現在地 HOME > 掲示板 > IT6 > 753.html ★阿修羅♪ |
|
Tweet |
(回答先: 住基ネット:講演中止 後援の総務省が(講演内容に)注文付け【毎日新聞】 投稿者 バルタン星人 日時 2004 年 11 月 13 日 09:58:30)
西邑です
朝日新聞(東京本社13版)と毎日新聞(毎日Interactive)
の記事を確認したところです。
毎日新聞臺記者の記事は下記URLを参照(総務省側の動き
も伝えている)
http://www.mainichi-msn.co.jp/today/news/20041113k0000m040166000c.html
毎日新聞記事を参照しながら、新聞のスペースでは伝えら
れなかったことを含めて、「ps.」の後にもう少し詳しい
報告を書きました。例によってけっこう長くなっていま
すが、時間があればご覧ください。
---
ps. ヌーワーさんの個人サイトに、既に彼の今回の事件に対する
コメント(当然英文)が掲載されているようです。
http://www.ejovi.net/
英語はぜんぜん読めないのだけど、最後の一行だけ引用して
おきます。
"Today was a sad day for Japan and a frustrating day for me."
また、技術報告のために作成したスライドの日本語版も、同サ
イトで公開されています。(パワーポイントのファイルです)
http://www.ejovi.net/JUKI_JPN.ppt
*これを見ると「地方行政コミュニケーションのためのPeer
to Peer方式の検討」などといった提案がされていて、技術
的には非常に興味深いものがあります。
彼の英文コメントとともに、後でまた感想など報告したいと
思います。
--------- 以下は非商業的な目的に限り転送可とします ---------
「住基ネット」に関するヌーワー技術報告を中止させた
総務省市町村課の強い「要請」
−−日本の「ネットワーク」に対する国際的信頼を損なった
総務省の失敗
2004.11.13
西邑亨
11月12日東京都中央区で開催された国際技術セミナーpacsec.jp
/core04で、長野県の安全確認実験実施者の一人イジョビ・ヌーワー
さんの同実験に関する技術報告が、同セミナーの日本側主催者(株
式会社SIDCに)対する総務省の「要請」によって、急遽中止されま
した。
総務省は同技術セミナーを後援しており、ヌーワーさんの報告に
ついては、数日前から以下の2点について同省市町村課が日本側主
催者に強く「要請」していました。
▽庁内LANと住基ネットを混同させるような内容にしない
▽システムの具体的なぜい弱性の公表は控えてほしい
(毎日Interactiveの記事より)
これに対して、報告者のイジョビ・ヌーワーさんは中止が決まっ
たセミナー当日の夕方、会場のホテル内でマスコミ関係者に対し次
のようにコメントしています。
「総務省は、日本側主催者とだけ話をして、(本来交渉すべき)
カナダ側の主催者や私とのコミュニケーションを取ろうとはしなかっ
た。
私はプロのセキュリティ・コンサルタントなので、日本の市民の
セキュリティを損なうことはしない。また、私の名誉を損なうよう
なこともしない。」
今回の技術セミナーのWebサイトにある紹介によれば、ヌーワー
さんの技術報告はInside Jyukinet: The Auditと題して約50分間を
予定していたもの。ヌーワーさんの所属するセキュリティーラボ・
テクノロジーズ(米・ボストン)の11月5日付ニュースリリースに
は、ヌーワーさんの以下のようなコメントが収録されています。
「私の最大の関心事は住基ネットが侵入され、国民の個人情報が危
険にさらされることでした。私たちが行った監査で侵入が可能であ
ること判明しました。しかし日本のメディアでは、侵入が可能な理
由についての詳しい報道はありませんでした。公務員あるいは悪意
のあるものが政府機関から市町村内全住民の個人情報を持ち去るこ
とが可能な状態である事実が、政治色が濃い状況にて実験が行われ
た結果として国民にあいまいなかたちで公表されました。この講演
では監査を行った結果、発見したことや脅威等を客観的に日本のみ
なさんに伝えたいと思います。」
ヌーワーさんは、技術報告が中止された過程での総務省の対応を、
言論表現の自由の侵害であるなどとして、15日中にも国を相手とす
る損害賠償請求訴訟を提訴する方針です。
ヌーワー報告の中止にいたる経過の詳細は、ヌーワーさんの説明
をもとに後述します。
これらの経過は既にネットワークを通じて、世界中のネットワー
クセキュリティ技術者(ハッカー)に知られているはずです。長野
県安全確認実験のある関係者は、「総務省は目先のことだけしか考
