自治体のセキュリティ意識に温度差 78
ストーリー by yourCat
寒暖差が激しい日本の気候 部門より
寒暖差が激しい日本の気候 部門より
k3c曰く、 "先日住基ネットに接続しないと宣言した福島県矢祭町
(町長へのインタビュー記事あり)
に続いて、東京都国分寺市は総務大臣に「個人情報保護法が成立するまで住基ネットの延期または凍結を」と要望書を提出、認められなければ住基ネットには参加しないと表明した。矢祭町も国分寺市も、個人情報を保護する法制の整備なしには住基ネットは導入すべきでないと主張している
(7/1の国分寺市長へのインタビュー記事)。国分寺市は個人情報保護条例を独自に制定したり、以前にも住基ネット開始延期の要望書を提出するなど独自の取り組みを続けていた。
なお、正式運用の延期を求める要望書は佐賀市も提出している。"
プライバシー保護に、あくまでも法の担保を要求している。
otk曰く、 "asahi.comの記事ですが、71自治体にネットワークシステムの不正使用対策についてのアンケートをした結果、約2割の15自治体でアクセスログを残していないことがわかった、とのこと。その理由ですが、「ログを保存するシステム導入に費用がかかる」 (秋田市)、「照会できる情報の範囲を職員の業務内に制限している」(津市) などなど、意識の低さをモロに露呈しています。"
こちらは性善説に基づくお気楽ムードか。法的側面と技術的側面という違いはあるが、それにしても温度差が凄いな。
その他の自治体の動き (スコア:4, 参考になる)
- 東京都狛江市も離脱を視野に入れている [mainichi.co.jp]
- 群馬県太田市は独自条例制定へ [mainichi.co.jp](杉並区の他に少なくとも国分寺市も独自条例を持っているので、全国で2番目というのは間違いかも?)
- 東京都杉並区長はインタビューで接続強制ではなく選択制を提案 [mainichi.co.jp]、8月1日に記者会見で最終的な態度表明
- 福島県矢祭町は独自条例制定後の参加 [mainichi.co.jp]に路線変更
- 東京都は「セキュリティ会議」 [mainichi.co.jp]を新設、でも「住基ネットのセキュリティーは信頼に足る」そうです…根拠は不明。
- 今までに住基ネット延期の意見書・要望書を採択or提出した自治体リスト [mainichi.co.jp]
おまけ:住基ネットのウイルス情報更新は原則として2週間に1回 [mainichi.co.jp]…(呆)Re:その他の自治体の動き (スコア:1, 参考になる)
長野市、住基ネット切り離しも [shinmai.co.jp]
Re:その他の自治体の動き (スコア:1)
wild wild computing
本当は (スコア:1, 興味深い)
「第二のみずほ」
なんて言われてるわけだし。
でも、それを政府自身が言い出すのは、自分のやったことが正しくなかった、と自分自身で認めることになる。だから、どこかの自治体からわざと「反対意見」を出させて、「みんなが延期しろ、と言うからやったんだ」ということにしないとますいんだな。
役人がよくやる「俺たちは間違ってない」という「無謬性への執着」は、それはそれはそれはそれはそれはそれはすごいもんですよ。「間違えたことを認める」というと、誰か仲間を血祭りにあげて「犠牲者」を仲間内から出さなきゃいけないでしょ。それに自分がなるのはもっともごめんこうむりたいわけさ。誰でもそうでしょ。
もっとも、今の若造の役人どもに、そこまでのチエがあったのかな?という疑問は残らないこともないけどね。昔の役人はここいらへん、とってもうまかったよ。だから、こういった若造のチエの足りない役人にチエを授ける怪しいコンサルタントとかが霞ヶ関周辺でウロウロしているんだよね。これがまたいいカネになるんだな。
がんばってね。
チエの足りない役人さん。
天下り先はもうこれからはそうそう簡単にはないと思うから、将来の保証なんかできないけどね。
まぁ、そういうことではないかと。
Re:本当は (スコア:1, おもしろおかしい)
って、そういうことになりそうだな~
Re:本当は (スコア:1)
「税金の無駄遣い」は?
