
[フレームワークの目的]
・ITセキュリティ専門家に求められる機能を、官民セクタ等の業務が遂行される状況・背景ではなく、業務を実施する共通フォーマットと言語で明確にすること。
・異なる基準に従って個別に開発されたITセキュリティ認定の内容を比較するための参照(リファレンス)を提供すること。
・既存の認定が、信頼を伴って適切に活用されるように、既存の認定の幅広い承認を進めること。
・費用効果の高いIT人材専門家育成を促進するために利用可能なコンテンツガイドラインを提供すること。
[ITセキュリティ能力分野と代表的な必須知識]
・データセキュリティ:アクセスコントロール、プライバシー
・デジタル科学捜査:科学捜査分析、分析過程の管理
・エンタープライズ継続性:代替施設、業務継続性
・インシデント管理:コンピュータセキュリティ、リスク管理
・ITセキュリティトレーニングと認知:エンドユーザーセキュリティ教育、役割ベーストレーニング
・ITシステム運用管理:アクセス管理、バックアップ
・ネットワークセキュリティ・通信:生体情報による認証、暗号化技術
・人材セキュリティ:人物調査、守秘義務
・物理的・環境的セキュリティ:アクセスコントロール、テロ
・調達:許容リスク、調達ライフサイクル
・規制・標準・遵守:アセスメント、監査
・リスク管理:許容リスク、年間損失予測
・戦略管理:調達管理、予算プロセスと財務管理
・システム・アプリケーションセキュリティ:認定、アプリケーションと技術セキュリティ管理
【NTT DATA AgileNet(弊社米国子会社)によるコメント】
ITセキュリティに関して様々な取り組みがなされている連邦政府ですが、今回はDHSがDOD等との協働を経てフレームワークのドラフト版を発表しました。12月7日までパブリックコメントを募集しており、その後コメントを盛り込んだ形で最終版を発行するとのことです。このフレームワークについて、DHSのサイバーセキュリティ・通信書記官補であるGreg Garcia氏は、政府機関に対する強制力は特になく、また、DHSの指令を表明したものでもないが、「可能な限り最も適切なトレーニングを受けた優秀なITセキュリティ人材を確保するために、必要なトレーニングと資格の展望を明確にする」ために作成したと述べています。従来から、連邦政府の多くの省庁内において、組織内のITシステムのセキュリティの脆弱性が指摘されていました。政府内のセキュリティだけでなく、国土安全の観点からも、ITセキュリティの向上のためには、政府のセキュリティ人材のスキルアップが重要と言えます。今回の施策は、強制力がなくても、必要と思われる取り組みを省庁連携の下、少しずつでも推進していこうとする姿勢は評価に値するのではないでしょうか。
上記に関連する情報:
・国土安全保障省が米国ITセキュリティスキルの基準を提案
Federal Computer Week(2007年10月10日記事)[英語サイト]
・Information Technology(IT) Security Essential Body of Knowledge
United States Department of Homeland Security[英語サイト・PDFファイル]
■最近のニュースから
-------------------------------------------------------------
新サービス
-------------------------------------------------------------
(1)リアルID法の標準が2〜3ヶ月にリリース(10月17日)
・国土安全保障省(DHS)は、今年初めに標準をリリースする予定だったが、大幅な変更が加わったことと、変更内容が各州に与える削減額の算出を現在行っているため、リリースが遅れると発表していた。Stewart Baker次官補は、検討事項への対応が終われば2〜3ヶ月以内に標準を発表できると語っている。
・リアルID法は、不正操作が不可能な運転免許証の開発と確認書類のデジタルイメージ保有を州に求めたもので、当初は2008年に施行予定だったが、DHSにより2009年12月31日まで延長されていた。
・Federal Computer Week(2007年10月17日記事)[英語サイト]
-------------------------------------------------------------
(2)国家情報長官室(ODNI)が500日計画を発表(10月15日)
・4月にODNIが発表した100日戦略をベースに作成されたこの計画では次の6つの目標を設定している。
- 協働の文化の創出
- 情報共有の促進
- 情報収集・分析に基づく転換の促進
- 優れた調達の実施と技術リーダーシップの育成
- 国家情報長官権限の明確化と調整
・本計画が発表される前日に、ホワイトハウスが最新の国土安全戦略を
発表し批判を受けたが、本計画はスパイ防止活動の拡大が新たなセキュリティの脆弱性を生むといった、ゴール達成が困難な点を含みつつも、現実的で、配慮が行き届いているという評価を受けている。
