Internet Watch logo
記事検索
最新ニュース

長野県が住基ネットへの侵入実験の結果を公表


 長野県は16日、住民基本台帳ネットワークシステム(住基ネット)の安全性に関する調査結果の速報を公開した。住基ネットは、各市町村にこれまで設置されてきた既存の住基サーバーを、ゲートウェイとなるコミュニケーションサーバー(CSサーバー)を通じて都道府県単位のネットワークに接続し、さらに全体を管理する地方自治情報センター(LASDEC)へと接続されている。今回の調査によれば、このうち既存の住基サーバーとCSサーバーが、管理者権限の取得が可能な危険な状態にあったとしている。

 9月22日から10月1日にかけて、長野県が県内の3町村を対象に行なった安全性調査では、各町村の庁内に設置されたLAN内にある既存住基サーバーについては、庁内のLANからの侵入が可能だったという。また、町村内の出先機関からも電話回線を通じて既存住基サーバーへの侵入が可能であったほか、庁内に設置された無線LANからの侵入も可能であったとしている。一方、インターネットからの既存住基サーバーへの侵入については今回の実験では成功しなかったものの、これは実験を行なった町側の対応が十分であったためとしており、すべての町村で同様に十分な対策が取れているかという点について危惧を表わした。

 CSサーバーについては、CSサーバーが設置されているセグメントに侵入用の端末を設置して試みたところ、やはり管理者権限の取得が可能だったとしている。侵入にはいわゆるバッファオーバーフローを利用するタイプのツールを利用し、管理者権限を取得することで各種データベースにアクセスが可能な危険な状態にあったとしている。16日に行なわれた会見によれば、これはサーバーマシンに必要なパッチが当たっていない状態であったことが原因とのこと。また、CSサーバーと既存住基サーバーの間にはファイアウォールが設置されているが、このファイアウォールを通過して既存住基サーバーの側からの侵入については業務に支障をきたさないように実験したため行なえていないが、理論的には可能だろうと推測している。

 また、今回の調査については、住基ネットのシステム調査委員も務めるネオテニー代表取締役の伊藤穣一氏に第3者評価を依頼しているが、伊藤氏によれば今回の実験対象となった町村のセキュリティレベルは平均以下であり、様々な個人情報が危険な状態に置かれている。地方自治体および地方自治体にシステムを納入しているベンダーに対して、プライバシー保護のためにセキュリティの優先順位を明確に上げていくべきだとしている。

 一方、総務省が10月17日に発表した住基ネットに対する侵入テストの結果では、住基ネットとCSサーバーの間にあるファイアウォールや、CSサーバーと既存住基システムの間のファイアウォール、庁内のCS端末についての侵入は成功しなかったとしている。こうした見解の相違を踏まえて長野県では、総務省との合同での実験を行ないたいと呼びかけている。また、来週中には今回の結果の最終報告をまとめ、公表する予定だ。


関連情報

URL
  住基ネット実験結果 速報
  http://www.pref.nagano.jp/keiei/seisakut/happyou/kaiken/s-kaiken.htm

総務省、住基ネットに対する侵入テストの結果を発表(2003/10/20)


( 三柳英樹 )
2003/12/17 21:24

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2003 Impress Corporation All rights reserved.