住基ネット関連のお話よ。
http://www.mainichi-msn.co.jp/it/network/news/20040827org00m300131000c.html
http://www.pref.saitama.jp/
http://www.pref.saitama.lg.jp/A02/BO00/juki-net/zeijakukensa.html
発端は毎日新聞のサイトからの情報なの。

http://www.mainichi-msn.co.jp/it/network/news/20040827org00m300131000c.htmlより
埼玉県は住民基本台帳ネットワーク(住基ネット)への侵入実験を行い、「安全性に問題はない」との結論を得ていたことが26日、分かった。

やっぱり結果には興味があると思うの。あたしも当然のように興味をもったわ。
でも、記事が書かれた当日(8/27)、埼玉県のサイトに行ってみたんですけれども…どこを探してもそんな情報が見当たらないの。
あんまりにも見つからないものだから、E-Mailで確認してみたので。実験結果を見たいからURLを教えて頂戴、って。
でも…全然連絡がこないの。仕方がないからないことを前提にBlogを書こうかしら、って思ってたら、2004/9/3 16:15 にメールが帰ってきたわ。こんな内容だったの。

メールへの返答より
回答が遅れまして、申し訳ありません。
広聴広報課ホームページ担当から、
標記資料についてのお問い合わせをいただきました。
御指摘のとおり、Web上で公開していませんでしたが、
９月３日（金）夕方４時頃、ホームページ上で公開を始めましたの
で、
御連絡差し上げます。

http://www.pref.saitama.lg.jp/A02/BO00/juki-net/zeijakukensa.html

埼玉県総合政策部市町村課
住民基本台帳ネットワークシステム担当

ん〜、ちょっとどうかとは思ったんですけれども。だって、Webでの公開が遅すぎやしないかしら？
でもまぁ、きちんとご連絡をいただけたことでもあるし、って思ったの。まずはちゃんと見てみましょう、って。
…絶句したわ。
あわてて修正とかサイトの削除とか色々なシナリオが考えられるので、ほぼ全文を引用してみるわ。

http://www.pref.saitama.lg.jp/A02/BO00/juki-net/zeijakukensa.htmlより

県の住基ネットシステムにおける技術的脆弱性検査の実施結果について

平成16年9月3日

目的

住基ネットは、制度面、技術面及び運用面から様々なセキュリティ対策が講じられており、稼動以来トラブルは発生していません。一方で、住基ネットで扱われる情報は個人情報であることから、情報の漏洩等について不安を訴える声があることも事実です。このため、県が管理する住基ネットシステムの技術的なセキュリティ対策の有効性や確実性を検証評価し、必要に応じて改善・見直しを行うために技術的脆弱性検査を実施しました。



２　検査対象

県が整備管理する住基ネットシステムのファイアウォールと業務端末を対象に実施しました。



３　検査日・検査機関

平成１６年７月１３日（火）

インターナショナル・ネットワーク・セキュリティ(株)（東京都新宿区）



４　検査方法

庁内ネットワーク内からの不正アクセスを想定し、管理者権限の不正取得、業務情報の不正取得につながる脆弱性や情報防御の不備が存在しないか技術的見地から検査しました。



５　検査結果

総評として、適切な機器設定により不正なアクセスは遮断されました。



検査過程において、ネットワーク機器の適切なアクセス制御により庁内ネットワークからは住基ネットのファイアウォールや業務端末には到達することができなかったため、住基ネットのセグメント（領域）から直接ファイアウォール等への攻略を試みましたが、不正アクセスが可能となるような脆弱性は発見できませんでした。



なお、直ちに住基ネットへの侵入や個人情報の漏洩に繋がるものではありませんが、業務端末のセキュリティをより高めるため、検査機関から助言された事項については、すでに対策を完了しています。

