米会計検査院(GAO)は、米国の連邦政府機関が抱えているIT施設の多くが正式なデータセンターとして分類されなくなることで、サイバーセキュリティリスクが高まっていると報告書で指摘した。
過去の記事でも指摘したとおり、米国の連邦政府機関は長年にわたってデータセンターの統廃合を進めてきているが、最適化計画の対象となる施設の定義が狭まったことで、一部のITインフラはその網から漏れてしまっている。
GAOは報告書で、政府機関は2019会計年度中に102カ所のデータセンターを閉鎖し、さらに184カ所を閉鎖する計画があると述べている。問題は、行政管理予算局(OMB)がデータセンターの定義を狭めたことだ。その結果、多くの施設が適切な管理やサイバーセキュリティを欠いたまま、連邦政府のシステムへのアクセスポイントとして運用されている状態になっているという。OMBによるデータセンターの定義は次のようなものだ。
データセンターは一般に、1つ以上のサーバーラック、メインフレーム、あるいはハイパフォーマンスコンピューターが設置されている、目的を持って設けられた物理的に隔離された専用の空間で、長時間の停電に備えて専用の無停電電源装置または予備の発電機を備えている、専用の冷却システムか冷却ゾーンを備えているものを指す。政府機関は、これらの条件を満たす施設を、ティア(品質基準)で規定されているデータセンターとして報告するものとする。
GAOは、この定義に従うと、多くのインフラ施設が対象から外れてしまうと指摘する。つまり米政府は、サイバーセキュリティが十分でない可能性があるシャドーITインフラを大量に抱えることになるわけだ。
GAOは、米政府が持っているこれらのIT施設を、引き続き追跡していくべきだと勧告している。「すべての施設はサイバー攻撃の標的になり得る」とGAOは述べている。OMBは、24の政府機関に対して、データセンターの仮想化の状況や、電力消費の監視、サーバー使用率などの指標を報告するよう求めているが、保有する全サーバーの台数は要求していない。