米INPUTは米国時間2月21日,米国連邦政府機関のITセキュリティに関する支出について調査した結果を発表した。同社は,「米国防総省と民間機関による,ITセキュリティ教育と意識向上プログラムに対する支出は,2012年までに6億9000万ドルに達する」との予想を明らかにした。同社によれば,連邦機関は「健全なITセキュリティ・プログラムは,サイバー攻撃を識別できるように教育を受けた従業員から始まる」と認識しているという。
INPUTの情報セキュリティ担当マネージャのPrabhat Agarwal氏は,「国防機関と民間機関の職員は,ますます巧妙化する詐欺攻撃のターゲットになっている。熟練したコンピュータ・ユーザーも例外ではない」と説明。このような攻撃により,データ窃盗のリスクが高まっており,連邦職員のセキュリティに対する意識と教育の欠如により状況はさらに悪化しているという。そのため,この問題に対する議会の関心が高まり,連邦機関が情報セキュリティの教育と意識向上プログラムの改善に向けて責任がある立場に置かれる可能性があるという。
連邦情報セキュリティ管理法(FISMA)は,連邦機関に対して職員に年間ベースでセキュリティの意識向上トレーニングを提供するように義務付けている。しかし,年に一度のペースでは職員のセキュリティに対する認識を高めるためには十分ではないとINPUTは指摘。成果を得るためには,定期的にトレーニングを実施し,最低でも2~3カ月に一度はテストを実施する必要があるとしている。
また,同レポートによれば,連邦機関は,セキュリティ・トレーニングに関して組織全体を対象とするポリシーを制定し始めているという。例えば,国防総省は,全職員に対して2007年1月17日までに“フィッシング”に関するトレーニングを受講するように義務付けた。今後,別の連邦機関でも同じようにトレーニング受講などを義務付けることが予想されるという。
[発表資料へ]
