世界のセキュリティ・ベンダーのブログから、押さえておきたいトピックをピックアップして紹介する。今回最初の話題は、航空交通管制システムの脆弱性に関するもの。米国の政府説明責任局(GAO)が3月初めに発表した調査結果を、スロバキアのイーセットがブログで紹介。米連邦航空局(FAA)は航空交通管制に関するセキュリティを強化するべきだと注意を促している。
42ページにおよぶ調査レポート(PDF文書)は、米国領空に安全保障上の脅威をもたらす可能性がある航空交通管制の重大な欠陥を指摘している。GAOは調査結果に基づいて17項目の公的勧告を策定したが、さらに非公開の文書には168項目の提言が盛り込まれているという。
レポートで言及されているセキュリティの欠陥は、コンピュータリソースに対する未承認アクセスの防止と検出、ユーザーのID認証、重要データの暗号化などに関するもの。レポートの著者は、FAAの情報セキュリティ戦略プランが2010年以降更新されておらず、現行のシステムが2002年に成立した法律の要件を満たしていないことを確認した。
最も大きなリスクは、ハッカーが誰にも気づかれずに航空交通管制のコンピュータシステムに侵入する方法を見つけ出す可能性があることだ。そうなると航空システムを兵器として利用されるおそれがある。
FAAのMichael Huerta局長は、レポートが公表された翌日の米国議会において、GAOの勧告のほとんどを履行する意向を示し、すでに多数の対策が実行に移っていると述べた。その一方で「まず第一に、システムは安全だ」と主張した。
FAAはGAOの勧告に従うようだが、指摘されている脆弱性を軽視してはならない。確認されたITの欠陥は未承認アクセスのリスク増加につながるものであり、米国領空を危険に曝すと、同調査は強調している。
