|
■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■
NTTDATA DIGITAL GOVERNMENT
メールマガジン 2008年3月13日号
■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■
※本メールマガジンは毎月2週目と4週目にお送りします。購読は無料です。
こんにちは、NTTDATA DIGITAL GOVERNMENT編集局の新開です。
ここ数日、暖かい日が続いていますね。マフラーや手袋を外すだけでなんだか体が軽くなったような気がします。
今回は、米国連邦政府のセキュリティ・インシデント報告についてお伝えします。数字は悪化しているのですが、OMB電子政府IT室長の前向きなコメントが印象的です。
■ ■ ■ インデックス ■ ■ ■
■メインレポート
連邦政府のインシデント報告数増加はセキュリティ強化の表れ
[報告書の概要]]
[OMB電子政府IT室長 Karen Evans氏のコメント]
■最近のニュースから
・新サービス
・市場動向
■ワシントンDC便りNo.80
機長、お手隙なら応答願います。
■ワールドレポート新着情報
1.ニュージーランドの保健・医療情報化政策−ePharmacy、eLabs、eDischarge、eReferral−(アジア2008年3月13日)
2.地域完結型医療の実現のために−富山市民病院における取組み−(有識者2008年3月6日)
■IT政策ウォッチ
☆IT政策動向 2008年3月13日号が掲載されました。
■メインレポート
------------------------------------------------------------
連邦政府のインシデント報告数増加はセキュリティ強化の表れ
------------------------------------------------------------
今週は、行政管理予算局(OMB)が連邦議会に提出しました「2002年連邦情報セキュリティ管理法(FISMA)」に関する実施報告レポートについてお伝えします。
[報告書の概要]
・2007年度は、2006年度の2倍以上の情報セキュリティ・インシデントが報告された。以下の6カテゴリで報告されたインシデント総数は12,986件で、2006年度の5,146件の2倍以上
- 不正アクセス:2006年度706件、2007年度2,321件
- DoS攻撃(サービス拒否攻撃):2006年度37件、2007年度36件
- 悪意のあるコード:2006年度1,465件、2007年度1,607件
- 不適切な利用:2006年度638件、2007年度3,305件
- スキャン/プローブ/侵入未遂:2006年度1,388件、2007年度1,661件
- (調査中):2006年度912件、2007年度4,056件
・不正アクセスの増加は、個人を特定できる情報が漏洩した恐れがある全事象を報告するように要求したことが要因である。
・2007年度、省庁は徐々にシステムの認定・認証、および、危機管理計画とセキュリティ管理のテストの改善を行った。
- 省庁によるシステム全体の認定・認証は、報告初年度の47%、2006年の88%から、2007年度は92%に改善された。
- 政府全体の2007年度の目標値は、90%だった。
- 中でも航空宇宙局(NASA)は、18%改善し、連邦省庁のパフォーマンスを最も改善した。
- 国防総省(DOD)は、昨年から6%増加した。
・リスクインパクトレベルがゼロとなっているFISMAインベントリ内のシステム数減少に、省庁は取り組む必要がある。
- 現在は10,304システムが、高・中・低・ゼロのリスクインパクトレベルに分類されている。
- システムが該当省庁のミッションにクリティカルであるかもしれないため、リスクインパクトが高いかどうかを知ることは重要といえる。
- 10,304件中、1,211件が高リスクインパクトに分類されており、そのうち95%を省庁は認定・認証済であった。また、97%にセキュリティ管理テストを実施した。一方で、危機管理計画は、77%しかテストされていない。
・省庁は、職員とコントラクタに対して、より一般的かつ業務に特化したセキュリティトレーニングが必要であると考えている。
- セキュリティトレーニングを受けた職員の割合は、2006年度の91%から、2007年度は85%に低下した。
- 一方で、情報セキュリティの重要な責任を持つ職員向けトレーニングは、2006年度の86%から、2007年度は90%に増加した。
・情報セキュリティ(ISS)LOBは、共通セキュリティプロセスと技術が、セキュリティを改善し、コストを削減し、また、効率性を増加させることを明らかにしている。ISSLOBに関する詳細レポートは、2008年のFISMAレポートで発表される予定になっている。
[OMB電子政府IT室長 Karen Evans氏のコメント]
・インシデント報告数の増加は良いことだと考えている。なぜならこれは、省庁が、国家サイバーインフラ保護を目的とする組織「US-CERT」と情報を共有していることを意味しているからである。
・この情報共有は、もともとUS-CERTが望んでいたことである。
・この共有を通して我々は、総合的にアクションをとることができるようになった。
・大統領令「HSPD-12」で要求されている安全なIDカードの利用が、今後、セキュリティ・インシデントを防止すると考えている。
【NTT DATA AgileNet(弊社米国子会社)によるコメント】
