03/12/19 13:49
★住基ネット―食い違う意見の中で見えてきた2つの隔たり
長野県は12月16日、住基ネットのセキュリティに関する調査結果の速報を発表。
一方総務省はこれに反論するコメントを公開した。
長野県は12月16日、住民基本台帳ネットワークシステム(住基ネット)のセキュリティに
関する調査結果の速報を公開した。
住基ネットは、住民基本台帳のネットワーク化を図り、全国共通の本人確認が行える
仕組みを目指したシステムだ。元々各市町村のLAN(庁内LAN)内に設置されていた既存の
住基システムを、ファイアウォールおよびゲートウェイの役割を担うCS(コミュニケーション
サーバ)経由で都道府県ネットワークに接続。ここからさらにファイアウォールを経由し、
指定情報処理機関として同ネットを管理するLASDEC(地方自治情報センター)から行政
機関に接続する仕組みである。
長野県が同県阿智村、下諏訪町、波多町を対象に行った一連の侵入テストの結果によると、
このうち庁内LANから既存住基サーバ(庁内LAN内に設置)への侵入が可能であり、住民税
などに関する非常にセンシティブな情報の閲覧、改ざんが行える状態だったという。また、
庁内LANと住基ネット側ファイアウォールの間には、CSクライアント/サーバが置かれているが、
このネットワークセグメント(ここでは仮にCSセグメントとする)に何らかの手段を用いて端末を
接続すれば、exploit(悪用プログラム)を利用し、CSクライアントおよびCSサーバの管理者
権限が奪取できる状態にあった。これが事実だとすれば、庁内LANのセキュリティは、はなはだ
深刻な事態にあるといえるだろう。
続く