住基ネット業務連絡用Webページにおけるアクセス制限の実態 29
ストーリー by Oliver
ポカーン 部門より
ポカーン 部門より
k3c 曰く、 "仮運用初日からトラブル多発の住基ネットだが、毎日新聞の記事によると、地方自治情報センターと地方自治体職員などの連絡用Webページのアクセス制限に用いられているIDとパスワードが全関係者一律のものであったうえ、それが組織名から容易に推測可能で、更新作業も行われていないらしい(記事中の産業技術総合研究所・高木氏のコメントについては本人のフォローアップあり)。つまり現在も中身が覗かれかねない状況のままなのだろうか?なお、当該Webサイトに記載されている情報は「セキュリティーの根幹に関わるものは除いている」とのことだが、その後一般には公開しない方がいい情報が削除された。
そんな大人数がアクセスするWebサイトの情報を一般から秘匿したいなら、ID・パスワードはアクセス権限のある関係者一人ずつ別々にすべきだしそれ自体は特に困難なことではないはず。また、一定の期間で更新されない、しかも推測されやすいパスワードを使っていては、情報を一般に公開しているようなものだ。…一般には公開しない方がいい情報を削除したのなら、もういっそのことアクセス制限を廃止してはいかが?"
仮に個別配布したとしてどうなるの? (スコア:3, すばらしい洞察)
関係者は何千人もいるわけですから、どんなに頻繁にパスワードを変更しても絶対にどこかで漏れるはずです。
パスワード云々じゃなくて、「秘密の連絡にWebを使うな!」と突っ込むべきじゃないのかと思うのですが、どうでしょうか?
-----
Team Slashdot Japan [tripod.co.jp]に参加しよう。
Re:仮に個別配布したとしてどうなるの? (スコア:3, すばらしい洞察)
だが、いいこともあるぞ、外の天気は上々なんだ
Re:仮に個別配布したとしてどうなるの? (スコア:1)
こんなこと当たり前ですよね。
全員に同じものを配布するなら、「IDとパスワード」セットじゃなくて「ID」だけで充分だし。
#別に内部に抑止力を働かせなくても、ユーザー教育で対応でき・・・ないのかな?
Re:仮に個別配布したとしてどうなるの? (スコア:3, 興味深い)
並記して ありましたけど.
当然,個別パスワードで,給与支給毎に変わります.これって普通ですよね?
会社の規模は,7000人ぐらいでしたが.
利点は,給与明細を端末の前に貼っておく度胸のある奴は皆無であることかなぁ(笑)
ダメな点は,給料日にしかパスワードが変わらないこと.
月給制だと,ちょっと間隔が長過ぎますね.
Post-itにメモして貼ってあった馬鹿は居たけど.そういうのは,見かけたら,
誰でも剥がして捨てていいことになってました.
でも,この問題とは,ちょっと違いますね.失礼しました.
Re:仮に個別配布したとしてどうなるの? (スコア:1)
なんででしょうか?
本気で理由がわかりません。
みんな、他人に見られるの嫌なものなのでしょうか?
Re:仮に個別配布したとしてどうなるの? (スコア:1, おもしろおかしい)
>みんな、他人に見られるの嫌なものなのでしょうか?
少なくとも住基ネット担当者の意識はあなたと同程度でしょう。
Re:仮に個別配布したとしてどうなるの? (スコア:1)
自分の給与明細書を他人に見られるのがイヤかどうかという話です。
ははぁ~ん、理解できないものに手を出すあなたは住基ネット担当者様でつね。
Re:仮に個別配布したとしてどうなるの? (スコア:0)
ええ、ですから個別IDとパスワードが入った給与明細の話ですよね?
だからこそ、
>給与明細を端末の前に貼っておく度胸のある奴は皆無
なのだと思うのですが。 それがわからないのですよね?
Re:仮に個別配布したとしてどうなるの? (スコア:1)
私は、
>>利点は,給与明細を端末の前に貼っておく度胸のある奴は皆無
という部分から、
ID/パスワードを端末の前に貼るような奴でも、給与明細に記載すれば貼らない
という意味にとりました。
その部分が利点だと主張していると。
もし私が、ID/パスワードを貼る奴ならば、給与明細だろうとなんだろうと貼ると思うので、
なぜ給与明細だと貼らないんだろうなぁと疑問に思うわけで。
つまり、給与明細って他人に見られたくないものなの?
Re:仮に個別配布したとしてどうなるの? (スコア:0)
私が理解できていなかったようです。失礼しました。
Re:仮に個別配布したとしてどうなるの? (スコア:1)
えと,給与所得者なら思い当たるかも知れませんが,
給与明細(明細ですよ)には,所得控除や扶養控除,各種保険控除,
人によっては自社持ち株所得,付け替え経費など,他人に知られてしまうと,
けっこう気まずいプライバシのデータがテンコ盛りだったのですね.
