| エンタープライズ:ニュース | 2003/10/22 03:17:00 更新 |
総務省による住基ネット侵入テスト結果に残る検討の余地
総務省は10月17日、住基ネットの安全性確認を目的に侵入テストを行った結果、侵入に成功せず、脆弱性も見出せなかったとする報告書を公開した。
総務省は10月17日、住民基本台帳ネットワーク(住基ネット)の安全性確認を目的にペネトレーションテスト(侵入テスト)を行った結果、侵入に成功せず、脆弱性も見出せなかったとする報告書を公開した。同省はこの報告書の中で、「住基ネットの安全性について十分確認を行うことができた」と述べている。
しかし一部の報道機関によると、以前より住基ネットのセキュリティに疑義を示していた長野県の田中康夫知事は、一連のテストではインターネット経由の侵入テストが行われていないうえに、テストが短時間であり満足いく結果が得られるかどうか疑わしいといった理由を示し、結果に対する疑問を表明。1つの自治体で侵入ができなかったからといって住基ネットすべての安全性が確認できたわけではないとの意見を示したという。
この侵入テストは、総務省が東京都品川区の協力を得て、10月10日から12日にかけて実施したもの。実際のテスト作業には、米監査企業のCrowe Chizek and Companyが当たった。
住基ネットでは、各地方自治体の庁内LANとの間にコミュニケーションサーバ(CS)を設置し、住基ネットとCSの間、CSと庁内LANの間にそれぞれファイアウォールを設置する構成としている。総務省が実施したテストでは、住基ネットとCSの間のファイアウォールにCSと同セグメントから3時間、侵入テストを実施したほか、CSと庁内LAN間のファイアウォールと庁内LAN上にあるCS端末に対し、庁内LANセグメントから6時間、侵入テストを行った。そしてこの結果、「ファイアウォール攻略(あるいはCS端末の権限奪取)のためあらゆる手段を試みたが、成功しなかった」と述べている。
総務省ではテストの詳細を明らかにはしていない。しかし発表された資料からは、少なくともCSそのものへの攻撃テストが行われていないことは明らかだ。
また、単なるツールを用いての侵入テストに終わっていたのならば、ヒアリングによって初めて明らかになるような運用上の問題点や手作業で確認できるアプリケーションレベルの問題点までが検証されたわけではない。さらに田中長野県知事が指摘するように、3時間、もしくは6時間といった時間が果たして十分なものかどうかについても議論が必要だ。そもそもセキュリティに絶対があり得ない以上、万一の際にどういった対処を取るべきかにまでも踏み込んだ検証が必要ではないだろうか。
ただし総務省では、侵入テストを行ったCrowe Chizek and Companyからの、「庁内LANに対しても自己点検やセキュリティ監査を行い、セキュリティ確保の方策を実施すべき」という助言を受けて、市区町村におけるセキュリティ監査の実施を支援し、庁内LANのデータ送信を保護するためのセキュリティ方策を検討、実施する方針。またセキュリティパッチの早期適用に務めるほか、継続的に侵入テストを実施していくという。
関連リンク
総務省[ITmedia]
