「計画が大幅にずれている」――。自治体情報システムの開発を手掛ける複数のITベンダーの担当者はこう口をそろえる。地方自治体ごとに異なる情報システムを2025年度末までに統一・標準化する「自治体システム標準化」。標準仕様書は幾度もの改版を続ける一方で、移行期限の2025年度末は刻々と迫る。これから、各自治体の怒濤のシステム移行が待っているが、人手不足かつ短い納期で、果たして安全に進められるのか。 「基礎」のはずの標準仕様書が何度も変わる 自治体システム標準化の対象となるのは「住民記録システム」「戸籍情報システム」「税務システム」「健康管理システム」など20の基幹業務だ。それらに関わるシステムでは、各府省庁が「標準仕様書」を作成する。その他、デジタル庁はデータ要件や連携要件、共通のシステム機能など、全20業務に共通する仕様について、総務省と連携して作成している。 20業務に関わるシステムの標準

有名なOSS（オープンソースソフトウエア）の圧縮ソフト「XZ Utils」にマルウエアの一種である「バックドア」が仕込まれ、IT業界に衝撃が走った。バックドアとは、攻撃者がインターネット経由で不正侵入できるようにするプログラム。バックドア経由でコンピューターを乗っ取ったり、保存されているデータを盗んだりできる。 今回のように正規ソフトにマルウエアが仕込まれる攻撃は「ソフトウエアサプライチェーン攻撃」と呼ばれる。攻撃者はどうやってバックドアを仕込んだのか。攻撃の詳細と対策を解説する。 バックドアを偶然発見、大惨事を回避 XZ Utilsは複数のLinuxディストリビューションに含まれている。このためバックドア入りのXZ Utilsが、世界中のLinuxマシンに危うくインストールされるところだった。だが、一部のLinuxディストリビューションのベータ版（不安定版）に組み込まれた時点で、米Mic

2025年度末までに全国約1700の地方自治体が使うシステムの一部を標準準拠システムに移行させる「自治体システム標準化」。標準準拠システムへの移行では原則、デジタル庁が整備するパブリッククラウド基盤である「ガバメントクラウド」を利用するという方針を国が定めている。 しかし、ガバメントクラウドの利用については自治体やITベンダーなどから疑問の声が上がる。当初掲げていたコスト削減の理想との乖離（かいり）やシステム移行の複雑さを増す要素が多いためだ。 ガバメントクラウドは、2020年12月に閣議決定された「デジタル・ガバメント実行計画」の中で、国と自治体で利用する計画が公表された。2021年9月のデジタル庁の発足以降は、同庁が整備を進めてきた。 実態としては一般的なパブリッククラウドサービスとほぼ同様だが、クラウドサービス事業者（CSP）との契約の方法などが、一般のパブリッククラウドサービスの利

能登半島地震で6層吹き抜けのアトリウムに架かる三角屋根のガラス50枚が割れて、広い範囲に被害が及んだ建物がある。富山県総合福祉会館「サンシップとやま」だ。ガラス建築の深刻な被害実態をリポートする。 能登半島地震の発生が休館日だったことがせめてもの救いだ──。最大震度5強を観測した富山市に立つ「サンシップとやま」の指定管理者は沈痛な面持ちでアトリウムを見上げる。この建物では地震で屋根のガラスが損傷し、施設内の広い範囲に飛散した。 サンシップとやまは、池原義郎・建築設計事務所が設計を担当し、佐藤工業・林建設工業・前田建設JV（共同企業体）が施工して1999年に竣工した。地下2階・地上7階建てで延べ面積は約1万3300m2。地上4階までの低層部の上に、船のような形の高層部が載っている。頂部の三角屋根がシンボルだ。 今回の地震により、三角屋根の外装に使われていた約1.7m角のガラスが50枚割れた。

