米国の政府説明責任局(GAO:Government Accountability Office)は現地時間2012年3月23日、米連邦政府の情報システムにおけるセキュリティに関する調査結果を発表した。連邦政府機関はコンピュータ化された情報システムと電子データに大いに依存しているが、グローバルなサプライチェーンを通じたIT製品およびサービスの採用が、新たなセキュリティ脅威につながる恐れがあるという。
GAOによると、国家安全保障に関連のある米エネルギー省、米国土安全保障省、米司法省、米国防総省の4省はサプライチェーンを通じたセキュリティ脅威を認識しているものの、そのうちエネルギー省と国土安全保障省はそれぞれの情報システム向けのサプライチェーンポリシーを設けておらず、対策の導入および監視体制の策定もしていない。司法省はポリシーを定義しているが、対策の導入と監視の手順は策定していない。一方、国防総省はすでにポリシーを設定し、対策導入と監視体制の手順を策定している。
GAOは、サプライチェーン監視体制の不備を突いて、他国の情報局や偽造品メーカーの製品およびサービスが入り込むことにより、機密情報を含む重要な当局のネットワークおよびデータの可用性、正確性、信頼性が侵害される危険性を指摘している。包括的なポリシー、対策、管理方法を策定し、ドキュメント化して導入しなければ、ITサプライチェーンによるリスクを十分に回避することはできないと忠告している。
また4省では、電気通信ネットワークにおける外国製の機器、ソフトウエア、サービスの採用に限度はなく、それら製品およびサービスの追跡も実施していないという。連邦政府機関はこうした追跡を義務づけられておらず、実行したとしてもコストに対する成果はごくわずかだと見なされている。
[発表資料へ]
