政府は2000年に起きた相次ぐ省庁のホームページ改ざんで、やっと情報セキュリティ対策に本腰を入れたかに見えた。しかし、その後も防衛庁のデータ流出事件、複数省庁のずさんな無線LAN管理など、情報セキュリティの甘さの露呈は後を絶たない。これらはすべて、安全保障意識の欠如に起因する。だが、官僚や政治家に危機意識が芽生え始めているのも事実だ。政府全体の情報セキュリティを検証した上で、安全保障に向けた各省庁の新たな取り組みを追う。

(井上 理)

証拠編危機は実際に起こりうる
検証編戦略なき日本政府の電子安全保障
解決編省庁レベルで増える安全保障意識の萌芽
提言編1民間のプロフェッショナルを権限あるポストに起用しろ
提言編2国内の人材育成なくして“深い”セキュリティ対策はできない

読者限定 【本特集の“予習”】を読む


【無料】サンプル版を差し上げます本記事は日経コンピュータ2003年4月21日号からの抜粋です。そのため図や表が一部割愛されていることをあらかじめご了承ください。本「特集」の全文をお読みいただける【無料】サンプル版を差し上げます。お申込みはこちらでお受けしています。なお本号のご購入はバックナンバー、または日経コンピュータの定期ご購読をご利用ください。

証拠編
危機は実際に起こり得る

同時多発サイバーテロの可能性(PDFファイル)
右(PDFファイル)の新聞記事は、言うまでもなくフィクションである。しかし、全くあり得ない話とは言い切れない。このシナリオは、防衛庁を含む複数の省庁でセキュリティに関するコンサルティングを請け負うコンサルタントの監修を受けて、本誌が作り上げた。日本の情報セキュリティ対策の現状をみると、十分に起こり得るシナリオである。昨年だけでも、さまざまな問題が発覚しているからだ。

 昨年末、気象庁や経済産業省、東京都庁などは、省庁内で利用する無線LANに外部からアクセス可能であることを指摘され、使用を中止した。現在主流の無線LANで使われるWEPという暗号化方式は、WEP利用の有無を調べたり解析するソフトが簡単に手に入るため、昨年前半に多くのメディアが危険性を指摘していた。にもかかわらず、これらの省庁はWEPすら利用していなかった。

 2002年5月には住民基本台帳ネットワークシステム(住基ネット)の全国サーバーを管理する地方自治情報センター(LASDEC)のWebサイトに脆弱性が発見された。さらに2カ月後の7月、同Webサイトで、秘密保持すべき重要情報がだれでも容易に閲覧できる状態になっていたことが発覚した。経産省のある官僚は、「自宅から経産省のサーバーへの侵入を試みたら、一般には公開しない文書やサーバーのログを簡単に見ることができた」と話す。

 情報システムに対する物理的なセキュリティも甘い。総務省や警察庁が同居する合同2号庁舎など多くの庁舎は、イラク戦争の最中でも自社の社員証を提示するだけでだれでも内部に入ることができる。記者は取材中、内閣官房の建物内に一切のチェックを受けずに入ったことがある。LASDECのサーバーがどこに設置されているかは、URLからある程度推測できる(図1[拡大表示])。

図1●地方自治情報センター(LASDEC)のURLから得られるWHOIS情報。ネーム・サーバーや通知者欄に「infoweb」とあり、富士通が管理していることが分かる

 セキュリティ関連サービスを手がけるラックの三輪信雄常務取締役は「怖いのは内部からの攻撃。業者を装って省庁に侵入し、すきを見て無線LANのアクセス・ポイントを設置することは不可能ではない。米国の政府関連施設に入るときは必ず職員の出迎えが必要で、金属探知器のチェックも当たり前。日本は緩すぎる」と指摘する。

 昨年8月に発覚した防衛庁の内部データ流出事件では、下請け管理の甘さが露呈した(読者限定)。同時期に「陸上自衛隊の通信系プロジェクトを担当していたNECの下請けからもデータが流出していた。NECには厳重注意をした」と、ある防衛庁関係者は証言する。

 昨年6月の本誌特集では、東芝が経産省のシステムを中国のソフト会社、東軟集団へ丸投げしていた事実を指摘した。東軟集団は要件定義の段階から経産省と打ち合わせをしていた。しかし経産省は、この事実を把握していなかった。同様に、NTTデータが国税庁のシステムを上海の小さなソフト会社に投げていたが、同庁は把握していなかった。

 経産省で調達改革を担当している商務情報政策局情報経済課の村上敬亮課長補佐が「市場原理から、下請けの利用は仕方がない。問題は国外へ出ていることではなく、その下請け企業がNDA(機密保持契約)の実効性を担保できる相手かを確認できていないこと。日本の下請けでも同じだ」と語るように、問題点は認識している。しかし、その問題を回避する仕組みが存在しないことは事実である。


続きは日経コンピュータ2003年4月21日号をお読み下さい。この号のご購入はバックナンバー、または日経コンピュータの定期ご購読をご利用ください。