Re:本当は (スコア:1, 参考になる)
IT化で、企業の経理・事務部門の人員が大幅に減った
おれが消防の頃は、銀行にだって凄くたくさん職員いたのに、
IT化とATM化で、中学校の頃には職員数が凄く減っていた
スーパーのレジも、IT化で、金額入力がほとんどいらなくなり、
「ピッ」ってやるだけでよくなったから人が減った
こんどは、自治体でも、IT化による人員減らしやる時期だとおもうけどね
Re:本当は (スコア:1)
「まともに動かなくても」無駄遣いじゃないのですか?謎だな。
Re:本当は (スコア:0)
>「税金の無駄遣い」は?
そんなことを気にしている政治家がどの程度いるのやら...。
Re:本当は (スコア:1)
動かない事で直接の影響は少なそうだが,
個人情報が流出したりすると大変です.
Re:本当は (スコア:1)
Re:本当は (スコア:1)
確率がグンと高まるような気がするんですが。わかってる人間から見た
場合には全然過失の範疇でなくてもね。
そんなところは (スコア:1)
他市町村のデータを抜き出して自前のファイルにしまい込む輩が出ると問題ですが、そんなことする必然性がある業務というのが思い当たらないんですよねぇ…。
Re:そんなところは (スコア:1)
を同じようにだだ漏れにしたとして、それが紙媒体や「フロッピー」で
のことだったら「不手際」とか「不適切な措置」とかで一応責任が追求
されることがありそうだけど、「ネットワーク」が構築されていた場合
には「過失」あるいは「不可抗力」で済まされちゃうんじゃないか、と。
明らかな不手際を「ハッキングされた」と言い張る連中と同じように。
Re:そんなところは (スコア:1)
だから、住基ネットがなくったって、「ネットでお漏らし」は変わらないと思いますぅ(笑)。
Re:そんなところは (スコア:1)
うなるほどあります。
嘘だと思うなら、現調回りしてごらんなさい。 ^^;
Re:本当は (スコア:1)
間違いを認める際に、血祭りの生贄を「(事実上)出さないとならない」って点が
既にその集団の因循姑息さ(古臭い駄目っぷり)を示す指標だったりするよね。
少なくとも優秀なHacker(Crackerじゃないよ)の集まりは、そんなものは無いし。
#Hackerに任せられない仕事、というものは、もとより効率なんか良くないしなあ…
>それに自分がなるのはもっともごめんこうむりたいわけさ。誰でもそうでしょ。
というわけで、「誰でも」というよりも「そういうボロい連中が」だと思う。
Re:本当は (スコア:1)
>で、貴方は?
#(という繋がりなのかな?)
スラドにおいては、裏で結託でもしない限り(藁)、各自は個人単位の存在でしかないので、
そもそもこの問題は発生しません。(他の問題なら色々発生するだろうけどさ)
自分が何かすれば自分が血祭りになるだけ。へんてこな委譲関係は存在しません。たぶん。
郵便貯金オンラインシステム (スコア:1)
小さな特定郵便局に置いてある端末でどれだけの操作ができるのか知りませんが、例えば
特定の口座番号を自由に入力し、残高を調べる
一定以上の残高がある人の住所、連絡先を印刷する
他人の貯金を、自分の口座へ着服する
というようなことはできないのでしょうか。
たまに不正が起きて事件になっている時もありますが、そんなに頻繁に事件が起きているようにも見えません。
それは何故なのでしょうか。
1 元々現金を取り扱う職員だったのでモラルが高かった
2 端末が厳重に管理され、一職員が操作できることには制限がある
3 インターネットとは無縁の専用線網で構築され、端末も専用である。
もっと他にも理由があるかもしれません。もし上記のようなことが郵貯システムの安全性を確保しているなら、住基ネットも同じような構造にすることはできなかったのでしょうか。
でも、郵貯オンラインのようなシステムは古い感じがして、コストがとても高くつくような気がします。
住基ネットの場合、
1 モラルの高い自治体職員を雇用する
2 端末に適当なアクセス制限があり、一職員の操作権限にも制限がある
3 インターネットで接続するにしても、暗号化を行い、パケットフィルタリングを行う
ということがちゃんとできれば、郵貯システム程度には安全なシステムが作れると思うのですが、これが無理だったということでしょうか。
郵便局のセキュリティは1枚岩だったけど、自治体は各自てんでにバラバラの意識しか持っていないというのが不幸の始まりですね。
