政府のお仕事なのに、なぜ汎用ドメインを使ってしまうのか？

新型コロナ・ウィルス感染症対応の一環で始まった、中長期業や個人事業者向けに始まった持続化給付金の支給制度の方、サイトがオープンして申し込みが始まったみたいなんですが、相変わらずのお役所仕事というか

また、新しいドメイン名でサイト作っちゃったのか…。
なんで、経産省のgoドメインのサブとかでやらなかったの？この制度が終了しても、未来永劫ドメインを保持し続けないと行けないと思うんだが…。https://t.co/2SDUwVmNpf pic.twitter.com/xUI0eM9eTN
— Soukaku (@Soukaku) May 1, 2020

という、いつものパターンでサイトが作られたようです…。

この手のドメイン、 Web サイトが目的を達して閉鎖されたあとの管理が甘くて、ドメインの期限切れによって第三者に取得されてしまい、全く関係ない Web サイトに使われてしまう、ドメインが競売にかけられてしまう、ということが過去に起きているのも関わらず、ですよ。

観光庁では、3年前にプロジェクトを終了しており、正規サイトを2015年5月ごろに閉鎖。ドメインの利用を中止し、2016年3月にドメインの有効期限が切れ、その後第三者に取得されたという。
[From 【セキュリティニュース】旧政府サイトのドメインを第三者が取得 - なりすましサイトを発信（1ページ目 / 全2ページ）：Security NEXT]

環境省などが実施していた「エコポイント制度」のドメイン（インターネット上の住所）がネットオークションに出品されていることが１９日、分かった。制度を紹介する複数の中央省庁のサイトにリンクが残っており、このドメインを取得した第三者が政府サイトに成り済まして、アダルトサイトなどに誘導する可能性もある。
[From 「エコポイント」競売に＝ドメイン、悪用恐れも－複数省庁サイトにリンク：時事ドットコム]

もちろん、そういったことは問題視されていて、「政府機関としてサイトを作成する場合は、政府ドメインを使うべし」（いわゆる go.jp ね）という統一基準が定められているんですが…。

サイバーセキュリティ戦略本部は、サイバーセキュリティ基本法（平成26年法律第104号）第25条第１項第２号において、国の行政機関等のサイバーセキュリティに関する対策の基準を作成することとされています。これに基づき、平成30年7月25日、「政府機関等の情報セキュリティ対策のための統一基準群」（以下「統一基準群」という。）を決定しました。
[From 「政府機関等の情報セキュリティ対策のための統一基準群（平成30年度版）」について]

それが、有名無実になっちゃっている感じがあるんですよね。

"政府機関等の情報セキュリティ対策のための統一基準（平成30年度版）" という PDF ファイル中には

(a) 情報システムセキュリティ責任者は、機関等外向けに提供するウェブサイト等が実際の機関等提供のものであることを利用者が確認できるように、政府ドメイン名を情報システムにおいて使用すること。
[From 政府機関等の情報セキュリティ対策のための統一基準群（平成30年度版）]

となっているにもかかわらず…。

"〜.go.jp" というドメインが取得できるのは政府機関と決まっていますし、各省庁ともすでにWebサイトが存在してるので、事業を所管する省庁のサブドメインとして運用したほうが、後々の管理も楽だったろうにと思うんですよね。今回の持続化給付金のサイトであったら、 jizokuka-kyufu.meti.go.jp ってサブドメインにでもしとけば、ドメイン失効後に悪意ある第三者にドメインを奪われる危険性を残すことがなかったのですから。

今回の持続化給付金のサイト、制度が決まってからサイトオープンまで、時間がなかったであろう中でも、CDN を使い、アクセス集中を折り込んだサイト構築している点は個人的には「頑張ったんだなぁ〜」と感心しているんですが、だからこそドメインの扱いに関してはガッカリ感が強いのです。

セキュリティ

トラックバック(0)

コメント(1)

。 2020.5.6 返信

問題提起できても、それを提訴したりして社会的な罰を与えられないような人間
重箱の隅を突いて「俺、偉い！」っていうレベルの貴方のような、私のような人間が沢山居るせいだと思います

Soukaku's HENA-CHOKO Blog