ホーム > 県政情報・統計 > 組織・行財政 > 審議会 > 審議会等一覧 > 住基ネットに係る市町村ネットワークの脆弱性調査最終結果について

ここから本文です。

更新日:2018年6月7日

住基ネットに係る市町村ネットワークの脆弱性調査最終結果について

平成16年2月29日
住基ネット対応チーム

この調査は、住民基本台帳ネットワークが個人情報保護の観点から十分安全かどうかを確認するとともに、必要な対策に関する資料を得る目的で、住民基本台帳ネットワークの一部を構成している自治体のコンピュータネットワークに対して行われたものである。
なお、調査結果については、伊藤穣一氏による第三者評価を実施した。

調査を実施したのは、長野県本人確認情報保護審議会の委員である吉田柳太郎氏並びに吉田柳太郎氏を補助する目的で長野県と委託契約を締結した者1名及びその助手からなる調査チームである。なお、長野県職員若干名が調査に立ち会った。

調査チームは、長野県内の3つの自治体のコンピュータネットワークにおいて、外部・内部のファイアウォール(FW)DMZ内の公開サーバ、既存住基サーバ庁内WEBサーバ、住基ネットCS、住基ネットCS端末等について調査を行い、いくつかの脆弱性を発見した。その主なものは次のとおりである。

 パスワード設定等の問題があり、庁舎の内外から既存住基サーバや庁内WEBサーバに管理者権限ログインできたほか、データベースへのアクセス制限にも問題があり、住基コードなどの個人情報を含む重要なデータを閲覧できた。このことは、データの書き換えが可能であり、書き換えられた住民票データが住基ネットを経由して流通する可能性があることを意味している。

 住基ネットCSを含むコンピュータネットワーク上のサーバのOSが既知の脆弱性を含んだまま運用されており、一定の条件下においては、一般に入手可能なツールによる管理者権限奪取も可能であった。このことは、重要なデータの閲覧と書き換えが可能であり、書き換えられた住民票データが住基ネットを経由して流通する可能性があることを意味している。
また、住基ネットCSで得られたデータを利用してCS端末の管理者権限を奪取することが可能であった。

 既存住基サーバとCSとの間に置かれたFWについては、不要と思われるポートが空いている例があったほか、FWのOSのバージョンが古く、既知の脆弱性を利用した攻撃が行われる可能性が存在した。

 既存住基サーバとCSがデータ交換をする上で必要なアプリケーションに脆弱性のある関数が使われていることが類推された。

なお、DMZ内の公開サーバの脆弱性は発見されていないが、これは調査対象の公開サーバが適切に運用されていたためであり、このことを以て運用状況の異なる自治体のコンピュータネットワークがインターネットに接続されていることの危険性は否定できない。

この調査では、脆弱性の指摘に併せて、自治体が今後取るべき対応に関する提案も行っている。その中には個々の自治体、とりわけ規模の小さな自治体では対応が難しいものも含まれているが、コンピュータシステムの共同運営などの方法により実現していくことも検討していく必要がある。
 

-目次-

1 この調査について
 
 1-1 目的

 1-2 調査方法

 1-2-1 概要

 1-2-2 内部からの侵入調査

 1-2-3 外部からの侵入調査

 1-2-4 留意した事項

 2 調査概要

 2-1 調査対象、調査環境、調査条件等

 2-1-1 調査対象

 2-1-1-1 下伊那郡阿智村

 2-1-1-2 諏訪郡下諏訪町

 2-1-1-3 東筑摩郡波田町

 2-1-2 調査環境

 2-1-2-1 下伊那郡阿智村

 2-1-2-2 諏訪郡下諏訪町

 2-1-2-3 東筑摩郡波田町

 2-1-3 調査条件

 2-1-3-1 下伊那郡阿智村

 2-1-3-2 諏訪郡下諏訪町

 2-1-3-3 東筑摩郡波田町

 2-2 第三者による評価

 3 調査結果・発見された脆弱性

 3-1 庁内LANにおける脆弱性

 3-1-1 ネットワークの設定

 3-1-2 既存住基サーバ

 3-1-3 庁内WEBサーバ

 3-2 CSセグメントにおける脆弱性

 3-2-1 既存住基サーバ/CS間のファイアウォール

 3-2-2 CS

 3-2-3 CS端末

 3-2-4 アプリケーション

 3-3 インターネット側からの攻撃に関する脆弱性

 4 対策

 4-1 庁内LAN関係

 4-1-1 ネットワークの設定

 4-1-2 既存住基サーバ

 4-1-3 庁内WEBサーバ

 4-2 CSセグメント関係

 4-2-1 既存住基サーバ/CS間のファイアウォール

 4-2-2 CS

 4-2-3 CS端末

 4-2-4 アプリケーション

 4-3 インターネット側からの攻撃関係

 4-4 その他

 4-4-1 セキュリティ監査

 4-4-2 SLA

 4-4-3 職員教育

 4-4-4 新たな技術等の導入

 4-4-5 ネットワーク・コンピュータシステムの共同運営

5 その他(略)

お問い合わせ

企画振興部市町村課

電話番号:026-235-7063

ファックス:026-232-2557

より良いウェブサイトにするためにみなさまのご意見をお聞かせください

このページの情報は役に立ちましたか?

このページの情報は見つけやすかったですか?

  • さわやか信州旅ネット(観光機構)
  • しあわせ信州(信州ブランド推進室)