長野県は2月29日、同県が昨年9月と11月に実施した住民基本台帳ネットワーク(住基ネット)にかかわる市町村ネットワークの脆弱性調査についての最終結果を発表した。調査は大きく二つに分かれる。一つはインターネット経由で庁内LANへ侵入できるかどうか。もう一つは、攻撃者が物理的に自治体の庁舎に入って庁内システムを攻撃した場合に、住基ネットにかかわるシステムが被害を受けるかどうかである。
このうち、脆弱性が見つかったのは主に後者で、自治体のサーバーや、自治体の住民情報を都道府県にある住基ネット・サーバーに送信するゲートウエイ・サーバー(CS)などに格納された情報を第三者が閲覧できる状態にあった。一方のインターネットを経由しての住基ネットへの侵入は防止できていたという。
報告資料によれば、(1)サーバー管理者用のパスワードを安易に設定している、(2)サーバーOSのパッチ(修正プログラム)を適用していない、(3)サーバー上の個人情報を含んだファイルをさまざまなユーザーが共有する設定になっているなど、基本的な設定や運用体制に問題があった。また、住民が自由に出入りできる場所に、庁内LANに接続可能なLANポートがあるなどの物理的なセキュリティ対策の甘さも指摘。これらの脆弱性を利用すれば、「管理者権限を使い正規のユーザーになりすまして、各自治体の住民情報データベースを閲覧することが可能」という。
長野県は、対策として、(1)第三者によるセキュリティ監査の実施、(2)管理を委託している業者とSLA(サービス・レベル・アグリーメント)を締結し、パッチ適用の責任を明確化する、(3)自治体職員へのセキュリティ教育の実施、(4)侵入検知・防止システム(IDS/IPS)やクライアント管理ソフト、認証VLANなどの新しいシステムの導入などを挙げる。なお、「これらの対策には多大なコストが必要になることから複数の市町村によるシステムの共同運営を検討する」という。
長野県は今回の調査を、第一次調査として9月22日から10月1日に阿智村や下諏訪町、波田町の3自治体で、第二次調査として11月25日から28日に再度、阿智村で実施した。
