米国の政府説明責任局(GAO:Government Accountability Office)は,米連邦航空局(FAA)の航空管制システムに関する情報セキュリティについて調査した結果を,米国時間9月26日に発表した。それによると,FAAは,ネットワークおよびソフトウエアのアップデート,ならびにユーザー・アカウント,パスワード,ユーザー特権などの管理を適切に行っていなかったという。
「FAAの情報セキュリティに関する取り組みは,進歩はみられるものの,依然としてシステムの統合性,機密性,汎用性をおびやかすような重大な弱点がある」(GAO)
米メディアの報道(InfoWorld)によると,FAAは一部のサーバーで2002年にリリースされたパッチを適用しておらず,この結果,航空管制システムへのアクセスを必要以上に認める状況が続いていたという。
そのほかにも,物理的セキュリティ,身元確認,職務分離,システム変更などを含めた情報セキュリティのコントロールにおいても脆弱性があり,「未認証のユーザーが航空管制システムに侵入し,航空業務に支障をきたす可能性がある」(GAO)。
GAOは,これらの情報セキュリティの脆弱性の原因について「FAAが効果的なコントロールを設定,管理するための情報セキュリティ・プログラムを未だ完全に実施していないため」と警告する。
「時代遅れのセキュリティ・プラン,不適切なセキュリティ認識トレーニングやシステム・テスト,評価プログラムなどの改善が必要だ。FAAがこれらの問題を解決するまで,今回判明した情報セキュリティの脆弱性は消え去らないだろう」(GAO)
◎関連記事
■「米政府機関のデータ・マイニング/個人情報保護の取り組みは不十分」,米調査
■「米国政府機関の無線ネットワークは安全対策が不十分」,米調査
■「小規模企業の情報セキュリティ対策は不十分,認識不足が大きな原因」,米調査
■ISSAが情報セキュリティ啓蒙プロジェクト「Human Firewall」の運営を継承
■サイバー・セキュリティ推進団体のNCSPが情報セキュリティ・ガバナンスのフレームワークを勧告
■サイバー・セキュリティを推進する米団体NCSP,ソフトウエア・セキュリティに関する提案を発表
■「サイバー攻撃に対する認識は向上,ただし従業員の訓練などはいまだ不十分」,米調査
■「9.11以降,米国企業の100%がサイバー・セキュリティを強化」,米調査
