現在地 HOME > 掲示板 > IT3 > 105.html ★阿修羅♪ |
|
(回答先: <住基ネット>「絶対安全なかった」 長野県実験「侵入可能」【記事3本】 投稿者 クエスチョン 日時 2003 年 10 月 04 日 21:53:19)
[2003/10/02]
長野県,「住基ネットに侵入成功」との一部報道を否定【記事2本】
http://itpro.nikkeibp.co.jp/free/SI/NEWS/20031002/135242/
長野県は10月2日,『住基ネットの安全性を検証する侵入実験で,イン
ターネットを経由し自治体の住基ネットに対し侵入可能なことが分かった』
とする一部報道を事実上,否定した。「住基ネットへの侵入に成功したと
の見解は持っていない」(長野県 住基ネット対応チームリーダー 岡部英
則氏)。日経システム構築の問い合わせに回答した。
長野県総務部市町村課によると,「県と市町村が協力した実験は終了し
たが,その内容について報告は受けていない。結果は第三者が分析中で,
その結果しだいでは再度検証を行う可能性がある」。また,一部報道の中
で『(県が)詳細を公表したい』としていることも,「当初の予定どおり,
分析が終了後,プライバシーやしかるべき問題に配慮したうえで,実験を
委託している業者との契約が切れる10月21日までには何らかの形で公表す
る。ただし,侵入可能だとしてもその点について詳細まで公けにするかど
うかを決めているわけではない」(岡部氏)とした。長野県はインターネ
ットを通じて市町村のLANに侵入し,市町村LANから住基ネット接続用のサ
ーバーに侵入できるかどうかの実験を行った。
長野県によると,住基ネット接続用のサーバーや操作端末と,インター
ネットに接続できる庁内LANとが,ファイアウォールなどによって分離さ
れていない状態の自治体は全国に800近くあるという。仮に今回の実験に
よって危険性が明らかになった場合は,単に「侵入できる可能性がある」
とだけ報告するのではなく,可能な限り詳細を公表することが望まれる。
(岡本 藍=日経システム構築)
エンタープライズ:ニュース 2003/10/03 00:05:00 更新
住基ネットの侵入テスト、「まだ公式発表はなし」と長野県
http://www.zdnet.co.jp/enterprise/0310/03/epn01.html
10月2日、長野県が行ったペネトレーションテストの結果、住基ネットへ
の侵入が可能であることが判明したと報じられた。しかし長野県は「県と
しては何も公式に発表していない」とのみ述べている。
10月2日、複数のメディアが相次いで、長野県が行っていた住民基本台
帳ネットワーク(住基ネット)の安全性検証実験において、インターネッ
ト経由で自治体の住基ネットへの侵入が可能であることが判明したと報じ
た。
長野県ではかねてより、住基ネットの安全性や個人情報保護体制が不十
分であると主張。9月15日には住基ネットより離脱し、県で独自に情報管
理を行う方針を明らかにしていた。さらに9月22日からは、安全性の検証
を目的に、同意を取り付けた同県内の3町村で、システムおよび庁内LANに
脆弱性が存在しないかどうかを検証する侵入テスト(ペネトレーションテ
スト)を行っていた。
そして10月2日のいくつかの報道によると、侵入テストの結果、攻撃者
の侵入を可能にする経路が発見されたという。
しかしZDNetが問い合わせたところ、長野県の住基ネット対応チームは、
「長野県ではこの件に関して、一切公式な発表は行っていない」と回答。
「侵入できた、できない」を論じる以前に、いまだ分析が進行中であり、
正式に公開できる情報はまだ何もないという姿勢を示した。いわばノーコ
メントだ。
同県の回答によると、テストは外部業者に委託し、10月下旬までの契約
で行われている。その結果に十分な分析、検討を加えたうえで、同県Web
サイトに掲載するなどの形で公開する予定ということだ。
ZDNetでは合わせて、今回のペネトレーションテストの範囲についても
質問した。一連のテストは、自治体の庁内LANや住基ネットの入り口に当
たるコミュニケーションサーバに、セキュリティホールや設定上の不備が
ないかどうかをチェックするもので、あくまで技術的な観点から行われて
いるという。したがって、現場で運用に当たる担当者にソーシャルエンジ
ニアリングを仕掛けても、それにだまされることなくきちんと対応できる
かどうかや、端末の設置場所や設置の仕方、入退室管理を含む物理的セキ
ュリティの観点からのチェックは行われていないという。
住基ネットの成り立ちはさておき、セキュリティをめぐる一連の報道で
は、「住基ネットは危険だ」「いや安全だ」という2つの両極端な意見が
紹介されることが多い。しかし、こうしたスタンスの議論は無意味だ。と
いうのも、100%安全なシステムなどというものは本質的にあり得ないか
らだ。本来ならば、具体的な危険性を認識したうえで、それを少しでも減
らすにはどうするか、さらにはある程度の被害を前提として、万一の事態
が生じたときにどう被害を食い止め、対応するかを問うべきところが、単
純な二元論に終わっていることも多い。
また、一度のテスト結果だけで、安全かそうでないかを議論することも
ナンセンスである。周知のとおり、セキュリティをめぐる状況は常に変化
しており、ある時点で安全だったものでも、時間が経てばそうではなくな
ることも多いからだ。
長野県の取り組みはさまざまな自治体に波紋を広げているようだ。これ
を契機に、住基ネットおよび自治体のシステムのどこに、どんなリスクが
存在し、それにどう対処していくかが、システムを扱う人や運用体制も含
めた形で継続的に検討されるよう期待したい。長野県が追って公開すると
いう調査結果がその契機となるかどうか、今後の動きに注目したい。
関連リンク
長野県
[高橋睦美,ZDNet/JAPAN]