• 住基ネット一時停止旅券申請影響東京・世田谷(Mainichi Interactive)

ずいぶん騒ぎが大きくなったなあ。とはいえ庁内のPCが感染したという時点ですでに技術的なセキュリティレベルがだめだめでしょう。

もっとも「住基ネットセキュリティー会議」を招集したというところから、一応の危機管理体制が機能しているらしいことはわかる。けれどもやるべきことってHotFixの適用とその徹底くらいしかないんだよな。にもかかわらず『運用再開のめどはたっておらず』ってのは、『セキュリティー会議』の機能不全を疑りたくなってしまうような話である。ヘタをするとただのポーズなんじゃないの？ってことにもなりかねない。それで住民へのサービスが止まってしまうような現状では「万全を期す」の掛け声もむなしく響くばかりである。そういえば住基ネットの端末って他のネットワークから物理的に遮断されてなくてもよかったんだっけ。

でもって記事の下のほうにある園田寿・甲南大教授のコメントもなんだかなあ、という感じのものである。Blasterに関してはファイアウォールは有効な対策として機能するのだが、コメントでは『ファイアーウオールも万全とは言えない』という一般的な認識にとどまっている。少なくとも技術に明るくないのは確かだ。まあ専門が刑法・情報法ってんだからしょうがない面はあるにせよ、それなら中途半端にわかってるようなこと言わなきゃいいのに。

とまあいちゃもんつけまくりなのであるが、それと同時にこれくらいが一般の＿＿つまり技術に明るくない＿＿人の取りうる最善の対応なのかもしれないとも思う。むしろこの対応はかなり上出来なのではあるまいか。危機があると認識した時点でサービス停止というのはセキュリティ管理としては常識といえる。それをきっちり実践したところは評価していい。

けれどもやっぱり今回の対応というのは現時点における住基ネットのセキュリティ体制に問題があることを示してしまったのだと思う。そう判断する根拠はふたつあって、そもそも住基ネットがインターネットから物理的に遮断されていればサービス停止にはいたらなかったということがひとつ。そして技術的には簡単に対応できることでここまで大騒ぎしてしまうということがひとつだ。

この二つの問題は、つまるところセキュリティ体制において技術と管理のバランスが取れてないんじゃないの？という疑問につながっていく。そういう体制に問題がないだなんて、少なくとも私は思わないのである。

ところで、上の話では技術と管理をまったく別次元の問題として捉えてるんだが、そのへんちょっとわかりにくいだろうか。そのあたりの切り分けがうまくできないと組織としてのセキュリティはまずうまくまわらないはずなのだが。ものすごくおおざっぱな言い方をすると、技術は機械を相手にし、管理は人を相手にする仕事というところかな。どっちが大事、というものではなく、両者のバランスがきちんと取れていないとダメ、という類のものだ。