![Joi Ito [logo]](/_site/img/joi-ito-logo-300.png){kind=logo}
2002年の5月あたりまでは、総務省は「住基ネットは専用線で構成された独立したネットワークでありファイアーウォールがあるから安全だ」という主張を続けてきた。しかし稼働を控えた7月になると、どうも発言が少しずつ変わってきている。
7月13日になると、様々な所からセキュリティ対応の不足を指摘されたためか「システムのセキュリティーに欠陥がないか、抽出した市町村を対象に外部監査を行う」と言い出した。ネットワーク・セキュリティは鎖のようなもので、一番弱い所から壊れる。そのため、ネットワークにつながったシステムの監査はすべて行わなければ意味がない。ここで「抽出した市町村」で充分と考えた人は、ネットワーク・セキュリティの基本を理解していないのを露呈したことになる。
(originally on http://www.yomiuri.co.jp/01/20020714ia01.htm)
それが7月20日になると、総務大臣は「システムの安全性点検のため全市町村を対象に外部監査を実施する考えを表明」した。ところが全市町村のセキュリティ監査をやろうとすると、3241自治体あるから1カ所1日かかるとして3241日になる。そして日本でセキュリティをやっているのは、セキュリティに特化した会社が5社くらい、あとは大手ITベンダーの部署の形だ。セキュリティ監査はレベルの高いエンジニアしかできないので、現実的に住基ネット監査には20チームくらい用意できれば良い方だろう。ということは休みなしでやって、3241日 / 20チーム = 162日かかるのだ。
マシンが何台もある大きな自治体ならさらに時間がかかり、当然監査で発見された問題を修正する日数は別だ。ということは、向こう1年間は、住基ネットはセキュリティ状態が不明のまま運用されることになる。加えると、この監査予算はどこが用意するのだろうか?
(originally on http://www.mainichi.co.jp/news/flash/seiji/20020721k0000m010054000c.html)
さらに7月22日、総務大臣は毎日新聞社主催の「電子自治体推進会議」基調講演で、「住基ネットは専用線で構成された独立したネットワークでありファイアーウォールがあるから安全だ。」という主張を繰り返した。
イベントレポート 電子自治体推進会議2002
しかし翌日7月23日には、住基ネットの全国的な管理・運用を担当する(財)地方自治情報センターで、住基ネット関連の自治体職員らとの連絡用に作成したウェブサイトが、組織名などから容易に推測可能でしかも全国の自治体職員に同一なIDとパスワードを使わせていたことが明らかになった。おまけにパスワードの更新も行われていなかったという。
ワキ甘い住基ネット 簡単ID・パスワード、情報漏れる恐れ?
今度は7月29日、住基ネットの保護措置を定めた「セキュリティー基準」を告示する前に、地方自治情報センターが自治体に個人データの入力を指示していたことが報道される事態になった。この入力が始められたのは5月の連休明けの話で、「セキュリティー基準」が告示されたのは6月10日だったという。
住民データ「見切り入力」に残る懸念 日程を優先
もし住基ネットが設計段階からまともにセキュリティに配慮していたなら、このようなドタバタを演じることにはならなかったのではないか? それとも、セキュリティについて考えた誰かはいたのだろうか?