・Federal Computer Week(2007年10月15日記事)[英語サイト]
-------------------------------------------------------------
(3)行政管理予算局(OMB)新チーフアーキテクトが決定(10月9日)
・Dick Burk氏の後任となったのは、司法省(DOJ)チーフエンタープライズアーキテクトである、CIO協議会アーキテクチャー・インフラストラクチャ委員会サービス分科会の共同代表のKshemendra Paul氏で、3ヶ月間は、OMBのチーフアーキテクトとDOJの業務を兼務する。
・Paul氏は、OMBが連邦省庁に理解を求めていた、エンタープライズ・アーキテクチャによるビジネスの課題解決支援を実現したリーダーで、多くの専門家が有望な人材と語っている。
・Federal Computer Week(2007年10月9日記事)[英語サイト]
-------------------------------------------------------------
(4)政府ITコミュニティ向けWikiが立ち上げ(10月9日)
・GovITwikiプロジェクトによって立ち上げたられたこのサイトでは、政府IT情報に関する予算、プロジェクト名、コンタクト先、新技術といった情報をまとめており、将来的には、参加者自身が最新情報に更新できるようなユーザコミュニティになるよう期待している。
・現在のところ、このプロジェクトは、連邦政府のIT業務に関わっているボランティアの参加者によって運営されているが、利用は、政府のコンピュータシステムに興味がある人であれば誰でも可能。
・Federal Computer Week(2007年10月9日記事)[英語サイト]
-------------------------------------------------------------
市場動向
-------------------------------------------------------------
(1)鈍化傾向にある連邦政府のIT支出の成長率(10月17日)
・産業団体であるGovernment Electronics and Information Technology Association(GEIA)の調査によれば、連邦IT予算は2008年から2013年まで、年間平均1.4%の割合で増加する一方、年複利成長率は5.7%からダウンするといい、政府職員インタビュー、調達データ、省庁発行レポート、およびGEIAの予測データベースを元に実施された本調査では、成長率は、2008年の大統領選に伴う支出の優先事項とイラク政策によって変化すると見ている。
・その他の調査結果は、以下の通り。
- 新政権がイラク対策費用を削減し、国内支出を増加すれば、非軍事省庁によるIT支出が増加する可能性は高い
- 軍事IT支出は比較的安定し、2013年度まであまり減少しない
- しかし、現状の軍事部門のIT支出増加は、補助予算から捻出されているため、国防総省(DOD)のIT予算が変化しても、非軍事部門がベネフィットを受けるとは限らない
- 省庁は、2011年までブッシュ政権の優先事項に、また、安定したプロジェクトに資金提供を行うため、ITプロジェクトの近代化や開発、強化のための支出は減少すると予測されている
・Federal Computer Week(2007年10月17日記事)[英語サイト]
-------------------------------------------------------------
(2)NIHがエンタープライズウェブコンテンツシステムを検討(10月16日)
・国立衛生研究所(NIH)は、既存のシステムを統合しオンラインコンテンツ管理を促進する技術をFederal Business Opportunitiesサイトで現在募集している。
・27の研究機関で構成されるNIHは、現状、各機関が異なるウェブコンテンツ管理要件を持っており、NIH関係者は、NIH全体システムに適した単独技術は存在しないことを認識した上で、既存の標準とシステムの運用に適した技術について知識を獲得したい意向を示している。
・Federal Computer Week(2007年10月16日記事)[英語サイト]
-------------------------------------------------------------
(3)政府監視機関が電子メールバックアップ問題で政府を提訴(10月11日)
・政府監視機関であるCitizens for Responsibility and Ethics in Washington(CREW)の発表によれば、ブッシュ政権が2003年以降の電子メール500万通を不法に廃棄していたため、電子メールが入ったバックアップテープを保存するよう、一時差し止め命令を請求した。
