総務省が住基ネット関連で注目すべき2つの発表を行った。「住基ネットの安全性を実験で再確認した」が,一方で「市区町村のセキュリティ・ポリシー策定率は5割」――という,住基ネットをめぐる問題点を改めて示す内容だった。
侵入実験で安全宣言
これまでも総務省は,独自に住基ネットそのものへの模擬攻撃やシステム監査は行ってきた。しかし,具体的な結果を明らかにしたことはない。公表することがセキュリティを弱める,というのが総務省のスタンスだからだ。
今回の侵入実験でも,その姿勢が貫かれている。実際に実験を行ったのは米国の監査会社Crowe Chizek and Companyであり,図1[拡大表示]のFW(2),FW(3),庁内LAN上のCS端末の3カ所に対しそれぞれ3~6時間,攻撃を試みたが,成功しなかった――ということなどを明らかにしただけだ。
実験について総務省は「必要十分な時間で,あらゆる手段を使って行った」(自治行政局市町村課 本人確認情報保護専門官 上仮屋うえかりや尚氏)。たまたま実験対象の品川区だけが安全だったのでは,という指摘に対しては,「3カ所いずれも全国統一の機種や設定であり,そこで侵入や権限奪取ができなかったことから住基ネット全体の安全性が再確認できた」(同氏)と主張する。
要は自治体のセキュリティ
住基ネットはLASDECが監視,管理する範囲を指す。しかし,住基ネットを活用していくためには全国の市区町村内のシステムとの連携が欠かせない。今回の侵入実験で確認できたのは,LASDECの指定どおりに設定し,管理している自治体の安全性である。住基ネット全体の安全性を主張するには,すべての自治体で最低限のセキュリティが確保できているかどうかを実際に確認しなければならない。
住基ネットの運用にあたり,総務省は地方公共団体やLASDECなどに対して「住基ネットセキュリティ基準(告示)」の順守を義務付けている。その中には,住基ネットのセキュリティを確保するための体制や規定を設けることが明記されている。LASDECの指定どおりの設定や管理ができていない場合,その自治体は「告示違反になる」(上仮屋氏)という。
ところが,総務省が11月7日に発表した「地方公共団体における情報セキュリティポリシー(情報セキュリティ対策に関する基本方針)等の策定状況」という調査結果では,市区町村レベルでの対策の遅れが明らかになった(図2[拡大表示])。都道府県では93.6%がポリシーを策定済みだが,市区町村ではその割合は49.6%にとどまっているのだ。現場での人的ミスや事故に対する対処の体制が整えられていないという危険が改めて表面化した。
総務省では今後も年1回を目安に侵入実験を行う方針である。また,各市区町村が独自に住基ネットのセキュリティを高めるために行う侵入実験については容認する意向も表明している。