基幹系システムを刷新するならば業務改革を断行し、経営目標である2030年代に売上高1000億円の達成に貢献したい――。こうした目的の下、赤城乳業はSaaS（ソフトウエア・アズ・ア・サービス）型ERP（統合基幹業務システム）である独SAPの「SAP S/4HANA Cloud Public Edition」を導入中だ。2026年の稼働を目指している。 SaaS型ERPを選択した理由について「負の遺産であるアドオン（追加開発）ソフトを残したくないためだ」と同社の吉橋高行財務本部情報システム部部長は語る。同社は現在、オンプレミス型のERPパッケージ「SAP ERP」を利用しており、SaaS型ERPの導入は初めての経験となる。プロジェクトは2023年11月から始まった。 赤城乳業は新規事業の立ち上げなど、経営環境の変化に追随するためSaaS型ERPを選択した。SaaS型ERPは年に数回、定期的にバ

長年、建設業界で懸念されてきた「技術者不足」。残業上限規制の適用本番を前に、その悪影響が如実に表れ始めた。離職率の増加や人材獲得競争の激化によって、倒産に追い込まれるケースも珍しくない。 「専任の主任技術者を配置すべきなのに、営業所の専任技術者を配置した」「資格要件を満たさない者を専任技術者として配置した」「発注者に提出する技術職員名簿に退職者を記載した」──。国土交通省のネガティブ情報等検索サイトで「技術者関係違反」を検索すると、同様の違反で処分を受けた事例が表示される。2023年1月から24年2月末までに技術者関係違反で処分を受けた建設会社は60社に上った（資料1）。

「もうデスマーチが始まってますよ」。自治体情報システムの開発を手掛ける複数のベンダー幹部は口をそろえる。自治体は2025年度末までに主なシステムを標準仕様に準拠させ、政府が契約したクラウドサービスに原則移行しなければならない。ところが標準仕様の改版が続いている上に、岸田文雄政権の経済政策に伴うシステム改修が追い打ちをかけているためだ。 全国約1700の自治体は2025年度末までに、それぞれの自治体で仕様が異なっていた戸籍情報や住民記録など計20の基幹業務システムを同じ標準仕様に基づいて作り直さなければならない。その上で政府が運営する「ガバメントクラウド」に原則移行する。 政府の大号令によって、全国の自治体は一斉に移行作業を迫られる。ベンダー各社では既にシステム開発担当者らが過酷な労働を強いられる「デスマーチ」が始まっているという。政府のシステムでなぜデスマーチを招く事態になっているのか、匿

「IDDos」はIoT機器を使ったDDoS攻撃のこと。IoT DoS（Distributed Denial of Service）の略。インターネット上に多数存在するルーターや監視カメラ（Webカメラ）、デジタルビデオレコーダー（DVR）といったIoT機器を踏み台にして、攻撃対象のWebサイトなどに大量のデータ（パケット）を送信し、サービスを提供できないようにする。 IDDoS攻撃の危険性は以前から指摘されていたが、その脅威が現実のものになったのは2016年になってからだ。2016年9月、著名なセキュリティジャーナリストであるBrian Krebs氏が運営するWebサイト「Krebs on Security」を、約620Gビット/秒のデータが襲ったのだ（関連記事：監視カメラから“史上最大級”のサイバー攻撃、IoTの危険な現状）。 2016年10月にはDNSサービス大手の米Dynが同様の攻撃

個人情報保護委員会（個情委）は2024年3月、ランサムウエア被害に遭った社会保険労務士向けクラウド業務システム「社労夢（Shalom）」などを運営するエムケイシステム（エムケイ社）に行政指導をした。 同時に個情委は、社労士事務所や企業にも注意喚起を公表した。約57万件もの事業所が認識の薄いまま従業員データをエムケイ社に委託し、結果的に同社への監督が不十分だった可能性があるとしたためだ。 エムケイ社では、2023年6月にランサムウエア攻撃で最大約2242万人分の個人データが暗号化されて漏洩などの恐れが発生した。同社との間で利用契約を結ぶ直接のユーザーは社労士事務所などだ。個々の社労士事務所が、顧問契約などを結ぶクライアントの企業や事業所の従業員に関する、社会保険・雇用保険の申請や給与計算、人事・労務管理といった業務に利用している。 取り扱う個人データは社労士のクライアントである企業や事業所な

