メールマガジン 2008年5月29日号

■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■
NTTDATA　DIGITAL GOVERNMENT
メールマガジン 2008年5月29日号
■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■
※本メールマガジンは毎月2週目と4週目にお送りします。購読は無料です。

こんにちは、NTTDATA　DIGITAL GOVERNMENT編集局の村岸です。
最近、都内でよく外国人の観光客を見かけます。日本は海外へ行くばかりで、海外から観光客が来ない国と言われていたのに、変わったものです。あれっと思ったのは、地下鉄のエスカレーターでもバチバチ写真を取っていることです。そういえば、米国や英国では地下鉄のエスカレーターが止まったままで、階段として歩いているのをよく見かけました。住んでいる人に聞くと、常に動かしているのは非常にコストがかかるので、仕方ないんだという割り切り方でした。もしかすると、止まることなく動いていることが外国人にとっては珍しいのかもしれませんね。
さて、今回のメインレポートは米国連邦政府での横断的なセキュリティ調査です。

■　　■　　■　　　インデックス　　　■　　■　　■

■メインレポート
政府全体の情報セキュリティレベルが向上したFISMAスコアカード
[FISMAスコアカード概要]
[調査結果概要]

■最近のニュースから
・新サービス
・市場動向

■ワシントンDC便りNo.83
数千頭のトロイの木馬

■ワールドレポート新着情報
1．情報保証後援局（CSIA）の推進するIA強化策（欧州2008年5月29日）
2．（地域サービス特別号2）税情報プラットフォームの整備による住民サービスの向上　−吉田　尚之　株式会社NTTデータ　公共ビジネス推進部　地域ビジネス推進室　部長（税務ドメイン推進副責任者）−（2008年5月29日）　
3．カナダ：CCIRCによるサイバーテロ対策（米国2008年5月22日）

■IT政策ウォッチ
☆IT政策動向　2008年5月29日号が掲載されました。

■メインレポート

------------------------------------------------------------

　政府全体の情報セキュリティレベルが向上したFISMAスコアカード

------------------------------------------------------------
今週は、下院政府改革委員会(Committee on Government Reform)が発表した、連邦情報セキュリティ管理法(FISMA)スコアカードの調査結果についてお伝えします。

[FISMAスコアカード概要]
・各省庁が行政管理予算局(OMB)に提出した報告書に基づき、以下の点について評価を実施する仕組み。

1. 主要なIT資産の棚卸しが実施されているか
2. セキュリティインシデントの特定基準やその報告手順等について定められているか
3. 主要データへのアクセス制限などのセキュリティポリシーが構築されているか
4. システムの脆弱性を認識し、それを改善するための手順が準備されているか
5. 災害やセキュリティインシデント発生時の業務継続計画が存在するか
6. 職員へのセキュリティ研修は充分か

[調査結果概要]
・政府全体の評価は、昨年度のCマイナスからCへ改善された。
・報告システム件数：10,304件
・2007年度全体の傾向：

• 認定と承認を受けたシステム：92％（前年度比4％＋）
• 継続計画テストを実施したシステム：86％（前年度比9％＋）
• セキュリティコントロールテスト実施済のシステム：95％(前年度比7％＋)

・Aプラス、A、Aマイナスを獲得した省庁：

• 司法省(DOJ)
• 国際開発庁(AID)
• 環境保護庁(EPA)
• 全米科学財団(NSF)
• 社会保障庁(SSA)
• 住宅都市開発省(HUD)
• 人事局(OPM)
• 連邦調達庁(GSA)

・Fを獲得した省庁：

• 運輸省
• 労働省(DOL)
• 国防総省(DOD)
• 内務省(DOI)
• 財務省
• 原子力規制委員会(NRC)
• 退役軍人省(VA)
• 農務省(USDA)

【NTT DATA AgileNet（弊社米国子会社）によるコメント】
年々スコアが改善されている本調査ですが、調査自体がスコア獲得を目的化し、「情報を安全に格納する」という本来の目的を達成できなくなる懸念を、委員会メンバーのTom Davis議員は指摘しています。また今回お伝えしたように、最高レベルと最低レベルの格差が、政府全体の評価がCに留まった原因といえるでしょう。年々改善はされてきてはいますが、セキュリティレベルの低い省庁が政府全体のセキュリティホールとなり得ることから、F評価の省庁のセキュリティレベルの向上が、喫緊の課題と言えるでしょう。