Re:郵便貯金オンラインシステム (スコア:1)
今はともかく当時は、住所と名前を教えることにそれほどプライバシー意識はなかったでしょうから、たとえ局員にばれても気にならない。当然、口座の不正操作が行われたら問題でしょうし、そういう事件はあったんでは無いでしょうか。ただ、郵便局に口座持っている人は、ある程度の頻度で通帳持って記帳しにいくので、不正があったことにユーザが気づきやすい。なので、扱う人間にはそれなりにプレッシャーがかかるので、責任感は維持しやすい。
住基ネットの問題は、不正があった(情報が漏洩した)ことにユーザが直接気づく手段がないこと。また、気づいてもその責任を追求する手段がほぼないこと。責任が問われないなら、いくらモラルを求めても、それを維持するのはむつかしい。
Re:郵便貯金オンラインシステム (スコア:1)
戸籍および住民登録は法律で定められた義務ですが、郵便貯金は任意です。なので郵便貯金の場合は個人情報がバレるリスクとその制度を利用する利便性を天秤にかけることができます。クレジットカードや web のオンラインサービスも同じで、リスクと利便性のどちらをとるかをユーザは選ぶことができる。
一方、住基ネットは日本国民なら避けられない制度なのに、制度的、技術的に問題ありそうなのを、強引に施行していることが、郵便貯金のオンライン化と決定的に違うところではないでしょうか?
Re:郵便貯金オンラインシステム (スコア:1)
このアイデアを、郵政「命」の政治家に、「もっと早く」タレこんでおけば、
官営郵政存続の根拠として利用してくれそうでしたね。
電話一本で住民票とっておいてくれるなんて
お勝手サービスしてくれそう。(よし悪しはご自由にご判断を)
Copyright (c) 2001-2014 Parsley, All rights reserved.
役人の感覚 (スコア:1)
なんの意味もないのでは?
Re:役人の感覚 (スコア:1)
キムタク、工藤静香の結婚の時もそんな噂を聞いた覚えがあります。
#本当かどうかは知りません。信憑性を高めるための創作の可能性もあります。
櫻井氏 vs 片山総務相 (スコア:1)
では見つからず)に、ジャーナリストの櫻井よしこ氏と総務相の片山虎之助氏
の対談が載っています。櫻井氏はさすがに良く勉強されていて、まあまあ的を
得た質問してますが、それに対する大臣の返答の、論点のわかっていなささ、
おそろしいばかり。まあ、お役人の説明をうのみにして喋ってるだけなんでしょ
うが、担当大臣なら、ちったあ勉強してほしいもんです。(東大法学部卒だそ
うなので、お勉強はできる(た?)のでしょう、きっと。)
以下、気になった主なやり取りの要約です。(かっこ内は私の勝手なコメント)
桜井:今の日本ではセキュリティの専門家が不足していて、住基ネットの
安全性をチェックするのに最低でも半年かかるが。
片山:事前に書類審査などすれば、チェックすべき自治体の数を減らせる。
(複雑に絡み合っている計算機セキュリティを書類審査程度で洗い出
せるできると思ってるのが怖い)
櫻井:自治体には専任のオペレータもおらず、技術的にも侵入を完全に防げる
わけではない。
片山:(専任オペレータの話は完全に無視して)侵入されれば、それを防ぐ
技術もかならず開発されるはずだ。
(防ぐ技術は後追いでしかないことはわかっているんかいな。それに
その技術を使いこなすためには、専門知識を十分に持っている
オペレータが十分な数必要なことも。)
はぁぁ (スコア:1)
「罰則による規則の実効性の担保」を求めるのがあたりまえだっつうに、
やりませんかそうですか…。
BS7799/ISMS あたりはもちろん、CONCT あたりに示されているような、
システムとその運用の要件に求められている要件の厳しさを
守れるモノとヒトがあってこそ、セキュリティを維持できるものだ、と知って欲しいっす。
みんつ
Re:はぁぁ (スコア:1)
毎日新聞の記事 [mainichi.co.jp]の最後の段落にありますが、(法律に書かれた)住基ネットの開始日を守ることが最優先。セキュリティの確保されていない入力は、それをしばる法律が無いのでOKのようです。
エクソダス (スコア:1)
というか、それ以前に、既に現住所の住民票が住基ネットに登録されているので手遅れではないかと。
とてもプロとは思えん仕事だ (スコア:0)
どこの、何て業者ですか?