IHIは2024年4月24日、子会社で船舶・陸上用のエンジンを製造するIHI原動機（東京・千代田）が、船舶用のエンジンなどで燃費に関わる試験データを改ざんし、出荷していたことを公表した。調査対象とした2003年以降に出荷した船舶用エンジン全4881台のうち、約9割に当たる4215台について、エンジンが一定の出力を出す際にどのくらいの燃料を消費するかを示した「燃料消費率」を、実測値とは異なるデータに書き換えていた。発電装置や鉄道車両に用いられる陸上用のエンジンでも、同様のデータの改ざんが行われていた。データ改ざんは1980年代後半から行われていたとの証言もあり、長年にわたって組織的な不正が続いていた可能性がある。 改ざんが行われていたのは、IHI原動機の新潟内燃機工場（新潟市）および太田工場（群馬県太田市）の2工場。2024年2月下旬に、同社の社員による申告で発覚した。同社では、各工場の製造

航空機の機体を構成する材料は、難削材化が進んでいる。米Boeing（ボーイング）の現行生産機種の1つである「Boeing 787」は構成材料の50％が炭素繊維強化樹脂（CFRP）などの複合材で、これに線膨張係数（熱による膨張度合い）が近いチタン合金（Ti-6Al-4V）を組み合わせる部品が増えている。機体部品を製作する際には、CFRPとチタン合金を重ね合わせたところに、リベット結合のための穴を開ける作業が必要になる。 ところがCFRPとチタン合金はいずれも名だたる難削材であり、機体部品製作メーカーは多くの手間をかけていた。この手間を削減して大幅なコストダウンを図ろうと、川崎重工業航空宇宙システムカンパニーはドリルを振動させてCFRPとチタン合金に一発で穴を開ける「6D振動アシストドリルロボット」を開発。2024年3月13～15日に開催された展示会「SMART MANUFACTURING S

ダイキン工業は開発案件における再々委託先の作業者が取引先情報を私用目的でダウンロードしたと発表した。同社は2023年12月24日、取引先情報が不正にダウンロードされたことを検知した。ダウンロードされた取引先情報には、取引先担当者の氏名と住所、電話番号、振込先情報など、個人情報が約2万2000件含まれていた。 ダウンロードしたのは、同社から開発委託を受けたダイキン情報システムが発注したNEC（再委託先）の委託先事業者（再々委託先）の作業者。不正なダウンロードを把握した後、当該作業者の情報機器は全て回収し、詳細に調査した結果、第三者への漏洩の痕跡がないことを確認したという。 今回の件を受け、個人情報へのアクセス権限の設定を見直し、社内のネットワークセキュリティー対策や委託先の選定基準のセキュリティーチェックの強化に取り組むとしている。 https://www.daikin.co.jp/tais

基幹システムの切り替えに伴ってミドリ安全で発生したシステム障害の影響が約7カ月にわたって継続していることが、日経クロステックの取材で2024年4月24日までに分かった。同社は2023年9月25日に基幹システムの切り替えを実施し、システム障害を明らかにしたのは2023年10月5日。障害発生日から約7カ月が経過したが、同社は今もなおシステム復旧作業に努めている状況だ。

日本国内でセキュリティー被害が発生している米Palo Alto Networks（パロアルトネットワークス）製品のOS「PAN-OS」の脆弱性に関して、日本の企業や組織における対処が世界的に遅れている可能性が高いことが分かった。マクニカの瀬治山豊セキュリティ研究センターセンター長補佐が2024年4月25日、独自に調査した結果の中で指摘した。「CVE-2024-3400」という脆弱性で、PAN-OSの一部バージョンにおいてリモートアクセスなどを提供する機能に関するもの。悪用すると、第三者が管理者権限で遠隔から任意のコードを実行できる。 PAN-OSが稼働するインターネット上の公開サーバーのうち、当該の脆弱性を抱えるサーバーの稼働状況をWebサービス「Shodan」で調べた。Shodanはインターネットに公開された機器の情報をデータベース化し、検索できるサービスだ。4月24日時点で、国内のIP

福島県いわき市発注の水道工事で、最低制限価格の設定を誤ったにもかかわらず、それと同額で落札する事態が発生した。非公開の価格情報が、市から落札者へ漏洩していた可能性が高い。市は落札者との契約を解除した上で、外部の有識者による委員会で調査することを決定。2024年3月29日に委員会の初会合を開いた。