上記に関連する情報：
・わずかに改善したコンピュータセキュリティスコア
　Federal Computer Week（2008年5月20日記事）［英語サイト］

・FISMA実施に関する報告書2007年度版
　THE　WHITE　HOUSE［英語サイト・PDFファイル］

■最近のニュースから

-------------------------------------------------------------

　新サービス

-------------------------------------------------------------
（1）最高財務責任者(CFO)アカデミーが今秋開校(5月21日)

・開設場所はNational Defence University内の情報資源管理カレッジで、連邦政府内の財務関係者を学生として受け入れ、終了時にはCFOリーダーシップの認定を行う。
・本アカデミーでは、財務管理、ポートフォリオ管理、政府の業務改革等、8つのコースが提供される予定。

・Federal Computer Week（2008年5月21日記事）［英語サイト］
-------------------------------------------------------------
（2）連邦調達政策室(OFPP)が調達評価ガイドラインを発行(5月21日)

・ガイドライン発行の目的は、調達活動評価アプローチの標準化と現行の契約プロセス等との統合で、内部省庁レビューのための文書である「通達(Circular)A-123」を基盤としている。
・ガイドラインでは評価テンプレートの提供を行っており、省庁はテンプレートを使用して調達プロセスに最も影響を与える4つの分野(組織的調整とリーダーシップ、政策と実務、人材、情報管理)を対象としたレビューを行う。

・Federal Computer Week（2008年5月21日記事）［英語サイト］
-------------------------------------------------------------
（3）官民協働のサイバーテロ対策活動を開始(5月14日)

・30の政府機関と、ITセキュリティ企業数社は、International Mutilateral Partnership Against Cyber-Terrorism(IMPACT)というNPOへ参加する。
・IMPACTでは、参加組織のベストプラクティスやケーススタディの収集、サイバー攻撃の脅威へ対応するための世界中の政府を支援するテンプレート開発、トレーニング提供やセキュリティ認定を行う予定。

・Federal Computer Week（2008年5月14日記事）［英語サイト］
-------------------------------------------------------------
（4）国土安全保障省(DHS)がIT調達管理システムを調査(5月13日)

・DHS調達運用室に設置されているEnterprise Solutions Officeはベンダーに対して、自動調達業務管理システム(e-PTMS)導入に関するアドバイスを求めるRFI(Request For Information)を発表した。
・DHSは、(1)調達活動報告、(2)ユーザーフレンドリーなカタログ、(3)業務オーダー管理、の3分野に対する最小機能をe-PTMSに盛り込みたい考え。

・Federal Computer Week（2008年5月13日記事）［英語サイト］

-------------------------------------------------------------

　　市場動向

-------------------------------------------------------------
（1）エネルギー省(DOE)がデータ収集のための新ツールを導入(5月21日)

・6月2日にリリース予定の「Data Center Energy Profiler(DC Pro)」は、データセンターでのエネルギー消費量を計算し、潜在的なエネルギーとコスト削減を明らかにする政府・民間組織向けのソフトウェアで、計算されたデータは、データセンターがエネルギー効率性を測定できるように、共通評価指標やベンチマーキング技術開発に利用される。
・共通評価指標の開発は、DOEが環境保護庁と共同で取り組んでいる全米データセンターエネルギー効率化プログラムの目的のひとつになっている。

・Federal Computer Week（2008年5月21日記事）［英語サイト］
-------------------------------------------------------------
（2）大統領がデータラベリングの簡素化を指示(5月19日)

・対象データラベルは、取扱注意情報(sensitive but unclassified information)に使用されているもので、現在の100以上から3つのラベルに削減するよう求めている。
・この指示によって、省庁はControlled Unclassified Information(CUI)と呼ばれるフレームワークを利用することとなり、データ共有に関心がある組織等に対する情報開示に関する対応がなされることになる。

・Federal Computer Week（2008年5月19日記事）［英語サイト］
-------------------------------------------------------------
（3）連邦調達庁(GSA)が過去のIT契約パフォーマンスを再検証(5月14日)

・対象となるのは、全62社との500億ドルに上ったAlliant契約。
・発注先として選定されたコントラクタの「過去の実績」に対する評価の正当性を確認することを目的としており、この検証はAlliant Small Business契約でも実施する予定。

