--今回発表予定だった内容のさわりだけでも、差し支えない範囲で教えて欲しい。

一番重要だと思っているのは「ネットワーク管理に関する責任の所在がはっきりしていない」ことだ。例えば、もし(住基ネットで使われているシステムに)何らかの脆弱性があった場合、システムにパッチを当てるかどうかの判断を誰が行うのかといった点について対処がなされていない。

もちろん技術的な意味でもいくつも問題があり、「ここを直せばいい」というものではない。ただそれ以前に、そもそもシステムに問題が出た際の修正に関するプロセスがはっきり定義されていないため、次々問題が起こってしまっているという点を指摘するつもりだった。

--そういった体制を整えるにはコストがものすごくかかると思うが、そこまでやる意味はあるのか?

自分は政治家ではないので予算等を考える立場にはないし、いい答えはない。しかしセキュリティの専門家としての立場から言えば「大事なものはどんなにお金をかけてでも守るべき」だと考えている。

--長野県での侵入実験について、総務省は当時「同実験ではファイアウォール越えができていないので実際の運用上問題はない」との見解を示していたが?

いくら(ファイアウォールで)制限が加えられていても、(ファイアウォールの内と外で)通信が可能な限りは何らかの形で侵入が可能になる可能性が残る。

--県調達のファイアウォール(政府と県との間に設置)をテストしなかったのは不正アクセス禁止法に触れないためか?

そうではなく、長野県との契約で定められたテスト範囲にそのファイアウォールが含まれていなかったのが理由だ。もし契約上テストが認められていたらその部分もテストしていたかもしれない。

--結局市町村ファイアウォール(県と市町村の間に設置)は潜り抜けられたのか?

実験では実際のサーバへの攻撃は行っていない。というのは、(県のコミュニケーションサーバは実運用されているものなので)県内の住基ネットのサービスに影響を及ぼす可能性があるからだ。

当時の実験では一部のソフトに脆弱性があったため、実際のところファイアウォールの有無はほとんど侵入の可能性には関係がなかった。テストは2回行ったのだが、初回テスト時はそもそも市町村ファイアウォールは設置されていなかった。2回目のときはファイアウォールが置かれてはいたが……。

同氏が発表で使用する予定だったスライドの一部

地方自治体のセキュリティ向上は世界的な課題

--話の趣旨はよくわかったが、日本の自治体が一斉にセキュリティレベルを上げるといったことは実際には困難であり、どこかに脆弱性は残ってしまうのではないか?

それは日本に限った問題ではなく、世界的に重要な問題だ。地方自治体は一般的に政府本体に比べると予算や人的リソースが限られており、彼らにセキュリティを任せてしまうのは難しい部分がある。

--長野で侵入実験を行った当時に比べ、今の状況は改善しているのか?

そう信じたい。1年前に出した改善案が実行されていると思いたい。

ちなみに今日はその後の調査による推奨策を加えるつもりだったが、一つ一つを細かく説明すると1冊の本が書けるぐらいになってしまう(笑)。このあたりの詳細については、できれば総務省に直接説明したいと思っている。

--最後に、外国の電子政府システムと比較した場合、住基ネットのレベルはどの程度だと考えているか?

日本政府は最善の努力を行っていると信じている。ただシステムの開発段階でセキュリティを想定していなかったと考えられる点は問題だ。そのことを認識しておかないとセキュリティは向上しない。