| MBR Consulting マナブーズ・ルーム・コンサルティング | |
| 電子申請のセキュリティ問題から思うこと 2002年5月4日 Home >>> 論考・資料室 >>> 電子申請のセキュリティ問題から思うこと |
| 電子申請のセキュリティ問題から見える、電子申請の課題を考えています。 要旨: |
|
| はじめに 平成13年度中、つまりは14年の3月までにインターネットや電子署名を利用した「本格的な電子申請」がスタートしました。先行するのは経済産業省、国土交通省、総務省の3省。ところがセキュリティ問題のため、いきなりつまづいた格好となってしまいました。各省による告知は下記の通り。 経済産業省電子申請システムの申請者用ソフト(ITEM2000)をインストールしておられるユーザの方へ(平成14年4月8日) 国土交通省オンライン申請システム「オンライン申請用アプリケーション」の利用者の皆様へ(平成14年4月6日) 総務省インターネットを利用した電子申請・届出システム(体験システム)から「体験用の専用ソフト」をダウンロードされた方へ(平成14年4月7日) 国土交通省電子入札システム「電子入札専用ソフト」をご利用の皆様へ 電子申請を利用するためのソフトウェアについて問題があったということですが、4月6日前後に最初の告知があり、2,3日してから追加情報が掲載されているようです。 Sun Microsystems社のSecurity FAQページ によると、今回の問題については2002年3月19日に発表があるので、ちょっと対応が遅い気もしますし、総務省については電子申請システムをスタートさせたのが3月27日ですから、今回の問題を知っていながらスタートさせたのかと怒られても仕方ないところですね。知らないで運用開始させたとしても、やはり問題です。 そして、電子証明書等の問題について次のような告知も。 総務省電子申請・届出システム等のセキュリティ対策 総務省「電子申請・届出システム」のセキュリティ上の問題点 なお、総務省の電子申請システムは、現在サービスを停止しています(平成14年5月7日までを予定)。 総務省電子申請・届出システム等のセキュリティ対策等 さて、行政のセキュリティ認識の甘さみたいなものを、今更とやかく非難するつもりはありません。今後の対応をきちんとしてくれれば、それで良いと思います。当たり前のことを当たり前に行っていくということですね。 それでは作者が何を思うかと言えば、電子申請が面倒で複雑なものになってしまったなあということ。利用するためのハードルも高いし、利用ソフトの操作も大変だし、それでセキュリティ問題があるわけだから(告知があっても書いてある内容が難しいので、よーわからん)、便利な電子申請とはいったい?と思ってしまいます。 今回のセキュリティ問題も、電子申請がもっとシンプルだったら、起こらなかったかも。。。 電子申請を利用するためには 「本格的な電子申請」を利用するには、簡単に言って下記のような行為が必要となります。 ハードル1:パソコンとインターネット環境を用意(有料) パソコンについては、現在店頭で売っている初心者モデルなど、ある程度の性能がありWindows系のものであれば、とりあえずOK。インターネットについては、ADSL等の常時接続がおすすめ。テレホーダイなどの時間帯に利用できないことが多いことだし。今後は、ICカードリーダ(情報を読み取るための装置)も必要なるかも。 最初のハードルだけあって、そんなに高くないかな。 ハードル2:電子証明書の取得(有料) 確かに本人が申請しましたということを証明するために、申請データに電子署名をします。申請書に名前を書いてハンコを押すようなものですね。で、電子署名をするために必要なのが電子証明書というわけです。 企業(法人)については、「商業登記に基礎を置く電子認証制度(電子認証登記所)」が発行するもの、個人については、日本認証サービスなど民間認証サービスや公的個人認証サービス制度(今後の予定)などを利用することになります。 このハードルは、けっこう厳しい。特に企業用の電子証明書取得は、かなり面倒だし費用もバカにならない。個人についても、電子申請を利用するために電子証明書を取得するのは、仕事等で必要となる場合ぐらいでしょう。 ハードル3:申請用ソフトウェアの取得(無料) 電子申請を利用するためには、申請データを作成したり送信するための専用ソフトウェアを必要とすることが多い。通常は無料で配布されており、指定のウェブサイトからダウンロードすることになります。 無料ということもあり、通常のインターネットユーザーであればそれほど高く感じることはないでしょう。ただし、取得したソフトを利用するのは決して易しくないし、今回のようなセキュリティ問題が発生した時の対応は大変。オンラインショッピングや懸賞応募などと比較すると、やはり高いハードルかな。 で、これら3つのハードルを乗り越えてまで現在の電子申請を利用する価値があるかと言えば、電子申請推進派の作者であっても、残念ながら「はい」とは言えません。 素直に言って、費用・手間・リスク等が効果に見合う段階ではないので、いつでも利用できるぐらいに情報収集しておいて、しばらく様子見というのが無難でしょう。 シンプルな電子申請を考える システムが複雑になればセキュリティの対応も大変になります。利用者にしてみれば、危険度や確認事項が増えるということ。そこで、もう少しシンプルな電子申請ができないものかと考えることも大切かと。例えば、こんな感じで。 1)役所ホームページにアクセス 役所のホームページにアクセスして電子申請コーナーへ。もちろん、SSL対応のセキュアウェブサイトです。たいした意味もなく「javascript」を使ったりしないように。また、確かに役所ホームページであることを、利用者が簡単に確認できるようにしておくことも大切。 2)申請データの送信 氏名、住所、メールアドレス等の必要事項を入力して、申請データを送信します。添付書類等は含まない、いわゆる「申請書」のみの送信です。懸賞応募やオンラインショッピングでの注文と同じような感じですね。 3)申請意思の確認 申請データを受け取った役所は、申請内容を含む電子署名つき電子メールを申請者に送ります。このような申請がありましたが、よろしいですか?という確認メールですね。で、よければ電子署名付きの返信メール(や添付書類等)を申請者から送ってもらうと。 4)受付完了の通知 申請者から送られてきた確認しましたメールに対しては、受付完了メールを送ります。受付番号を発行しておけば、審査状況等をウェブ上で確認することも可能ですね。許可・不許可等の結果については、メールで通知&ウェブ上で確認が良いかな。 これくらいシンプルになれば、少しは利用しやすくなるんじゃないかな。 電子申請に危険は付きものだけど いまの電子申請がなぜ複雑なものになってしまったかと言えば、より安全により高機能にというところからなのだと思います。もしかしたら、電子申請を実現するための指針や基本仕様等に振り回されてしまった結果かもしれません。 電子申請がインターネットを利用する以上、ある程度の危険はつきもの。その危険を承知した上で、利用者は自己責任で利用しなければいけません。サービス提供側である行政も、常にリスクを認識しておく必要がある。 でも、サービス向上といった基本を忘れなければ、そうした危険をカバーできると思います。そのためのヒントは、最新の暗号やシステムを使うとかいうところとは別の所にあると思うんだけどなあ。 ★参考サイト 電子政府の情報セキュリティ確保のためのアクションプラン 申請・届出等手続のオンライン化に関わる汎用受付等システムの基本的な仕様 汎用受付等システムの構築・運用に関する共通事項 電子商取引等に関する準則の公表について Opinion:ソフトはみんな生きている 電子政府対応サービス
日本認証サービス(JCSI) |
All Rights
Reserved. Legal Notices. Copyright 1999-2004 Manabu Muta