今回の報告は、全体数としての情報セキュリティ・インシデント数は増加しているものの、全般的にプラスの印象を与えるものとなっています。特に、報告内容の変更によって件数が増加した不正アクセスは、各省庁に対して、セキュリティ強化を示唆することに繋がり、将来的なインシデントを防ぐ役割を果たすでしょう。
Karen Evans氏の談話にあるように、情報を共有することで、連邦政府として一貫したアクションが効果をもたらし、全体の改善に繋がる今回のようなレポートは、省庁全体の現状を把握するだけでなく、国民の情報を扱う機関の説明責任という意味でも、意義あるものだと考えます。
上記に関連する情報:
・セキュリティ・インシデントが2007年に増大
Federal Computer Week(2008年3月1日記事)[英語サイト]
・2007年度「2002年連邦情報セキュリティ管理法(FISMA)」実施報告
THE WHITE HOUSE[英語サイト・PDFファイル]
■最近のニュースから
-------------------------------------------------------------
新サービス
-------------------------------------------------------------
(1)国土安全保障省(DHS)が仮想フェンス実験契約先を選定(3月6日)
・契約先は、ジョンスホプキンス大学応用物理研究所で、契約金額は推定490万ドル。
・DHSは、すでにBoeing社とともに、新指令制御センターとCOP(common operating picture)を開発しているが、今回の契約を通して、米国とメキシコとの国境を保護するために計画している次世代技術システムの独立テストを実施する予定。
・Federal Computer Week(2008年3月6日記事)[英語サイト]
-------------------------------------------------------------
(2)空軍が、気象システム開発をNorthrop Grumman社に委託(3月3日)
・契約期間1年、契約金額2億3,900万ドルの本契約を通して、Northrop Grumman社は、空軍気象局のシステムサポートや運用等を行う。
・空軍気象局は、正確かつタイムリーな環境情報を国防総省に提供する複数のシステムを保有しているが、Northrop Grumman社は、グローバル戦域気象分析・予測システムと陸空軍気象情報システムを含む複数のシステムだけでなく、情報アシュアランス、統合ロジスティクス、ヘルプデスクも担当する。
・Federal Computer Week(2008年3月3日記事)[英語サイト]
-------------------------------------------------------------
(3)国土安全保障省(DHS)がHSPD-12サービスの契約先を決定(2月25日)
・連邦政府の施設や情報システムに物理的・論理的にアクセスするための身分証明を標準化するよう指示した大統領令「HSPD-12」のために、BearingPoint、EDSおよびXtecが1億8,000万ドル、5年間の包括購入契約を締結した。
・これらの企業は、職員やコントラクタ用の安全なIDカード発行・支援業務を行う予定。
・Federal Computer Week(2008年2月25日記事)[英語サイト]
-------------------------------------------------------------
(4)退職を簡単にする人事局(OPM)(2月25日)
・OPMは、4省庁2万6,000人の職員に対して、退職時のベネフィットの自動計算と必要なペーパーワークの電子化への移行を可能とする「RetireEZ」サービスを立ち上げた。
・OPMディレクターのLinda Springer氏は、「今までの労働集約型で、かつ、紙ベースのプロセスからの脱却をRetireEZが実現してくれる」と語っている。
・Federal Computer Week(2008年2月25日記事)[英語サイト]
-------------------------------------------------------------
市場動向
-------------------------------------------------------------
(1)GAOレポート:SECには、強力なITセキュリティが必要(3月7日)
・GAOは、米国証券取引委員会(SEC)に対して、証券市場の監視の際にはITシステムに大きく依存しているが、セキュリティ管理が統合されておらず、十分な文書化や計画立案、職員へのトレーニング提供が実施されていないことや、最終的には信頼できない情報に基づいた意思決定が行われる可能性が高いことなどを指摘した。
・GAOによる勧告は以下の通り。
・文書システム、他システムとの相互接続と情報共有への同意を含む計画を策定し、総合的に実施すること
・システム毎の境界を明確にすること
・共通するセキュリティ管理を明確にすること
・アプリケーションのリスクとセキュリティ評価に基づいて公開された変更点や脆弱性を反映した最新の情報を提供すること
・Federal Computer Week(2008年3月7日記事)[英語サイト]
・United States Government Accountability Office[英語サイト・PDFファイル]
-------------------------------------------------------------
(2)IGレポート:電子メールシステム管理の改善が必要なNASA(3月3日)
