| 4.コンピュータ・セキュリティーに関する連邦政府政策
クリントン政権はサイバーテロリズムとコンピュータ犯罪の潜在的な脅威に対し、迅速に対応を進めている。主になるのが、次の4分野である。
◆諸外国の法執行機関との国際協力
◆暗号政策の推進
◆セキュリティー研究開発
◆重要インフラ保護
以下に概要を述べるが、このうち暗号政策については、昨年の報告以降、膠着状態が続いているので特にここで再び説明することはしない。また、研究開発については特にNGI等に係るものについては5月の報告に述べたとおりである。
(1)諸外国の法執行機関との国際協力
97年12月9日、米国、日本、イギリス、フランス、カナダ、ドイツ、イタリア、ロシアの8カ国の司法・内務担当大臣級会議がワシントンで開かれ、法執行機関の国際協力について論じられた。その中の中心議題の一つが、国際サイバー犯罪への対応であり、今後コンピュータ犯罪の国際摘発に関する問題について協力を深めていくことで合意した。コンピュータ犯罪の国際摘発に関する問題には次のような点が含まれている。
◆法執行機関職員の訓練
◆国境を超えた犯罪摘発と犯罪の根絶
◆各国全てがサイバー犯罪についての法規を立法化すること
◆産業界と協力し、サイバー犯罪の捜査と防止を進めること
(2)セキュリティー研究開発
連邦政府の中でも、情報セキュリティ対策の研究で最も進んでいる機関の一つが、NISTの情報技術研究所(Information
Technology Laboratory)である。NISTは連邦政府の暗号標準などを含む連邦情報処理標準開発(Federal
Information Processing Standards)を担当しているため、情報セキュリティ研究の常に最前線にいると言える。同じように情報セキュリティ研究の最前線にいる国家安全保障局(NSA)とは異なり、NISTの場合は産業界と深いつながりがあり、NISTで開発した情報セキュリティ技術が産業界にスピンオフし、技術移転を通じて、産業界の情報セキュリティ保全に大きく貢献している。
NISTは情報セキュリティ対策についての数多くの出版物を刊行しているほか、ファイアウォールなどのセキュリティ技術の普及に力を入れている。また、先端技術プログラム(Advanced
Technology Program = ATP)の一環として、各種戦略的な研究のほかに、高度暗号技術研究に対して、NISTは助成金を提供している。また、近年、NISTは全米情報保全パートナーシップ(National
Information Assurance Partnership)を開始しており、NSAの研究者と協力し、各種セキュリティ技術標準の評価研究などを行っている。この共同評価研究に基づき、ベンダーの情報セキュリティ保全技術を評価する民間研究所の認証を行い、産業界との協力を図っている。セキュリティ技術の認証は、「共通標準(Common
Criteria)」に基づいており、これまで主流だったNSAの「信用コンピュータシステム評価基準(Trusted
Computer Systems Evaluation Criteria)」や、「オレンジ・ブック」と呼ばれる連邦基準に代わるものである。新標準への移行は、民間標準の変化に政府標準を対応させるためであり、これにより、政府各機関も「COLTS(commercial
off-the-shelf)」と呼ばれるセキュリティ技術の既製品を積極的に利用することができる。
(3)重要インフラ保護
オクラホマ連邦政府ビル爆破事件などテロリズムの脅威を背景にし、96年7月、クリントン大統領は、大統領直轄の「重要インフラ保護委員会(PCCIP)」の設置を大統領令で定め、重要インフラ保護のあり方について諮問した。PCCIPは検討の対象となるインフラを、次の5つのセクターに分けて、検討を行っている。
◆情報通信(Information and Communications)
◆銀行財政(Banking and Finance)
◆電力、石油、ガスを含むエネルギー(Energy,
Including Electrical Power, Oil and Gas )
◆物理的分配(Physical Distribution){道路、鉄道、港湾、内陸水路、パイプライン、空港等}
◆主要人的サービス(Vital Human Services){水道供給システム、警察、消防などの非常サービス、社会保障などの政府サービス}
15ヶ月に及ぶ審議の後、97年10月、「Critical Foundations」と題する192ページに亘る大部の答申書を大統領に提出し、次の5項目を主とする政策提言を行っている。
| ◆ |
認知と教育のための幅広いプログラムの創設 |
| ◆ |
産業界との協力と情報共有を通じたインフラ保護(特にNISTとNSAの持つ技術を民間と共有し、リスク・マネジメント評価を行っていくことが重要としているが、その前に取るべき緊急アクションとして、?重要なコントロール・システムをセキュリティの低いネットワークから切り離すかファイアウォールを入れること、?パスワード管理と保護に最善の方法を用いるか、最新の本認確認のメカニズムを導入すること、?行動のログを保存するなどにより、個人の責任を明らかにすること、を挙げている。) |
| ◆ |
インフラ保護に関する法律の再検討 |
| ◆ |
研究開発プログラムの見直し |
| ◆ |
国家的な組織体制の構築 |
クリントン大統領は98年5月22日、それぞれ、テロリズム対抗と重要インフラ保護への連邦政策のフレームワークを示した大統領令第62号と第63号を発表した。第63号は、上述の答申に対応するものであり、2003年までに「信頼性が高く、相互接続された、安全な情報システム・インフラストラクチャー」を構築し、かつ2000年までに「政府情報システムの安全性を著しく高める」ことを要求している。これらの達成のため、以下のような組織体制を構築しようとしている。
◆ National
Coordinator for Security, Infrastructure Protection, and Counter-Terrorism(行政府全体の調整を図る総責任者。大統領から初代コーディネーターとして現国家安全保障委員会スタッフのリチャード・クラーク氏が指名された。同職は国家安全保障担当の大統領補佐官に対し報告責任がある。)
◆National Infrastructure
Protection Center (NIPC)(前述のFBI内の組織)
◆ Information Sharing
and Analysis Center (ISAC)(民間セクターによる新たな組織を要請しているもの)
◆National Infrastructure
Assurance Council(NIAC)(国家戦略の形成をガイドするための官民のリーダーからなる審議会)
◆ Critical Infrastructure
Assurance Office (CIAO)(PCCIPを引き継いで、重要インフラ保護のための事務的な作業を統括する商務省内の組織。デイリー商務長官から初代ダイレクターとして現商務次官補のジェフリー・ハンカー氏が指名された。)
|
