中央官庁でも発覚! サポート期限切れのソフトを使用する危険性とは?

2016/01/12
サポート期限切れのソフトウェアを使うイメージ図

中央官庁で、セキュリティ意識のレベルが低い実態が明らかになった。新聞報道によると、国土交通省や厚生労働省などの8省庁で、ホームページなどの外部のインターネットにつながる利用分野で、メーカーのサポート期限が切れたソフトウエアを使用していたことが明らかになった。会計検査院の資産運用状況の調査で実態がはっきりした。

サポート期限切れのソフトでは「セキュリティー上の欠陥」が確認されて公表されているので、サイバー攻撃によるホームページの改ざんや情報流出などの恐れがあるが、利用している官庁では対策が取られていなかった、と懸念される。

指摘されたのは、国土交通、厚生労働のほかに総務、経済産業、文部科学、農林水産、環境各省と宮内庁だった。各省庁は検査院の指摘を踏まえて2015年7月までにソフトの更新などの対策を済ませたという。これまでにサポート期限切れに伴う情報漏えいなどの被害は確認されていないというが、情報が盗まれたかどうかを完全に点検するのは難しいので、実際をいえば「被害はよく分からない」というところであろう。

この厳しい状況が判明したのは、検査院が2014年4月にインターネットに接続されている省庁の44の情報システムを調べたのがきっかけだ。この調査の結果、21のシステムで2014年3月までにサポート期間が終了した4種類のソフトを使い続けていたという。

行政以上に危険なのは民間企業ではないか

サポートが切れたソフトを使い続ける問題点は、セキュリティー上の欠陥が見つかっても、メーカーから修正プログラムが提供されなくなることだ。サイバー攻撃を仕掛ける側は期限切れで危険が明らかになったソフトを中心に研究して防御の隙をみつけ、その欠陥を突いたサイバー攻撃を敢行してくるので、被害を受ける危険が強まるのである。調査の結果、約2年間にわたってサポート切れの状態のままソフトを使っていた部署もあった。

サポート切れで使われていた4種類のソフトの中には、ウェブサイト構築ソフト「ストラッツ1」があった。「ストラッツ1」はセキュリティ関係者の間では特に注目されたソフトである。検査院の調査直前の2014年4月下旬にセキュリティー上の欠陥が判明して、企業や行政機関でも危機意識が広がって、官庁関係では、国税庁や島根県警などがホームページの一部を停止したということがニュースにもなった。しかし、検査院が指摘した行政組織では問題発覚後もソフトを使い続けていたという。

こういう時には「体制」の不備が問題になるが、検査院によると、各省庁はシステムごとに「情報システムセキュリティ管理者」を配置するなど体制は整備していた。しかし、「体制整備」という言葉は誤解を与える。現場では、ソフトの種類やバージョンを記した書類を整備していなかったり、サポートが終了する日程などの必要不可欠な情報すら把握していなかった。

こういう状況は行政だけではない。民間企業では事情はもっと危険な状況ではないかと想像される。民間企業には、行政と違って中立的な立場で調査を行う「会計検査院」のような組織がない。

民間企業もこのニュースを他人事と思わず、深刻に受け止めてもらいたい。

中島 洋
1947年生まれ。東京大学大学院修了。73年日本経済新聞社入社、88年から編集委員。日経コンピュータ、日経パソコンの創刊にも参加。慶応義塾大学教授や日経BP社編集委員などを経て現在、株式会社MM総研代表取締役所長。日本個人情報管理協会理事長など多くの肩書を持つ。

 

所属:株式会社MM総研

関連記事

カテゴリー:

セキュリティ

情シス求人

  1. チームメンバーで作字やってみた#1

ページ上部へ戻る