- 研究開発
暗号化やネットワーク不正侵入・ウィルス対策、ネットワーク統合・信頼性などの分野に代表されるように、情報セキュリティ改善を目指して、クリントン政権は数々のプロジェクトを打ち上げている。ここでは、2001年度予算要求のうち、情報セキュリティに関連する「クリティカル・インフラストラクチャー保護R&D」、「情報インフラ保護研究所」、「専門家審査チーム」、「連邦侵入防止ネットワーク」の4つのプログラムを検証することにする。
(1)「クリティカル・インフラストラクチャー保護R&D(Critical Infrastructure Protection R&D)」
クリティカル・インフラストラクチャー保護R&Dは、主にサイバースペースにおけるセキュリティの強化を目指す省庁横断型イニシアティブである。このイニシアティブは、これまで行なわれてきたものの、うまく組織化されておらず、効果があまり現われていないとの批判の高まりや、情報セキュリティ問題や関連事件の重大化を受けて、2001年度には従来よりも強化・促進することを予定している。
イニシアティブ全体では、前年度31%増の6億600万ドルが複数の省庁が行なうR&D費用として予定されている。6億600万ドルのうち、5億2,700万ドルがサイバー・セキュリティに充てられており、残りが、物理的セキュリティ保護のためのR&D資金となっている。
省庁別予算配分状況(単位:万ドル)
| |
2000 年度確定 |
2001 年度請求 |
|
農務省 |
0 |
900 |
|
商務省 |
950 |
6,330 |
|
エネルギー省 |
300 |
1,480 |
|
環境保護庁 |
0 |
200 |
|
厚生省 |
0 |
200 |
|
全米科学財団 |
2,600 |
3,300 |
|
国家安全保障関連(主に国防総省) |
4 億1,850 |
4 億6,350 |
|
運輸省 |
0 |
1,040 |
|
財務省 |
390 |
500 |
|
復員軍人省 |
50 |
30 |
|
合計 |
4 億6,140 |
6 億0,630 |
このイニシアティブでは、サイバー・セキュリティに関して、以下の4点に主眼を置いたR&Dが行なわれることになる。R&Dは連邦省庁内で行なわれるだけでなく、コントラクトやグラントといった形で、民間セクターでもR&D資金が利用可能となるとされている。
- 「脅威・ボルネラビリティ・リスク評価(Threat/Vulnerability/Risk Assessment)」
クリティカル・インフラにおける、脅威・ボルネラビリティ・リスクを評価する手法を研究する。この研究には、モデリングや、シミュレーション・プログラム、測定基準、テストベッドの開発も含まれる。
- 「システム保護(System Protection)」
システム保護研究では、個々のシステムの物理的な保護とサイバー上の保護を目的として、暗号、公共インフラ、ネットワーク・セキュリティ製品、コンピュータ・システムの信頼性とセキュリティ等のR&Dを行なう。
- 「侵入監視・応答(Intrusion Monitoring and Response)」
ネットワークへの侵入やインフラ攻撃を発見し、即座に反応を示す技術についての研究を行なう。R&Dプログラムとして、ネットワーク侵入探知、情報保証技術、モバイル用暗号、ネットワーク警告システム、エレクトロニック・メディアにおける科学捜査手法、ネットワーク防護技術、爆弾探知機等が挙げられている。
- 「復旧・再構築(Recovery and Reconstitution)」
この分野の研究では、破壊行為が行なわれた後の、インフラの復旧に必要な技術(具体的には、リスク管理研究・手法、システム生存技術、結果分析技術)のR&Dを行なう。
(2)「情報インフラ保護研究所(Institute for Information Infrastructure Protection = I3P)」
クリントン大統領は2000年1月7日、情報インフラ保護研究所を設立するために5,000万ドルの予算要求(その他に2000年度補正予算で400万ドル)を行なうことを発表している。NISTによって設立されるこの研究所では、民間企業や大学、政府研究機関にR&D資金を分配して、インフラ保護技術や標準化の研究を促進する予定である。
現在米国の民間セクターでは、情報セキュリティに関連したR&Dが進んでいるが、その一方で、長期に渡る高リスクのR&Dについては、なかなか民間から投資が行なわれていない。また、連邦省庁においても、各省庁のミッションに沿ったR&Dを行なっているため、それが必ずしも米国全体の情報セキュリティ保護に関連する結果にはなっていない。
