| エンタープライズ:ニュース | 2003/10/03 00:05:00 更新 |
住基ネットの侵入テスト、「まだ公式発表はなし」と長野県
10月2日、長野県が行ったペネトレーションテストの結果、住基ネットへの侵入が可能であることが判明したと報じられた。しかし長野県は「県としては何も公式に発表していない」とのみ述べている。
10月2日、複数のメディアが相次いで、長野県が行っていた住民基本台帳ネットワーク(住基ネット)の安全性検証実験において、インターネット経由で自治体の住基ネットへの侵入が可能であることが判明したと報じた。
長野県ではかねてより、住基ネットの安全性や個人情報保護体制が不十分であると主張。9月15日には住基ネットより離脱し、県で独自に情報管理を行う方針を明らかにしていた。さらに9月22日からは、安全性の検証を目的に、同意を取り付けた同県内の3町村で、システムおよび庁内LANに脆弱性が存在しないかどうかを検証する侵入テスト(ペネトレーションテスト)を行っていた。
そして10月2日のいくつかの報道によると、侵入テストの結果、攻撃者の侵入を可能にする経路が発見されたという。
しかしZDNetが問い合わせたところ、長野県の住基ネット対応チームは、「長野県ではこの件に関して、一切公式な発表は行っていない」と回答。「侵入できた、できない」を論じる以前に、いまだ分析が進行中であり、正式に公開できる情報はまだ何もないという姿勢を示した。いわばノーコメントだ。
同県の回答によると、テストは外部業者に委託し、10月下旬までの契約で行われている。その結果に十分な分析、検討を加えたうえで、同県Webサイトに掲載するなどの形で公開する予定ということだ。
ZDNetでは合わせて、今回のペネトレーションテストの範囲についても質問した。一連のテストは、自治体の庁内LANや住基ネットの入り口に当たるコミュニケーションサーバに、セキュリティホールや設定上の不備がないかどうかをチェックするもので、あくまで技術的な観点から行われているという。したがって、現場で運用に当たる担当者にソーシャルエンジニアリングを仕掛けても、それにだまされることなくきちんと対応できるかどうかや、端末の設置場所や設置の仕方、入退室管理を含む物理的セキュリティの観点からのチェックは行われていないという。
住基ネットの成り立ちはさておき、セキュリティをめぐる一連の報道では、「住基ネットは危険だ」「いや安全だ」という2つの両極端な意見が紹介されることが多い。しかし、こうしたスタンスの議論は無意味だ。というのも、100%安全なシステムなどというものは本質的にあり得ないからだ。本来ならば、具体的な危険性を認識したうえで、それを少しでも減らすにはどうするか、さらにはある程度の被害を前提として、万一の事態が生じたときにどう被害を食い止め、対応するかを問うべきところが、単純な二元論に終わっていることも多い。
また、一度のテスト結果だけで、安全かそうでないかを議論することもナンセンスである。周知のとおり、セキュリティをめぐる状況は常に変化しており、ある時点で安全だったものでも、時間が経てばそうではなくなることも多いからだ。
長野県の取り組みはさまざまな自治体に波紋を広げているようだ。これを契機に、住基ネットおよび自治体のシステムのどこに、どんなリスクが存在し、それにどう対処していくかが、システムを扱う人や運用体制も含めた形で継続的に検討されるよう期待したい。長野県が追って公開するという調査結果がその契機となるかどうか、今後の動きに注目したい。
関連リンク
長野県[高橋睦美,ITmedia]