…報告にも何もなっていないことに気づかないものかしら？
あたしをあれだけ待たせたんですから、さぞかし詳細で且つ美麗な報告書だろうって期待していたのよ？
女を待たせておいてのこの体たらく、どういうつもりなのかしら？
もちろん、思う存分切らせていただくわ。覚悟はよろしくってかしら？


目的はまぁよろしくってだわ。突っ込むんであれば「技術的脆弱性以外、もっとはっきり言うと社会的脆弱性(ソーシャルハッキング)への考察ってのも十分にしていただきたいところではあるんですけれども。それでも、技術的な脆弱性への検査ってものの重要性は十分にあるものですし、その意義は小さくないと思うわ。
ただ、検査対象がすでに疑問だわ。詳細でなくてかまわないから、ネットワーク図くらいは用意できないものかしら？
検査日が一日ってのも微妙に不安だったんですけれども…もっとすごいのは検査方法。なにも詳細が書かれていないわ。これじゃ「その検査が有効なものであったのかどうか」なんて誰も判断できなくってよ？
しかも、テスト結果もなにも書かずにいきなり検査結果になり、如何にも穏便な「問題なし」発言。
さらに、問題なしの発言の直後にもかかわらず「直ちに住基ネットへの侵入や個人情報の漏洩に 繋がるものではありませんが」と逃げをうっておいての「業務端末のセキュリティをより高めるため、検査機関から助言された事項については、すでに対策を完了」。いったい、どんな助言があってどんな対策をとったのかしら？


全体的にみて、あまりにも杜撰というか、建前だけというか、上っ面というか……。目の前の、如何にも血に餓えまくった様子の吸血鬼が牙をむき出しにして息も荒いような状態で「お嬢さん、大丈夫ですあなたの血は吸いませんから」って言ってる言葉のほうが、まだ信用できそうってものだわ。
ここまで杜撰だと、テスト内容も推して知るべし…って思っちゃうの。
で、ここまできたらやっぱり恒例の「関連してるものを調べる」だわ。今回は実施会社であるインターナショナル・ネットワーク・セキュリティ。サイトを持っているわ。
http://www.insi.co.jp/
で、見るんですけれども…なんていうかあたし的には怖さ大爆発って感じだわ。
そうねぇ。とりあえず、Top PageのHTMLを見ると分かるんですけれども。
＜meta name="generator" content="Adobe GoLive 4"＞
ってヘッダを残してるあたりで、ちょっとあたし的には心配が募るわ。理由が分からないネンネなボウヤは、もうちょっと大人になってからおいでなさい。
他のコンテンツを見ても、なんか如何にも「大企業と官庁系に強いところ」って感じだわ。これをもう少しはっきり言うと「何も分かってない連中相手に適当やってるフリをしてお互いに安心する」、嫌な構図が簡単に連想できるの。
もちろん、これはあたしの一方的な、勝手な想像よ。でも、じゃぁ「この会社は大丈夫、高いスキルで真摯な対応をきちんとしてる」って思えるところがどこにあるのかしら？
あたしの今までの経験から考えると、怖い想像ばかりが、あたしに群がる男達よりもすごい勢いで襲ってくるわ。


「検査をやって安全だった」って発言はいい加減聞き飽きているの。あたしが望んでいるのは「安心できるという感情誘導や妄想」ではなくって「現状を把握できるために必要な情報」だわ。極端な話、安全だったかどうかなんて記述は不要なの。その判断は各個人ですべきだわ。現実を考えても、テスト項目、結果、「その会社や官庁/組織と無関係な」「複数の」専門家による「結果から推測できる状況への意見」を載せるべきだわ。
暗闇で怖いときに目をつぶっていれば安全だ、って、本気で信じているのかしら？
信じているなら、目をつぶって御覧なさい？ 大丈夫、心配はいらないわ。だって安全なんですもの。あなたが死ぬまでは、ね。
死んでから後悔しても遅くないって、きっと本気で考えているのね。愚かさもここにきわまれり、だわ。