地方自治情報センター(LASDEC)は4月1日、住基ネットに対するペネトレーションテストの結果を発表した。このテストは江東区の協力を得て、クロウ社が江東区から2005年1月28日から30日にかけて実施したものである。
ペネトレーションテストとは、システムを実際に攻撃することにより脆弱性を発見するテスト手法のこと。今回のテストでは、住基ネットとCS(各市区町村に従来から設置されていた住民基本台帳事務のコンピュータと住基ネットとの橋渡しをするために新たに設置されたコンピュータ)間のファイアウォール、CS-庁内LAN間のファイアウォール、庁内LAN上のCS端末、CSが対象機器となった。
結果として、住基ネット-CS間のファイアウォールではCSセグメントから3時間実施したが、あらゆる手段を使ってもファイアウォール攻撃は成立せず、脆弱性も見いだせなかった。CS-庁内LAN間のファイアウォールでは庁内LANセグメントから3時間実施し、不正侵入を許すような脆弱性はなかった。同様に庁内LAN上のCS端末およびCSに関しても、CS権限奪取のためのあらゆる攻撃は成功せず、脆弱性も発見されなかった。
クロウ社は、今回の実施結果から、CS-庁内LAN間のファイアウォールについて管理ポートがデフォルトの設定になっていることや、庁内LANに関してもチェックリストによる自己点検やセキュリティ管理を行うべきであることなどを助言項目として挙げている。
