motoniki

住基ネットって。

じゃぁ解説を。

まず、インターネットVPNと、IP-VPNは違うものだと認識してください。
インターネットVPNは、本当にインターネットを通って相手のサーバまでトンネリングを行うもの。暗号化されているとはいえ、経路上の暗号化後の通信内容はキャプチャできます。ただし、経路上だけね。

対して、IP-VPNは、キャリア(回線業者)のサービスで、キャリア内の網(社内LANみたいなもの)の中でVPNを行うもの。完全に社内のネットワークになるため、通信内容はキャプチャ「されにくい」ものになります。通信の隠蔽は、MPLSで行います。ラベルのついたスイッチング、ですな。
キャリア網内のため、不特定多数に見られる心配はありません。ちなみに広域イーサも同等。こっちは通信の隠蔽をVLANで行います。まぁ暗号化が無いのでクリティカル用途にはVPN装置を入れるのが普通かな。

専用線を盗聴するにはNTT局内にいなければなりませんが、IP-VPNや広域イーサの盗聴も、キャリア側の特定された施設内にいなければできません。
インターネットVPNでも同じですが、この場合は不特定な経路を通る可能性があります。
もちろん、アクセスライン(局までの線)を拾えば盗聴されますが、これは専用線だって同じです。

専用線は物理的に別の線。それ対して、IP-VPNや広域イーサは、論理的に別の線である、といわれます。とはいっても、専用線だってNTTのバックボーン上では、SONET(so-netぢゃないよ)の多重波の中で「物理的には同じ線」です。

IP-VPNはインターネットVPNとは違って一定のセキュリティが見込めます。某銀行が勘定系で使っているものもあったり、ローソンの Loppi だって広域イーサです。全国レベルの社内のLANを形成するなら、最近は広域イーサか、IP-VPNが普通。

IP-VPNと専用線との大きな違いは、網構成と金額です。
網の構成方法がメッシュ型(IP-VPNがこれ)の場合、住基ネットのような多クライアント集中サーバー方式の場合は非常に安価ですみます。対して専用線の場合、全てのクライアントの回線は中央のサーバまで敷設しなければなりません。
金額にすると、その差は歴然としてます。で、このシステムは税金で成り立っているんです。

ということで、IP-VPNでの構成になっているんだと思いますよ。
もちろん、全て専用線でできれば、こんな楽なことは無いんですが。
まぁ妥協ってやつです。妥協は、運用(使い方)で補わねばならんのです。

で、住基ネットの場合、糾弾されるべきは回線種別ではなく、その「使い方」の問題点だと思います。
・パッチを当てていない Windows サーバ。
・パスワードの変更を頻繁にしない運用。
・庁内ロビーからアクセスできる住基LANの無線LANアクセスポイント。
・何よりもこのシステムは完璧だ、と言い張る行政側。
等等、等等。

結局、住基ネットが稼動したからといって劇的に庁内の公務員のレベルがあがるわけでなし、
セキュリティに対する認識は低いままでしょう。

導入後のパッチ適用は、一旦導入した後のサーバ作業は保守扱いになるため、
予算構成してなければ作業したくてもできません。
なによりも入札時に安く入札すると、保守作業は後回しにされがち。
で、セキュリティホールは放置です。これは Windows だろうがなんだろうが、システムは全て同じ。MacOSにしたってね。
IP-VPNだったとしても、庁内がわでインターネット側と接続していたら、そっちから入り込まれる可能性もあります。

結局、
道具は使い方に左右される、ということだと思います。
良い使い方をすれば、能力を発揮しますが、
それなりの使い方なら、それなりです。

すべて、自戒を込めて。

投稿者 mmoto : 2003年08月26日 17:14 | トラックバック