米政府機関のITインフラ、サイバーセキュリティのリスク増大--会計検査院が指摘
コメント
注目のコメント
米国はあくまで情報区分の考え方に基づいてCI, CUIを管理することが義務であって、今回はそのための箱であるdcの定義の話。
おそらく騒いでいるのはつなぎ予算の関係でしょうね。
とは言えGAOの主張も分からなくはない。
仮想化に走るあまりソフトウェア側の脆弱性がクリティカルな問題を引き起こす可能性も出てくる。
何より大規模な政府dcの閉鎖は雇用も失います。
逆に「今までも管理し切れていなかった」という現状を見れば、それを公に認めたという見方もできるでしょう。インフラそのものの脆弱性もさることながら「どんなデータが格納されていて」「どんなユーザーがアクセスできるのか」を把握できてるかどうかが問題ですね。
そこがサイロ化されてると、攻撃されても誰も気づかない状態が続きそう。政府機関と言えども、膨大な人件費や施設使用料の費用対効果を追求すればDCを減らしてCloudに移行するのは自然な流れ。ガートナーの昨年のレポートでもDC関係の予算は世界規模で減っているITコストの一つ。またマイクロソフトがAzure Governmentなどで政府機関のクラウド移行をサポートしてるのもこの流れだと思います。
ただオンプレのDCとクラウドのハイブリッドは構成が複雑な上、担当組織も違うことが多いので、セキュリティレベルを下げるリスクが高い。そういう意味では会計監査院のDC定義変更が早急であると言うGAOの懸念は理解できます。
ハイブリッドというか”つぎはぎ”のシステムが一番脆弱性が高い。うちのシステムも早くオンプレ無くさないと。。
