80年前の今日(ハワイ時間)、南雲機動部隊は真珠湾を攻撃し、太平洋戦争が始まった。奇襲になったのだが、ルーズベルト大統領は攻撃を知っていて、わざと太平洋艦隊に伝えなかったとか、ワシントンDCの日本大使館の通信は全て傍受され、暗号も解読されていたとかいう話はよく伝えられる。
これらは真実かどうかは別にして、「情報を制するもの世界を制す」は真実である。その情報(Intelligence)をどう守るかについても、英米(Five-Eyesの国)に一日の長があることは確かだ。これに関わり、今まで何度か米国の「セキュリティ・クリアランス制度」について得られた情報はご紹介してきた。
セキュリティクリアランスとは? - Cyber NINJA、只今参上 (hatenablog.com)
なぜ僕がこの件を気にするかと言うと、サイバーセキュリティ対策で一番有効なのは敵の攻撃を予期して予防すること。予期には<Intelligence>が必要なのだが、米国の関係者と話していて、「ここから先の情報は、仮にお前を信用できても、日本に情報を守る仕組みがないから教えられないな」と言われたからだ。「守る仕組み」の重要な要素が、この制度である。
今回この件に詳しい人から、公開情報を整理したものだが教えてもらえたので、ご紹介したい。まず米国連邦政府に置いて安全保障に関わる<Trust>のレベルは3つある。
1.Credentialing(信任状提出・合意) IDを持ち連邦政府職員と認められる。
2.Suitabirity(適合性) Need to Knowなど職務としての適正がある。
3.Eligibility(適任性) 国家セキュリティ情報へのアクセスが認可される。
1.の対象者は約500万人いるが、3.については民間人も含めて400万人ほど。連邦政府職員なら誰でも国家セキュリティ情報にアクセスできるわけではない。情報にアクセスするべき職務に就いていることが条件なので、連邦職員として希望しても得られる資格ではない。Eligibirityの審査を担当する職員だけで約7,000人いるというから、システムの運用負荷はかなり大きいと見られる。
<続く>
