2008 年 6 月から数カ月間にわたって、公的機関でのサイバーセキュリティに関する討議が活発化すると見込まれています。契機となったのは、さる 1 月に行政命令によって制定された包括的な National Cyber Security Initiative (米国サイバーセキュリティ構想) です。この構想は、官公庁のネットワークを厳重に強化して IT の脅威から保護することを目標としたもので、情報共有の欠落を含め、情報セキュリティに関する官公庁の脆弱性を取り上げる討議が活発に行われるようになりました。
情報セキュリティによる保護と優先事項をより正確に把握するために、シマンテックと Dell は 2008 Critical Connections Study を後援しました。これは O’Keeffe & Company によって 2008 年 4 月に開催された調査であり、米国連邦政府、州政府、地方政府、民間企業のそれぞれに所属する約 600 人の IT 担当行政官や役員から多くの意見を集めました。この目標は、情報セキュリティに関する連携、情報共有の欠如、および改善の機会を指摘することです。
その成果として、同業者が何を考えているのか、セキュリティ上の優先事項は何か、あらゆる組織によって共有されている共通の連携がどのようなものなのかに関する興味深い結果が得られました。また、連邦政府関係者のうち 68 パーセント、民間企業のうち 59 パーセント、州政府と地方政府のうち 48 パーセントの回答者が、サイバーセキュリティを改善するために連携が必要であると回答し、さらに、民間企業のうち 78 パーセントが、官公庁から提供するサイバー脅威に関する情報をもっと増やしてほしいと回答しました。
調査の対象となったあらゆる行政官や役員が共通して考慮しているセキュリティの問題および懸念には、次のものがあります。
- リスクの上昇: セキュリティインシデントは増加を続けているので、IT セキュリティを確立することは以前にも増して重要です。上記の調査では、回答者のうち 63 パーセントが 2007 年に脅威が増したと報告し、82 パーセントが今年 2008 年は情報セキュリティの優先度を高めると報告しました。
- データ漏えいの恐怖: 潜在的なセキュリティの脅威に関しては、すべての部門がデータ漏えいを最も恐れています。事実、連邦政府の行政官のうち 78 パーセント、州政府と地方政府の行政官のうち 60 パーセントが、セキュリティの最優先事項としてデータ漏えいを挙げました。
- 金銭以外の要因: 組織で適切なセキュリティが欠如する主な理由は予算の制約である、というのが一般的な認識です。ところが、この調査から、セキュリティ構想に影響を及ぼしているのは予算削減だけではないことが明らかになりました。全回答者から得られたセキュリティの障壁の原因として、上記の理由に迫る 2 位と 3 位の理由は、IT 教育が欠如している、および適切なツールと技術の実装に失敗している、というものでした。
- セキュリティの構築: 調査の対象となったすべての部門が、過去 1 年間のうちにセキュリティを改善しようとしました。官公庁にとって、データベースのセキュリティは、最大の成功をもたらした分野でした。昨年、つまり 2007 年は、セキュリティトレーニングのほか、脅威の監視と管理面でも成功しました。
- 疑問の持たれる支出優先度: モバイルセキュリティは、セキュリティに関する懸念が高まっている分野ですが、セキュリティ費用が十分に分配されていません。調査の結果、連邦政府の行政官のうち 52 パーセント、州政府と地方政府の行政官のうち 34 パーセントが、モバイルセキュリティをセキュリティの重要な問題と見なしています。この優先度が認識され、モバイルでの労働者が増加しているにもかかわらず、2008 年にモバイルセキュリティの支出を増やすことを計画しているのはわずか 25 パーセントでした。
この調査から、調査対象部門の間で差異が存在することが明らかになりました。これらの差異の原因である情報共有の欠如を解決すると、官公庁の内外でサイバーセキュリティを改善する上で大きく役立ちます。
連邦政府主導: 調査対象となった部門のうち、米国連邦政府の回答者は、情報セキュリティのリーダーシップに関して最も高い基準を示しました。
- 63 パーセントがサイバーセキュリティに関する準備をするための訓練に参加しました (それに対して、州政府と地方政府は 32 パーセントでした)。
- 64 パーセントが脅威に関する報告を自動化しています (それに対して、州政府と地方政府は 38 パーセントでした)。
- 75 パーセントが脅威に関するデータを受け取り、共有しています (それに対して、州政府と地方政府は 50 パーセントでした)。
- IT セキュリティの全般的なレベルに関するセキュリティの自己評価では、連邦政府の行政官 (77 パーセント) が、州政府と地方政府の行政官 (52 パーセント) より高い評価を下しました。
コラボレーションの強化: 回答者は、サイバースペースを保全するために、公的機関と民間企業の間でより適切なコラボレーションが必要であることに同意しました。連邦政府の回答者のうち、脅威に関するインシデントを民間企業や州政府または地方政府に報告していたのは半数未満でした。同様に、民間企業の回答者のうち、脅威に関するインシデントを連邦政府や州政府または地方政府に報告したのは半数未満でした。
準備は優先事項ではない: ことわざに言うように、組織は IT セキュリティに取り組むときは「有言実行」を励行する必要があります。ただし、このことわざは州政府と地方政府ではあまり守られていず、サイバーセキュリティに関する準備をするための訓練に参加したのはわずか 32 パーセント、サイバー脅威/脆弱性に関する報告を自動化したのは 38 パーセントどまりでした。(一方、連邦政府はそれより良い数字を示し、それぞれ 63 パーセント、64 パーセントでした)。
シマンテックの戦略プログラムマネージャである John McCumber は、最近このように語りました。「セキュリティに関する現在の課題は、データ漏えいの防止や機密データのプライバシー保証から、重要なインフラの保護まで、いずれも単一部門に限定されるものではありません。セキュリティに関して情報主体のアプローチを採用することにより、組織は、重要なデータがどこに配置されていても保護されていると確信することができます」
上記の Critical Connections Study によると、民間企業のうち 78 パーセントが、サイバー脅威に関するより多くの情報を官公庁から得たいと考えています。セキュリティを改善するためには、より良い連携が必要であることに誰もが同意しています。これらのグループのうち、連邦政府は間違いなく情報セキュリティのリーダーであり、民間企業や州政府または地方政府に対して、ベストプラクティスを共有し、情報セキュリティと事業継続性の支援を進める立場にあります。
National Cyber Security Initiative は、変革を推進する役割を果たすことができます。構想の一部として、サイバーセキュリティを改善するために、今後 7 年から 10 年にわたって合計 300 億米ドル以上が割り当てられました。これからの数年間は、このサイバーセキュリティの改善に関心が高まるでしょう。さらに、2008 Critical Connections Study では、公的機関と民間企業で IT セキュリティに関する問題の多くが共通していること、脅威に関して同じ環境にいること、ただしセキュリティのために提携する機会はほとんどないことが明らかになりました。今こそ、公的機関と民間企業が手を携え、セキュリティを改善する上で必要とされる重要な連携を確立するべきでしょう。
Hatena
Yahoo
Livedoor
Buzzurl
Delicious
FC2
Google
Newsvine
newsing
Digg
