Date: Tue, 06 Aug 2002 07:05:05 +0900 Subject: 地方自治体の“穴” こんにちは、大瀧と申します。 いつもセキュリティホールmemoを拝見させていただいております。 というのも、 このところ住基ネットの話であちこち盛り上がってるようですが、 地方自治体の持つネットワークの穴について語られていないことが あるようなので、メールいたします。 “住基ネットは閉じたネットワーク”だなんて言葉を聞いた時、 私は大笑いしてしまいました。 私は1年ほど前まで十年以上にわたり、地方自治体のシステムに 関わってきており、内情を知っていたからです。 よく“ファイヤーウォールが云々”ということを聞きますが、 この点については、実はあまり心配はないものと思います。 と言うのも、私が携わったおよそ50ほどの自治体では、庁内の LANからinternetに接続できるケースはありませんでした。 まぁ、これはまともなファイヤーウォールを構築・維持できる 人材が自治体にはいないし、外部に委託する予算もないからですが。 役所の仕事でinternetに接続する必要はないですし、人や金を それほどに投入することは考えられないのです。 だから庁内のネットワークとinternetが繋がってることは珍しいと 思います。 しかし、他のネットワークと接点がないかといえばとんでもない。 さまざまなネットワークと無数に繋がっていると言って良いでしょう。 それも、往々にして家庭向けの安価なダイヤルアップルータで。 (閉じてない不必要なportもたくさんあるということです) 例えば、私の知る限りで一番やばそうなのが、“介護関連”。 昨年春より介護保険が始まりましたが、それによりあちこちの 福祉施設のパソコンと自治体のネットワークがぞろぞろ繋がって しまいました。 まぁ、接続自体はINS64でグループセキュリティサービスを 適用するのが基本でしたから、第三者がそこから入り込むことは 難しいかと思います。 でも、福祉施設にあるパソコン本体のセキュリティについては、 はっきり言って無いも同然の扱いでした。 小さなところだと職員の数も少ないですから、一時的に無人に なることも珍しくなかったです。昼の食事時とか特に。 そんなパソコンをちょっと拝借すれば、後は庁内までほぼフリー。 なにせ福祉施設あたりだとパソコンに不慣れな人ばかりという ケースも珍しくないですから、Windowsログオン用のユーザIDと パスワードがモニタに張ってあるなんてのも当たり前だったり、 ルータの発信も自動だったり、もう何でもアリな状態でした。 他にもいろんな団体がそれぞれの都合で無数に繋がっている、 これが現状です。 閉じたネットワークなんて、どこにもありませんでした。 私が地方自治体の業務から離れて1年ほどですが、これらが大きく 改善されてると考えるほどの楽天家にはなれません…