住基カード利用サービス視察

某県の住民基本台帳カード活用計画策定委員会の委員(座長)を仰せつかっている関係上,他の委員や自治体の方々と静岡県掛川市の住基カード応用システムを視察してきた。どこまで書いてよいかわからないのでとりあえず外から見えるものだけについて書いておく。

例えば上記ホームページの下のほうにあるピンクの「健康・福祉」というグラフィック文字をクリックする。ブラウザのアドレス欄の表示が変わらないのは(私はまずい仕様だと思っているが)そういう方針らしい。この中の「予防接種歴」をクリックする。「カードを挿入してください」云々と言ってくる。ここは住基カードを取得した市民だけのためのコーナーだ。もちろん住基ネットとは関係ないし,住基カードに予防接種歴が記録されているわけでもない。住基カードにこのためのユニークIDを格納し,それに紐づけられたデータをサーバに照会するだけである。ただ,住基カードを取得してもカードリーダを持っていない人が多いため,住基カード取得者に限りID・パスワードを発行して,これを使うこともできるようにしている。そのための入り口が右下の「カードをご利用でない場合」だ。これをクリックすると,IDとパスワードを聞いてくる。実は住基カードを入れてもパスワード(4桁)を聞いてくるが,住基カードなしの認証ではもう少し長いID・パスワードが必要(ただしパスワードは変更できるようだ)。しかし依然としてアドレス欄はhttp://www.city.kakegawa.shizuoka.jp/で変わらない。鍵マークも見えない。質問したら,裏で暗号化しているのでご安心くださいとのことであった。戻ってからtcpdumpしたらパスワードが見えたような気がしたが,私の気のせいかもしれない。

たいへん便利なシステムだが,入っているデータも少なく,利用者は限られているようだ。データを増やすのは簡単だがいろいろ事情があるらしい。

別のサービスとして,トップページから「くらし」→「住民票・戸籍・印鑑」→「住民基本台帳カード公共施設予約」がある。右上の「○公共施設予約画面へ」をクリックすると,こちらはアドレス欄が変わってhttps:となる(証明書はVeriSign)。突然Javaアプレットが起動して驚く。これも「カードをご利用でない場合」があり,ID・パスワードでも利用できる。ステータスバーに「例外」が表示されるが,推奨JREバージョン(脆弱なもの?)と違うためで,気にしなくていいそうである。

これらはLASDECの「ICカード標準システム」(有料)をそのまま使ったものであるが,フレームによるURLの隠蔽やSSLなどの運用は自治体によって考え方が異なるのであろう。

以上はすべて単なる脱線である。この視察の目的である住基カード利用について書こうと思ったのだが,立場上あまり私見を書くとまずいかもしれないので,授業などで学生といっしょに考えることにしたい。

実装上の問題は置い

実装上の問題は置いとくとして... どう考えてもシステム設計以前の問題というか、やっぱり一番脆弱なのは人間というか人間の考え方というか何も考えない人間というか... どことは言わないけど、うちの会社の状況と全然変わらないorz

city.kakegawa.shizuoka.jp

うーん、だめだめドメイン

city.kakegawa.shizuoka.jp

city.kakegawa.shizuoka.jp
のDNSが正しく設定されているかも、学生さんへの課題として面白いかと。

ちなみに

http://ns01.kakegawa-net.jp/
open-gorotto構築中?

コメントの表示オプション

お好みの表示方法を選択し、「設定の保存」をクリックすると、表示方法を変更することができます。