長野県は9月22日,住民基本台帳ネットワーク(住基ネット)のセキュリティがぜい弱かどうかを確認する“侵入実験”を開始した。長野県内の阿智村など数町村で1週間程度実施し,外部の専門家による評価を経た後で結果を公表する。
実験は,長野県の委託を受けたセキュリティの専門家が,各市町村に出向いて実施する。実験は2段階。(1)インターネットから各市町村の施設内に構築した「庁内LAN」への侵入が可能かどうか,(2)庁内LANから庁内においた住基ネット用のサーバーやネットワークへの侵入が可能かどうか--である。ただし総務省が管理する住基ネットのサーバーには侵入しない。長野県内の一部の市町村では,庁内LANから庁内に置いた住基ネットのサーバーがアクセスできる状態になっている。住基ネットは,各市町村のネットワークそのもののセキュリティの上に成り立っているとも言える。
今回の実験は,住基ネットのセキュリティを懸念した田中康夫長野県知事が主導した。8月には長野県の住基ネットに関する審議会と総務省が公開討論会を実施したが,両者の議論はかみ合わなかった。その後,田中知事は記者会見の場で,セキュリティの確保が不透明な現在の運用形態での住基ネットから離脱も考えるとの見解を示していた。
ただ今回の実験では実施方法に課題が残った。住基ネットへの侵入実験は市町村名を明かさず非公表で実施する方針だったが,23日に一部で報道されてしまったからだ。実験結果いかんでは,実際に特定の市町村が運営しているネットワークやシステムがぜい弱であることを明らかにすることになる。
こうしたぜい弱性は,セキュリティ・ホールをふさいだだけでは対処しきれないケースもあり得る。例えば,市町村でエリア内の関係施設をつなぐ庁内LANを構築している場合,ぜい弱なネットワークやシステムを持つ市町村では庁舎以外からでも,住基ネットのネットワークに入り込むことが可能になる。こうした課題が明らかになると,ネットワークの構造から抜本的に見直す必要に迫られるかもしれない。
実験場所が特定されてしまったことで,侵入実験をまったくの秘密裏に実施する,発見したセキュリティを自治体や県・国の費用負担で発見後即座に改善する必要がある,長野県側の発表もあいまいなものにならざるを得ない--との指摘が出ている。
(市嶋 洋平=日経コミュニケーション)