えることができていない。今回の報告の中止が世界中のハッカーた
ちの関心を集めることによって、日本がどのような影響を受けるか、
想像することができない」と指摘しています。
実際、この事件は pacsec.jp やその本体である CANSEC(後述参
照)に対するハッカーたちの国際的な評価に、少なからぬ影響を与
えるでしょう。また、日本のネットワーク・セキュリティ技術、情
報通信産業全般、そして特に国の運営する行政システムのセキュリ
ティ技術レベルに関する国際的な信頼を、明らかに低下させるはず
です。
日本政府と日本の情報通信産業が、こうした国際的な信頼の毀損
を償うために、非常に多くのものを支払わなければならないことに
なっても、少しも不思議ではありません。
<長野県安全確認実験について>
昨年9月から11月に書けて実施された同実験は、長野県の依頼に
より、セキュリティコンサルタントで長野県本人確認情報保護審議
会委員の吉田柳太郎さんを実施監督者として、笠原謙さんおよびイ
ジョビ・ヌーワーさんほかの技術チームが実施したもの。実施対象
は県内の3町村で、実験の結果、住基ネットのCS(コミュニケーショ
ンサーバー)およびCS端末(住基ネット機能の操作端末)の管理者
権限が容易に取得でき、また既存の住民基本台帳システムを含む事
務処理用コンピューターなどにも多数の脆弱点が指摘されています。
従来、長野県安全確認実験の実施者としてのヌーワーさんの名前
は関係者以外にはほとんど知られておらず、今回の技術セミナーで
初めて、国際的に高い評価を受けているヌーワーさんの実験への参
加が、一般に知られることになりました。
<イジョビ・ヌーワーさんについて>
ヌーワーさんは国際的に知られるネットワークセキュリティの専
門家(ハッカー)の一人で、自伝的な「Hacker Cracker」(Harper
Collins社、2001年)や、侵入実験技術に関する「Penetration
Testing」(O'Reilly社、2005年)の著書でも国際的に知られてい
ます。
長野の安全確認実験のほか、日本関係の業務の経験もあり、現在
は米・ボストンのSecurityLab Technologies Inc. でネットワーク
セキュリティ・コンサルタント。アメリカ政府機関のセキュリティ
関連セミナーの講師などもつとめるかたわら、多数の雑誌・テレビ
・オンライン誌にしばしばコメントを寄せています。
<ヌーワー報告が中止された経過>
ヌーワーさんの説明によれば、彼の技術報告が中止された経過は、
おおむね以下通りです。
(1)総務省への事前のスライド提出
技術セミナーの1か月ほど前に、ヌーワーさんはドラフトとして
用意した長野県安全確認実験に関するスライドを総務省に提出して
いました。総務省(市町村課)は報告の数日前になって、スライド
の多くの内容について修正を日本側主催者に求めてきましたが、そ
の内容はヌーワーさんの個人的な意見と(対策などの)推薦事項を
削除することでした。
ヌーワーさんによれば、総務省の修正要求は「一番だいじなこと」
の削除を求めるものだったとのこと。
(2)カンファランス用スライドの提出
ドラフトとして提出したスライドには、実験当時のマスコミの反
応や実験関係者の行動などが多数含まれていたため、ヌーワーさん
はこれらを整理・削除してカンファランス用のスライド(技術的内
容に整理されたスライド)を作成していました。総務省の修正要求
があった後に、ヌーワーさんはこの新たなスライドを総務省に提出
しました。
(3)総務省の再要求
これに対して総務省は、「以前のスライドで報告をしてほしい」
として、従来のスライドに対する多数の修正要求を再び送ってきた
ため、ヌーワーさんは「その一部に応じる」方針で調整をしようと
したそうです。
(4)「スライドなしの報告」も総務省は拒否
しかし総務省との調整は難航し、最後には「スライドの内容が問
題であるなら、スライドなしで報告する」とヌーワーさんは総務省
に提案しましたが、報告の数時間前間で行われた交渉の中で総務省
は、「スライドなしでも話の内容は同じだからだめだ」と最終的に
伝えてきました。
この話し合いには、(財)地方自治情報センターのスタッフが出
席し、常時携帯電話で総務省の担当者と相談しながら対応したとの
ことです。
(5)最終的な判断
ヌーワーさんの報告が最終的に中止とされたのは、「ほかに選択
の余地がなかったため」でした。ヌーワーさんの理解では、「日本
側主催者が総務省からダメと通告されたため、彼の報告は中止され
ることになったとのこと。「オーガナイザーが私に報告をさせなかっ
た。中止にしたのは私の判断ではない」
(6)総務省が求めたこと
毎日新聞記事が伝えている総務省の2点の要求について、ヌーワー
さんは次のようにコメントしています。
