ホーム > 情報セキュリティ > LASDEC:住基ネットに対するペネトレーションテスト結果を公開

LASDEC:住基ネットに対するペネトレーションテスト結果を公開

丸山さんのトラックバックからの情報(ありがとうございます。)

LASDEC(指定情報処理機関:(財)地方自治情報センター)が、今年1月に江東区で実施した「住基ネットに対するペネトレーションテスト結果」について公開している。2003年10月に品川区で実施した同様のテストの際は長野の件もあってか総務省から結果が公開されていたが、今回はLASDECからの公開のみのようだ。

対象範囲は前回と同じファイアウォールと利用端末に加え今回はコミュニケーションサーバ(CS)が加わっている。結果は前回同様、基本的に問題なしというもの。

住基ネット本体に対する監査やペネトレーションテストとしては、サーバやデータの管理業務を含めるなどレベルアップが必要だと思われるが、このテストはあくまでも住基ネット本体の安全を確認しようとするものであって、業務や人の管理も含めた利用者側の環境の安全性を確認していない点に注意が必要だ。

3 クロウ社による助言(2003年10月、品川区にてテスト実施時)

 住基ネットの範囲ではないが、庁内LANに対しても、チェックリストによる自己点検やセキュリティ監査を行うべきである。
 同様に、庁内LAN上のデータ送信における高度なセキュリティレベルを維持するための方策を実施すべきである。

3 クロウ社による助言(2005年1月、江東区にてテスト実施時)

 (2)住基ネットの範囲ではないが、庁内LANに対しても、チェックリストによる自己点検やセキュリティ監査を行うべきである。

比較的環境が整備されていると思われる東京都内の2つの区役所において、1年以上の期間をおいて同じ指摘を受けていることから、全国の市区町村の役所の多くが同じ状況にあるのではないかと推測される。またこの記述は、このペネトレーションテスト担当者の、この結果だけでは安全だとは言えませんよというアピールとも読める。住基ネット本体ではなく利用者側の環境に改善の余地があることについては長野の侵入実験を行ったEjovi Nuwere氏からも指摘されている。

住基ネット本体については総務省あるいはLASDECの管轄で安全確認や管理が行われるが、各現場の自治体はそれぞれに権限があるため、総務省やLASDECも手を出すことができない状態にあるのだろう。一部の自治体にしてみれば住基ネットを押し付けられて人も予算もないのにやってられないということかもしれない。このためにセキュリティレベルの異なる自治体が相互に接続され、結果的に全体の安全管理が難しくなっている。

一般的なセキュリティ管理の観点から言えばトップダウンで管理ができれば効率が良いが、地方分権化などの政治的制約もあり、セキュリティ管理のあるべき姿と現実の間でひずみが生じている。その結果、危険な状態にさらされるのは住民の個人情報である。

そろそろ、賛成だ反対だと意地を張り合うのではなく、全体の適切な安全管理のあり方について前向きに話し合うべきなのではないだろうか。

【参考情報】
■住基ネットに対するペネトレーションテスト結果(地方自治情報センター)
http://www.lasdec.nippon-net.ne.jp/rpo/pene_2005.pdf

■LASDEC、住基ネットに対するペネトレーションテストの結果を発表(ZDNET Japan)
http://japan.zdnet.com/news/sec/story/0,2000052528,20082321,00.htm

■地方公共団体セキュリティ対策支援フォーラム(地方公共団体セキュリティ対策支援フォーラム)
http://lg-sec.jp/

■住民基本台帳ネットワークシステム(総務省)
http://www.soumu.go.jp/c-gyousei/daityo/

■住基ネットに対するペネトレーションテスト結果(まるちゃんの情報セキュリティ気まぐれ日記)
http://maruyama-mitsuhiko.cocolog-nifty.com/security/2005/04/post_a8a9.html

【2003年10月のLASDECペネトレーションテストに関する記事】
■住基ネットに対するペネトレーションテスト結果報告(総務省)
http://www.soumu.go.jp/c-gyousei/daityo/pdf/031017_1.pdf

■「住基ネットへハッキングは無理」,総務省が米国会社の侵入テスト結果明かす(日経ITPro)
http://itpro.nikkeibp.co.jp/free/NCC/NEWS/20031017/135681/

■総務省、住基ネットに対する侵入テストの結果を発表(Internet Watch)
http://internet.watch.impress.co.jp/cda/news/2003/10/20/798.html

【長野県住基ネット侵入実験に関する記事】
■長野県住基ネット侵入実験のNuwere氏「管理責任の所在をはっきりと」(MYCOM PC WEB)
http://pcweb.mycom.co.jp/articles/2004/11/17/securitylab/

■「住基ネット侵入実験」をめぐる総務省と長野県の知られざる暗闘(Internet Watch)
http://internet.watch.impress.co.jp/static/column/jiken/2004/01/21/index.htm

カテゴリー: 情報セキュリティ タグ:
  1. 2005 年 5 月 6 日 11:09 | #1

    住基ネットペネトレーションテスト結果を公開

    再び、住基ネットに対するペネトレーションテスト結果が公開されているそうです。
    とても詳しく丁寧なブログです。参考になります。

    最近思うに、例の論争も一過…

  1. トラックバックはまだありません。

CAPTCHA