パスワードを忘れた? アカウント作成
5798 story

やっぱり繋がってた住基ネットとインターネット 290

ストーリー by Oliver
独立だから安全、安全だから非独立OKの理論 部門より

shiraga曰く、"毎日新聞の記事によると、長野県本人確認情報保護審議会の調査により、「長野県下の27自治体で、住民基本台帳ネットワーク(住基ネット)とインターネットが物理的に接続していたことが明らかになった」らしい。詳細はリンク記事を参照願いたい。
これまで政府および総務省は「住基ネットは独立したネットワークだから安全」と主張していたが、その主張が根本から崩れた事になるのではあるまいか。さらに輪をかけて、この報告に対する総務省の畠中誠二郎・自治行政局長の「いたずらに不安をあおることは極めて遺憾だ。住基ネットは極めて安全なシステムであり、これまでも何も問題は生じていない」という発言や、井上源三・市町村課長の「報告書は主に庁内LANの問題点を指摘したもので、住基ネット本体のセキュリティーが直ちに危険な状態にあるとしたものではないと了解している。」といった発言は、セキュリティに対する無知・無関心を如実に表していると言えるでしょう。
この国の行政機関は「いたずらに不安をあおる」という口実で国民に対して情報を隠蔽することが常になっているが、そういう子供扱いはいい加減やめてもらいたい。全てを開示した上で、個々人に判断させて欲しい。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Napper (6812) on 2003年05月31日 10時45分 (#326658)
    「これまでも何も問題は生じていない」と「これからも問題が生じ
    ない」はまったく違うということがなぜわからないのだろう。
    「俺は今までこれで一度も事故ってねーんだよ」と言って酒気帯び
    運転する輩と同レベル。
    それとも、わかった上で開き直っての詭弁なのだろうか。
    問題が発生してからでは遅いからみんな「不安」になってるという
    のに。
    • 俺のあいまいな記憶では、「うちには勝手口や社員通用口はないし作らない。だから、そこから出入りする奴はいない。」というセキュリティーだったはずが、いつの間にか、「勝手口や社員通用口はある。だけど、そこから出入りする奴はいない。」になってしまっている。
      で、その勝手口や社員通用口にはガードマンや監視カメラは取り付けられているのか?
      存在しない物に予算って付くのか?
      専任ではないのかも知れないが、ネットワークの管理責任者はいるだろ。いないのか?
      勝手口や社員通用口は作ったのだろうから、出入りしていると考えるのが妥当なんだよな。
      出入りできる環境があるだけでも危険なのに、きっと実際に出入りしているんだろ。
      出入りすればさらに隙が生まれるわな。

      で、俺の興味は「これまでも何も問題は生じていない」って、どうやって調べたのだろうだねってとこ。
      f/wを通った全パケットを記録してあって、それを解析した上での発言でもないだろ。
      まぁ、この場合でもアクセス記録の痕跡を消すのはクラッキングでは当たり前のことですが....

      「知らないうちに勝手口がありました」という状況で、「勝手口からの出入りはありません」と言い切っているようなもの。
      勝手口とは出入りするためにあるのだよ。

      5年後や10年後ならば、「住基ネットでそう言ったルールがあるのを忘れてました」という事もあるだろうけど、今存在する勝手口は意図的にこっそり残しておいたものか、意図的に作られたものだよな。
      故意か過失かと問えば、故意なんだよな。

      ついでに、f/wって防火壁なんだよな。防火壁があるから火事にはなりませんし、なっていません。って考えはな。手順道理ならば防火壁は作動しませんぜ。

      この辺、某政治家達って分かっているのだろうか?
      親コメント
    • 彼等は、エンジニヤじゃなくて、政治ヤなんです。
      道理で物事を考えるより、駆け引きで物事を考える方が得意なんでしょう。
      近視眼的に物事の勢いを保たせることが仕事だろうし。

      それに、商売相手は、道理で納得する人じゃなくて、これまた駆け引きで納得する人ばかり。

      頭の構造が違うんだよ。きっと。
      親コメント
  • by minz (3213) on 2003年05月31日 14時31分 (#326745) ホームページ 日記
    「監査の結果、他システム等と接続していた市町村があったので、
    住基ネットから切断いたしました。必要な措置が講じられるまで、
    当該市町村の住民の方にはご不便をおかけいたします。総務省」

    をやるのがあたりまえの運用だろう。

    それを「法が想定していない」のであれば「法の定めた運用」
    に根本的なセキュリティホールがあるってことじゃない。
    --
    みんつ
  • by Anonymous Coward on 2003年05月31日 7時23分 (#326603)
    長野県本人確認情報保護審議会の第6回審議会 [nagano.jp]の資料4に、住基ネット接続パターン [nagano.jp]という図があり、危険性のある接続事例の6パターンが公開されていますね。
    技術に詳しい方の解説、希望です。

