中央官庁でも発覚! サポート期限切れのソフトを使用する危険性とは?

2016/01/12
サポート期限切れのソフトウェアを使うイメージ図

中央官庁で、セキュリティ意識のレベルが低い実態が明らかになった。新聞報道によると、国土交通省や厚生労働省などの8省庁で、ホームページなどの外部のインターネットにつながる利用分野で、メーカーのサポート期限が切れたソフトウエアを使用していたことが明らかになった。会計検査院の資産運用状況の調査で実態がはっきりした。

サポート期限切れのソフトでは「セキュリティー上の欠陥」が確認されて公表されているので、サイバー攻撃によるホームページの改ざんや情報流出などの恐れがあるが、利用している官庁では対策が取られていなかった、と懸念される。

指摘されたのは、国土交通、厚生労働のほかに総務、経済産業、文部科学、農林水産、環境各省と宮内庁だった。各省庁は検査院の指摘を踏まえて2015年7月までにソフトの更新などの対策を済ませたという。これまでにサポート期限切れに伴う情報漏えいなどの被害は確認されていないというが、情報が盗まれたかどうかを完全に点検するのは難しいので、実際をいえば「被害はよく分からない」というところであろう。

この厳しい状況が判明したのは、検査院が2014年4月にインターネットに接続されている省庁の44の情報システムを調べたのがきっかけだ。この調査の結果、21のシステムで2014年3月までにサポート期間が終了した4種類のソフトを使い続けていたという。

行政以上に危険なのは民間企業ではないか

サポートが切れたソフトを使い続ける問題点は、セキュリティー上の欠陥が見つかっても、メーカーから修正プログラムが提供されなくなることだ。サイバー攻撃を仕掛ける側は期限切れで危険が明らかになったソフトを中心に研究して防御の隙をみつけ、その欠陥を突いたサイバー攻撃を敢行してくるので、被害を受ける危険が強まるのである。調査の結果、約2年間にわたってサポート切れの状態のままソフトを使っていた部署もあった。

サポート切れで使われていた4種類のソフトの中には、ウェブサイト構築ソフト「ストラッツ1」があった。「ストラッツ1」はセキュリティ関係者の間では特に注目されたソフトである。検査院の調査直前の2014年4月下旬にセキュリティー上の欠陥が判明して、企業や行政機関でも危機意識が広がって、官庁関係では、国税庁や島根県警などがホームページの一部を停止したということがニュースにもなった。しかし、検査院が指摘した行政組織では問題発覚後もソフトを使い続けていたという。

こういう時には「体制」の不備が問題になるが、検査院によると、各省庁はシステムごとに「情報システムセキュリティ管理者」を配置するなど体制は整備していた。しかし、「体制整備」という言葉は誤解を与える。現場では、ソフトの種類やバージョンを記した書類を整備していなかったり、サポートが終了する日程などの必要不可欠な情報すら把握していなかった。

こういう状況は行政だけではない。民間企業では事情はもっと危険な状況ではないかと想像される。民間企業には、行政と違って中立的な立場で調査を行う「会計検査院」のような組織がない。

民間企業もこのニュースを他人事と思わず、深刻に受け止めてもらいたい。

中島 洋
1947年生まれ。東京大学大学院修了。73年日本経済新聞社入社、88年から編集委員。日経コンピュータ、日経パソコンの創刊にも参加。慶応義塾大学教授や日経BP社編集委員などを経て現在、株式会社MM総研代表取締役所長。日本個人情報管理協会理事長など多くの肩書を持つ。

 

所属:株式会社MM総研

関連記事

ピックアップ記事

  1. 情シスは、目まぐるしく移りゆくITトレンドと果たしてどう向き合うべきか? 毎回その道に造詣の…
  2. 「攻めの情シス」が求められるとともに、昨今専任CIOの存在感が高まりを見せています。一方、日本におい…
  3. 『多くの人々の「笑顔」のために「感動」を届ける。』を企業理念に、人材・IT・サービスの3軸で…
  4. 2018/07/09 ITコンサルティング事業を主力とするハイブリィド株式…
  5. 2018/06/20 情シスの現場では「管理会計」というキーワードは、果たしてどのくらい浸透し…
  1. 使える! 情シス三段用語辞典73「IPoE」

  2. 【ET & IoT Technology 2018】序章・ETもIoTも情シスは知っておくべき!?

  3. APIでつながる、新しいクラウドサービス(SaaS)の形

  4. 【情シス×ストレッチ】~第4回~腰痛対策ストレッチ「腰レッチ①」

  5. PCNW【第一回ITトレンド勉強会】RPAに情シスはどう関わるべき?

  6. 【情シス基礎知識】Win10導入、覚えておくべき10の掟

  7. 【情シス基礎知識】知らなかったじゃ済まない「NIST SP800-171」とは?

  8. 【情シス女子】第44回「人と人を紡ぐ『笑顔』をこれからも大切にしていきたい」岡田真由さん

  9. ひとり情シスの功罪

  10. いまさら聞けない【情シス基礎知識】VPNってなに?

関連サイト

情シス採用 人材紹介サービス

情シスの戦略・企画人材育成

情シス向け業務支援ツール

おすすめ記事

  1. 最近では、働き方改革の旗振りのもと、多くの企業が在宅勤務やサテライトオフィスを導入するようになり、リ…
  2. 2000年にリリースされたWindows 2000 Server で初めて登場したActive Di…
  3. ついにスタートした「GDPR」。世界から注目を集めるEUの個人データ保護規制です。EUに所在する人の…
  4. 業務にもようやく慣れてきた。そうなると気になるのが業務の効率化。作業をもっと素早く、ラクにできないも…
  5. 「IOT(コネクテッド・インダストリーズ)税制」の受付が今年6月よりスタートしました。コネクテッド・…
  6. だいぶ普及した感のある公衆無線LAN。外国人観光者はもとより、パケット代に敏感な中高生だけでなく、ビ…
ページ上部へ戻る