知って得するセキュリティのはなし その37
18億円かけた政府のセキュリティシステム、強固過ぎて使われず廃止
1.このニュースをザックリ言うと
- 10月8日(日本時間)頃、会計検査院より、約18億円をかけて総務省が開発した情報管理システム「セキュアゾーン」が一度も使われることなく廃止されたと発表されました。
- システムは2017年度より運用が開始され、各省庁の情報システムをインターネットから遮断されているネットワークに集約し、それぞれの省庁の専用回線からアクセスする仕組みになっていたとのことです。
- しかし、「データは閲覧のみが可能でダウンロードができない」「データ訂正には職員が設置場所まで直接出向く必要があった」「資料作成などをする際は、職員がシステムのデータを再入力する必要があった」「他の情報システムと連携できない」といった理由から実際には使われることがなく、今年3月に廃止されたとのことです。
2.執筆者からの所感等
- 2015年に日本年金機構から個人情報が流出した事件がシステム開発のきっかけとされていますが、その反動から利便性が完全に犠牲にされたことにより、各省庁は導入を見合わせ、旧来のシステムを利用することを選択した模様です。
- 安全な情報システムであるために、例えば「専用線でのみ接続可能な閉域ネットワークである」ことは必ずしも必須ではなく、むしろそれを前提としてしまうことは、「インターネットに繋ぎさえしなければ安全」という誤った振る舞いの原因となりかねないでしょう。
- オンプレミス上である場合・クラウドを用いる場合それぞれについて、どういったセキュリティや運用時・利用時の問題が発生し得るかを洗い出し、安全性と利便性のいずれも欠くことなく十分に満たすシステムを構築することが重要です。