この闇はかなり根が深いと考えている小生ですが、
「自治体情報セキュリティ向上プラットフォーム」の話をする前に、
総務省の「ネットワーク強靱化」について簡単にお話ししておいた方がよいでしょう。
「ネットワーク強靱化」とは?
平成28年度に全国の市町村で「ネットワーク強靱化」という大規模なセキュリティ対策が実施されました。
ざっくり概要を説明するとこんな感じです。
・ネットワークを「個人番号利用系」「LGWAN系」「インターネット系」の3系統に完全に分離する
・各ネットワーク間では情報担当の許可なくファイルを移動させてはならない
・パソコンでUSBメモリ等の外部記憶媒体を許可なく利用させてはならない
つまり簡単に個人情報が外部にもれないようになったわけですね。
「ネットワーク強靱化」による問題
問題は正直たくさんあるのですが、そのうちの1つがOSやウイルス対策ソフトの更新プログラムです。
「インターネット系」はよいとしても、「LGWAN系」や「個人番号利用事務系」の端末はインターネットに接続できません。
よって、この2系統は当然マイクロソフトなどから更新プログラムを受け取ることができないわけですね。
インターネットに接続されていないのだからウイルス感染の脅威はない、だから更新しなくていいんじゃない?
そんな考えもよぎりましたが、それじゃダメなんです。
結局、USBメモリやファイル移動システム(「Votiro」や「Filezen」)を利用することでインターネットと間接的に接続することになるからです。
民間企業がLGWAN-ASPのサービスを提供開始
そこで、「LGWAN系」や「個人番号利用事務系」でもLGWANのネットワークを通して更新プログラムを受け取れるサービスを民間企業の多くが始めました。
ロシアのカスペルスキーはいち早く「LGWAN-ASPから無償で更新プログラムを配信する」と宣言して、
ウイルス対策ソフトをカスペルスキーに移行した団体も多かったのではないでしょうか。
今更やってきた「自治体情報セキュリティ向上プラットフォーム」
そんな民間企業の努力を水の泡にしてしまうプロジェクトが総務省からアナウンスされました。
その名も「自治体情報セキュリティ向上プラットフォーム」。
とても分かりにくい名前ですが、
LGWAN-ASPでOSやウイルス対策ソフトの更新プログラムを安価に配信しますよ
というものです。
いやちょっと待てよ、これって民間企業が始めたばっかりのサービスではないか!!
そうなんです、さっき取り付けたばかりの梯子を外すような話ですが、
なんと満を持したように総務省が民間企業より安くサービスを開始してしまったのです。
民間企業はもちろん、長期契約でサービス利用を始めた自治体は涙目どころではありません。
支払先は謎の団体「地方公共団体情報システム機構(J-LIS)」
「自治体情報セキュリティ向上プラットフォーム」のうたい文句はこうです。
「低廉な価格で、適切なセキュリティレベルを担保することが可能となり、手作業でパッチを適用する手間や適用忘れによるリスクの回避、LGWAN-ASPの民間サービスを利用する費用の軽減が可能です。」
民間サービスは高いけど、こっち使えば費用を抑えられるよ!とか言っちゃってるのです。
しかもこの事業、2018年10月からはなぜか「地方公共団体情報システム機構(J-LIS)」という団体に支払いをすることになっています。
ウソかホントか、所謂天下り団体と噂のあるところです。
お値段は年単位でこんな感じです。
都道府県・市 | 町村 | |
平成30年度 (10/1〜) | 75,000円 | 50,000円 |
平成31年度〜 | 150,000円 | 100,000円 |
首都圏の町村と地方の町村の財政レベル格差を全く顧慮しない値段設定、さすが総務省様(J-LIS?)です。
ヤクザかと思うのですが、一ヶ月使っただけでも1年分しっかり請求してくるそうです。
有料であることの闇
「J-LISのプラン安いね」なんて考えていませんか?
いや、ちょっと冷静になってみましょう。
今まで無料だったものが、金額は少額とはいえ有料になってるのおかしくないですか?
カスペルスキーが無償でできているんです、マイクロソフトができないわけないですよね?
J-LISに支払う金額の明細も定かではありません。
値段の根拠が全くわかりません。
そもそも市町村単位で利用させる必要性がありません。
せいぜい都道府県単位、もしくは総務省だけが契約してそれを市町村に配信してくれれば済む話なんです。
お金のかかる話じゃないんですよ、本当は。
結局インターネットに繋がっている闇
グレーな部分ではありますが、「インターネット系」のWSUSサーバから「LGWAN系」と「個人番号利用事務系」それぞれのWSUSサーバに更新プログラムを配信するのはNGだとどこかで話を聞きました。
しかしちょっと考えてください。
「自治体情報セキュリティ向上プラットフォーム」だってLGWAN-ASPで配信する前に、
絶対「インターネット系」から更新プログラムを「LGWAN系」に移動させているんですよ。
だってマイクロソフトから更新プログラムを受け取るには、
間接的であっても「インターネット系」に接続しないともらえないんですから。
それってやってることと言ってることが違うというか、自分たちに甘すぎません?という話になります。
それがありなら、各自治体も3系統にWSUSサーバだけ用意すれば済む話なんじゃないでしょうか。
(つまり「インターネット系」のWSUSサーバから2系統に配信するパターン)
まとめ
「自治体情報セキュリティ向上プラットフォーム」の闇がどれだけ深いかご理解いただけたでしょうか。
どうしてもITとなると抽象的かつ複雑でわかりにくくなり思考停止してしまいそうですが、
冷静に考えると総務省やJ-LISの養分にされているようにしか思えません。
「自治体情報セキュリティ向上プラットフォーム」はていのいい金集めだと思えてならないのです。
コメント