FBIは最近、ヒラリー・クリントン氏が国務長官在任中に私用メールサーバーを使用していた事件に関する捜査を終了した。ジェームズ・コミーFBI長官は、この行為を「極めて不注意」と評したが、クリントン氏を訴追すべきではないと勧告した。
彼女は現在、11月に予定されている大統領選挙の民主党候補として有力視されており、メールサーバーに関する彼女の行動は対立候補の間で激しい論争の的となっています。しかし、状況は微妙であり、この件については理解すべき点が数多くあります。ここでは最も重要な事実をご紹介します。
参照: ネットワーク セキュリティ ポリシー テンプレート (Tech Pro Research)
1. 何が起こったのですか?
国務省によると、バラク・オバマ大統領の下で国務長官を務めていたヒラリー・クリントン氏は、政府業務に関する連絡に複数の私用メールサーバーを使用していた。さらに、クリントン氏は在任中、政府(.gov)のメールアドレスを一度も保有していなかったことが明らかになった(彼女がどのメールアドレスを使用していたかについては後ほど説明する)。また、彼女の補佐官たちは、彼女の個人アカウントから送信されたメールを保存するための措置を一切講じていなかった。このことがきっかけとなり、クリントン氏が意図的に機密情報を危険にさらしたかどうかを調査するため、FBIによる捜査が開始された。
2. なぜ重要なのか?
FBIの調査結果によると、クリントン氏は国務省に3万通のメールを提出しており、そのうち110通には送受信時点で機密情報が含まれていた。しかし、捜査中、クリントン氏は当時、送受信したメールは機密情報ではなかったと主張した。最大の問題は、国家安全保障への潜在的な脅威である。メールの内容は完全には公開されていないが、もし機密情報が含まれていたとしたら、悪意ある者の手に渡っていた可能性があった。ニューヨーク・タイムズ紙が報じたように、コミー長官は敵対国政府がクリントン氏の個人メールアカウントにアクセスした可能性は「ある」と述べた。
二番目に大きな影響は透明性です。連邦記録法は、特定の政府機関におけるすべての通信を政府サーバーに記録することを義務付けており、個人のメールアカウントを政府業務に使用することを禁じています。ただし、これらのメールはコピー・アーカイブ化されない限り禁止されています。しかし、これには多くの技術的な問題が絡んでおり、他の政府関係者が同法に違反していたという証拠もあります。アレックス・ハワードがサンライト財団に寄稿したように、クリントン氏が情報公開法(FOIA)に基づきメールの開示可能性をコントロールしようとしたという証拠もあり、これは政府記録への一般公開を制限する前例となる可能性があります。また、クリントン氏は国務省にメールを提出する前に、個人的な性質を持つと判断された3万1000通のメールを削除したと考えられています。
3. いつ始まったのですか?
2009年に国務長官に任命されたクリントン氏は、個人サーバーに紐付けられたメールアドレス[email protected]を使い始めました。クリントン氏の個人メールサーバーは、2012年にベンガジのアメリカ領事館襲撃事件を調査していた下院委員会によって初めて発見されました。2013年には、ハッカーのグッチファー氏がクリントン氏の個人メールアカウントにアクセスし、ベンガジ襲撃事件に関連するとされるメールを公開したと主張しました。
翌年の2015年夏、国務省はクリントン氏にメールのやり取りを要求し始め、彼女は3万通以上のメールが入った箱を提出しました。2015年初頭、ニューヨーク・タイムズ紙は、クリントン氏が私用メールのみを使用しており、公用メールアドレスを一度も持っていなかったと報じました。連邦監視団体は5月、クリントン氏のメール運用における「組織的な弱点」を非難する83ページの報告書を発表しました。火曜日、FBIは捜査を終了し、いかなる訴追も行わないよう勧告しました。
4. 使用された技術
2008年の大統領選に出馬した際、クリントン氏はニューヨーク州チャパクアの自宅に個人サーバーを設置していました。エリック・ホーテハムという人物が登録していたclintonemail.com、wjcoffice.com、presidentclinton.comというドメインはすべてこのサーバーを指していました。2013年、デンバーに拠点を置くIT企業プラット・リバー・ネットワークスがこのサーバー管理を委託されましたが、機密情報を扱う権限は与えられていませんでした。この契約を引き受けたとして、同社の幹部たちは殺害予告を受けました。後に、クリントン氏のメール用に複数の個人サーバーが使用されていたことが判明しました。
クリントン氏は国務長官在任中、ニューヨークにある専用サーバー経由でメールの送受信を含む、BlackBerryを通信手段として使用していました。国務省はBlackBerryのセキュリティについて懸念を示しました。クリントン氏はNSAに対し、オバマ大統領が使用していたものと同様の強化版BlackBerryの提供を要請しましたが、却下されました。NSAは代わりにSectera Edgeと呼ばれるセキュリティの高いWindows Phoneの使用を要請しましたが、クリントン氏は個人所有のBlackBerryを使い続けることを選択しました。
5. 彼女は起訴されるでしょうか?
現時点では、クリントン氏が私用メールサーバーの使用で起訴されるかどうかを判断するのは時期尚早です。コミー長官による起訴なしの勧告は、起訴の判断に影響を与える可能性が高いものの、最終的には米国司法省が決定を下すことになります。しかしながら、ポリティコが最近行った過去20年間の複数の類似事例の分析によると、起訴は「極めて可能性が低い」ことが示唆されています。この分析で引用されている元FBI高官によると、司法省は「明確な」証拠がないケースでは起訴を避ける傾向があるとのことです。
参照:FBI、ヒラリー・クリントンの私的メールサーバーに関する「起訴なし」を勧告(ZDNet)
6. 企業や IT リーダーは何を学ぶことができるでしょうか?
この状況からIT部門が学べる最初の教訓は、企業のあらゆるレベルにおいて透明性が不可欠であるということです。これは、CEOが毎週全従業員にメールを一斉送信すべきだという意味ではありませんが、必要に応じて情報にアクセスできるようにするための措置を講じるべきです。セキュリティ専門家のジョン・ピロンティ氏は、デジタル漏洩防止プログラムの一環として、組織はユーザーが業務に個人のメールアカウントを使用しているかどうかを把握する必要があると述べています。
「こうした行為は多くの場合、利用規定に違反するものであり、組織の機密情報が安全でないシステムやメールアカウントに漏洩する恐れがあります」とピロンティ氏は述べた。「こうした可視性がなければ、組織は自社の知的財産、顧客データ、あるいは機密データ資産が適切に保護されていないことに気付かない可能性があり、また、顧客とのデータのセキュリティに関する契約や規制要件に違反する可能性もあります。」
IT部門にとっての2つ目の教訓は、ポリシーはトップダウンで施行されるべきであるということです。確かに、CXO(最高責任者)はサポートチケットの対応を迅速にしてもらえるかもしれませんが、だからといって、組織のセキュリティや整合性を損なうような例外を設けて、快適さや利便性を優先すべきではありません。リーダーは、特にセキュリティとプライバシーポリシーに関して、導入済みのポリシーを遵守することの重要性を示すために、模範を示すべきです。
最後に、記録管理の重要性を軽視すべきではありません。クリントン氏のケースでは、複数のサーバーが使用されていたため、FBIは捜査を行う前に「何百万ものメールの断片」をつなぎ合わせる必要がありました。すべての記録を適切に分類し管理することで、より統一された環境が構築され、説明責任の強化につながります。
どう思いますか?
ヒラリー・クリントンは起訴されるべきでしょうか?それとも、これは単なる経営不行き届きだったのでしょうか?コメント欄であなたの考えをお聞かせください。