    資料3 [nagano.jp]によると、怪しげな対応を見せた8つの市町村を対称に調査したと説明されています。「ファイアウォールが不正通信を完全に防止できると回答」したところを調べたというのが笑えます。
    • by pantora (11989) on 2003年05月31日 15時41分 (#326773)
      パターン1
      ルータがクラックされると終わり。
      だいたいの業務用ルータはコンソールかtelnet可能なので
      パスワードなしとか、初期パスワードとかで入れたり。
      結構、いいかげんな業者だとあるっぽいよ。
      オラクルのパスワードがMANAGERや、CHANGE_ON_INSTALLのままだったり。

      パターン2
      堤防があるから水は入らないという考え。堤防崩れれば大洪水
      ファイアウォールを過信しすぎている。
      セキュリティホールがあれば、公開系システムから侵入できちゃうね。

      パターン3
      L3スイッチって便利だけど使い方しだいでとっても危険よ。(はーと)
      これもコンソールやtelnetから入れるやつが多いです。
      そして、パスワード管理がカスな時あり。

      パターン4
      RASの設定甘いとウォーダイヤリングで発見されて入られるよ。
      せめて、コールバックくらいしようね。

      パターン5
      理由はパターン5と同じ

      パターン6
      ソーシャルエンジニアリングに注意しよう。
      侵入者はヴァーチャルな世界からが全てではないよ。
      HUBにポートがないと思いきや無線LANが使えるかもしれない。
      (お役所は使用禁止となっているとか聞いたけど。)

      WEPキーなんか使っても、結局時間稼ぎにしかならないし。
      無線LANの中をVPN張ってLANとして機能させるくらい
      セキュリティ体制でいかないと入られちゃう。

      こんな感じでよいかしら?
      実際に実験してみるとよくわかると思います。
      他人に攻撃してもらうと、より効果的です。
      10Uくらい積めるラック、業務用ルータ、業務用スイッチ、
      RAS、パソコン10台程度、LANケーブル作成道具一式
      これら用意すれば、あなたのお部屋でも!
      --
      PCにECC Registeredメモリの利用を推奨します。
      親コメント
    • by Anonymous Coward on 2003年05月31日 10時28分 (#326652)
      事例-4なんてよく見かけるんですが、その出先機関のセキュリティレベルの低さは、それはもうひどいものでね。
      本庁に繋がるPCなのに、ログオンのパスワードが設定されてないとかモニタに付箋で張ってあるとか。
      挙句昼休みは昼食で人が出払って無人状態になってるとか。
      (某県某町の実例)

      #さすがにACだな

      親コメント
  • by Anonymous Coward on 2003年05月31日 8時02分 (#326611)
    どういう活動やっているのでしょうか。あんまり表に出てきませんよね。ネオテニーの伊藤さんが「自分のweblogで全て公開する事を許可する」ことを条件に委員を引き受けていたと思うのですが、、、まぁ私がご本人の weblog [ito.com] にあまり足を運んでいないのもありますが他の weblog に流れてくる事もないような、、

    と思ったら最近上がっていますね。ちゃんと動いている人はいるけど広がりが悪いって事なのかな、、
  • せめて処罰を (スコア:3, すばらしい洞察)

    by WindKnight (1253) on 2003年05月31日 8時59分 (#326632) 日記
    誰が外部接続の決定を行ったのかを調査して、処罰するべきだと思ふ。

    それをするくらいでなければ、いまの政府に住基ネットは時期尚早っ
    てことでしょうね。
    • by NaruTo (1519) on 2003年05月31日 9時32分 (#326642) ホームページ 日記
       こないだ聞いた M$ の講演(M$自体の社内事例)では
      外部のネットワークを社内のネットワークと
      勝手に接続すればそれは解雇対象になりうる
      重大な社内規則違反だと言ってました。
       まぁ、その程度はしないと守ることなんてできないですね。
      --
      マクロの基本は検索置換(by y.mikome)
      親コメント
    • Re:せめて処罰を (スコア:2, すばらしい洞察)

      by harux (9573) on 2003年05月31日 9時32分 (#326643) ホームページ 日記
      接続事例をみると、
      元々の住民票のシステムある基幹系に住基端末があって、
      そこが情報系LANを通してインターネットと物理的接続があったと。

      その基幹系に住基ネットをつないだ為に、
      住基ネットとインターネットが物理的に接続されるにいたった、
      という感じじゃないですかね。

      これって、住基ネットが危ないなら、
      基幹系なんてもっと危ないですよね。
      親コメント
      • Re:せめて処罰を (スコア:1, すばらしい洞察)

        by Anonymous Coward on 2003年05月31日 9時49分 (#326647)
        >基幹系なんてもっと危ないですよね。

        基幹系が危ないのは、事故があって被害が出るのはその自治体だけですから自己責任ですが、そこが住基ネットがつながっていると、全国の自治体全部の住民票も危険にさらされるというところが、この問題の本質ではないかと。
        親コメント
    • Re:せめて処罰を (スコア:2, 参考になる)

      by Anonymous Coward on 2003年05月31日 9時47分 (#326646)
      本人確認情報保護審議会 [nagano.jp]

      春の人事異動が早く来てほしいという声、これほど人事が待ち遠しかったことは今までなかったと語った職員もいて、担当職員らの話は実に悲惨だった.

