総務省は10月17日,住民基本台帳ネットワークへの侵入テストを実施していたことを明らかにした。住基ネットのファイアウォールや市町村の庁内LANと住基ネットのゲートウエイとして機能するコミュニケーション・サーバー(CS)への侵入テスト実施。「あらゆる手段を試みたが成功せず,脆弱性も見出せなかった」(総務省自治行政局市町村課)と住基ネットの安全性が確保されていることを強調した。
テストは,総務省の指定機関である地方自治情報センター(LASDEC)が米国の監査会社クロウ・シェゼックに委託して行った。期間は10月10~12日の3日間。実験に協力した自治体は東京都品川区である。
総務省はこれまでも非公開で,脆弱性を発見するためのテストを住基ネットにしていた。ただ今回は,世界でもトップ・レベルの技術を持つ米国の会社にテストを委託した点と,脆弱性のチェックだけでなくハッキングも実施した点が従来のテストと異なるという。
今回の侵入テストで対象としたのは,(1)住基ネットとCS間のファイアウォール,(2)CSと庁内LAN間のファイアウォール,(3)庁内LAN上にあるCSアクセス用端末--の3カ所。(1)は,CSを設置しているセグメントから3時間,(2)と(3)は庁内LANのセグメントから6時間,それぞれ侵入テストをした。ポート・スキャン後,数種類のハッキング・ツールを使って侵入を試みた模様。「ファイアウォールは突破できず,CS端末の権限も奪取できなかった」(総務省自治行政局市町村課)。
また,住基ネットの範囲外であるが,クロウ・シェゼックから「庁内LANに対してもチェックリストで自己点検させたり,セキュリティ監査を行うべき」と,助言されたことを受け,「年に1度,今回のような侵入テストをいずれかの自治体で実施し,結果も公表していきたい」(総務省自治行政局市町村課)としている。
長野県も9月22日から,住基ネットへの侵入実験を独自に実施している。現在は結果を分析中である。第3者の公正な評価を受けた後,早ければ10月中にも正式に結果を公表する。「住基ネットへ侵入できたかどうか」をめぐり報道が錯そうしているため,長野県からの正式発表に注目が集まる。
(宗像 誠之=日経コミュニケーション)
