piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

利用省庁ゼロで廃止された政府共通プラットフォームのセキュリティ機能についてまとめてみた

2019年10月8日、読売新聞は総務省が開発費約18億円をかけ政府共通プラットフォーム上に導入したセキュリティ機能が各省庁から一度も使用されずに廃止されたと朝刊一面で報じました。ここでは関連する情報をまとめます。

誰も使わなかったセキュリティ機能

  • 報じられたのは「セキュアゾーン」と呼称されるセキュリティ機能。*1
  • 政府共通プラットフォーム上に実装され、インターネットからは遮断された環境で利用する。
  • 2015年6月に発生した日本年金機構の不正アクセス事案を受け導入が決定されたもの。
  • 平成27年度総務省所管の補正予算案で「一億総活躍社会の実現に向けて緊急に実施すべき対策」の1つに計上されていたとみられる。

(2) 政府情報システムのセキュリティ対策 33.8億円
政府共通プラットフォーム及び新たな共通ネットワークにおけるセキュリティ対策(情報システムのインターネットからの分離、インターネット接続口の集約等)や政府情報システム管理データベースの機能改善等を実施し、政府情報システムのセキュリティを強化

http://www.soumu.go.jp/main_content/000391075.pdf
  • 関連タイムラインを整理すると以下の通り。
日時 出来事
2015年6月1日 日本年金機構が不正アクセスによる情報流出事案を発表。
2015年12月18日 総務省が平成27年度補正予算にセキュアゾーン導入の費用を計上。
2016年1月20日 平成27年度補正予算が成立。
2016年7月21日 総務省がセキュアゾーン整備に関連する入札公示。
2016年9月29日 セキュアゾーン整備に関連する事業を都内の企業が落札
2017年度 セキュアゾーンの開発が完了し運用を開始。
2017年度~2018年度 セキュアゾーンを運用。期間中に利用する省庁無し。
総務省が会計監査院の調査を受ける。
2019年3月末 総務省がセキュアゾーンを廃止。

セキュアゾーンの問題点

f:id:piyokango:20191009163413p:plain
設置場所の移動も必要だったセキュアゾーン
導入にあたり複数の問題があり、各省庁は利用を見合わせてしまった。

運用上の問題 ・専用回線から閲覧のみ可能な仕様。ダウンロードが出来ず、格納されたデータを使うには(それを見ながら)データを再入力する必要あり。
・省庁内の別の情報システムとの連携が出来なかった。
・格納されたデータの取り出しや訂正には職員が直接設置場所へ出向く必要があった。
費用上の問題 ・セキュアゾーン利用に際して負担金が生じる可能性があった。(負担金額は不明)
  • 開発時点で農林水産省、厚生労働省が利用を希望していた。その後、システム連携が出来ないといった問題から導入を断念。*2
  • 総務省は開発時点から自組織での利用を希望していなかった。

会計監査院の調査を受け廃止

  • 総務省は会計監査院の調査を発端として2019年3月末にこのシステムを廃止。
  • 廃止理由は今後も利用見込みがないこと、運用には約3億6000万円の維持・管理コストがかかるため。
  • 総務省担当者は「開発当時、対策の強化が強く求められていた」「急いで進めたため事前の設定、仕様の要求事項を的確に把握できず反省している」と取材に答えている。

更新履歴

  • 2019年10月8日 PM 新規作成

*1:改ざんや持ち出しへの対策として導入されたもので一部では「システム」とも報じられている。

*2:政府の情報システム、全く使われず廃止 開発費18億円,朝日新聞,2019年10月8日