      現場担当者は責任の重大さとセキュリティに関する不安からこんな状態みたいですな。
      親コメント
    • by Anonymous Coward on 2003年05月31日 12時30分 (#326701)
      某市の住基も繋がってるよ・・・
      しかもネットワーク変えろ、といったのに
      「FWで制御しろ」
      だと。
      だめだ、この国。

      あれすぎるのでAC
      親コメント
    • 感情的には私も同感だけど、「お縄にする奴を決める」ことが
      目的になってしまっては問題は解決しない。
      そもそもの原因は、その程度の意識しかない連中に個人情報が
      握られていることでしょ?
      (文字どおりの意味で)「個人情報保護」がなぜ必要なのか、
      公共サービスやっている所は全部考え直してもらいたい。
      個人情報が洩れたときのリスクが理解できないから、ええ加減に
      扱う奴が絶えないんじゃないの? 一種の平和ボケか?
      親コメント
      • by WindKnight (1253) on 2003年05月31日 20時01分 (#326879) 日記
        だから、職員の意識改革のために処罰が必要なのだと思ふ。

        職員全体で認識を共有できれば、管理者も楽になるはずで、
        それが電子政府への道のりでしょう。

        住基ネットのようなものは、いつかは必要になるでしょうし。
        親コメント
  • デ・ジャ・ブ (スコア:3, すばらしい洞察)

    by coco-natade (13903) on 2003年05月31日 12時07分 (#326692)
    「いたずらに不安をあおることは極めて遺憾だ。住基ネットは極めて安全なシステムであり、これまでも何も問題は生じていない」

     ここの「住基ネット」を「原子力発電所」に置き換えると…

     あるいは、「非加熱血液製剤」に置き換えて、他もちょこちょこと…

     あるいは「肉骨粉」…(しつこいから以下略)

     「賢者は過去から学び、愚者は体験から学ぶ」というけど、どうも連中は「体験」からも学べないのか、それとも「原発」を「他人事」と受け止めているだけなのか。
    いずれにせよ連中は、「薬害AIDS」などのように大勢の「人柱」を立てないとダメらしい。

     願わくば、責任者連中が人柱になってくれることを。
  • by Futaro (2025) on 2003年05月31日 14時03分 (#326731) ホームページ 日記
    行政全体すべてそうなのだが、まともな監査組織が、法律上用意されていなかったり、それが不完全だったり、さらに、有名無実化していたりする。

    今回もシステム監査を、なれ合いではないところが全国的にきっちりやらないと、大変なことになると思う。

    だから、今回いたずらに不安を煽っているのは長野県ではなく、この不安にきちんと答えられていない人たちすべてだろう。すくなくとも、どこかの名も知られていない民間企業が出した調査結果ではなく、それなりの機関が出した調査結果であるのだから、言われたほうはそれにきちんと対応をするべきだ。それをしないで、「文句を言うな」という言い方でしか反論ができない、ということこそが本当に不安を煽る行為そのものだよ。
  • リンク先の誤り (スコア:2, 参考になる)

    by Anonymous Coward on 2003年05月31日 7時08分 (#326600)
    毎日新聞のリンク先がもう違う記事になっていますね。
    正しくはこちらでしょうか。
    27自治体で住基とネットが“接続” 長野審議会報告 [mainichi.co.jp]

    毎日デジタルトゥディの記事は、today/2.html などのURLは毎日別の記事に入れ替わるので、リンクするときは注意が必要です。自分で archive/200305/28/2.html というURLを探してリンクしましょう。

    毎日新聞さんへお願い。today/2.html のページ内に、対応する archive/200305/28/2.html のURLへのリンクをどこかに設けてもらえませんかね。
  • 情報教育 (スコア:2, 参考になる)

    by ken-w3m (14150) on 2003年05月31日 7時50分 (#326608) 日記
    先日、県が主催の電子自治体に関する講演に行ってきまして、(私は坂村健さんが見たかっただけですが)その中で総務省による住基ネットの説明がありました。

