« インテルのシニア向けタッチパネル、タブレット付きキーボードレス・パソコン | メイン | レッドソックス・岡島秀樹投手、オールスターゲーム出場決定 »

2007年07月06日

厚生労働省の電子申請システム、利用者への対応不備

 昨日、TVおよびネット上のニュースサイトで報じられた、厚生労働省の電子申請・届出システムの不備について、補足したいと思います。
 
  厚労省の電子申請欠陥、10日間放置…個人情報流出の恐れ(Yahoo!ニュース - 読売新聞)
  ・電子申請用ソフトに欠陥=情報流出の恐れ、削除呼び掛け-厚労省(Yahoo!ニュース - 時事通信)

 
 
 TVや上記記事の報道内容を見れば判りますが、電子申請のシステムやソフトウェアに欠陥があったことよりも、その不備を放置し、利用者に対する対応方法の告知を怠っていたことが、問題とされています。
 
 
 現在、厚生労働省の電子申請・届出システムのサイトには、“お知らせ”として不備の内容と対応方法が掲載されています。
 
“【重要】JREの脆弱性について
厚生労働省電子申請・届出システムにおいては、Sun Microsystems社(以下「サン・マイクロシステムズ社」という。)のソフトウェアであるJava 2 Runtime Environment,(以下「JRE」という。)JRE1.4.2_10を利用しているところですが、JRE1.4.2_14以前の複数のバージョンにセキュリティホールがあることを確認しました。
厚生労働省電子申請・届出システムを利用するためにJREを有効にしている場合、悪意あるWebサイトを閲覧した際、JREのセキュリティホールを攻撃され被害を受ける可能性があります。
つきましては、このような被害を回避するための方法として、①Javaプラグインのオフ、②JREの削除がありますので、次のいずれかの操作を実施していただきますようお願い申し上げます。
 
①Javaプラグインのオフ(対象:JRE1.3.1_06~JRE1.3.1_11)
(1)[スタート]-「コントロールパネル」をクリックします。
(2)「Java Plug-in ○.○.○」をクリックします。
(3)Java Plug-inの有効化のチェックを外します。
(4)適用ボタンを押下します。
 
②JREの削除(対象:JRE1.3.1_06~JRE1.3.1_11、JRE1.4.1~JRE1.4.1_07、JRE1.4.2~JRE1.4.2_10)
*以下はWindowsXP、JRE1.4.2_10の場合の例
(1)[スタート]-「コントロールパネル」をクリックします。
(2)「プログラムの追加と削除」をクリックします。
(3)Java2 Runtime Environment, SE v1.4.2_10をクリックし、[削除]ボタンをクリックします。
 
当省におきましては、サン・マイクロシステムズ社が公表しているJRE脆弱性を解消するための準備が整い次第、御案内してまいりますので、利用者の皆様には御理解いただきたく、お願い申し上げます。”

(厚生労働省 電子申請・届出システム ホームページより引用 2007年7月6日現在)
 
 
 以上の説明を読むと、厚生労働省の電子申請・届出システムを利用するためにJRE(Java 2実行環境)の旧バージョン(JRE1.4.2_14以前)をインストールし、有効にしている場合、悪意のあるWebサイトを閲覧した際、被害を受ける可能性がある、被害を避けるために、旧バージョンを無効(オフ)にするか、削除するように、と説明されています。
 では、電子申請・届出システムを利用する場合はどうすればいいのかということが、上記の説明では読み取れないように思います。“JRE1.4.2_14以前の複数のバージョンにセキュリティホールがある”という表現も誤解が生じやすいように思います。おそらく、現在のところ脆弱性が検出されていないJRE1.4.2_14を使用して欲しい、ということではないかと想像します。

 
 ところで、サンマイクロシステムズのJRE(Java 2 実行環境)は、国および地方政府の電子入札・電子申請システムに多く利用されています。今回のJREの脆弱性への対応は、厚労省以外ではどうだったのでしょうか。
 例として東京都電子調達システム東京電子調達共同運営サービスを見てみました。それぞれ、下記の日付で、JREの脆弱性と利用者が行なうべき対応方法を告知しています。
 
 東京都電子調達システム
  19/03/16 ●JRE(Java 2 Runtime Environment)の脆弱性に関する対処方法をお知らせします。
 
 東京電子調達共同運営サービス
  3月16日 JRE(JAVA実行環境)の対応バージョンについて
  4月11日 JRE(JAVA実行環境)の対応バージョンについて

 
 
 前半でも述べましたように、厚生労働省の電子申請・届出システムの現時点での告知の表現では、必ずしも利用者すべてに内容が伝わらないのではないかと懸念しています。
 
 
--- (以下 2007年12月18日 追記
 
 その後2007年10月5日付けで、厚生労働省電子申請・届出システムを利用するにあたって使用(インストール)すべき申請用アプリケーション、およびJava実行環境ソフトウェアのバージョン、インストール方法等について告知されています(【重要】厚生労働省電子申請・届出システムにおいて利用可能な「JRE」のバージョンアップについて〔掲載日 平成19年10月5日〕)。
 
 詳しくは下記のページを参照ください。
 
  ・厚生労働省 電子申請・届出システム
 
 なお来年2月からは、厚生労働省の電子申請・届出システムそのものが、電子政府の総合窓口(e-Gov)に移行するようです。もともと専門外であるITについて厚生労働省に多くを期待することは適切ではなかったように思います。
 
---

 
 
--- 関連情報 ---
(1) 電子入札のパソコンサポート 2006年03月25日 IT屋もりたの今時パソコン日記
(2) 東京都の電子入札サポート(1) 2007年07月01日 IT屋もりたの今時パソコン日記
(3) 東京都の電子入札サポート(2) 2007年07月02日 IT屋もりたの今時パソコン日記

投稿者 もりた : 2007年07月06日 09:54 このエントリーを含むはてなブックマーク この記事をクリップ!

トラックバック

このエントリーのトラックバックURL:
http://www.imadokipc.com/mt/mt-tb.cgi/546

コメント

コメントしてください




保存しますか?