現在地 HOME > 掲示板
> IT1 > 582.html
★阿修羅♪
|
現在地 HOME > 掲示板
> IT1 > 582.html
★阿修羅♪
|
|
スペシャル・リポート−現場検証 住民基本台帳ネットワーク−市町村側の管理
体制に“穴” セキュリティの不安,依然消えず−住民基本台帳ネットワーク
2003/07/14, 日経コミュニケーション
住民基本台帳ネットワークの第2次稼働が,8月25日に迫っている。だが長野
県の本人確認情報保護審議会は,安全性が不十分という理由で県に対し住基ネッ
トの離脱を要求。これに対し総務省は「堅ろうに守られた極めて安全なシステ
ム」と反論する。本誌は市町村への直接取材を敢行,住基ネットの実態に迫っ
た。
5月28日,長野県の→本人確認情報保護審議会が公表した第1次報告書が大
きな波紋を呼び起こした。報告書の結論が「県民の個人情報保護の観点から,当
面,住基ネットから離脱すべきである」(原文ママ)――という衝撃的な内容
だったからだ(写真1)。
今後,長野県が離脱するかどうかは田中康夫・長野県知事の判断にゆだねられ
る(写真2)。田中知事は7月2日時点で結論を保留しているが,「審議会から
の報告を否定するようなことになると,(これを定めた県の)条例をも否定する
ことになる」と発言。審議会の報告を尊重する意向を示している。
住基ネットは,→e−Japan戦略を具現化するための骨格となるネット
ワークの一つ。全国の市町村や都道府県などを結ぶ専用網である。これまで各市
町村が個別に管理していた住民基本台帳情報の一部を切り出し,全国どこからで
も本人確認ができるようにする。
長野県審議会は技術的理由で離脱報告
既に2002年8月から第1次稼働がスタート(表1)。2003年8月25
日には第2次稼働が始まる。希望者に住基カードが交付され,住民票を日本全国
どの市町村でも受け取れる広域交付など,市町村をまたがるサービスが受けられ
るようになる。これに伴い,市町村間で住民の個人情報をやり取りするようにな
り,住基ネットを通過する情報の種類も→大幅に増える。
こうした情報が漏えいすることに対する危ぐに加え,→住民票コードが“国民
総背番号制”に当たるといった反発など,住基ネットの反対論は根強く残ってい
る。ただ最近は→個人情報保護関連5法の成立を受け,東京都国分寺市や杉並
区,中野区など新たに参加を表明する市町村も増えている。
一方,長野県の審議会は技術的な理由を根拠に離脱を提言した点で,他の動き
とは一線を画す。県下の全120市町村に向けたアンケートに加え,6人の委員
が11市町村で現地調査を実施。住基ネットと接続する→市町村LANの構成や
運用管理の危うさを指摘した。
全120中27市町村に「危険性がある」
同審議会が特に問題視したのは,市町村LANの構成上のぜい弱さ(図1)。
住基ネットにつながる基幹系の→セグメントとインターネットにアクセスする情
報系のセグメントが物理的に接続しているケースがあった。長野県下に120あ
るうちの27市町村が,こうした危険性の高い構成に当てはまるという。
このほか,「ダイヤルアップ接続を許可していたり,→ハブがむき出しに放置
されている事例もあった」(審議会の委員である長野県協同電算の佐藤千明ネッ
トワーク部長)。これでは,ネットワーク経由で→住基ネット専用端末や→住基
ネット用サーバー,ひいては住基ネット本体に不正侵入できる可能性がある。
もちろん,こうした構成の市町村は少数派。本誌が取材した市町村からは,
「報道にびっくりした。インターネットと基幹系セグメントを接続しているなど
論外だ」という声が挙がった。
住基ネットへの不信感の広がりを恐れた総務省は5月28日,「いたずらに不
安をあおることは極めて遺憾」(原文ママ)との見解を,都道府県経由で全市町
村に通知した(写真3)。さらに6月5日,詳細な反論も公表。「住基ネット自
体は堅ろうに守られた極めて安全なシステム」(原文ママ)であり,仮にある市
町村LANがぜい弱であったとしても,他の市町村に影響は及ばないと断言し
た。
あるべき場所にFWを設置せず
問題になっている市町村のぜい弱性は,どんなものなのか。本当に住基ネット
本体に危険は及ばないのか。これらを確かめるため,日経コミュニケーションは
6月中旬から下旬にかけて長野県を中心に7市町村へ直接取材した。
