「長野県審議会報告」9

■重要セキュリティ問題２；議事録から

●インターネットとつながってないから、独自の専用回線であるので、これは大丈夫なんだというお話をたくさんいろんな方からいただきましたけれども、最も危険であるというのは内部からのネットワークのアクセスだというふうに定義するとですね、ＮＩＤＳ、いわゆる不正侵入検知システムの中でも、アノーマリーと呼ばれるものを設置することに意味があります。
　つまりどういうことかと言うと、通常では考えられないオペレーション、例えば祭日の深夜だとか、それから通常の月末でもない中日に朝４時ごろですね、住基ネットのアクセスが頻繁にあり更新をしようとしていた。これは実際に更新されたかどうかは別の話です。
　そういうアクションが起こったというときに、これおかしくないですかとアラートを上げる手だてが今はまったくありません。

●じゃあインターネット側はもう物理的に切り離してあり、かつ当然公開するという目的のセグメント側にあるので、こんな情報はとられても構わないから、不正侵入検知システムっていうのものはいらないんだとかですね、そこまでコストを掛ける意味がどこにあるのかという議論があります。
　しかし、例えばですね、自治体の皆さんのメールのやりとり、これは県の職員の皆さんとのやりとりもあれば、一般の市町村民の方とのメールのやりとりもあります。・・・プライバシーにかかわるようなやりとりというのが日々日常的に行われているという前提があります。

●この情報をですね、例えば盗聴、改ざんされた場合、どうするのかという話になりますけれども、これは例えば、いわゆる２チャンネルのようなところにですね、その盗聴した記録を掲示板に張り付けたとします。これはもう県も自治体の皆さんも赤っ恥どころでは済まないですね。
　自治体は一般企業と同じようなセキュリティレベルで許されるはずがないというふうに考えて当然であるという認識を私は持っています。このあたりの認識を深めることがですね、インターネット側に起こった、サーバそのものに対するおかしいと思われるアクションについても、おかしいというアラートからそれがどのような行為で問題である、ないのか、判断できるような設備というものが最低限必要であるというふうに認識をしています。
　住基とインターネット、そもそもつながっているのは大問題でありますけれども、これを切ったとしても、それぞれの設備をもって、その問題が発生したときにどうしていくのかという対応策を検討する機材も最低限必ず必要になるんだというふうに考えています。

　●一番掛かるのは人件費です。・・・・・よくセキュリティ対策とかでですね、マスコミさんに出てくるＬＡＣさんという、エルエーシーという会社がございます。ＬＡＣさんのシニアアナリストはですね、１人月３５０万円でございます。それからオペレーターでもですね、最低その作業だけをする、ＩＴセキュリティの経験があまりないようなオペレーターの人件費であっても最低１２０万円、１人月で掛かります。

●不正侵入検知システムというのは非常に高価でございまして・・・・標準的な管理コンソールというものが３５０万円、それから１設備あたりの１台あたりですね、これを１５０万円で換算して数字を作ってございます。
　・・・・・要はですね、特別これ用に高く作ったわけでもなければ、安く作ったのでもないということを言いたいのであって、これはこのＩＴセキュリティの業界の非常に標準的な価格をもとに、ネットワークＩＤＳとそれを分析する人間、それからオペレーターとしてアラートが上がったのでマニュアルどおりの対策をする人間を設備してやった場合にどうなるという計算をしてあります。

●監視センターに２４時間３６５日張り付けた場合と、９時～５時の通常業務内のオペレーションだけで監視というものを運用した場合の結果が３１ページと３２ページにあります。
　これは３１ページはですね、いわゆる９時～５時でやった場合ですね。５年間の累計でおよそ７０億円弱のコストが掛かります。
　それから３２ページは２４時間３６５日、いわゆる深夜だとか休日だとか、というところでですね、何かそのＣＳサーバにアクションがあったよと、これはおかしいんじゃないですかと、通常の運用ではありませんねということを警告するようなレベルで運用をした場合、５年間の累計がおよそ８０億円強掛かるというレベルであります。
　この数字には私は大変自信を持っていて、よその業者で言うとですね、もっと安くできるというようなことがあったとしても、それは人件費を減らしたり、あるいはその質、スキルレベルを下げてあったり、それから条件に合わないような設備を持ってきてあったりというものであるというふうに認識をしています。

●つまり、この費用をですね、予算化できるというふうには、自治体のレベルで予算化できているとは思っていません。これだけのコストが掛かるということに対する利用価値といいうものは、単なる費用対効果で計れるものをの域を超えてしまっているというふうに認識しています。

●●不破会長：
　はい、ありがとうございます。今のレポートにありますとおり、このシステムを続ける限り、セキュリティ面は毎年毎年１５億は掛かるということと、それだけのコストを掛けても一部の市町村で使われているＮＴサーバに対してはセキュリティ面での担保が取れないということでよろしいでしょうか。

　　　