・Federal Computer Week（2008年5月14日記事）［英語サイト］
-------------------------------------------------------------
（4）GAOレポート：国務省(DOS)の契約監視方法は不適切(5月9日)

・GAOの調査によれば、DOS職員は他省庁の契約スキームや契約支援サービスをどの程度利用しているかを十分把握しておらず、また、同省の調達および財務システムではどの調達案件で機関間契約を利用したかを特定できていないため、機関間契約によってもたらされるコスト削減に関する情報が得られず、契約の意思決定や管理に悪影響を及ぼしていると指摘している。
・GAOは、DOSに対して、契約利用を信頼できる形で監視できるようにすることと、契約を監視する職員を明らかにすることを勧告している。

・Federal Computer Week（2008年5月9日記事）［英語サイト］
・United States Government Accountability Office［英語サイト・PDFファイル］

■ワシントンDC便りNo.83

-------------------------------------------------------------

　数千頭のトロイの木馬

-------------------------------------------------------------

ルータ・スイッチングハブ・ネットワークカードといった通信ネットワークの主要機器の偽物が出回っており、米国では海兵隊・空軍・連邦航空局・連邦捜査局などの政府機関をはじめ、その契約業者や、大学・金融機関にも納入されていた、という事実が先日公表された。少なくとも過去2年間で3,500個、金額にして350万ドルの偽造製品を買わされてしまっていたとのこと。ほとんどは中国で製造されたものらしい。

詐欺という意味でも問題だが、より深刻なのは、トロイの木馬のようなウイルスが仕込まれた製品を使用してしまう可能性があるということだ。つまり、仮に製品自体は純正品と同じ機能・性能があったとしても、外部に情報を垂れ流したり外部からの侵入を許したりする細工が施されているかもしれないという懸念がある。実際、イリノイ大学は先月サンフランシスコで開かれたカンファレンスで、CPUが細工されたワークステーションに外部から侵入してパスワードを盗めることを実演した。またHP社も、今月下旬にロンドンのカンファレンスにおいて、遠隔操作でファームウェアを書き換え、機器類を破壊したり誤作動させたり裏口を作らせたりといった行為（フラッシング攻撃）ができることを実演する予定ときく。このような攻撃が、電力・水道・通信などの重要インフラや政府機関・病院などに向けられたらどうなるだろうか。

当然、軍事利用も可能だ。古くは1990年の湾岸戦争の際、米軍がイラクにあるコンピュータ機器に仕込んだウイルスによってイラクの軍事施設の機能を麻痺させたという有名な噂があるが、IT化が劇的に進んだ今、この手の攻撃は格段にやりやすくなったといえる。秘密工作員を送り込まなくても、細工を施した機器を送りつけるだけでよい。有名メーカーの売れ筋の製品を安価に提供すれば、「敵」は喜んで買い、使ってくれるだろう。そしてある日、その装置は密かに破壊・妨害活動を開始する・・・紀元前1184年に使われたトロイの木馬は1頭だけだったが、今なら何千・何万とばらまける。日本も要注意といえよう。

NTT DATA AgileNet (岡田)

■ワールドレポート新着情報

------------------------------------------------------------
1.（欧州）情報保証後援局（CSIA）の推進するIA強化策（2008年5月29日）

本稿では、情報保証後援局（CSIA）により発表された「国家IA戦略」の中から、「情報保証技術プログラム（IATP）」と「ゲット ･セーフ ･オンライン」と呼ばれる2つの取り組みを紹介する。

------------------------------------------------------------
2.（地域サービス特別号2）税情報プラットフォームの整備による住民サービスの向上　−吉田　尚之　株式会社NTTデータ　公共ビジネス推進部　地域ビジネス推進室　部長（税務ドメイン推進副責任者）−（2008年5月29日）　

業界団体APTOの立ち上げや社会情報基盤としての税情報プラットフォーム構築等に携わる吉田尚之が、弊社の税分野における取り組みについて紹介する。

------------------------------------------------------------
3.（米国）カナダ：CCIRCによるサイバーテロ対策（2008年5月22日）

　今号では、CCIRCの設立背景・機能・活動状況などを紹介する。

■IT政策ウォッチ

------------------------------------------------------------
☆IT政策動向　2008年5月29日号が掲載されました。

------------------------------------------------------------