最近の監査により、FBIは電子記憶媒体の在庫管理および廃棄における「重大な弱点」により、機微情報や機密情報を露出させていることが明らかになった。
8月21日に公開された通知で、米司法省(DOJ)監察総監室(OIG)による監査は、FBIのデータ管理に複数の欠陥があることを指摘し、同局の捜査に関する文書も含まれていた。
- 大型機器から取り外された電子記憶媒体やUSBメモリについて、把握するための十分な方針・手順または統制が欠如している
- FBIの電子記憶媒体に、適切な国家安全保障情報(NSI)の機密区分または非機密だが取扱注意(SBU)レベルの表示ラベルが付されていない
- 関連区域におけるFBI内部の物理的アクセスおよびセキュリティ統制の不備
OIGは追加の証拠も共有しており、FBI施設内で撮影された写真には、機微情報となり得る文書の管理および廃棄に関する問題が示されている。
監視機関は、FBI職員が通常、取り外された内蔵ハードドライブ、USBメモリ、その他の媒体機器を把握していないことを発見した。これは、機微情報または機密情報を含む媒体の説明責任を確保するためのFBIまたはDOJの方針と整合しない慣行だと判断した。
機微データの取り扱い改善に向けた勧告
公開通知において、OIGはFBIに対し3つの勧告を示している。
- 破棄予定のコンピューターから取り外されたハードドライブを含め、機微情報または機密情報を含むすべての電子記憶媒体が適切に把握され、追跡され、適時に消去(サニタイズ)され、破棄されるよう、手順を改定する
- 適用される方針およびガイドラインに従い、電子記憶媒体に適切なNSI機密区分レベルの表示が付されることを確保するための統制を実施する
- 紛失や盗難を防ぐため、施設における電子記憶媒体の物理的セキュリティに関する統制と運用を強化する
FBIは規制当局に対し、この問題に対処しており、機微な電子データの安全な取り扱いと破棄を確実にする新たな方針を策定したと伝えている。
現在最終改定中のこの方針は、機密情報および機微情報の適切な表示と安全な廃棄を義務付けるものとなる。FBIは近くこの方針を実施する見込みだ。
翻訳元: https://www.infosecurity-magazine.com/news/fbi-flawed-data-security-concerns/
