出版社内容情報
長野県住基ネットの「安産確認実験」にかかわった著者が、セキュリティを守るために、いま何が必要かを発言する。櫻井よしこさん、清水勉さん推薦!
第1章
[あたまの転換]
毅然とした態度でいいわけができますか?
・なんでもかんでも怖いと言ってるつもりはありません
・「自治体が守り通す、賠償を含めて責任を負う」と言えますか?
・データベースをころっと持って行かれたら「一人あたり500円」はどうしようもなくかかります
・住民から賠償請求がされたとき窓口で毅然とした対処ができますか?
・「僕が100%悪いと言われる覚えはありません」と言えますか?
・毅然とした態度で「いいわけ」をするためにとにかく「パッチ」をあてましょう!
第2章
[ことばのおさらい]
ファイアウォール・VPN・IDS
・通過できない「ファイアウォール」なんてありません
・「VPN(仮想専用線網)」は、共用ネットワークを「暗号のトンネル」で分けたもの
・不正侵入検知システム(IDS)は自治体側への「侵入」を検知しません
・不正侵入検知システム(IDS)があってもアタックを防ぐことはできません。
実害がおよびます
第3章
[セキュリティ対策の限界]
セキュリティレベルを100%にできないのはなぜ?
・小学校六年生程度の日本語を読む力があれば、他人のコンピュータを乗っ取る
「コンセントを抜く」ことのリスクとコスト
第5章
[セキュリティ対策のコスト]
損失を防ぐ投資は利益を生む投資と同じものです
・どこまでセキュリティ対策を行っていたかで損害賠償額は決まります
・でも、お金をかけたらなんとかなるというものでもありません
第6章
[不正アクセスの実態]
不正アクセスはどうやってやるの?
・CSサーバに問題があることを確認したのは僕が初めてではありません
・セキュリティ対策をきちんとやるには「不正アクセス」の実態を知ることがだいじです
・「不正アクセス」と攻撃の法律上の定義
・ネットワークに対する攻撃の手順は?
・告訴に至らない不正アクセスは、急速に増加しています
第7章
[セキュリティ対策の実際]
民間企業はどんな対策メニューを採用しているの?
・セキュリティ監査(オーディット)は、「人間ドック」と同じです
・「運用・管理状況に対するコンサルティング」はベンダーさんが仕様書まで書いている
自治体では必須です
・「相関分析」の重要性をぜひ理解してください
・何か困ったときに相談できる人を作っておいてください
・「対応フォーセキュリティ10原則
・できないことはしない、しなければ問題は発生しない
【資料】
住基ネットに係る市町村ネットワークの脆弱性調査最終結果について
はじめに
IT社会の「メリットと闇」
コンピュータネットワークは現代の怪獣、モンスターです。それは、社会に非常に大きな影響を及ぼす存在になっています。有名芸能人が自分のホームページで、状況によってはプロダクション事務所を離れると宣言すれば、社長が名誉会長になり三〇代の社長が就任することになったりします。ホームページの意見が、企業の株価を急落させる要因となる時代なのです。
そういう時代のなかで、国は万全の体制と対策でITを国家戦略として推進するとしてきました。たとえば、二〇〇一年一月IT戦略本部が策定した「e-Japan戦略」では、「我が国が五年以内に世界最先端のIT国家となる」ことが目標とされています。その構想には、ITの推進によって新規雇用が生み出され、高度情報社会によってすべての国民が一律に大きなメリットを享受できる……といったバラ色の表現ばかりが並んでいました。
しかしITには本質的に、深くて目には見えない深海のような闇が広がっているのです。
各省庁のホームページの改ざんや電子個人情報の漏洩、誹謗中傷掲示板の存在、対策を誤れば人事や株価にまで影響を及ぼすネットワーク社会……。吉田が長野県「安は、ほんとうの意味でのITの活用はできるはずがありません。
たとえば、IT社会は新たな差別を生むものです。