(その点,独身で,給与以外には何もない人はノンキです)
また,その人の勤続年数/経験などは,社内の同僚なら周知ですので,
そこから初任給を割り出すのも容易ですし,また,当然ながら,
会社が現在自分に与えている評価の目安も容易に推測できます.
そういうモノを衆人環視に置くことは,わりかしリスクが
高いことは言うまでもないでしょう.
#つまりは,給料の安い奴は立場が弱い.ってことです.
それらのデリケートなデータと,パスワード/IDは,同じぐらいか,
それ以上に重要なデータなんだよ.と,知らしめる上で,
意義があったなぁと,ワタシは思うわけですね.
Re:仮に個別配布したとしてどうなるの? (スコア:0)
住基ネット担当者は給与明細を人に見られても平気ってこと?
担当者に知り合いでもいるんですか?
Re:仮に個別配布したとしてどうなるの? (スコア:1)
少なくとも、責任の所在は統一ID/パスワードより分かりやすくなるはずです。
あと、心理的な効果で漏らしにくくなるのでは?
Re:仮に個別配布したとしてどうなるの? (スコア:2, おもしろおかしい)
#漏れたときはその仕様に決めたやつの責任を追及しよう
役所の感覚 (スコア:2, 興味深い)
http://www.asahi.com/national/update/0726/016.html
を見ても、役所のセキュリティに関する感覚って
そんなもんなのかなぁって感じがしますね。
だいたい、
「ログを保存するシステム導入に費用がかかる」
って理由でログすら保存しないんですからねぇ。
#てゆーか、全体としてログを残そうって話は
#全然ないってことなんですねよね?つまり。
Kiyotan
Re:役所の感覚 (スコア:1, 興味深い)
くいですね。で、予算がついたらついたで、何事もなかった場合「税金の無駄遣
い」と叩かれる。
だから現場は、予算がつかない間は「誰か死んで実績つくってくれー(嘘」と思
うし、予算がついた後は「小さくていいから実績(事件)つくってくれー」と密か
に思う。
予算を要求しても獲得できず、でも事件が起これば真っ先につるし上げられる現
場のひとはすごく胃が痛みます。まあ「自分が担当の間は何も起きないでくれ」
程度の悩みなんですが。
「ログを保存するシステム導入に費用がかかる」というのは「必要性はわかって
いるけど予算がつかないんだよぅ」という現場の声のようにも聞こえるなぁ。
Re:役所の感覚 (スコア:0)
Re:役所の感覚 (スコア:1)
怖いです。
Re:役所の感覚 (スコア:0)
Re:役所の感覚 (スコア:1)
#(使う人にとって)理解出来ぬ不可解な物など、在っても役に立つものか! とね。
ターゲット (スコア:0)
毎日の記事の別バージョン (スコア:1, 参考になる)
Re:毎日の記事の別バージョン (スコア:0)
公的機関でこういうことが許されるの?
情報公開請求すれば公開されるのだろうか。。。
住基ネットって... (スコア:0)
アレゲだ。
晒せ (スコア:0)
煽りでもなんでもなく、真面目に吊るしたいぞそいつ。
Re:晒せ (スコア:0)
それはともかく、前任者の時までに仕様がまとまって、入札して、ハードもソフトも業者もほとんど決まっちゃって今に至り、今の担当者は限られた環境で努力(落札業者に無理を言うようなこと)してる可能性が大。いわゆる先送りのツケを払わされる貧乏くじを引かされてるんじゃないですかね。そのうえセキュリティの意識が低いときている。
こういった大プロジェクトにかぎらず、先送り体質の温
Re:晒せ (スコア:1)
水俣病が抜けています
上記表現だと、最近お役人の質が下がったように見うけられますので。
元々が筒抜け状態の個人情報なんだから (スコア:0)
そもそも、現行で施行されている「戸籍」「住民票」だって、特に本人請求していることの証明がなくても請求できてしまうのだから、それらの情報をいっそのこと自由に開示できるようにしてしまえばいいと思う。
# 何度か「戸籍謄本・抄本」(もちろん自分の)を郵送で請求したことがあるけど、一度として断られたことはないし・・・。「住民票」請求だって、窓口で運転免許証などの開示を求められたことがまったくないっす。
# もちろん、公に出来ない情報が記載されていないことが大前提なんだけど・・・。
問題なのは、その「誰でも手に入れられる」情報に、どこまで「信頼」を置くのかってことじゃないのかなぁ。認印(三文判)なんかもそうだけど、そろそろ「本人認証システム」そのものの見直しが必要なんじゃなぁい?
Re:元々が筒抜け状態の個人情報なんだから (スコア:0)
家族構成とか収入とかが赤の他人につつぬけになっても気にしないのかな。
それと、一人の情報だけでは価値無くても、多数になるマーケティングやらなんやらの貴重な資料。なぜ名簿が売れるのか、考えたことありますか?