ITmedia NEWS >

GAO、航空管制システムのセキュリティ問題を指摘

» 2005年09月29日 14時41分 公開
[eWEEK]
eWEEK

 米連邦航空局(FAA)のネットワークの「重大な弱点」により、米国の航空管制システムはハッキング攻撃に対して無防備な状態にある。米会計監査院(GAO)が警告した。

 GAOの衝撃的な発見は、2000年に始まったFAAの情報セキュリティシステムに対する調査の最新報告の一部だ。

 GAOによると、最初の調査からの5年間で、FAAのシステムは大して改善されていないという。

 「FAAは局内全体にわたる情報セキュリティプログラムを打ち立て、特定済みのセキュリティ上の弱点の多くに対処することで、情報セキュリティの実施を前進させてきた。だが、航空オペレーションに混乱を来しかねない重大な情報セキュリティの弱点が残っている」とGAOが今週発表した報告書には記されている。

 37ページにわたるこの報告書は、「リスクのレベルを高める」電子アクセス制御、物理的なセキュリティ、(職員の)身元調査の弱点を指摘している。

 こうした制御の手ぬるさは、コンピュータネットワーク、システム、ソフトウェアパッチ、ユーザーアカウントとパスワード、ユーザー権限、セキュリティ関連イベント監査の管理にも及んでいる。

 「FAAの情報システム制御における弱点の主な理由は、効果的な制御を確立し、維持できるようにする情報セキュリティプログラムがまだ完全には実施されていない点にある」とGAOは述べている。GAOは党派に属さない連邦議会の下部機関。

 GAOは、このプログラムの効果的な実施にはリスク査定、適切なポリシーと手続きの確立、セキュリティ計画の実施が必要だとしている。

 GAOの報告書では、FAAにおける航空管制網のセキュリティの扱い方に大きな穴があることが指摘されている。

 「われわれが評価したシステムに関して、FAAは不正アクセスを防止し、ネットワーク上のコンピュータのOSの完全性を確保するために、ネットワークサービスとデバイスを一環して安全に構成しているわけではなかった」(報告書より)

 「われわれは、FAAがネットワークアクセスを制限し、アプリケーションソフトを開発し、ネットワークを分離し、情報の流れを保護し、認証に使う証明書を格納するやり方の弱点を特定した」ともGAOは報告している。

 報告書にはずさんなネットワークセキュリティの具体的な例も含まれ、システム管理者アクセスが「十分に制限されていないことがあり、複数のネットワークシステムで不要なサービスが利用可能になっている」と指摘されている。

 「結果として、システムへの不正アクセスのリスクは高まっており、もしかしたら航空オペレーションの混乱につながるかもしれない」とGAOは付け加えている。

 昨年、FAAも航空管制システムは4600万件以上のフライト(乗客数6億4000万人)を管理した。合計で、一度に約7000台の民間・軍用航空機を制御するのに利用された。

 このように大きな責任を負いながら、調査期間中にFAAが講じた対策は、完全にリスクに対処しているとは言えないとGAOは判断している。

 「これらの弱点を認めつつも、FAA関係者は、同局のシステムの一部はカスタム構成であり、特定用途OS、プロプライエタリな通信インタフェース、カスタムソフトを載せた古い機器を使っているため、不正アクセスの可能性は限られるとしている」(報告書より)

 「そうは言っても、これらシステムのプロプライエタリな機能は、不満を持つ現・元職員による攻撃からシステムを守るわけではない。職員は高度なハッカーよりも、これらの機能を理解している」と報告書にはある。

 「この複雑な航空管制システムは、複数の相互接続されたシステムに依存している、その結果、われわれが特定した弱点は、ほかのシステムのリスクを高めるかもしれない」とGAOは語り、「システムの冗長性と個別のアクセス制御をシステムアーキテクチャ全体に組み込んでいるため、個々のシステムの脆弱性は軽減される」というFAAの弁護を退けた。

 このほかGAOは、FAAにパッチ管理、物理的アクセスの評価と監視に対処するためのポリシーと手続きの策定、実施を勧めている。

 FAAは、システムセキュリティ計画を見直し、すべての職員と契約業者が情報セキュリティ意識向上のトレーニングとシステム固有のトレーニングを受けるようにセキュリティ意識プログラムを強化することを要求されている。このトレーニングの完了は、適切に報告、記録される。

 GAOはまた、機密情報がインターネットで公開されるのを防ぐプロセスの開発も勧めている。

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.