「スライドの内容は全部、実験関係者に見せて了解を得ていた。
主催者にもあらかじめ見せている。
私が(長野県と)守秘義務契約を結んでいて、技術のデテールを
話すことができないことは、総務省も知っている。また、既存住基
と住基ネットを混同させないことを総務省が求めていることを、私
はよく理解している。私は、セミナーでは総務省と私の両方を意見
を話すつもりだと彼らに説明した。
私は「住基ネット」に反対するものではない。私は日本に滞在す
る外国人として、自由に発言できると思っていた。」
(7)話し合いのやり方について
こうした経過とともに、総務省が一貫して、日本側主催者(株式
会社SIDC)だけと話しあってきたことに、ヌーワーさんは首を傾げ
ていました。
「このイベントには日本とカナダの2つの組織が、オーガナイザー
をつとめている。総務省は日本側オーガナイザーとのみコンタクト
していた。なぜ、カナダ側オーガナイザーとコンタクトしなかった
のかわからない。私からは直接話し合いたいと総務省に申し入れて
いたが、私へのコンタクトもなかった。それがなぜかもわからない」
(8)セミナーでの説明
最終的に技術セミナーのヌーワー技術報告は中止され、他のレポ
イーター・テーマによる報告と差し替えられました。
このとき、カナダ側主催者と日本側主催者から簡単な経過説明が
あったとのことですが、特に総務省側の対応について主催者の意見
が表明されることはなかったようです。
また、ヌーワーさんからの2分程度の簡単なスピーチがされたと
のことですが、当然、予定した報告の内容にふれるものではありま
せん。
<今回の技術セミナーについて>
この技術セミナーは、pacsec.jp/core04 conference として、
PacSec実行委員会事務局(日本側はセキュリティ専門企業(株)
SIDC、カナダ側はCanSecWestの常任メンバーで構成)が企画・主催
し、という今日中央区のロイヤルパークホテルで11月11日と12日に
開催されたもの。実行委員会の日本語Webサイトによれば、「カナ
ダで毎年開催されている、世界的なセキュリティ・カンファレンス
であるCanSecWest(略称:CANSEC)の内容から、日本/アジア向け
に最適なテーマを厳選したセキュリティ・テクニカル・セミナー」
とされています。プログラムの基礎となったCANSECは、ネットワー
ク関係者の話によれば、「ネットワーク・セキュリティ関係者の国
際的な勉強会のひとつ」とのこと。
今回日本で開かれたPacsec.jp/core04セキュリティ・テクニカル
・セミナーは、昨年のcore03に続いて日本での2回目の開催。総務
省や日本ネットワークセキュリティ協会などが後援しています。参
加者は8カ国から160人。予告されていた報告者はヌーワーさんを含
めて12人でした。
ヌーワーさんの「住基ネット」に関する技術報告は、カナダ側主
催者のレベルで準備されたもの。セミナーの中では、プログラムの
最後の報告として予定されていました。
------------------------------------------------------------
<関連資料>
毎日Interactive記事
http://www.mainichi-msn.co.jp/today/news/20041113k0000m040166000c.html
pacsec.jp/core04
http://pacsec.jp/(日本/カナダの主催者等のリンクもあり)
http://release.japan.cnet.com/article.php?id=906
SIDCとpacsec.jp
http://www.itmedia.co.jp/enterprise/0210/29/nw01.html
ヌーワーさんのサイト(今回の事件の英文コメントあり)
http://www.ejovi.net/
ヌーワーさんが用意したスライド(日本語版。英語版もあり)
http://www.ejovi.net/JUKI_JPN.ppt
『Hacker Cracker』(ウィリアム・モロー社刊)の書評
http://hotwired.goo.ne.jp/news/print/20021211205.html
長野県本人確認情報保護審議会(実験報告書等のリンクもあり)
http://www.pref.nagano.jp/soumu/shichoson/jyukisys/singi.htm
『地域住民と自治体のための 住基ネット・セキュリティ入門』
七つ森書館刊 2004/9 吉田柳太郎・西邑亨著
http://www.jca.apc.org/~nisimura/jukiBooks/
------------------- 転送可ここまで ------------------------