エンタープライズ:ニュース 2003/12/17 05:21:00 更新


住基ネット――食い違う意見の中で見えてきた2つの隔たり

長野県は12月16日、住基ネットのセキュリティに関する調査結果の速報を発表。一方総務省はこれに反論するコメントを公開した。

 長野県は12月16日、住民基本台帳ネットワークシステム(住基ネット)のセキュリティに関する調査結果の速報を公開した(別記事参照)。

 住基ネットは、住民基本台帳のネットワーク化を図り、全国共通の本人確認が行える仕組みを目指したシステムだ。元々各市町村のLAN(庁内LAN)内に設置されていた既存の住基システムを、ファイアウォールおよびゲートウェイの役割を担うCS(コミュニケーションサーバ)経由で都道府県ネットワークに接続。ここからさらにファイアウォールを経由し、指定情報処理機関として同ネットを管理するLASDEC(地方自治情報センター)から行政機関に接続する仕組みである。

 長野県が同県阿智村、下諏訪町、波田町を対象に行った一連の侵入テストの結果によると、このうち庁内LANから既存住基サーバ(庁内LAN内に設置)への侵入が可能であり、住民税などに関する非常にセンシティブな情報の閲覧、改ざんが行える状態だったという。また、庁内LANと住基ネット側ファイアウォールの間には、CSクライアント/サーバが置かれているが、このネットワークセグメント(ここでは仮にCSセグメントとする)に何らかの手段を用いて端末を接続すれば、exploit(悪用プログラム)を利用し、CSクライアントおよびCSサーバの管理者権限が奪取できる状態にあった。これが事実だとすれば、庁内LANのセキュリティは、はなはだ深刻な事態にあるといえるだろう。

 なお、インターネット側から侵入を試みたという波田町でのテストケースでは、担当者および業者に恵まれたこともあって適切な対策が取られており、侵入は不可能だった。「ここまでやれば、みだりに侵入されないというレベルに達していたことがはっきり分かった」(長野県)。ただ残念ながら、自治体によって人材や知識、予算などの点で大きな較差があるのも事実であり、波田町と同レベルの対処をすべての自治体に求めるのは、物理的には無理という意見も述べられている。

 これに対し総務省自治行政局市町村課は、長野県側の結果に反論するコメントを発表した。同省はこのコメントの中で、「庁内LANの小さな脆弱性を住基ネット本体の安全性の問題であるかのようにねじ曲げ、ことさら誇大に取り上げた結果を公表しており、誠に遺憾である」と述べている。さらに、長野県の実験ではファイアウォールの突破およびインターネット経由での侵入ができていないことを挙げ、「長野県の意図した侵入実験は失敗したものである」と断言している。

 長野県では来週をめどに最終的な報告をまとめ、公開する計画だ。同県はまた、総務省との見解が異なったことを踏まえ、合同での侵入実験を行うことも不可欠という見方を示している。

意見に食い違い

 「住基ネットの安全性には疑義があり、個人情報が漏洩する恐れがある」とする長野県と、「住基ネットはファイアウォールによる多重防御によってセキュリティを確保できている」とする総務省は、これまでもたびたび、住基ネットのセキュリティ対策を巡って意見をぶつからせてきた。

5月

 長野県本人確認情報保護審議会が、「個人情報保護の態勢が不十分」であることを理由に、住基ネットからの当面の離脱を提言

8月5日

 長野県本人確認情報保護審議会と総務省による公開討論会

8月15日

 田中康夫知事が「長野県の住基ネットに関する今後の方針」を公開、安全性の検証を行う方向性を明確に

8月25日

 住基ネット 本格稼働開始

9月22日〜10月1日

 長野県による第1次侵入実験(長野県阿智村、下諏訪町、波多町)

10月10日〜10月12日

 総務省による住基ネット侵入実験(東京都品川区)

11月25日〜11月28日

 長野県による第2次侵入実験(長野県阿智村)

 住基ネットの本格稼働以降、両者はそれぞれに侵入テスト(ペネトレーションテスト)を行い、結果を公表してきた。10月初めには、長野県による侵入テストの結果、インターネット経由で自治体の住基ネットへの侵入が可能であることが判明したとの報道が流れた。これに対し総務省は10月17日、自ら実施した侵入テストの結果、「住基ネットの安全性について十分確認を行うことができた」と発表。だがこの報道を受けて長野県知事の田中康夫氏は、一連のテストではインターネット経由の侵入テストが行われていないうえ、テストが短時間であり満足いく結果が得られるかどうか疑わしいといった疑問を表明している。

