長野県は住民基本台帳ネットワークシステム（住基ネット）の運用で新たな方針を打ち出し，その実現に動き出した。独自に調査した結果から，県内の市町村の庁内LANでセキュリティ上のぜい弱性が改めて明らかになり，住基ネットをめぐる安全性は極めて深刻な状況となっていると判断したからだ。

図1●長野県の今後の住民基本台帳ネットワークシステム（住基ネット）にかかわる運用方針 自治体によってセキュリティ・レベルの格差が生じないように，中小規模の自治体では共同アウトソーシングによる運用を行っていく。また，長野県外からの不正アクセスを防ぐために，県域住基網を別途構築し，いったん県が管理するネットワークに集約してから住基ネットへ接続するようにする

図2●長野県が実施した市町村ネットワークの安全性調査 住基ネットにかかわる安全性を確認するために，2003年9月から11月にかけて長野県が独自に実施した。主な実験は4種類。実験を行う過程で，庁内LANとCS間のFWを通過する仕組みや，地方自治情報センター（LASDEC）が監視するFW（D）の監視レベルもチェックした

図3●長野県の調査に対する総務省の見解と今後の対策 以前から総務省が主張する「住基ネット自体の安全性は高い」という見解に変わりはない。しかし，セキュアな電子自治体を構築する観点から，引き続き，全国の市区町村における庁内LANのセキュリティ・レベルの維持，向上を図るための取り組みを行うとしている

　長野県が昨年末に打ち出した方針は大きく2つある。住基ネットに関して共同アウトソーシングを進めることと，各市町村の住基ネット接続部分を県が管理すること，である（図1[拡大表示]）。

独自に自治体の安全性を向上

　1つめは，中小規模の市町村のセキュリティ・レベルを底上げするために，いくつかの市町村で住民基本台帳にかかわるシステムを共同運用するもの。既に，長野県の10市町村で構成する上伊那広域連合では共同センターを設け，住基ネット専用サーバー（CS）やCS端末，既存の住民基本台帳システムを運用している。

　今後長野県は，共同でアウトソーシングするこの方式をさらに広める。ハウジングするだけなのか，住基ネットの運用にかかわるすべての作業をアウトソーシングするのか，といった細かな点について検討を始めている。

　2つめは，長野県の中だけで“閉じた住基ネット”を作ろうというもの。県の高速情報通信ネットワーク整備事業の一部として，各市町村を結ぶ「県域住基網」を設ける予定だ。現在稼働中の住基ネットと，各市町村のCSやCS端末がつながっているLANとの間に，もう1段階，ファイアウォール（FW）や侵入検知システム（IDS）を設置する形を想定している。

　この県域住基網は，地方自治体と中央官庁を結ぶ総合行政ネットワーク（LGWAN）の一部として整備し，共同アウトソーシングしている自治体の庁内LANからLGWANへ接続するための“足回り回線”としても活用することを検討中だ。長野県は，「自治義務だからこそ住基ネットの運用には，県下118の市町村のネットワーク・セキュリティの底上げが不可欠。県内のセキュリティ・レベルをある一定以上の水準にしたうえで，県外からの住基ネットを通じた不正アクセスは県で防御し，市町村を守っていく」（経営戦略局 参事 松林憲治氏）。2004年1月中にも，各市町村と県域住基網について協議を進める予定である。

独自実験でぜい弱性が判明

　なぜ長野県は，このような全国でも例のない方針を表明したのか。それは，2003年9月から11月にかけて同県の3町村で実施した「市町村ネットワークの安全性確認のための実験」で，住基ネットにつながる庁内LANにぜい弱性が判明するなど，住基ネットにかかわる安全性は深刻な状況にあると判断したためだ（図2[拡大表示]）。

　実験で指摘されたぜい弱性を改善するために，これまで長野県本人確認情報保護審議会で議論されていた「県独自の住基ネット」が，実現へ向けていよいよ動き出した形になる。

　今回実施した実験では，(1)インターネットから自治体の庁内LANへの不正侵入が可能か，(2)出先機関などから自治体の庁内LANへ不正侵入が可能か，(3)庁内LANに接続した端末から住民基本台帳を管理するサーバーやデータベースの管理者権限が取れるか，(4)庁内LANと住基ネットの間に位置するCSとCS端末の管理者権限を取れるか――の4つを調べた。

　(1)(3)(4)の実験はいずれも，公開されているセキュリティ・ホールを実証するプログラム（Exploit）を用いて，バッファ・オーバーフローを起こし，管理者権限を取れるかどうかや不正侵入の可能性を調べた。実際に(3)と(4)では，管理者権限を奪取できた。特に実験(3)では，サーバーのOSだけでなく，既存の住民基本台帳システムのデータベースの管理者権限を奪取できた。

　長野県は実験用の端末を直接，庁内LANなどに接続して調査を行った。このため，調査結果を公表した段階で，県に対して疑問の声が相次いだ。しかし，「（2003年10月に）総務省が発表した実験でも，CS端末の安全性を確認する際には，CS端末と同じLAN上に実験端末を設置している。同じ方法でサーバーや端末の安全性を調べたにすぎない」（実験を指揮，監督した本人確認情報保護審議会の吉田柳太郎氏）と県側は反論する。

　同時に，長野県は「CSと庁内LAN間のFW（図2のC）を通過する仕組みも判明した」と発表した。開いているポート番号だけでなく，どういうきっかけで既存の住民基本台帳システムからCSにデータが流れるかが判明した。これは，既存の住民基本台帳システムでOSとデータベースの管理者権限を取れたため，ログの内容を調べることができたからだという。

「住基ネット本体に危険はない」

　一連の長野県の実験に対して，総務省は，「自治体の庁内LANの問題を住基ネット本体に危険があるかのように取り上げたことは誠に遺憾である」（自治行政局市町村課 本人確認情報保護専門官 上仮屋（うえかりや）尚氏）としたうえで，長野県の調査結果に対する見解と今後の対策を発表した（図3[拡大表示]）。

　このうち，総務省が昨年10月に発表した東京都品川区でのペネトレーション・テスト（本誌2003年12月号レポートpp.18-19を参照）と比較すると，CS端末の安全性に関しては正反対の結果が出た。これについて総務省は，「長野県が実験を行った時期は，まさに新しいパッチの動作をLASDECが確認している最中で，僅差でパッチの適用指示が間に合わなかったため。設定が間違っているわけではない」（上仮屋氏）とした。今後は，万全を期すためパッチの動作確認の時間をさらに短縮する。

　また，FWに対して実際に攻撃を行わずに通過の仕組みが分かったとしている点については，「確かにFWの通信内容は実験端末をつなげば容易に知ることができるが，だからと言って即座にFWを攻略できるわけではない」（上仮屋氏）としている。

　ただし，長野県が指摘する市町村ネットワークのぜい弱性は総務省も重視しており，全国の各市区町村のセキュリティ対策強化に対する財政的および技術的支援を検討する。