そこで、I3Pでは、連邦政府間、民間企業間、そして連邦政府と民間企業間でのギャップを埋めることを第1の役割と捉えている。連邦政府や民間企業のどちらもまだ開発に取り組んでいないのにも関わらず、これから重要となるセキュリティ研究の例としては「インタラクティブ・システムの全体論」が挙げられる。これは、情報インフラとは何かという総論的な研究で、その行動、ボルネラビリティ、他のインフラと結合したときの効果、利用者としての人間との相互作用などに関するものである。I3Pでは、このような手付かずの、そして重要となる研究課題について、連邦政府、民間企業、大学研究機関が共同で取り組む場を提供する。I3Pのために要求された当初の予算のうち、4,600万ドルが大学、民間や連邦政府省庁への研究グラントとして支給され、残りの400万ドルは管理・運営費に回される。
現在PCAST(President's Committee of Advisors on Science and Technology)では、I3Pの組織について、NISTの内部に設置するか、政府の外部機関とするかのどちらを選択するか検討中である。PCASTは検討が終了し次第、大統領府科学技術政策局(OSTP)のニール・レーン局長に報告を行なうとしている。
(3)「専門家審査チーム(Expert Review Team = ERT)」
セキュリティの専門家を集めて専門家審査チームを創設するために2001年度500万ドルの予算が大統領から要求されている。
連邦政府のコンピュータ・システムを、サイバー・テロリズムやサイバー犯罪から守り、セキュリティを増加させるため、コンピュータ・セキュリティの専門家を集めてチームを作り、連邦政府の情報システムのボルネラビリティを発見・修正すると同時に、将来起こるであろうセキュリティへの脅威に対処できるようなシステムを整えるように試みている。現在のところ、情報技術システムのボルネラビリティを評価し、攻撃防止に備え、防止策を実施できるような人材・リソースを持つ連邦省庁は無いに等しい。そこで、NISTの専門家審査チームが、最先端のボルネラビリティ審査を必要とする省庁に対して審査を行ない、また、情報技術セキュリティの改良についてアドバイスを施すことが予定されている。ERTは、NISTが現在持つ情報セキュリティとインフラ保護の技術を利用しながら、連邦省庁間又は連邦省庁と民間セクター間で、セキュリティのベスト・プラクティスについて情報を交換する場を提供するものになるという。なお、NISTのコンピュータ・セキュリティ・リソース・センター(http://csrc.nist.gov")に本件も含む様々な情報が掲示されている。
やや横道にそれるが、2000年7月から、連邦政府部内ではCIO会議(Chief Information Officers Council)が「ベスト・セキュリティ・プラクティス(Best Security Practice)」ウェブページ(http://bsp.cio.gov)を開設し、各省庁におけるベスト・プラクティスをリスト化している。この新設されたウェブページでは、各省庁の・セキュリティ・プラクティスのうち、CIO会議に提出され、NISTとNSA(National Security Agency)の審査を通過したものを載せている。CIO会議では、これを利用することで全ての連邦省庁職員が効果的なツールやプラクティスについての情報を簡単に得ることが可能となることを目標としている。
さらに蛇足であるが、連邦政府機関にITを統括する「Federal CIO」を約30の連邦機関のCIOからなるCIO会議の上に設置すべきとの法案が出され、審議が始まっている。しかし、9月12日の公聴会で、CIO会議の議長である管理予算局(Office of Management and Budget = OMB)のサリー・カッツェン副長官は、Y2Kのような緊急かつ範囲が明確な事象と違い、連邦機関のITの全イシューを統括するのは、やはり行政管理や予算も担当しているOMBが務めるのが最適であり、法律でポストを固定してしまうと機動性もなくなり、不適当との見方を示している。
(4)「連邦侵入探知ネットワーク(Federal Intrusion Detection Network = FIDNet)」
FIDNet設立に2001年度のR&D予算として1,000万ドルが請求されている。FIDNetは、連邦省庁における情報システムを保護し、サイバーテロ防止を行なおうとするシステムであるが、「ハッキング行為防止のために民間ネットワークを監視するもの」とマスコミに誤って報道されたことから、民間からの拒否反応は強い。