・航空宇宙局(NASA)の職員が、公式の電子メール記録管理を適切に実施していないことが調査により判明したが、その背景には、ガイダンスの作成が未完であることと、トレーニングが実施されていないことがある。
・今後NASAは、国立公文書館(NARA)の規制に従うために、国防総省(DOD)の文書保管基準を満たすソフトウェアを購入する必要があり、このソフトウェアを導入することで、NARAに対してアーカイブ化されたメッセージを転送することが出来るようになる。
・Federal Computer Week(2008年3月3日記事)[英語サイト]
-------------------------------------------------------------
(3)連邦捜査局(FBI)の指紋システム案件に対してIBMが異議申立て (2月26日)
・2月12日にFBIが新指紋システムの契約先にLockheed Martin社を選定したことについて、IBM社は政府説明責任局(GAO)に対して異議を申し立てた。
・この次世代ID(NGI)システムである統合自動指紋認識システムは、法執行機関の調査に関連して指紋や写真等を収集・格納し、共有しやすくするもので、契約には技術・ソフトウェア・ハードウェアサポート、インターステート写真システム等、多くの項目が含まれている。
・Federal Computer Week(2008年2月26日記事)[英語サイト・PDFファイル]
-------------------------------------------------------------
(4)オンラインデータベースを更新する統計局(2月26日)
・統計局は、IBM社と契約を締結し、「Ame-rican FactFinder」と呼ばれる人口データ用のウェブポータルを刷新する予定である。
・統計局は2010年までに、国民がオンラインで人口統計情報を簡単に見つけることができるようにしたいと考えており、IBMは2011年初めに新バージョンを立ち上げる予定にしている。
・Federal Computer Week(2008年2月26日記事)[英語サイト]
■ワシントンDC便りNo.80
------------------------------------------------------------
機長、お手隙なら応答願います。
------------------------------------------------------------
長距離列車や飛行機などを利用すると、たいてい出発して程なく、行き先や到着予定時刻などの案内が流れる。飛行機の場合はさらに、目的地の天気や予定飛行経路、揺れの予想なども放送することが多い。サービス精神旺盛な機長に当たると、「左側にグランドキャニオンが見えています」などと、有名な都市や地形など見どころの上空で教えてくれるので、退屈が紛れるのもありがたい。
しかし、深夜・早朝の便では、乗客の睡眠を妨げないようにするため、景色などの親切な案内はもちろんのこと、気象の悪化から迂回することになり、そのために到着が遅れるといった重要な連絡もなくなってしまう。客室乗務員を呼んで調べてもらうことも可能だが、そこまでするのも気が引ける。
そこで、機内のAV機器を使って、チャット形式で機長に質問を送れたら面白いかもしれないと思った。「窓の外に見えているあの山は何ですか?」といった素朴な質問に始まり、「今すれ違った飛行機は何便ですか?」「この機体の総飛行時間は?」といったややマニアックな質問、そして「操縦士を目指したきっかけは?」「これまでの操縦経験で最も感動したことは?」などのより親密な質問までできるかもしれない。
言うまでもなく、機長には操縦を最優先してもらわねばならないから、必ずチャットにつきあってもらえると期待するつもりはない。しかし、ラジオ番組への投書のようなもので、取り上げてもらえる可能性は低くても、ひょっとすると操縦室と双方向コミュニケーションがとれるかもしれないと考えると、筆者のように飛行機好きな乗客にとっては、機内での楽しみが大幅に増えるだろう。飛行中に操縦室を見学することができた昔と異なり、9・11事件後の今は操縦室との間に厚い壁の存在を感じることが多くなってしまったが、それをITで橋渡しできたらいいなと思う。
NTT DATA AgileNet (岡田)
■ワールドレポート新着情報
------------------------------------------------------------
1.(アジア)ニュージーランドの保健・医療情報化政策−ePharmacy、eLabs、eDischarge、eReferral−(2008年3月13日)
今回は、情報連携を進めることで医療業務の質の向上と効率化を図る4つの取り組みについて報告する。
------------------------------------------------------------
2.(有識者)地域完結型医療の実現のために−富山市民病院における取組み−(2008年3月6日)
今回、2004年度より地域医療連携システムを稼動させている富山市民病院にて検討や構築に携わられた3名の関係者に、地域医療連携に取組むきっかけ、システムの活用法、導入効果、今後の課題、展望等について伺った。
------------------------------------------------------------
■IT政策ウォッチ
------------------------------------------------------------
☆IT政策動向 2008年3月13日号が掲載されました。
------------------------------------------------------------
|
概要