あらゆる情報を入手することの手間は格段に減りました。現在は、検索エンジンを使うことができれば、ほぼ入手できない情報はないとも言われる状況にあります。そのため、ITを活用して情報を得る人と、ITを活用しない人あるいはできない人との間での、情報の乖離は急速に広がり埋まらなくなっているのです。そこにさまざまな新しい差別が生まれ、拡大していく素地が存在しています。
ネットワーク上で情報を共有し活用する「IT社会」と、人間と人間が直接触れ合うことで情報の占有的利用が行われてきた従来型の社会とでは、他の社会(コミュニティ)との接点で公開される情報の量と質が、格段に異なっています。そして、国や自治体のそれぞれの行政執行組織は、明らかに「人間と人間が直接触れ合う」型の社会です。
それでも、IT化推進で先行した国はまだましだといえます。成功しているとは思えないまでも、国はそれなりに「ITを活用して情報を得る」ことで「ネットワーク社会における勝ち組」になろうとしています。ところがここで「IT社会の深い闇」に落ち込んでいる通用しません。IT社会に一度解き放たれた情報は二度と回収できないからです。
言ってしまえば「住基ネット」は、財政能力もある、技術能力もある、責任能力もある自治体が先行して導入すればよいシステムです。その導入、運用ノウハウを後に続く自治体に提供できれば、広がりもでてくるはずです。ところが現実は、そうではありません。安全対策を十分に行えない自治体が問題を抱える存在であることは、今や総務省も認めています。それは地方交付税支出の事務連絡を出している点からも明らかです。
だから住基ネットの議論は、「安全/危険」の話ではありません。ネットワーク社会の「メリットと闇」をどう読み取るかがポイントとなる議論なのです。多くの情報セキュリティ技術者・研究者からは、現在の住基ネットをめぐる国(総務省市町村課)の議論は、技術以前の「超低レベル」のものに見えています。つまりここで必要とされているのは、議論の質的転換なのです。
ネットワーク社会の「メリットと闇」を直視した、広範な社会的議論が、的確なポイントを押さえるものとして深化されて行くなら、住基ネットは現在のものとは本質的に異なるシステムになっていくでしょう。本書は、そう
目次
第1章 あたまの転換―毅然とした態度でいいわけができますか?
第2章 ことばのおさらい―ファイアウォール・VPN・IDS
第3章 セキュリティ対策の限界―セキュリティレベルを一〇〇%にできないのはなぜ?
第4章 セキュリティ対策の基本―やっておかなければならないことはなに?
第5章 セキュリティ対策のコスト―損失を防ぐ投資は利益を生む投資と同じものです
第6章 不正アクセスの実態―不正アクセスはどうやってやるの?
第7章 セキュリティ対策の実際―民間企業はどんな対策メニューを採用しているの?
第8章 具体的な対策:長野県「安全確認実験」の結果から―まずパッチをあててください
第9章 情報セキュリティ一〇原則
著者等紹介
吉田柳太郎[ヨシダリュウタロウ]
ITセキュリティ・コンサルタント。地方銀行員で第3次オンラインシステム開発のプログラマーを担当後、当時普及が始まったばかりのインターネットの世界に転じた。大手SI会社のセキュリティ事業部立ち上げ、Linux製品のマーケティングおよびサポートディレクター、情報セキュリティ専門企業の設立などにたずさわり、現在大手商社のITセキュリティ・コンサルタント。また、2002年より長野県本人確認情報保護審議会委員
西邑亨[ニシムラトオル]
JCA‐NET理事。フリーライター・テクニカルライター。雑誌「技術と人間」編集部を経て、先端医療・バイオ・コンピュータなど先端技術と社会・人間の接点領域をフィールドとするフリーライターに。雑誌等への寄稿のかたわら、制御システム・企業業務システムの操作マニュアル作成、行政サービスシステムの開発実証事業などに参加。1997年、NGO/NPOによるネットワーク活用促進を目的とする通信NGO「JCA‐NET」の結成に参加。現在同会の理事として電子政府・電子自治体問題を担当、市民向けに技術的情報の提供を精力的に行っている
※書籍に掲載されている著者及び編者、訳者、監修者、イラストレーターなどの紹介情報です。