現在、FIDNetの構築計画は、総合サービス庁(General Service Agency = GSA)内の連邦コンピュータ事故処理チーム(Federal Computer Incident Response Capability = FedCIRC)(http://www.fedcirc.gov)で立てられており、システム構築・導入もFedCIRCが中心になって行なう予定である。
それぞれの連邦省庁内には、既に独自のネットワーク防衛システムが導入されており、特に国防総省では、99年に設立されたコンピュータ・ネットワーク防衛・共同タスクフォース(JTF-CND)という軍事関連システムを一括監視するシステムが存在している。しかし、省庁を横断するネットワーク全体のセキュリティは脆弱で、省庁間の情報共有も進んでいないのが現状であった。FIDNetは、国防総省が持つネットワーク監視システムに類似するものを、国防総省以外の省庁ネットワークにも適用しようというものである。また、各省庁にIT専門家が充分に揃っていないという現状もあるため、連邦省庁における攻撃、侵入検知を自動化し、ひとまとめに行なうことで、少ない人材で、各省庁により平均的なセキュリティを提供しようという意図もある。
FIDNetが実際にどのようなシステムになるかは、現在法的、技術的、また予算の面での調整がついていないため、はっきりしないのが現状である。しかし概念としてのFIDNetはFedCIRCを中心に、シビリアンの連邦省庁が独自に持つ侵入探知システム(Intrusion Detection System = IDS)をネットワーク化し、それぞれのIDSが探知した不審データを共有することで、ハッカーによる攻撃や不法侵入を省庁全体で素早く探知する、言わば複数のIDSを取りまとめる大型システムになるといえる。
FIDNetの特徴・機能は以下のようになっている。
- FIDNetの構築、運営はGSAによって行なわれる。
- FedCIRCを中心として、連邦省庁の既存IDSを結び、それぞれのIDSが監視したトラフィック・データにおいて、不審と思われるデータのみを共有する。
- ファイヤーウォールなど、情報保護システムの導入、管理は各省庁の責任で行なわれ、どのようなデータをFIDNetに提出するかも、各省庁が独自に決定する。
- FIDNetを通じて集められた情報がFedCIRCで分析され、省庁間で共有される。
- FIDNetは、攻撃があった際、国防総省内のセキュリティ機関、連邦セキュリティ事故処理センター(National Security Incident Response Center)と情報共有を行なう。
FIDNetは、複数の階層に分かれた情報保護インフラの一つに過ぎず、各省庁の持つIDSからの情報をまとめ、分析するだけのシステムである。攻撃に対するブロックなどの防御、新しいセキュリティ・ソフトウェアのインストール、アップデートは行なわないことが予定されている。実際に攻撃があって、FIDNetで情報が集められた後の対処は、以下のように行なわれる。
- 検知された情報はFedCIRCに集められ、分析される。
- 侵入・攻撃と確認された場合に、FedCIRCの判断により、FBI内の国家インフラストラクチャー保護センター(National Infrastructure Protection Center = NIPC)に通報する。
- NIPCは通報された情報をもとに、さらなる分析を行なう。
- 法律に照らして犯罪が確定した場合、裁判所からの命令が下り、NIPCコンピュータ犯罪セクションによる取締りが行なわれる。
さて、ここまで書いてきたものの、ごく最近の報道などによると、FedCIRCはFIDNetの概念を変更しつつあるようである。連邦機関横断的なFIDNet構築の代わりに、いわゆるマネージド・セキュリティ・サービスを利用し、各省庁のIDSからのデータを、FedCIRCと契約したサービス・ベンダーが分析し、必要に応じて各省庁にフィードバックするというものであり、名称もFIDNetではなく、「Automated Intrusion Detection Capability = AIDC」としている。これは、民間からの批判をかわすためというより、技術的に各省庁まちまちのIDSをネットワーク化することが難しいこと、各省庁がFedCIRCに事故を報告することに消極的であることなどを勘案してのもののようである。現在、コントラクターを募る最終的なリクエスト・フォー・プロポーザルの準備がなされている。