 今回の長野県による調査結果についても、両者の主張には食い違いが見られる。例えば、CSサーバやCSクライアントについて、「バッファオーバーフローのセキュリティホールを悪用することで、IDやパスワードによる認証がなくとも管理者権限を奪取し、自由に操作を行えた」と長野県は主張。これに対し総務省は、コメントの中で、「操作者用ICカードによる認証がないと住基ネットの個人情報を引き出せないようにするなど、セキュリティ対策を講じているため、管理者権限を奪取されたとしても住基ネット上の個人情報を盗み見ることはできない」旨を述べている。

 また長野県では、ファイアウォールについて、「どのようなデータが通過するかが分かった」と述べている。つまり、ファイアウォール側でどういったフィルタリングポリシーを設定しているかが把握できたというわけだ。これについて総務省では、ポートスキャンなどによって空いているポートを特定できただけに過ぎないとの旨を説明し、長野県の実験結果では、結局「いずれのファイアウォールも突破できていない」としている。

 さらに総務省では、「長野県側は当初、“インターネット経由での接続に危険性がある”と主張してきたが、今回の侵入テストに関する発表ではその論点がすりかえられている」とも指摘。その上で、住基ネット本体への侵入はなされていないとした。

大きく隔たる2つの前提

 このように双方の主張が食い違う根本的な原因としては、「住基ネット」の範囲やリスクの捉え方自体が異なっていることが挙げられるだろう。ここではそれを考える上での論点を2つ挙げておきたい。

 1つは、住基ネットと庁内LANの関係である。総務省では、庁内LANは、LASDECの管理下にある住基ネットの枠外にあるものとし、あくまで地方自治体(市町村)が独自に、適切に管理すべきものとしている。つまり「庁内LANの部分は住基ネットとは基本的に関係ない」(同省自治行政局市町村課上仮屋氏)。確かにこの考え方に立てば、今回の長野県の実験は、住基ネットのセキュリティ上の問題を何もあぶりださなかったことになる。

 しかしながら長野県では、庁内LANから既存住基サーバを攻略し、その結果「改ざんされたデータは、日本中どこの自治体でも正当なデータとして扱われる」点を指摘。つまり総務省側では関係ないとしていた庁内LANのセキュリティの不備により、偽の記録が住基ネットシステムに送り込まれる可能性があるという。これが悪用されれば、税金や国民年金、選挙人名簿、あるいは各種資格の登録など、さまざまな重要なデータが改ざんされ、そのまま転出先の市町村で通用する、といった最悪のケースも考えられる。「総務省では、“住基ネットの肝心な部分には入られていない”としているが、情報が侵害をこうむることは明らかになっている」と、同県は主張する。

 なお長野県は記者会見の中で、CSサーバ/CSクライアントやファイアウォールの機材や設定は、基本的には全国でほぼ共通しており、違いは運用する人だけという見方を示している。つまり、LASDECの指定どおりにファイアウォールやCSサーバを設定、管理していたにもかかわらず、CSセグメント内からの攻撃、管理者権限の奪取が可能な状態になっていた可能性がある。

 総務省側の見解を要約すれば「庁内LANと住基ネットは別物であり、しかもファイアウォールで遮断されている」ということになるだろう。だが長野県側は、「ファイアウォールが間にあるとしても、別のネットワークではなく同じネットワークだ」という見方を取っている。

 一連の論議に関してもう1つ指摘しておきたいのが、その「ファイアウォール」に対する考え方だ。想定されるリスクを、ファイアウォールで防御できるものだけにとどめるか、それともそれ以外のものも含めるかの違いといってもいいかもしれない。

 総務省は住基ネットを巡る議論の中でたびたび、「ファイアウォールによって防御している」ことを、安全性の根拠として挙げてきた。ファイアウォールは確かに、不必要な通信をブロックする役割を果たしており、情報セキュリティ上重要な要素の1つだ。しかしこれは、セキュリティ上の必要条件ではあっても、十分条件ではない。このことは、多くのセキュリティ専門家が指摘するところだ。

 最も分かりやすい例としてはワームがあるだろう。2年前に流行したCode Redは、電子メールのほか、ファイアウォールが通過を許可していたHTTPトラフィックを通じても感染を広めた。また、今年夏に大きな打撃を与えたBlasterは、社員(自治体ならば職員)が持ち込んだノートPCから、ファイアウォールで守られているはずのLAN内に入り込み、蔓延した。