取材した中の,ある村の例を見てみよう(図2)。この村は,情報系と基幹系
のセグメントを物理的に接続している。長野県の審議会は危険視するものの,総
務省は情報系との接続自体を→不可としていない。「設定したファイアウォール
を適切に設置するなど,セキュリティ対策を施していればよい」(→地方自治情
報センター(LASDEC)の戸田夏生システム担当部長)。
この村でも,情報系と基幹系の間にファイアウォールを設置している。だが,
住基ネット用サーバーと既存システムの間にはファイアウォールを設置していな
い。総務省が示すセキュリティ基準では,これは必須の項目だ。総務課のシステ
ム担当職員は「住基ネット・システムを導入する際,『インターネット側にファ
イアウォールを2重に設置しているので安全』とシステム・インテグレータ(S
Ier)から説明を受け,大丈夫と思った」と証言する。
放送室に機材とサーバーを同居
運用管理の面でも,十分なセキュリティ対策が施しているとは言いがたい市町
村を複数目撃した。住基ネット専用端末に入っている住基ネット用ソフトを操作
するには,LASDECが配布するICカードが必要になる。本来なら担当職員
一人に1枚ずつICカードを配布することになっているが,ある村では1枚を3
人で共用していた。
さらに驚くべきことに,多くの市町村の担当職員はユーザーIDを→Admi
nistratorにして住基ネット専用端末のOSにログインしていた。初期
設定のままならば,ソフトウエアを消去したり,逆に許可されていないソフトを
インストールすることもできる。
サーバーや端末の物理的な管理が不十分な市町村もある。ある村は,放送室に
放送機材と並んで住基ネット関連の機器をむき出しに置いていた。「専用室を確
保できるだけのスペースがない」(住基ネット担当職員)からだという。
別の村ではサーバー類をラックに設置するものの,ラックのカギは住基ネット
担当職員の引き出しの中。その上,「バックアップを取るため出入りするので,
業務時間中はコンピュータ室やラックは施錠していない」(担当職員)。
総務省のチェックに見落としも
もちろん総務省は,セキュリティ対策を完全に市町村の自由裁量に任せている
わけではない。住基ネットに対する市町村のセキュリティ基準を定め,守るよう
指導している。
技術面では,1)住基ネット用サーバーや住基ネット専用端末のOSにはWi
ndows 2000シリーズを採用,2)住基ネット用サーバーと既存システ
ムをLANで接続する場合は,間にファイアウォールを設置,3)このファイア
ウォールは指定ポートだけ通信を許可するよう設定――といったもの。運用管理
面では,「サーバー類は専用室に設置してカギをかける」などがある。
第1次稼働直前の2002年7月ころ,総務省は市町村に対しネットワーク図
の提出を求めた。その結果,総務省が「危険性がある」と判断した約200の市
町村には,住基ネットに常時接続しないよう指導。該当の市町村は,都道府県
サーバーとデータの同期を取る際だけ,住基ネットに接続するなど応急処置を
取った。「2003年1月には,こうした市町村のLAN構成の見直しが完了し
た」(LASDECの戸田担当部長)。
さらに総務省は,2002年9月から「住民基本台帳ネットワーク調査委員
会」を主催している。住基ネットの制度や稼働状況,セキュリティ対策について
論じるのが狙いだ。2003年1月から2月にかけて183項目に及ぶアンケー
トを全国の市町村に実施(表2)。市町村LANの実態の把握に努めている。
しかし,本誌の取材で浮かび上がったように,危険性の残る市町村LANがゼ
ロになってはいない。前述のような“基準外”の構成を,LASDECや総務省
が把握し切れているわけでもない。
本誌が取材した図2の村の構成をぶつけてみたところ,LASDECの戸田担
当部長は「こんな市町村がまだあるとは……。あってはならないこと」と驚きを
あらわにした。アンケート結果からも,「容易に推測できるパスワードを使用し
ない」ことを明文化すらしていない市町村が10.9%もあるなど,セキュリ
ティ対策が不十分な市町村があることがうかがえる(表2)。
責任が市町村の肩に降りかかる
セキュリティ基準こそ総務省が定めるものの,市町村LANの実際の構成や運