春割キャンペーン実施中！ ＞＞詳しくは 日経クロステック有料会員になると… ・専門雑誌7誌の記事が読み放題 ・注目テーマのデジタルムックが読める ・雑誌PDFを月100pダウンロード

政府ポータルサイト「e-Gov」のシステム刷新が当初計画から大きく遅れている。開発した機能の品質不良が最終テストで判明したためである。問題はベンダー選定後にデジタル庁がシステム構築手法を変更したことに端を発していた。開発を受注したNECは変更を受け入れたが、開発が遅延し品質に問題を抱える。情報を共有する体制が不十分だったために問題を広げたとの指摘が出ている。 デジタル庁が運用する政府ポータルサイト「e-Gov」のシステム刷新プロジェクトが大幅に遅延している。当初は2024年2月下旬に新システムへの切り替えを予定していたが、デジタル庁は約3週間前の2024年2月2日になってe-Govのサイト上で作業の延期を公表した。 河野太郎デジタル相は2024年4月16日の閣議後会見で記者の質問に対し、e-Govのシステム刷新が遅れている理由を「最後の試験工程で（開発したシステムの）品質が十分でないと判断

パスワード付き圧縮ファイルでマルウエアを配布する手口はEmotetなどにも採用された。ただ攻撃者からすると、攻撃の成功率を下げる懸念が幾つかある。例えば対策機能を持つ製品が存在することや、ユーザーにパスワードを入力させる手間がかかる点だ。 これらに対処する手口として、パスワード付き圧縮ファイルを用いながら、自己解凍書庫を悪用してパスワードの入力を自動化するというものがある。検知を回避しやすいパスワード付き圧縮ファイルの利点を残しつつ、ユーザーに求める手間は添付ファイルを開くだけとなり、前述の懸念を払拭できる。 少なくとも2012年ごろから一部で確認されていたが、これまであまり注目されてこなかった。ただ、最近では標的型攻撃などの初期感染手口として目立つようになり＊1、今後注意したい脅威である。 今回は実際の攻撃で使用されたマルウエアを題材に、この手口を詳しく解説する。また、自己解凍書庫を取り

全国銀行資金決済ネットワーク（全銀ネット）が、銀行間送金を担う「全国銀行データ通信システム（全銀システム）」の保守期限延長を巡って、NTTデータと協議することが明らかになった。2023年10月に発生した全銀システム障害を受けて、2027年を見込む次期システムの稼働を延期する選択肢を持つ狙いが透けて見える。 全銀ネットは2024年4月18日、同3月11日に開催した「全銀ネット有識者会議」の議事要旨や事務局説明資料などを公開した。同会議は有識者を交えて年1回開催しており、全銀システムに関する時宜を得たテーマについて意見交換する。全銀システム改革の方向性を固めていく上で、重要な場といえる。 筆者が議事要旨や事務局説明資料などを読み込む中で、ある部分に目がとまった。それは事務局説明資料の12ページに書かれた「要件定義・開発・試験・移行等を確実に行うため、保守期限の延長についてNTTデータと協議」と

個人情報保護委員会（個情委）は2024年3月、ランサムウエア被害に遭った社会保険労務士向けクラウド業務システム「社労夢（Shalom）」などを運営するエムケイシステム（エムケイ社）に行政指導をした。 同時に個情委は、社労士事務所や企業にも注意喚起を公表した。約57万件もの事業所が認識の薄いまま従業員データをエムケイ社に委託し、結果的に同社への監督が不十分だった可能性があるとしたためだ。 エムケイ社では、2023年6月にランサムウエア攻撃で最大約2242万人分の個人データが暗号化されて漏洩などの恐れが発生した。同社との間で利用契約を結ぶ直接のユーザーは社労士事務所などだ。個々の社労士事務所が、顧問契約などを結ぶクライアントの企業や事業所の従業員に関する、社会保険・雇用保険の申請や給与計算、人事・労務管理といった業務に利用している。 取り扱う個人データは社労士のクライアントである企業や事業所な