米国の政府説明責任局(GAO:Government Accountability Office)は米国時間1月8日,「米内国歳入庁(IRS:Internal Revenue Service)の情報セキュリティへの対応は昨年3月より改善しているものの,対応がまだ不十分」などとする調査結果を発表した。

 GAOは昨年3月に実施した同様の調査で,98件の脆弱性を指摘していた。しかし,サーバーにアクセスできるユーザーのID管理,サーバーOSのアップグレード,財務システムのセキュリティ向上など,そのうち29件しか改善されていないという。

 GAOによると,IRSではいまだに単純な短いパスワードのシステムがあったり,約180日間使用されていないユーザー・アカウントが有効のままになっているサーバーがある。また,業務で必要以上のアクセスが許可されているユーザーがいるほか,重要アプリケーションへのログイン・データなど,一部の機密情報が暗号化されていない。

 また,メインフレーム上のログ作成の不備に加え,盗難防止や適切なアクセス管理など,外的要因に対する物理的セキュリティ対策の不備も指摘された。

 なおIRSは昨年3月,2003年から2006年にかけて大量のノート・パソコンが紛失したことが明るみに出て問題になった(関連記事:米内国歳入庁のデータ保護は不十分,過去にPC約490台が紛失)。

[発表資料へ]
[調査報告書(PDF形式)へ]