用管理は市町村自身の責任で決めることになる(図3)。「最終的には市町村が
判断すること。当方では強制できない」(総務省自治行政局市町村課の高原剛住
民台帳企画官)。住基ネット用サーバーから住民の個人情報を漏えいしてしまっ
た場合,責任は市町村の肩に降りかかることになる。
もちろん,実際のLAN構築やサーバーの設定にはSIerがかかわる。しか
し,SIerは市町村LAN全体のセキュリティを管理するわけではない。「市
町村LANへのダイヤルアップ接続を,自ら設定する市町村もいる。しかし,こ
の部分のセキュリティは当方の管理範囲ではない」(あるSIer)。
住基ネットに対してヒトやカネを十分に割けない市町村は,セキュリティがぜ
い弱になりがちだ。情報系と基幹系を物理的に接続している長野県下のある村
は,「LAN構成がぜい弱と言われても,改善にはシステムの大幅な見直しが必
要になる。だが,誰が費用を出してくれるのか」と戸惑う。
市町村が人的リソースを割けないのには,人事の問題もある。一般に市町村で
は3〜4年に1度,人事異動をして仕事をローテーションする。住基ネット担当
職員も例外ではない。長野県のある市の住基ネット担当職員は「コンピュータに
詳しい,などといった素質で担当が決まるわけではない」と語る。
しかも,住基ネットの担当になれば,膨大な資料を読み込む必要がある(写真
4)。長野市では「5カ月という異例の期間をかけて引き継ぎをしている」(生
活部市民課)。だが長野市は恵まれている方で,小規模の市町村では引き継ぎに
これほどの余裕を持てない。
独自運用で安全性を高める市町村
もちろん,ぜい弱な市町村ばかりではない。比較的規模の大きな市が多いが,
積極的にセキュリティ対策を実施する市町村も多数ある。例えば長野市は,住基
ネットに2人の専任職員を置いている。「住民基本台帳ネットワーク調査委員会
が実施したアンケート調査では,ほとんどの項目が“運用している”(適切な対
策を取っている)という回答に当てはまった」(生活部市民課)という(表
2)。
2003年内に住基ネットに接続する予定の東京都杉並区は,国際的なセキュ
リティ基準である→ISMSを取得すると掲げた。京都府宇治市は,独自のIC
カードと組み合わせてLANを→VPNで暗号化する。「コストは,パソコン本
体の価格に10%上乗せしただけ」(企画管理部IT推進課)。関西地方では宇
治市同様,「市町村LANにVPNを導入する市町村が増えてきた」(IT推進
課)と言う。
同市や愛媛県新居浜市は,セキュリティを高めるために住基ネットと常時接続
をしていない。1日1回,都道府県サーバーとデータの同期を取る→数分間だけ
接続している。
「市町村LANがぜい弱でも大丈夫」
このように市町村のセキュリティ水準は千差万別だが,それでも総務省は「住
基ネット全体に影響が及ぶことはない」と主張する。その根拠は,「住基ネット
自体はもともと,市町村LANが“安全ではない”という前提で設計してある」
(総務省自治行政局の井上源三市町村課長)というものだ。
LASDECが管理する住基ネットそのもののセキュリティ対策は,ほぼ非公
開となっている。「ネットワークの設計や仕様を明らかにすれば,その分ぜい弱
になる」(LASDECの戸田担当部長)という考えに基づく。
明らかになっている対策には,1)LASDECが指定ファイアウォールであ
る「処理装置X」を24時間監視,2)→IDS(侵入検知システム)で不正パ
ケットを検知,3)通信の際は→公開鍵暗号方式で相互認証する――などがある
(p.94の図4)。ただ,住基ネットに携わるSIerでさえ,「(処理装置
Xは)仕様がまったく分からない」(TKCの寺内博之取締役)と,情報は明か
されていない。
仮に侵入できたとしても,「そもそも住基ネットは,外部に公開しないことを
前提にしたネットワーク。どんなIPアドレス体系を使っているかすら明らかに
していない。住基ネット上にある他のサーバーのIPアドレスを見つけるだけで
も,何年もかかるのではないか」(LASDECの戸田担当部長)。さらに,
「→ポート・スキャンをしただけでも監視センターで検知できる。現実的には攻
撃はまず不可能」(戸田担当部長)と位置付ける。
既存システム狙えば情報改ざんも
しかし,中央部をいくら強固に守っていても,すべての攻撃を防げるわけでは