Re:とてもプロとは思えん仕事だ (スコア:0)
だって、Nは最近役所方面で元気ないし、TやIはもっとマトモな提案しそうだし。
ピンポ~ン♪ (スコア:1, 参考になる)
おかげで、周辺機器の組み込みCPUは全部H製です。
#やばいのでAC
Re:ピンポ~ン♪ (スコア:1)
あれはなんだったんだろう。
端末はHじゃないのかな?
Re:ピンポ~ン♪ (スコア:1)
とりあえず統括として1社が受注して、システムをいくつかに分割して複数の会社が担当するんだと思うけど。
Re:とてもプロとは思えん仕事だ (スコア:0)
こんなの、今時の Linux厨 だって(インストール前に)分かるぞ。
指摘されて初めて「あっログの保存用ストレージがないYO」「じゃ/dev/null行きにしとくか」って?
#どういう設計をしたんだ・・・他にもこんなオチがありそうでコワイ
Re:とてもプロとは思えん仕事だ (スコア:0)
Re:とてもプロとは思えん仕事だ (スコア:1)
コストの関係で出来ないと言ってるのは、ログの一時保存ではなく半永久保存 でしょ?
そういう意味ではよくないことだけど、秋田市とかの言ってる事も一理あると思います けど?
基から駄目なシステムなんだから、駄目に拍車がかかってるだけだろうし。
官公庁にいるパソコンビギナー(オタク) (スコア:1)
ですから、ちょっとでも使いこなせると情報システム担当とか
になってたりします。
で、そういうひとってあくまでWindows上はちょっと使える程度
なので、セキュリティは全然素人だったりするのです。
だから、使いやすいからという理由で外向けのwebサーバーに
無条件で共有設定したり平気でするのです。
せめて一般上場企業なみのセキュリティ感覚は持って欲しいんですよ
セキュリティ担当の取締役をおいている企業も多いこの昨今の状況で
政府上層部のあの常識のなさにはあきれます。
この間も (スコア:1, 参考になる)
といわれちゃったよ......。コスト削減を徹底したつもりらしい。
かなり丁寧に説明してやったのに。
お前の自宅のパソコンならいらないだろうが、企業システムでRAID じゃないシステムなんてないってーの。
Re:この間も (スコア:1)
>企業システムでRAIDじゃないシステムなんてないってーの。
うむ、そのお偉いさんに言ってやってくれ、
「これからに時代、個人でもRAID1だ。」っと
PCにECC Registeredメモリの利用を推奨します。
意識が低いのはセキュリティだけ? (スコア:0)
ログ保存のためのシステム導入にかけるカネって、不正侵入によって被る損害(信頼も含めて)に比べたら微々たるもんだと思うんだけどなあ。今、新規システム導入を担当しているどこかのお役所さんは、裁判の時などに物証として提出できるよう、ちゃんと目的を持ってログ保存システム導入を要求していて、予算にしっかり組み入れてるぞ。
ただ、そのお役所さんも「24時間365日安定稼働するシステムを」と言ってくる・・・。あのさ、高々数千万の予算ではメンテ時はシステム落とさざるを得ないんだけど。銀行並みの信頼性が欲しいなら、国家予算に匹敵する額を出してもらわないとねえ。
やっぱお役人はセキュリティとコストに対する意識が低いのか。
意識が低いというより (スコア:1, すばらしい洞察)
動かない機構、大物政治家の圧力があっさり通る体質。
セキュリティで分からなければ、防火対策に例えると分かりやす
い。建物を造るとき法律がなければまっ先に予算を削られるだろ
うものが、消火栓、煙探知機などの防火設備。そしてそれらの設
備をつけたとしても、消防訓練、避難訓練ができていなければ、
いざという時被害が広がる。
そんなのは当たり前と思うのは、我々に多少なりとも防火に対す
る知識と意識があるからだ。
で、住基ネットを運用する役人は、意識と知識と責任の所在を明
確にしているの?