    今年の8月25日から希望者にカードが配布され、行政手続きのオンライン化や、条例次第で自治体独自の活用ができるということでした。
    そして、セキュリティやプライバシー関連も話題にあがっております。
    まず、住基ネットはHTTPやSMTPなどは一切通さないということでしたが、住基ネットプロトコルがIPなどにのって流れるかどうかは不明。(大丈夫なはずですが) また、インターネットには繋がっていないということには言及されておりませんでした。
    住基カードは公開鍵方式を利用しており(カードに秘密鍵が入っている)、電子署名で個人認証もばっちり、なりすましは極めて難しいといった説明もありました。

    問題は以上のことをどれだけの人が理解できているか(ちなみに聴衆はお年寄夫婦、主婦多数)、また、本当に説明どおりに実施されているのかということでして、、、 表面的なPCの使いかたもよろしいが、こういったことを常識ととらえて教育に反映していってもらいたいと思いました。
    • Re:情報教育 (スコア:2, 参考になる)

      by Bombyx mori (15659) on 2003年05月31日 8時27分 (#326617)
      > 問題は以上のことをどれだけの人が理解できているか

      基礎知識のない人にもちゃんと理解できるように説明するのって、結構高度なことだと
      思うのですが、有能な研究者や技術者の育成と同時にそのような人材の育成も大切では、
      と感じます。

      > 聴衆はお年寄夫婦、主婦多数

      このような講演を、現役で仕事をしている人や学生も積極的に聴きに行けるような
      制度も欲しいですね。
      親コメント
  • 大阪府の例 (スコア:2, 参考になる)

    by k3c (4386) on 2003年06月02日 18時39分 (#328146) ホームページ 日記
    気になったネタのメモ(改) [rim.or.jp]あたり。大阪市も物理的に繋がっているそうです。しかも、「Windowsのドメインでアクセス権管理しているだけのセキュリティ」だとか…。すごい(笑)
  • いたずらな不安 (スコア:1, 参考になる)

    by Anonymous Coward on 2003年05月31日 7時46分 (#326606)
    子供扱いされても仕方のないような国民もいることは事実。

    行政機関には情報を隠蔽して欲しくはないが、話に尾ひれをつけていたずらな不安を煽る
    マスコミと、その情報を鵜呑みにする人々をどうにかしない限り、情報を隠蔽は今後も起こり
    得るように思う。

    # 「いたずらな不安」のとばっちりを受けていたのでAC
    • by Anonymous Coward on 2003年05月31日 7時54分 (#326610)
      ちゃんと議論に導かれていないのが問題って事でしょうか。
      もっと投票率、抗議活動、意思表示、weblog のようなパーソナルメディアを活用してみては、とか言ってみるテスト。

      政治問題や社会問題を提起してトラックバックで分散した議論を作る&関心度の数値化と関心の維持を行う仕組みとかどうなんでしょう、とか。CNN とかやってもよさそうな感じですが、、国内でもパーソナルメディアの組織化を誰かビジネスにしませんかね。

      # 徒然なので AC
      親コメント
    • Re:いたずらな不安 (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2003年05月31日 10時33分 (#326653)
      > 話に尾ひれをつけていたずらな不安を煽る

      情報が隠ぺいされている環境が デマ等を育てています。
      正確な情報が分からなかったり、明らかにかくされている事を感じる場では憶測が出てくるのは当たり前と思うし、それがデマに育っても本当にデマか分からないからそのデマを押さえる事もできない。
      って、事が分からないか、またはそれによる被害より隠蔽による利が上だと思える環境が有る事が今後も隠蔽を引き起こす原因でしょうね。

      ># 「いたずらな不安」のとばっちりを受けていたのでAC

      情報隠蔽のとばっちりでは?
      親コメント
  • by Y.. (7829) on 2003年05月31日 14時25分 (#326741) 日記
    「いたずらに不安をあおることは極めて遺憾だ。住基ネットは極めて安全なシステムであり、これまでも何も問題は生じていない」
    これまでに何も問題は生じていないなんて大嘘ですな
    「国民の不安を残したまま運用を始めちゃったこと」は一番重要な問題だよねぇ
    それと、「長野県で起きてた物理的に外部と接続されていた問題」とか、「予算の都合で問題が解決できない問題」とかは今さっき目の前で起きた問題だろ
    いい加減に目をつぶるのはやめてほしい

    一刻も早く 国民を納得させられる情報の提供を望みます。

    とりあえず 現状をしっかりと把握して住基離脱を決意した長野県の行動は正しいと言えるかと
    でも、今回やった調査とか試算は本来なら運用を始める前にやっておくべきなんだよねぇ
  • by miri (12057) on 2003年05月31日 17時13分 (#326801) 日記
    みなさん、もう自分の個人情報はあきらめましょう。
    そうすれば近い将来、情報技術を持った我々には大きなPowerが与えられるでしょう。(藁
typodupeerror

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

読み込み中...