ない。例えば,既存システムに蓄積してある名前や住所の情報が改ざんされた場
合,住基ネット用サーバーに“正規データ”として転送され,都道府県サーバー
や全国サーバーに伝送されて“上書き”される。
既存システムのソフトウエアは,市町村によってまちまち。サーバーOSにW
indows NT 4.0 Serverを使う市町村も多い。このOSは,
2005年1月にセキュリティ・サポートの打ち切りが決まっている。→セキュ
リティ・ホールが見つかっても,修正ファイルが提供されなければ危険性は増大
する。
LASDECがいくら住基ネットを監視していても,既存システムから送出さ
れる情報が不正では,どうしようもない。総務省は,「確かに可能性はあるが,
これまでネットワーク経由で既存システムのデータが盗まれたり改ざんされた事
例はない。非常に可能性の低い出来事を問題として論じるべきではない」(高原
企画官)と反論する。
住基ネットの侵入テスト実施がカギか
長野県の審議会は,「不正侵入できる“穴”が本当にないか,マスコミなどを
交えた公開の場で検証させてほしい」と,総務省に住基ネットへの侵入テストの
実施を求めている。LASDECは住基ネットの侵入テストを実施済みだという
が,検証項目や方法は明らかにしていない。
総務省は「公開の場での侵入テストなど,本来あり得ない話」(高原企画官)
と,この提案に否定的だ。「一般に侵入テストを実施するには,試験するネット
ワークのIPアドレス体系やパスワードを事前に教えなくてはならない。これら
を公開すること自体が,大幅にセキュリティを弱める」(LASDECの戸田担
当部長)。
この主張に対して,慶應義塾大学の武藤佳恭教授は「改善すべき点があるのか
どうか,第三者が検証するのは当然のこと」と反論する。さらに,「住基ネット
は堅ろう」という総務省の主張にも疑問を投げかける。「住基ネットは,“人が
介すればミスが起こる”,“不正アクセスの大半が内部犯行”ということを前提
にしたセキュリティ対策を施していない。情報漏えいや不正侵入を防げなかった
時の事後対応こそ重視すべきだ」(武藤教授)。
“穴”発見と事後対応に注力を
一方,「住基ネットの安全性ばかりが取りざたされるのは不自然」(長野県の
ある市の住基ネット担当職員)という冷めた見方もある。中央大学の辻井重男教
授は「市町村LANがぜい弱なことは,住基ネットの安全性とは全く別問題。よ
り個人的な情報が蓄積されている,市町村の既存システムのセキュリティ対策こ
そ見直すべき」との見解を示す。
ただ,ネットワークはエンド・ツー・エンドでセキュリティが高くなければ意
味がない。総務省は,7月上旬から中旬にかけて市町村のセキュリティ対策の見
直しを強化する。これを,図面調査やアンケート調査だけで済ませるのは不十
分。市町村に市町村LANからの侵入テストを実施させるなど,より細かい
“穴”を発見するための対策を練る一方で,攻撃を受けた場合の事後対処を指導
していく必要がある。
(閑歳 孝子)
本文中→の付いた用語を解説
本人確認情報保護審議会=都道府県に設置されている,住基ネットで取り扱われ
る情報の保護について審議する機関。改正住民基本台帳法に基づき,国が都道府
県に設置を義務付けた。
e−Japan戦略=高度情報通信ネットワーク社会推進戦略本部(IT戦略本
部)が,2001年1月に決定したIT国家戦略。ITを活用した社会経済構造
の改革を狙う。
大幅に増える=第1次稼働では,既存システムの住民基本台帳情報から,1)氏
名,2)住所,3)生年月日,4)性別を切り出し,5)住民票コード,6)変更履
歴を加えた6情報をやり取りしている。第2次稼働以降は,続柄や戸籍の表示な
どのほか,国民健康保険や介護保険などの被保険者である旨が加わる。
住民票コード=全国民に重複なく割り振られる11桁の番号。
個人情報保護関連5法=基本法などを定めた個人情報保護法と関連4法。200
3年5月23日に成立。
市町村LAN=市町村の役所などで整備されたLAN全体を指す。通常,職員が
使うパソコンや税務・財務システムなどが接続している。一般的に,1)イン
ターネットにつながる情報系,2)住民情報などを取り扱う基幹系――という2
系統がある。基幹系には,住基ネット稼働以前から,住民基本台帳情報や税務情
報,財務情報などを処理するシステムが存在する。これを既存システムと呼ぶ。
