• ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • 日経BP
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース

長野県が住基ネット調査の最終結果を発表、庁舎内からの攻撃に対する脆弱性が問題に

鈴木 2004/03/01 日経コンピュータ

 長野県は2月29日、同県が昨年9月と11月に実施した住民基本台帳ネットワーク(住基ネット)にかかわる市町村ネットワークの脆弱性調査についての最終結果を発表した。調査は大きく二つに分かれる。一つはインターネット経由で庁内LANへ侵入できるかどうか。もう一つは、攻撃者が物理的に自治体の庁舎に入って庁内システムを攻撃した場合に、住基ネットにかかわるシステムが被害を受けるかどうかである。

 このうち、脆弱性が見つかったのは主に後者で、自治体のサーバーや、自治体の住民情報を都道府県にある住基ネット・サーバーに送信するゲートウエイ・サーバー(CS)などに格納された情報を第三者が閲覧できる状態にあった。一方のインターネットを経由しての住基ネットへの侵入は防止できていたという。

 報告資料によれば、(1)サーバー管理者用のパスワードを安易に設定している、(2)サーバーOSのパッチ(修正プログラム)を適用していない、(3)サーバー上の個人情報を含んだファイルをさまざまなユーザーが共有する設定になっているなど、基本的な設定や運用体制に問題があった。また、住民が自由に出入りできる場所に、庁内LANに接続可能なLANポートがあるなどの物理的なセキュリティ対策の甘さも指摘。これらの脆弱性を利用すれば、「管理者権限を使い正規のユーザーになりすまして、各自治体の住民情報データベースを閲覧することが可能」という。

 長野県は、対策として、(1)第三者によるセキュリティ監査の実施、(2)管理を委託している業者とSLA(サービス・レベル・アグリーメント)を締結し、パッチ適用の責任を明確化する、(3)自治体職員へのセキュリティ教育の実施、(4)侵入検知・防止システム(IDS/IPS)やクライアント管理ソフト、認証VLANなどの新しいシステムの導入などを挙げる。なお、「これらの対策には多大なコストが必要になることから複数の市町村によるシステムの共同運営を検討する」という。

 長野県は今回の調査を、第一次調査として9月22日から10月1日に阿智村や下諏訪町、波田町の3自治体で、第二次調査として11月25日から28日に再度、阿智村で実施した。

鈴木 孝知=日経コンピュータ

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

  • 【記者の眼】

    SEの仕事とは?子供にどう説明すべきか悩む

     以前聞いた話だが、30代のあるSEが4歳の娘から「パパはどんな仕事をしているの?」と尋ねられ、とても困ったそうだ。ITやエンジニアという言葉を使っても、おそらく理解してもらえないはず。自分の仕事を分かりやすくかみ砕いて説明するにはどうしたらよいか。悩んだ挙げ句、彼はこんな説明をしたそうだ。

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る