 長野県の田中康夫知事および本人確認情報保護審議会委員の吉田柳太郎氏らによる会見の模様は、同県WebサイトよりRealPlayerで閲覧できる(セキュリティに興味を持つ方ならばこの内容は非常に興味深いものであり、若干長いが一見をお勧めする)。この中では、ファイアウォールだけでは防ぎきれないセキュリティ上のリスクがいくつか指摘された。主なものを紹介してみると、

<庁内LANについて>

  • 既存住基サーバは冗長化構成を取っていない。つまり、このサーバに何らかの障害が発生すれば、窓口業務に遅延が生じる
  • 検査対象となった庁内LANの中には、出先機関からISDN回線を用いたリモートアクセスを許可しているものがあり、ここから容易にダイヤルインが可能な状態となっていた(ファイアウォールを迂回したいわゆる「裏口」である)
  • 下諏訪町では無線LAN経由での庁内LAN侵入が試みられ、実際に侵入可能であることが判明した
  • インターネットへの接続や無線LAN接続を行っておらず、完全に閉じたネットワークであることを前提としているため、既存住基サーバなど、ファイルサーバやデータベースサーバでは、適切なアクセス制御(ID/パスワード設定)が行われていなかった。また管理者用パスワードとして容易に推測可能なものが用いられていた

<CSサーバ/クライアントについて>

  • Windows 2000をベースとしているCSサーバでは、複数のパッチが適用されていなかった。このため、悪用プログラムを通じてバッファオーバーフローを引き起こし、管理者権限を取得することが可能だった
  • CSクライアントは住民サービス側に置かれているが、端末本体は、来庁者のすぐ手の届く場所に置かれていることがある。その際、ケーブルや各種ポートを剥き出しのまま設置されているケースも散見されるという(なお筆者自身も、地元自治体で同様のケースを目撃している)。またCSサーバについても、自治体によっては、サーバを収容したラックが無造作にフロアに置かれているケースがあったという
  • CSセグメントからCSサーバに対する侵入試験を行い、実際に管理者権限を取得した後も、LASDECからは何ら音沙汰がなかった。LASDECから初めて連絡が入ったのは、侵入成功から3日後に、ファイアウォールにつながっていたネットワークケーブルを引き抜いてからだという。つまり、「サーバおよびファイアウォールの生死確認は行われていたが、不正侵入の有無については検査は行われていなかった」と推測できる

 こうした長野県側の説明をそのまま受け入れるならば、住基ネットと密接な関連を持つ庁内LANに、ファイアウォールだけでは防ぎきれないさまざまなセキュリティリスクが存在していることになる。さらに吉田氏は、ソーシャルエンジニアリングを利用して、庁内LANに侵入者の端末が物理的に接続される可能性にも触れている。今回は特に触れられていないが、操作ミスなどから生じる情報漏洩などにも対策が講じられてしかるべきだろう。

 総務省では一連の指摘を踏まえ、コメントの中で、CSサーバやCSクライアントの設置場所のセキュリティ強化を行うなど、「庁内LANのセキュリティ強化に継続的に取り組んでいる」としている。またパッチの適用については、十分なシステムの動作検証を行い、早期に適用する方針。パスワードの設定についても、市区町村に対し適切な技術的支援を行う予定としている。

 さらに、「ハードの部分だけでなく、ソフトの部分が重要なことも認識している。人に対する教育や運用の面では、さまざまな研修やe-ラーニングを展開していくし、いざというときを想定した緊急時対応計画の重要性も認識している」(上仮屋氏)と言う。この点にはぜひ期待したい。

 しかも総務省は、ZDNetの電話に対し、「セキュリティに100点ということはありえない」と述べている。そうであるならば、今回の実験に対し、「物理的な侵入を伴う実験としての的確性を完全に欠いた方法で行われている」とは断言できないのではないだろうか。侵入者は、こちらの裏をかき、狙って欲しくないところを狙ってくるものだからだ。

 上記のように、総務省と長野県の議論には、前提に大きな隔たりがあり、かみ合わないままだ。何より残念なのは、互いが互いの主張の論破を試みようとしている中、本来最も最初に考えるべきこと――住基ネット情報を、規模や事情がさまざまな各市区町村で実効ある形でどうやって守っていくか、そして改めて脆弱さが指摘された市区町村LANのセキュリティをどう強化するか――が抜け落ちているように見えることだ。

関連記事
▼住基ネットのセキュリティは「平均以下」 〜長野県の報告
▼総務省による住基ネット侵入テスト結果に残る検討の余地
▼住基ネットの侵入テスト、「まだ公式発表はなし」と長野県

関連リンク
▼総務省
▼長野県

[高橋睦美,ITmedia]

Copyright© 2016 ITmedia, Inc. All Rights Reserved.



Special

- PR -

Special

- PR -