セグメント=LANの構成単位。通常はリピータで区切られた範囲である。広義
にはコリジョン・ドメインやブロードキャスト・ドメインを指すこともある。
ハブ=LANの伝送路上に配置し,スター状に端末装置を接続する装置。イーサ
ネットの電気信号を増幅して複数の端末に届ける。
住基ネット専用端末=CS端末とも呼ぶ。
住基ネット用サーバー=CSサーバーとも呼ぶ。
不可としていない=当初は不可としていたが,システムの大掛かりな変更が必要
になる市町村が多かったため,対策を施せば可とすると方針を転換した。
地方自治情報センター=国が定めた指定情報処理機関。住基ネットの全国ネット
ワークの管理や,市町村と都道府県に設置した指定ファイアウォールの監視など
を担当する。
Administrator=管理者権限を表す用語。Windowsシリーズ
では,管理者権限のユーザーIDの初期設定が「Administrator」
である。
ISMS=情報セキュリティマネジメントシステム適合性評価制度。英国規格協
会が定めたセキュリティ基準でである「BS7799」を基にしたセキュリティ
管理の指針に,技術的な指針を加えたセキュリティ評価基準。
VPN=仮想閉域網。通信が混在するネットワーク上に構築する,他者から見ら
れないプライベートなネットワーク。
数分間だけ接続している=ただし,第2次稼働ではリアルタイム性が求められる
ため,同じ方法は使えない。このため宇治市では,1)既存システムのプロキ
シ・サーバーを活用して,既存システムだけでも常時接続を避ける,2)住基
ネット側から住民情報の送信要求があった場合,人間かコンピュータが内容を確
認してから返信する――といった対策を模索している。
IDS=intrusion detection system。セキュリ
ティ・ツールの一つで,社外からの侵入や内部関係者による不正アクセスを検知
する。
公開鍵暗号方式=暗号化と暗号の復号に異なる鍵を使う暗号方式のこと。片方の
鍵を秘密に管理し,一方を不特定多数に公開する。
ポート・スキャン=TCP/UDPのポートを順番にアクセスして,各ポートの
開閉状態を調べる行為。プログラムを使って不特定多数の端末に実施すること
で,セキュリティのぜい弱な端末を発見する。
セキュリティ・ホール=ソフトウエアのバグなどのために,悪意のある第三者を
コンピュータ・システムに侵入させてしまう入口。
写真1 長野県民に報告書を説明する長野県の本人確認情報保護審議会のメン
バー 信州大学の不破泰教授やジャーナリストの櫻井よしこ氏,弁護士の清水勉
氏など6人で構成。中澤清明・上伊那情報センター所長以外の5人は,離脱に賛
成の立場を取る。
写真2 離脱の最終判断は田中康夫・長野県知事が握る
写真3 総務省が長野県本人確認情報保護審議会の報告書に対して発表した反論
文
写真4 市町村の住基ネット担当者には膨大な量のマニュアルが送付されている
図1 長野県の本人確認情報保護審議会が指摘した住基ネットに接続する市町村
LANの危険性 120市町村に向けたアンケートと,審議会委員の11市町村
へのヒアリングで明らかになった。
図2 ある村のLANの実態 総務省のセキュリティ基準とは異なる部分があ
る。セキュリティ対策を施しているものの,ネットワーク構成や運用管理の面
で,セキュリティ・ホールとなり得る要素が残っている。
図3 LASDECと都道府県と市町村が管理を分担する 市町村は住基ネット
用サーバーや既存システムを管理する。ここから個人情報が漏えいすると,責任
は市町村が負うことになる。
図4 総務省が明らかにしている住基ネットのセキュリティ対策 IDSを設置
するほか,都道府県や市町村に設置した指定ファイアウォールをLASDECが
24時間監視している。
自治体ネットワーク
セキュリティ
ネットワーク管理
表1 住基ネットを巡る主な出来事 不参加だった市町村のいくつかは,個人情
報保護関連5法の成立を受け参加を表明。一方,第2次稼働を目前に離脱の意向
を示す市町村や審議会もある。
表2 運用管理や構成が十分ではない市町村LANもある 総務省主催の住民基
本台帳ネットワーク調査委員会が,2003年1〜2月に実施したアンケート全
183問から抜粋。集計団体数は3215。
題名には必ず「阿修羅さんへ」と記述してください。