【本当?】法務省・公安調査庁のサイトは安全・安心でなかった!
はじめに
日本政府は2018年7月25日に「政府機関等の情報セキュリティ対策のための統一基準」を発表しましたが、2020年東京オリンピックが1年延期で無事終了したので、Webサイトの暗号化通信:HTTPSの状況について調べることにしました。
ChromeでHTTPS
経由で読み込まれたページの割合を調べると、2018年7月:66%から2021年7月:87%となっており、2年間で21PTも上昇してました。
政府機関のWebサイトは、オリンピックでのサイバー攻撃に備えて、当然全部SSL化が終わっているだろうと予測したのですが、タイトルにあるように、一部の省庁ではSSL化がなされてなく、その組織自体が安全・安心でなかった、というお話です。
政府機関Webサイトの暗号化
調査結果の一覧をまとめたので結果を表示します。
ドメインの登録情報もついでに調べたのですが、情報係長というカッコいい役人がいる部門はTSL 1.3迄しっかり対応している一方、担当部署が無いか人材がいないのか不明ですが、まだSSL化されてない省庁がありました。
それは、法務省、出入国在留管理庁、公安調査庁のWebサイトでした。(まとめの注参照)
公安調査庁
公安調査庁のトップページには下記のように偉そうなスローガンが表示されているのですが、常時SSL化されてなく、ビックリしました。
統一基準では「全ての情報に対する暗号化及び電子証明書による認証の対策を講じること」と定められているにも関わらず、公安調査庁は情報提供の入力ページのみをSSL化してた手抜きサイトでした。
公安調査庁のトップページには下記のスローガンが表示されています。
「すべては国民の安全のために」、「情報の力で国民を守る」それが公安調査庁です。
あなたの持っている技術やデータが狙われています 今、世界中で先進的な技術や重要なデータの国外への流出が大きな問題となってます
オイオイ、無防備なWebサイトのくせに何言ってるの?と笑ってしまいました。
また、国と国民への脅威に関する情報をお待ちしてます、とあったので、情報提供のページを見に行ったら、またビックリしました。
添付ファイルやリンクはセキュリティ対策上、閲覧しかねる、と書いてあるのです。
言い換えると、メールで送られてくる情報は信頼できないので、見ないよと言っているのです。
更に言うと、庁内のPCやネットワークを脅威から守れないと言っている訳で、公安調査庁は自分自身を脅威から守る力がない、と感じました。
こんな低レベルで消極的な姿勢で「情報の力で国民を守る」ことができるのでしょうかね。
更にビックリ仰天したことは、公安調査庁は公安調査庁職員によるセクシャルハラスメントについて、相談窓口を設けていました。
過去公安調査庁職員によるセクシャルハラスメントが発生していたということでしょうか。
ごく一部の職員だと思いますが、公安調査庁って全体的にモラルも低い風土なんですかね。
しかし、法務省もひどい状況です。
法務省
法務省のサイトにはキッズルームというページがあります。
やなせたかしさんがつくられた人権キャラクターが登場し「世界をしあわせ」というイメージソングを作り、人権が尊重される社会の実現に向けて、全国各地で活躍します、と宣伝してました。
また、人権擁護局は「人権相談やその後の救済手続を行っています。」と言ってます。
これって本当でしょうか。
実際は真逆の対応のニュースをたびたび目にします。
例えば、不法滞在の親の子供は強制送還となってます。creators.yahoo.co.jp
最近だと、スリランカの女性が入管内で動物あつかいされ、死亡するという痛ましい事件が発生してます。
法務省は、とても人権が尊重される社会の実現に貢献しているとは言えません。
また、人権を救済をうたっているのに、なぜ、非人道的な対応を繰り返すのか、理解不能です。とても悲しいですね。
地方自治体Webサイトの暗号化
政府は2018年に「地方公共団体における情報セキュリティポリシーに関するガイドライン」を発令しました。
そこで、45都道府県のSSL化度合いもついでに調べたので、参考に表示します。
結果は、奈良県だけがまだSSL化されてない状況でした。
政府から指針は出てますが、全ての情報に対する暗号化及び電子証明書による認証の対策を講じることが望ましい、となっており必須事項ではありません。
奈良県の「情報セキュリティ基本方針」も読んでみたのですが、ウェブサイトの通信の暗号化等の対策は特に示されてませんでした。
県として方針がないので全ての情報の暗号化は実施してない、というお役所仕事なのでしょうか。
2021年10月1日 追記
下記つぶやきで気づかれたのか不明ですが、奈良県庁のHPは2021年10月1日にSSL化されました。良かったです。
https://t.co/Tyc8xhuSmb
— heavy-peat (@AfterWork_Lab) September 25, 2021
47都道府県の中で唯一「常に安全な接続を使用する」をOFFにしないと見れない奈良県庁、いつになったらSSL化するのかなー。
高学歴でも情報セキュリティーの危機意識は一番最低な知事と言われないように、お気をつけ下さい。https://t.co/ceUMm1ZjlL#奈良県 #SSL化
まとめ
今回たまたま常時SSL化されてないWebサイトを調べたら、思わぬ状況を知ることになったのですが、統一基準を守ることができてない省庁は、実は大きな闇を抱えている、ということが分かりました。
法務省、出入国在留管理庁、公安調査庁のWebサイトは、本当に危ないので、あえて常時SSL化してない、と管理人は理解しました。
残念ながら、今の状態から良くならないなら、このままSSL化せず「セキュリティ保護なし」が表示され警告されるのがベターですね。
なぜなら、SSL化したら、みんな安全だと勘違いして信用してしまうからです。
でも、国外から見たらとても恥ずかしい状態なので、体制も含めて早急に改善されることを望みます。
注 2021年8月20日追加
法務省、出入国在留管理庁、公安調査庁のサイトは大臣官房秘書課の方が気付いたのか、常時SSL化されました。2021年8月24日開催パラリンピックに間に合って良かったですね。
気軽に足跡残してね!
この記事が「気になった・参考になった」と感じた方は、リアクションボタンか、ツイッターで♡いいねを押して、足跡を残して頂けると嬉しいです。
https://t.co/1FmwAtj9Bo
— heavy-peat (@AfterWork_Lab) August 14, 2021
政府機関のWebサイトを調べたらビックリ。
安全・安心ではなかった、という内容を記事にまとめてみました。#常時SSL #HTTPS #情報セキュリティ
それでは今回の記事はこれでおしまい。
あトん
職種はMecha Engineerですが、現在のお仕事は、製品設計の第一線から離れChief Editorとして開発センター全体を幅広くサポートしています。気が向いた時に、好きなことをブログに書き綴ってます。