Re:意識が低いのはセキュリティだけ? (スコア:1)
24時間365日安定して情報を漏らし続けるシステムなのかも…
#やはり事前に絶対に漏れないことを証明してもらわないと…
Re:意識が低いのはセキュリティだけ? (スコア:1)
・経済的損害.....行政は民間と違って商売じゃないんだから売上が減ったり利益が減ったりという考え方はそもそも必要ない。
・信頼の損害.....行政への信頼はそもそも公権力である事によって自明に成立するのであって、個々の施策によって影響されない。
なんて考えてるんじゃないですか?。
Re:意識が低いのはセキュリティだけ? (スコア:0)
税金で導入して責任を持ってシステム運用すべきお役所が
2ちゃんねると同じレベルの開き直りとはなさけない・・・
ログの提出を求められたときに「無いものは無い」で押し通すつもりでしょうか?
Re:単にお役所ネタをでっち上げたいだけなんじゃない (スコア:1)
もちろん、僕も権限を設定することはセキュリティ的には必要なことだと思います。
言葉足らずでゴメン。 (スコア:1)
>>>「照会できる情報の範囲を職員の業務内に制限している」(津市) などなど、意識の低さをモロに露呈しています。
>>わかりません。これが他の件と同列に意識が低いと主張する意図が。
>接続記録を残していない理由としては>不十分だと思います。
TxGさんがフォローしてくださっているとおり、タレコミ時の意識としては「それが“接続記録を残さない理由”になるのか?ぉぃ」ということでした。照会情報の範囲をシステム的に制限してようがなかろうが、この制限範囲外の「不正な照会」があった場合、どうやって発見するのか?という疑問からです。(逆にいえば照会範囲を制限しているからこそ、チェックのためにログを採るべきなのでは?ということ。扱うものが個人データだけに、慎重にやって欲しいと思いません?)
とりあえずタレコミ文は言葉足らずだったかもしれませんね。ぺこり
Re:単にお役所ネタをでっち上げたいだけなんじゃない (スコア:1)
ということは もしかしたら運用側でアクセス制限かけてるだけでシステムとしてはまるっきり制限がかかってないってことなのでは?
#そもそも アクセスした人が職員かどうかを判別する方法があるのかどうかもあやしい
Re:単にお役所ネタをでっち上げたいだけなんじゃない (スコア:1)
Kiyotan
Re:Windowsでは事実上、使いものにならない (スコア:1)
まあ、Solarisあたりなら1桁くらい改善されるかも知れませんが、今度は逆に保守の代金が高額になりますよね。
Re:Windowsでは事実上、使いものにならない (スコア:1, 参考になる)
漏れた時の損害って計り知れないのでは?
以前名簿が漏れた時の事例では1人につき15000円として損害額を支払った判決がありす。
この時漏れたのは住所氏名などですが漏れた場合の損害はそれ以上支払う必要が出てくるでしょう。
これを国民全体として考えるならまだ安上がりかと思いますが
だったら初めからやらない方がという意見も出てきそう
とりあえず保険を掛けているならWindows止めれば保険料は安くなるでしょうね。