武田圭史

昨日のエントリー「埼玉県：住基ネットに関しISMSとBS7799の認証を取得」で、

本来重要なのは危険を確認した上でそれをいかに安全な状態に改善していくかというプロセスのはず。

と書いたところ、セキュリティーホールメモの小島さんから、

うーん……。 住基ネットの問題は、1 地方自治体が ISMS 取ったからどうこうというレベルではないような。 全ての地方自治体が ISMS 取る、というのなら話は多少違ってくると思うけど。

・・・

　住基ネットの問題は、「改善」というレベルで対処できるんでしょうか。

という反応をいただいた。また、同様のニュアンスのコメントの投稿もあった。せっかくなので、以前から住基ネットのセキュリティに関して私が感じていたことについて述べてみたい。

住基ネットのセキュリティに関してはこれまでもいくらかの議論が繰り広げられてきたが、賛成・反対に関するプロパガンダに終始し安全確保に関する本質的な議論がないがしろにされている感がある。

原因として、住基ネットの趣旨自体の是非に関する議論と、稼動している住基ネットの安全性を確保するための議論が混同されていることがあるように思う。先のエントリーでは、住基ネットの一利用者である埼玉県が自治体の立場で認証を取得し自らの安全性を向上する努力をしていることを評価したつもりだったが、それに対する反応は住基ネット全体の安全性云々というものだった。以前テレビ等で住基ネットに反対している方々の主張を聞いたときも、セキュリティが危険だという漠然とした問題提起はあるものの、具体的な問題点の指摘や防護策の限界に関する議論がなく物足りなく感じた。

保護すべき情報に対し、どのような脅威やリスクが存在し、具体的にどのように守るかを考えるというセキュリティの世界では普通に行われる取り組みが、「住基ネット」という言葉がついた途端に冷静に行えない状況が生まれているのではないだろうか。そしてその状況があいまいなセキュリティ管理を生み出し、結果的に市民の情報の安全を脅かすことになるのではないだろうか。

稼動中の住基ネットの安全性については、指定情報処理機関によるセキュリティ管理の範囲である基幹部分がこれまで議論の中心とされてきた。多少なりとも情報セキュリティ管理に関わったことのある人物なら、実際の利用の現場となる市区町村の役所等での安全性確保が最大の課題となることはすぐに分かるはずだ。

住基ネットが実際に稼動し市区町村等の端末が接続されている現在、自治体のセキュリティ管理の重要性が高まっているにも関わらず、感情的な議論になってしまうため、本当に必要な対策について考えにくい状況が生まれているのではないだろうか。これにより自治体も腫れ物には触れたくないという体質になり、結果的に市民の情報が危険にさらされるという事態だけは避けたいものである。

【参考情報】
■埼玉県：住基ネットに関しISMSとBS7799の認証を取得(武田圭史)
http://motivate.jp/archives/2005/03/ismsbs7799.html

■2005.03.31（セキュリティホールメモ）
http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2005/03.html#20050331__juuki