・ホワイトハウス側は、メッセージ内容は保存していたと主張しているが、CREWはホワイトハウスの他、国立公文書館(NARA)もホワイトハウスから送信されたメールを保存していないとして、提訴のターゲットとしている。
・Federal Computer Week(2007年10月11日記事)[英語サイト]
-------------------------------------------------------------
(4)GAOレポート:さらなるリスク管理が必要な統計局(10月8日)
・GAOは、国勢調査システムのリスク管理不足によって、スケジュール遅延や予算不足、稼動力不足を中心に、下記のような問題があると指摘している。
- リスク管理プロセスを適切に導入していない
- リスク緩和を適切に計画していない
- 2010年の国勢調査のための4つの主なIT調達のために、上記のような計画を幹部に知らせていない
- 2008年のノースカロライナとカリフォルニアで実施されているテストで携帯端末を使用しているが、端末の故障等の潜在リスクのための計画立案が未実施となっている
・GAOは、統計局を管轄する商務省長官が統計局ディレクターに対して、調達リスクをリストアップし、適切な緩和計画を立案する2つのオフィスを設置するよう指示すべきと勧告した。
・Federal Computer Week(2007年10月8日記事)[英語サイト]
・United States Government Accountability Office[英語サイト・PDFファイル]
■ワシントンDC便り No.72
------------------------------------------------------------
金属探知機に反応した(?)電子政府広告
------------------------------------------------------------
米国で砂浜や野原などに行くと、掃除機のような形をした金属探知機を操作しながらうろついている人を見かけることがある。趣味で「宝探し」をしている人たちだ。
探しているものは人によって異なるが、換金性の高い落とし物(硬貨・装飾品・電子機器など)、歴史的価値があるもの(古銭・装身具・戦争の遺品など)、それに金銀などの鉱物に大別されるようだ。下調べにも相当の手間暇をかけ、歴史や地質学など学者顔負けの知識を備えて現地調査に臨む人も多いと聞く。しかし、とにかくまず必要なのは、金属探知機本体だ。
金属探知機は、インターネット上の掲示板や競売サイトに山ほど出品されているが、愛好者の裾野が広いからか、宝探しには無関係な雑誌などでも、しばしば広告が掲載されている。ある朝、テレビでニュースを見ていたら、コマーシャルの時間に、自宅の寝室で金属探知機を使っている男性が登場した。結婚指輪でも落としたのかな、と思わせておいて、実は古い硬貨を見つけて大喜びする、というシナリオである。金属探知機メーカーも面白い広告を出すようになったな、と思っていたら、実は真のオチはその後にあった。最後に現れた広告主のURLはUSMINT.gov。そう、連邦政府造幣局だったのである。
造幣局の年次報告書によると、2006年度は記念硬貨等の売上げが前年度比74%以上の伸びで年間10億ドル以上に達している。その理由を、報告書では「新しい記念硬貨を発行したため」と控え目に分析しているが、その記念硬貨を直販するウェブサイトへの巧みな誘導も、少なからず貢献している気がする。
NTT DATA AgileNet (岡田)
■ワールドレポート新着情報
------------------------------------------------------------
1.(欧州)コンピュータベースの英語能力試験CB IELTS(2007年10月25日)
IELTSは国際的に認知されている英語能力検定試験である。同試験は2005年より、従来の紙ベースの試験に加えてコンピュータベースの試験を実施している。本稿では、このコンピュータベースのIELTSに焦点を当て、同試験に対する受験者の反応に関する調査の結果と、同試験が利用している試験情報管理システム「コネクトシステム」を紹介する。
------------------------------------------------------------
2.(米国)ITを活用した学力検定(2007年10月18日)
TOEFLやGREといった世界的な共通試験は、コンピュータ方式(CBT)やインターネット方式(iBT)へと移行している。学力検定試験にITを活用することで、従来の紙方式の試験では実現不可能であった多面的な評価、迅速な採点および通知、試験会場や実施頻度の増加などが可能となる。米国を代表する試験機関であるETSが実施する英語力試験TOEFLを例に、IT活用の経緯や利点・課題などを紹介する。
------------------------------------------------------------
|
概要
