電子自治体推進を支援する情報誌「 新風」

【トレンドビュー】

自治体セキュリティ支援室では、国や地方公共団体などの公的機関における情報漏えいや不正アクセスなどの事故・事件について取りまとめた。なお、分析結果の数字は当室が日々各種メディアから入手したものであるが、このほかにも把握されていない事故や事件が発生していることがあることを考慮願いたい。

減らない情報漏えい事故

 当室では、地方公共団体や国、独立行政法人、公社・公益法人、国立大学法人における情報漏えい、不正アクセス、システム障害等について情報を収集し集計を行っている。
 平成19年度において、情報セキュリティ関連の事故や事件の総数は214件であった。このうち9割に当たる194件が、情報漏えいである。事故の詳細を見てみると、Winnyなどのファイル交換ソフトによる情報漏えいが相変わらず発生している。
 地方公共団体等の業務で使用するパソコンは、ファイル交換ソフトなどを勝手にインストールできない環境になってきたためか、情報漏えいの多くが自宅でファイル交換ソフトを使用中に起きている。このことは、自宅に業務関係資料を持ち帰っていることを意味しており、情報資産の管理という観点から望ましいものではない。
 また、自宅のパソコンが家族で共用され、家族がファイル交換ソフトをインストールしていたことを知らずに、業務ファイルを処理して、情報漏えいにつながった事例もあった。パソコンは“パーソナルコンピュータ”というが、家庭では1人1台という状況にはない。家庭でのパソコンの使い方も考慮する時代となってきている。
 次に、USBメモリーの紛失による情報漏えいも多い。USBメモリーは、数ギガ単位でデータを保存することができる。USBメモリーにギガ単位で情報を保存した場合、紛失すれば大量の情報漏えいにつながることとなる。USBメモリーは小型で持ち運びも便利だが、この小型化が紛失の原因でもある。
 さらに、委託先事業者からの情報漏えいも数件あった。委託事業者に対する情報管理については、契約書に情報管理の事項を締結し、実施状況調査などで確認するなど情報管理を徹底する必要がある。また情報漏えい事故を起こした事業者には、入札への指名停止や損害賠償などの措置を行うことも欠かせない。

不正アクセス対策の充実が必要

 不正アクセスの主な内容はホームページの書き換えである。地方公共団体のホームページが書き換えられ、閉鎖するということは、広報媒体として機能しなくなるだけでなく、住民生活にも影響を与える。ホームページは各種電子申請の受付窓口として利用されているためだ。公共施設の予約など、パソコンから気楽にできたサービスが停止すると、住民にとって不便になる。この点でもホームページの閉鎖は打撃である。


 さらに、webサーバの中にフィッシングサイトを作成されるという事件もあった。フィッシングサイトを作成されると、ホームページの閉鎖により広報媒体が機能せず、電子申請をできなくなることに加え、それ以上の危険を含んでいる点も念頭に置いておく必要がある。発生した事例の中には、地方公共団体のwebサーバに外国のインターネットオークション会社の偽サイトがつくられたケースもあった。
 仮に、この偽サイトを本物と思い込んだオークションサイトのユーザーは、IDとパスワードを入力することとなる。偽サイトを仕掛けた犯人は、正規のIDとパスワードを難無く入手し、これを使って本人に成りすましてオークションやショッピングを行い、ユーザーに対して経済的な損失を与えることとなる。
 経済的損失を被ったオークションサイトのユーザーは、オークションサイト運営会社に損害賠償を行い、次にオークションサイト運営会社は偽サイトを野放しにしていたとして、偽サイトのサーバを管理する地方公共団体に損害賠償請求を行う可能性もある。発生した事例はここまで至らなかったが、他の地方公共団体に同じようなことが起こり得ないとはいえない。
 このような事例は、不正アクセスによりサーバを乗っ取られてしまうことから発生する。そこで、当室では2月から3月にかけて、緊急に「webアプリケーション脆弱性診断」を行った。webアプリケーションとは、図書や公共施設の予約などをホームページの入力フォームから行う場合、その入力フォームのバックで動いているアプリケーションのことである。このアプリケーションに脆弱性があると、特定の文字列等の入力に対してアプリケーションサーバが障害を起こし、最悪の場合はサーバを乗っ取られてしまうのである。事例のように、フィッシングサイトを作成される以外にも他のサイトを攻撃する踏台にされることもある。このようにwebアプリケーションに脆弱性があると大変危険だが、この脆弱性はウイルス対策ソフトでは発見することができないため、専門の診断作業が必要である。

 

うっかりミスに注意を

 さて、地方公共団体における部門別の発生状況を見ると、行政部門が半数に上っており、次に教育部門が続き、この2部門で全体の8割を占めている。個人情報の入った鞄を電車に置き忘れる事例など、システムでは対応できない事例が多く発生していることから、職員の情報セキュリティ意識の向上を図ることが大切である。
 このほか目立った事例としては、パソコンの盗難がある。市役所などの本庁舎ではなく、夜間の警備が手薄となりやすい出先事務所での盗難だ。盗難にあったパソコンに個人情報や業務上の機密情報が入っていなければ、事態は大きくなることはない。だが、個人情報などが入っていた場合は、盗難だけでは収まらずその情報が犯罪に利用される可能性もある。パソコンには個人情報を保存しないことである。
 また、国の行政機関の事例で多かったのは、メール送信時の“うっかりミス”である。メールマガジンの購読者や各種委員会の委員へ送信するメールを、BCCで送るのではなく、CCで送ったという事例である。BCCとCCは、メール送信時の基本事項である。このようなうっかりミスは誰にでも起こり得るものだが、メーリングリストなどの利用でうっかりミスが生じないような仕組みにすることが大切である。

終わりに

 地方公共団体の現場で、情報漏えいが発生していることは事実である。そして、ファイル交換ソフトによる情報漏えいが後を絶たないのも現実である。当室は各種支援を行うが、この現実にどう対応するか、各地方公共団体もしっかり考えなければならない。